何謂雲端零信任?
零信任 是一種 IT 安全模式,它消除了信任的概念,以保護網路、應用程式和資料。這與傳統的週邊安全性模式形成強烈對比,因為傳統的週邊安全性模式假設壞的行為者總是在網路不信任的一側,而值得信任的使用者總是在值得信任的一側。有了 Zero Trust,這些假設就會失效,所有使用者都會被假定為不可信。
根據知名研究與諮詢公司 Forrester Research 的研究,零信任解決方案必須:
透過分割和啟用第 7 層政策,確保只允許已知、允許的流量或合法應用程式通訊。
利用最低權限存苃策略,並嚴格執行存取控制。
檢查並記錄所有流量。否則,攻擊者要進入公司的網路可能相當簡單。
這些原則在企業網路中可能可以直接實作,但如何應用在雲端呢?您可以將相同的概念套用在雲端,透過安全閘道進行安全的最低權限存苃。然而,實作閘道顯然不足以實現雲端零信賴。您的實作必須檢查所有應用程式的所有流量,否則就無法真正提供零信任。
為什麼公司在雲端環境中需要零信任?
在企業網路中實作零信任的前提是組織本身必須控制網路。它可建立可放置邊界的位置,並執行存取控制,以保護敏感應用程式 (例如內部部署資料中心內的應用程式) 免遭未經授權的存取和橫向移動。
如今,將應用程式託管在雲端而非資料中心,往往更具成本效益。1 這些由雲端服務供應商和 SaaS 廠商所經營的雲端環境,並非組織網路的一部份,因此不適用相同類型的網路控制。
因此,大多數公司:
應用程式和資料分散在多個地點。
正在失去洞察力:
誰在存取他們的應用程式和資料,甚至使用何種裝置來存取這些應用程式和資料 (例如智慧型手機、平板電腦、筆記型電腦等),因為他們大部分的資產都在第三方基礎架構上。
如何使用和共用資料。
為了解決這些問題,公司通常會根據資產所在位置,使用各種存取技術。大多數公司混合使用:
地點 |
存取所使用的技術 |
內部部署的資料中心 |
遠端存取 VPN |
私人雲端應用 (資料中心、混合雲端) |
軟體定義的周界 |
公共雲端 |
入站 Proxy 或虛擬化防火牆 |
SaaS 應用程式 |
CASB 代理 |
這種技術的混合創造了一個零散的安全架構,在此架構中很難確定有哪些政策可以保護雲端中的任何特定資料。雲端環境與傳統網路根本不同,而且不斷地改變,這意味著公司的安全性方法必須是全面的且適應性強才行。
正因如此,目前每 10 位網路安全專業人員中,就有 9 位關心雲端安全。他們表示前三大挑戰為:防止資料遺失與洩漏 (67%)、資料隱私受到威脅 (61%) 以及違反機密 (53%)。他們也在安全控制問題上掙扎,例如取得基礎架構安全的能見度 (43%)、合規性 (38%) 以及跨雲端和內部部署環境建立一致的安全政策 (35%)2。
因此,若要取得成功,公司必須建立單一、統一的安全架構,以便:
讓使用者安全地存取公司在公共雲端、SaaS 應用程式和私人雲端/資料中心的應用程式和資料。
控制並限制誰可以存取這些資產,以及如何使用這些資產。
持續檢查流量並執行安全政策。
隨著組織遷移至雲端,將「零信賴」納入 新雲端基礎架構 的設計非常重要。以下是一些關於如何開始的想法。
如何使用五步方法論實作雲端零信任
在開始之前,先定義貴公司在 雲端實作 「零信任」 的目標,以及您所期望的業務成果是非常重要的。
步驟 1:辨識貴公司擁有何種類型的應用程式 (例如:公用、私人、SaaS 等) 和資料 (例如:機密、敏感、不重要),它們在何處,以及誰在存取和使用它們。然後,定義您的保護面:對您的業務最關鍵的資料、應用程式、資產和服務。
步驟 2:映射交易流程(即您的應用程式實際如何運作)。
步驟 3:建構新的雲端基礎架構,並建立使用者與應用程式之間的界線。
步驟 4:根據哪些人應該存取哪些內容來制定公司的零信任政策,並根據最低權限存苃原則執行上下文存取控制。教育使用者有關公司的安全政策,以及當他們存取和使用雲端中公司的應用程式和資料時,對他們的期望。
步驟 5:監控並維護您的零信任環境。這表示要不斷地檢查和記錄所有流量,以辨識異常活動,並決定如何讓政策更安全。透過主動監控,您的保護面可以成長,讓您可以對架構進行變更,進一步加強安全性。
在雲端環境中應用零信任的提示
讓維護雲端「零信賴」變得更容易:
使用雲端提供的安全措施,在雲端實作零信任。
無論使用者身在何處、想以何種方式連線或使用何種應用程式,都能為他們提供安全、一致且無縫的體驗。否則,如果每當他們在新的地點工作或使用不同的應用程式時,使用者體驗太複雜或需要太大的變更,他們就不會接受。
根據情境限制使用者存取,以減少攻擊面。
優點
為雲端部署 Zero Trust 的一些優點包括: 1:
更佳的資料、資產及風險可視性。
一致且全面的安全性。
速度與靈活性,領先不斷演進的技術。
降低營運成本和複雜性。
更多「零信賴」文章:
