零信任架構近來正被熱烈討論,百家爭鳴,各種存取階段都可以應用上。有的是強調身分驗證方案,有的是網路存取安全,有的是資料外洩防護。但不論如何最終保護的是”數據”。
回顧最早定義,零信任是一種安全框架,要求所有使用者,無論位於組織網路內部或外部,在存取應用程式和數據之前進行身分驗證、授權和持續驗證。隨著從世界各地的家庭和異地辦公的混合分散式勞動興起,使用者通常不會使用固定的網路存取數據或應用程式。而且,越來越多的應用程式和數據基於 SaaS運作,或者也不屬於特定網路邊界內,因此需要不同的安全模型。
資料存取可見性是有效管理網路安全風險的第一步,此原則涵蓋所有領域的風險。如果無法追蹤整個組織中非結構化數據(如檔案)的存取,我們就不能期望安全專業人員能夠準確評估和降低風險。然而隨著遠端工作、自帶設備 (BYOD),和在雲端存取數據的興起,企圖瞭解數據的內容所在變得越來越具挑戰性;更不用說它存在哪裡或誰在訪問它。
邊境安全保護和過去的做法
以前的標準做法是築起高牆,防守組織的邊界以阻止可能的威脅入侵。這樣的範圍包括使用者在該防護邊境內活動,並且數據也在這些使用者的受管理的設備上時才有效。這種架構也被稱為FENCE,Firewall, Edge, Network, Control, Endpoint,就像將你的貴重珠寶富在保險箱內保存一樣。非結構化數據,如檔案從未離開公司設備,而設備也永遠不會離開公司網路,則組織只需防止攻擊者進入網路存取。等於默認內部的任何個體(entities)都是信任的。當我們與數據存取互動方式改變時,就需要改變保護數據的方式。
數據保護與存取控制交集的一個解決方案是數據洩露防護 (DLP)。DLP也是管理規則架構,並非僅是一種產品。有效的 DLP 需要投入大量時間才能正確設置策略,並且需要時時修正。此外,如果沒有考慮所有邊界或外洩管道,則無法有效地保護在組織流動的數據。使用 DLP 作為數據保護的第一道防線,意味著當數據走出門外時,才有第一次被發現數據洩露的機會。
零信任資料存取結合DLP
數據保護策略通常側重於連接進入組織的特徵偵測。例如掃描傳入流量以查找漏洞或惡意內容。同樣,策略將驗證使用者的身分,並可能檢查連接設備的安全狀況。這些都是很好的防護角度,但只看到了一半故事。我們還需要確切的知道他們正在連接什麼。
將 ZTDA 與DLP數據偵測相結合,對非結構化的文件檔案的使用帶來動態感知,以便組織確切的知道誰訪問了什麼、在哪裡以及何時存取。ZTDA 不是天生默認相信,僅僅是因為檔案在某人的端點上就應該允許存取該數據,而是首先驗證使用者,然後依照存取行為判斷信任。
Context是使用者所做的一切行為與存取標的物件的組合,一定的條件之下幫助決策的重要因素。想像一下,一個壽險代表將含有個資的檔案寄到外部收件人,是一種外洩個資的資安事件嗎? 相信大多數人都理解,他可能是正常的業務活動。而個體活動內容的訊息組合提供了決策所需的情境。這可以說是零信任數據存取最重要的部分。當數據位於應用程式或資料庫中時,通常有一條控制良好的數據路徑。但是,一旦數據在用戶的端點設備上,就有無數種方法可以共用分享或修改它。檔案可以重命名、複製/貼上、另存為新檔案格式、轉換圖檔、上傳到雲、加密壓縮、通過聊天軟體或其他應用程式分享共用。
添加以數據為中心的控制,不僅組織可以了其敏感數據的位置,還可以讓他們控制使用方式。從零信任的角度來看,這應該是相對直觀的 ,僅允許使用者存取數據,並不意味著應該盲目信任其任意的處理數據。
零信任最具挑戰性的方面之一是它迫使我們尋找盲點。組織忽略以數據為中心的控制是很自然的,因為在過去是不可能的。資訊安全保護方面的新技術進展,使組織能夠瞭解其環境中,數據的歷史記錄和使用情境。而在以後的零信任體系結構中發揮關鍵作用。為了確保數據安全,安全團隊必須準備好隨時隨的跟蹤數據。