Security Operations

將零信任延伸至端點

網路零信任 - 耳熟能詳的曲調
端點上的零信任 - 全方位的「零信任」故事

網路零信任 - 耳熟能詳的曲調

零信任 (Zero Trust) 是越來越被接受和推崇的網路架構安全性模型。對於那些專注於網路安全性的人而言，「絕不信任，永遠驗證」這句話是耳熟能詳的。零信任專注於以下原則：組織不應信任其內幕或外圍的任何事物，所有嘗試連線至網路的事物都應先經過驗證，才允許存取。

要實現零信任架構，需要依據使用者、資料和位置進行網路分割和粒度強制執行。所有流量都必須記錄，並在不同的檢查點進行檢查，這些檢查點根據既定規則識別和允許流量。這可維持最低權限存苃的存取。

以及嚴格的存取控制，為您提供必要的網路可視性與情境，以限制橫向移動並識別來自網路內部的攻擊。

隨著安全技術的進步，需要保護的資料數量也大幅增加。在現今高度行動化的世界中，資料會隨著端點移動，使得端點成為 cy- berattacks 的目標。因此，安全政策必須隨著使用者和資料的移動而移動，而不應與特定位置綁定。由於資料和應用程式可從全球各地的裝置存取，因此零信任及其預防為先的方法應擴展至網路以外的端點。

端點上的零信任 - 全方位的「零信任」故事

端點安全性產品會保護端點並收集端點活動的資料，而網路安全性產品則會對網路進行相同的保護。為了有效對抗先進的威脅，兩者需要共同合作。結合端點與網路安全性的整合式平台方法，是達成整體防護，並在整個安全性架構中實作零信任模式的唯一方法。這種方法必須成為我們一切工作的一部分，以便在流量發生的地方、資料存在的地方都能進行預防。

要將 Zero Trust 擴展到端點，必須符合四個條件：

1.使用多層安全性保護端點

如果攻擊者找到繞過最薄弱環節的方法，例如傳送惡意軟體或利用應用程式漏洞，傳統的安全措施就會失效。更有效的方法是將網路和端點防護分層在一起，這樣，如果攻擊者成功繞過一項措施，他們就會面對另一項措施，使攻擊者逐漸難以得逞。

網路安全性的作用是儘可能阻止惡意軟體、網路釣魚攻擊或攻擊漏洞等攻擊透過網路進入端點。如果攻擊透過 USB 磁碟機或其他非網路方式到達端點，流量已加密，或使用者 oThine 或離網路，端點安全性的作用就是解除攻擊者的破壞能力。

結合這些規範的零信任架構，讓端點與網路安全性之間的整合更加有效。

2.與網路安全性整合

將零信任延伸至端點，將端點安全性與網路安全性結合，形成單一、整體的安全性架構。端點上獲得的情報應該饋送至防火牆，反之亦然。應該在防火牆上設定政策，如果端點發生事件，就可以隔離該端點，直到可以完全掃描和清理為止。

此外，將使用者和流量資料從防火牆擷取至網路安全性管理工具，可提供整個網路發生的情況。這可讓您撰寫安全政策，以適當反映此類活動，並在端點上強制執行。

零信任網路安全性模式也包括將端點安全性與虛擬私人網路（或稱 VPN）安全性合作夥伴，讓全局政策隨著使用者和端點移動。為了確保端點永遠受到保護，VPN 功能對使用者應該是透明的，不需要手動介入登入或連線。當端點安全與 VPN 互相配合時，無論端點在何處都能受到保護，防止不良流量進入 VPN 和防火牆。為了進一步加強這種整合，放置在下一代防火牆上的 VPN 將政策執行延伸到隧道中。如果流量已加密，並透過已入侵的端點進入網路， Policy 仍然會執行。

端點與網路安全性整合所提供的細部可視性，必須透過自動化功能來強化，以進行快速、明智且精確的多元決策。這種整合還必須是無縫和輕量級的，這樣才不會對使用者造成負面影響。

3.管理多種端點

所有組織都有多種必須管理的端點，例如伺服器、工作站、桌上型電腦、筆記型電腦、平板電腦和行動裝置。為了強化安全勢態並實作 Zero Trust，端點防護需要與防火牆整合，如此一來，無論端點在哪裡，安全政策都會跟隨端點。多因素驗證 (MFA) 應該在下一代防火牆上強制執行，以提高可擴展性，並將暴露線從關鍵應用程式移得更遠。這種整合不得對系統效能造成負面影響，，這樣使用者就不會注意到在背景中執行的安全性，並有可能嘗試移除或關閉安全工具。

4.第 2-7 層存取控制

在整個安全架構中實作零信任時，確保流量在進入端點和離開端點時都會被檢查是否有惡意行為。端點通常會在流量進入網路時評估其潛在威脅。在使用者和使用者活動有效的假設下，流量在離開網路時進行評估的情況較不常見。但是，如果使用者受到攻擊，攻擊者可能會從端點滲出資料或智慧財產，或利用受攻擊的裝置進行其他不法活動。

為了防止資料或智慧財產離開網路，您需要透過與下一代防火牆整合，來瞭解端點上的活動。根據防火牆上設定的政策，如果使用者或應用程式流量超出定義的安全政策範圍，防火牆可介入並阻止可疑活動。此政策必須在加密的 VPN 通道內執行威脅防護規則、URL 過濾和惡意軟體沙箱功能。

下一代防火牆也應該具備 SSL 解密功能，以解密加密的流量，並獲得必要的可見性，以判斷流量是否為惡意。如果發現惡意流量，防火牆與端點之間的整合應可讓防火牆阻擋任何命令控制流量，並將端點與您的網路隔離。

Palo Alto Networks 方法

Palo Alto Networks 產品組合提供您所需的工具、技術和產品，以便將您的 Zero Trust 策略轉化為實際部署。

Palo Alto Networks 產品組合的關鍵元件是 Cortex XDR, ，這是業界第一個延伸偵測與回應 (XDR) 平台。Cortex XDR 代理在攻擊生命週期的關鍵階段使用多種防護方法，以防護已知和未知的惡意軟體、攻擊漏洞和勒索軟體，以及零時差威脅。Cortex XDR 執行本機分析，根據檔案屬性分類和先前已知的判斷來識別惡意和良性檔案。

在本機分析的基礎上，Cortex XDR 與 WildFire^® 雲端威脅分析服務整合。WildFire 可自行執行動態和靜態分析、機器學習和裸機分析，即使是最狡猾的威脅也能識別出來。作為平台的一部分，WildFire 可讓 Cortex XDR 和下一代防火牆成為網路和端點的感測器和執行點。

Palo Alto Networks 下一代防火牆會檢查所有流量，包括應用程式、威脅和內容 - 即使已加密 - 並將流量與使用者綁定。由此產生的可視性和資料可協助安全政策符合組織的獨特需求和計畫。就像 Cortex XDR 一樣，下一代防火牆與 WildFire 搭配使用，可防禦已知和未知的威脅。當 WildFire 在任何地方識別出新的威脅時，它會自動在整個平台以及 WildFire 社群的其他成員間建立並發佈更新的防護措施，以支援協調的安全基礎架構。這些更新包括 Cortex XDR 最新識別出的威脅，為整個架構提供更全面有效的保護。

GlobalProtect^™ 針對端點的網路安全性將您的網路政策與端點緊密連結，可將您的安全性政策延伸至遠端網路和行動使用者。GlobalProtect 使用下一代防火牆檢查流量，以全面檢視所有網路流量、應用程式、連接埠和通訊協定。無論使用者身在何處，這種可視性都能讓安全政策在端點上無縫執行。GlobalProtect 提供使用者資訊以強化 User-ID^™ 技術，並與防火牆中的 MFA 保護整合，防止攻擊者利用竊取的憑證進行橫向移動。