零信任架構和微分段可幫助組織在日益複雜的網路安全環境中阻擋惡意攻擊。不過,究竟什麼是零信任架構和微分段?這種方法是怎麼運作的?
什麼是零信任架構(Zero Trust)?
因應當今複雜的混合雲端世界,零信任架構資安模型採取「永不信任,一律查證」的安全防護方法。這個概念最初是由 John Kindervag 任職於 Forrester Research 期間提出,他領悟到假設可以信任組織網路內的所有使用者的這種傳統安全模型運作前提是錯誤的,並以此做為零信任架構的立論基礎。
相對之下,零信任架構模型將信任視為弱點。它認定惡意威脅可能來自外部或內部,一旦侵入網路內部,外部網路犯罪者和惡意內部人員便能自由移動並存取各式各樣的資料。不論使用者相對於網路安全邊界的位置為何,零信任架構都能透過要求嚴格的身分和裝置驗證,終結漏洞百出的資安模型。
什麼是微分段(Micro Segmentation)?
過去長期以來,公司一直依靠著「平面網路(Flat Network)」。只要進入網路,就可以存取所有企業應用程式和資料。然而,為了改善安全態勢,如今許多組織紛紛採網路分段技術,將其計算機網路分割成不同的子網路或區域,以限制取得未經授權存取後的移動範圍。透過限制唯有需要資訊的人員、應用程式和伺服器才能存取敏感資訊,組織可以為最敏感的資訊建立更大的屏障,例如,將客戶信用卡資料儲存在不同分區,與第三方有權存取的網路區域隔離開來。有權存取該特定分區的使用者可自由在該分區內移動,但如果要移動到其他分區,則必須重新驗證身分。
微分段進一步將網路劃分為更小的區域,甚至可以細分到每個工作負載的層級。透過將精細的安全政策綁定到每個應用程式的工作負載,微分段可以進一步限制攻擊者在網路邊界被突破後,橫向移動的能力。
微分段的優勢。
與過去的平面網路及網路分段法相比,微分段具有若干優勢,其中包括:
- 縮小攻擊面:隨著越來越多的公司將其工作負載從本地端的資料中心轉移到雲端和混合環境,整體攻擊面也不斷擴大。微分段將網路分割成更精細的分區,確保未經查驗即無法跨區移動,因而明顯減少了可利用的攻擊面,防止惡意人士在應用程式基礎架構內橫向移動。
- 快速圍堵漏洞:微分段可協助安全團隊監控流量是否符合其預先定義的原則,防止攻擊者利用初始漏洞在整個網路中獲得更大的立足點。此外,安全團隊可以即時回應可疑攻擊,阻擋發動進一步攻擊,可能導致全公司受到更大損害的企圖。
- 保護關鍵應用程式:微分段可限制網路攻擊的橫向傳播,防止災情擴散至其他未受感染的伺服器、虛擬機器、雲端執行個體或容器。它還能為資安專業人員提供更好的威脅可視性,協助他們強化不同環境中最重要的工作負載和應用程式的安全防護。
- 改善法遵:透過對最關鍵的工作負載施加更精細的控制,微分段使公司能夠輕鬆將受監管的工作負載與更廣泛的 IT 環境隔離開來。由於可以更輕鬆地分隔資料,微分段可以簡化稽核流程,同時展現必要的安全防範措施。
微分段如何融入零信任架構模型。
零信任架構是一種資安模型,而微分段則是協助組織實現願景的最佳實務。微分段會在每個工作負載周圍建立安全的區域邊界,消除攻擊者能在網路內自由移動的信任區域。
零信任架構是根據「最小權限」原則授予使用者存取權,亦即只會提供使用者成功完成工作所需的必要存取權限,不多也不少。有了微分段技術,組織得以要求進行更精細的驗證,以更確實的應用此原則。
消除脆弱的信任區域。
微分段讓公司能夠在特定應用程式工作負載四周建立微型邊界,從而實行零信任架構模型。透過對敏感的應用程式和資料進行最精細的控制,組織(企業)可以消除增加其安全漏洞的信任區域。藉由精細管控每個工作負載之間的流量,公司可縮小威脅攻擊面,並更容易控制已發生的事件,從而降低發生重大安全漏洞的風險,避免對企業及其客戶造成危害。
