關於零信任的部署方式,雖然在SP 800-207 Zero Trust Architecture的第三章中,已稍微提到,在第四章中特別介紹5種部署情境與使用案例,從典型的企業實務場景出發,讓企業與組織更容易理解部署。關於這一章節企業,可以簡單參考即可。
第四章 ZTA部署場景與使用案例
基本上,任何企業網路環境都可採取基於零信任原則設計。NIST指出,事實上,大多數的企業組織基礎架構已具備零信任的某些要素,或是透過各種最佳資安實踐做法來達到零信任。
接下來,這裡將透過5個小章節,以說明不同的部署情境與使用案例。但要注意的是,在企業實際邁向ZTA的過程中,應該會是基於傳統邊界防護或與零信任架構並存,且會持續運行一段時間的狀態。
第四章第一節 擁有衛星工廠的企業
第一種類型,就是擁有衛星工廠的企業。
這是大多數企業的場景,企業擁有一個總部以及多個分散不同地理位置的據點,這些據點並不予企業實體網路相連,而這些員工在工作上仍有需求要存取企業資源,因此,普遍會仰賴電信服務供應商提供的專線,透過MPLS(Multiprotocol Label Switching)來連接這些據點,以建立安全連線。
基本上,企業可能因為沒有足夠的頻寬,因此不希望雲服務的流量經過公司總部網路,員工也希望可以透過企業或個人裝置,做到遠端存取。在此情形下,企業希望提供用戶某些資源的存取權限,包括員工行事曆、郵件等,同時也要拒絕用戶存取更敏感的資料,包括HR人力資源的資料庫。
.jpg)
資料來源/NIST,iThome整理,2022年8月
在這樣的場景中,策略引擎(PE)/策略管理器(PA)通常以雲端服務方式來託管,具有更高的可用性,遠端工作也不用需要經過企業基礎設施來存取雲端資訊。
而用戶端將需要安裝代理程式,或是經過網頁入口進而存取資源,這部分在第三章第一節已有提到。
基本上,企業不用將策略引擎(PE)/策略管理器(PA)設置於企業本地網路環境,否則遠端辦公室的人員還要經由企業網路才能存取雲端服務上的應用,回應上可能就不是那麼迅速。
第四章第二節 使用多種雲端服務的企業
第二種類型,是使用多種雲端服務或雲端對雲端的企業,而使用多個雲服務商的企業也是日益常見的場景。
在此種案例導入ZTA時,企業本身用有自己的本地端網路,並使用多個雲端服務提供商託管應用程式、服務與資料,而且,有時應用服務與資料是託管在不同的雲端服務上。而為了效能與便於管理,在A雲端平臺的應用程式應能直接連到B雲端平臺的資料來源,而不是強制應用程式存取須經由企業網路。
.jpg)
資料來源/NIST,iThome整理,2022年8月
在這樣的場景中,以多雲環境使用的零信任方法而言,是在每個應用程式/服務與資料來源都設置政策落實點(PEPs)。
基本上,策略引擎(PE)與策略管理器(PA)可以位於雲端或是第三方雲端服務供應商,安裝代理程式或經由網頁入口的用戶端,將能直接存取政策落實點(PEPs),如此一來,企業仍然可以管理資源的存取。
不過,這裡有一個挑戰,不同的雲端平臺提供商會有各自獨特的方式,來實踐類似的功能。因此,企業架構師需懂得利用各業者的機制才能實現企業ZTA。
第四章第三節 擁有外包與非員工存取的企業
第三種類型,是另一種普遍常見的情境,與企業合作的駐點工作者或外包服務提供商需要有限的權限以存取企業資源。
例如,一間企業擁有內部的應用程式/服務、資料庫與資產,當中包括爾偶在現場提供維護的外包供應商服務,像是由外部供應商擁有與管理的智慧空調、照明系統,而這些人員將需要連接網路來進行他們的工作。而零信任的企業環境,將能遮蔽企業資源,並允許這些裝置與技術人員存取網際網路。
在此例子中,企業還有一個供訪客與員工互動的會議中心。同樣的,在零信任架構的軟體定義邊界方法中,員工裝置與主體是有區別的,並且可能有能力以適當方式存取企業資源。例如,進入校園的訪客可以存取網際網路,但不能存取企業資源,甚至無法透過網路掃描發現企業服務。
.jpg)
資料來源/NIST,iThome整理,2022年8月
在此場景下,策略引擎(PEs)與策略管理器(PAs)可以託管在雲端服務,如果很少使用雲的話或也能設置於區域網路LAN上。企業資產同樣可以安裝代理程式或經過網頁入口存取,在此當中,策略管理器(PA)須確保所有非企業系統,也就是沒有安裝代理程式或連到網頁入口的系統,不能存取本地資源,但可以存取網際網路。
第四章第四節 跨企業邊界協作的企業
第四種類型屬於跨企業間的協作,例如,有一項涉及A公司與B公司的計畫,這裡的舉例,這兩個企業可以是獨立的聯邦機構(G2G),也可以是聯邦機構與民間企業,其中A公司營運的專案資料庫,必須讓B公司的員工存取。
此時,企業A的做法,可以設置專用帳戶,供企業B員工存取需要的資料,並拒絕存取其他所有資源。但是,這種做法很快就會變得難以管立,如果企業雙方建立聯合身分識別管理系統,提供雙方組織可使用的政策落實點(PEP)以進行認證,可以更快速的建立起關係。
.jpg)
資料來源/NIST,iThome整理,2022年8月
這樣的場景,有點類似上述第一節提到的使用案例1,雙方員工可能不在本地組織網路架構中,並且需要存取一個企業網路或託管於雲端的資源。
因此,策略引擎(PE)/策略管理器(PA)可託管於雲端服務來進行,而無需建立VPN或類似的服務。可能要求企業B員工在其系統上安裝代理程式,或透過網頁入口存取必要資源。
第四章第五節 面向公眾或客戶服務的企業
第五種類型,是許多企業的一個共同特點,會提供對外的公眾服務。這類服務可能是針對廣泛大眾,或是針對業務關係的客戶,甚至是針對特殊的非企業客戶,像是員工家屬之類。在此當中,或也包含需要用戶註冊的服務。
在上述所有情形下,請求的資源可能不是企業所擁有,且企業在內部網路安全政策,在套用到非企業擁有的資源時會受到限制。
基本上,不需要登入就能存取的對外服務,像是公開網站等,零信任原則並不直接適用。
針對註冊的會員用戶,或是商業客戶與特殊用戶,企業可以建立限制政策,包含針對線上服務帳密安全,要求密碼長度、生命週期,以及提供多因素驗證等選項或要求,並要注意的是,要限制那些來自未知瀏覽器類型與過時版本的存取請求,這很可能是偽裝合法用戶的攻擊行為,同時,也應了解使用者請求與資產的資訊蒐集與紀錄方面的法規。
整體而言,這裡介紹了5種常見的企業場景,主要只是簡單籠統的說明了ZTA布署的可行方式。
更多ZTA 101內容
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15