什麼是零信任?
零信任是近期相當熱門議題,在報章媒體、研討會或資安產品行銷都可以見到它。連今年度高普考也有零信任的影子,究竟它是什麼?對我們有什麼影響及政府企業在零信任有那些作為?都是我們可以關注的議題。
以NIST SP 800-207文件的說法指出,零信任(Zero Trust,ZT)是一套不斷演變的網路安全範式,將防禦重心從靜態的網路邊界轉向使用者、資產和資源。而零信任架構(Zero Trust Architecture,ZTA)利用零信任原則來規劃工業和企業基礎設施及工作流程。因此零信任的假設不會基於實體或網路位置(如本地區域網路與Internet)或資產所有權(企業或個人擁有)對資產或使用者帳號用授予隱含信任。身份驗證和授權(針對用戶和設備)是建立存取連線前的獨立功能。零信任應對於的企業網路趨勢包括遠程使用者、自帶設備(BYOD)以及不在企業擁有的網路邊界內的雲資產。零信任專注於保護資源(資產、服務、工作流程、網路帳號等),而並非於網路分段,因為網路位置不再被視為資源安全狀態的主要組成部分。
簡要的話,零信任安全模型是假設攻擊者存在於環境中,且企業自有環境與任何非企業自有環境沒有區別,也就是過去的防火牆分野的牆內信任己經不復存在。也不應資產所有權而採取信任。所有的資源存取皆需要不斷檢查人事時地物,最終決定要不要放行讓使用者進行存取。目的在於防止數據洩露並限制內部橫向移動。
在下圖所示的抽象訪問模型中,主體需要訪問企業資源。訪問通過策略決策點(Policy Decision Point, PDP)和相對應的策略執行點(Policy Enforcement Point, PEP)來授予。
系統必須確保主體是真實且請求是有效的。PDP/PEP 需作出適當的判斷,允許主體訪問資源。這意味著零信任適用於兩個基本領域:身份驗證(authentication)和授權(authorization)。對於這一請求,對主體身份的信心水平如何?考慮到對主體身份的信心水平,是否允許訪問資源?請求使用的設備是否具有適當的安全態勢?是否還有其他因素應考慮,並且改變信心水平(例如,時間、主體位置、主體的安全態勢)?總之,企業需要開發並維護基於風險的動態資源訪問政策,並建立系統以確保這些政策被正確且一致地執行。
「隱含信任區」指的是所有實體至少被信任到在一個 PDP/PEP 閘道的水平之上。例如,考慮機場的乘客篩查模型。所有乘客都需經過機場安檢處(PDP/PEP)才能進入登機門。在此模型中,隱含信任區是登機區。PDP/PEP 實施一套控制措施,使得超過 PEP 的所有流量具有共同的信任水平。為了使 PDP/PEP 盡可能具體,隱含信任區必須盡可能小。零信任提供一套原則和概念,將 PDP/PEP 移得更靠近資源,明確地對所有主體、資產和工作流程進行身份驗證和授權。
零信任架構的設計和部署遵循以下零信任7個基本原則:
- 所有數據來源和運算服務都被視為資源。
- 無論網路位置如何,所有通訊都必須安全保護。
- 對各別企業資源的存取是基於每次連線來授予與否。
- 資源的訪問權由動態政策決定,包括客戶端身份、應用程式/服務和請求資產的可觀察狀態,還可能包括其他行為和環境屬性。
- 企業監控並評估所有所擁有和相關聯資產的完整性和安全狀態。
- 在允許訪問之前,資源的身份驗證和授權都是動態評估的且嚴格執行。
- 企業會盡可能收集有關資產、網路基礎設施和通信的當前狀態的訊息,並使用這些信息來改善其安全態勢。