FineArt News

資安新知

數據存取為中心的零信任架構

零信任是Forrester的Kindervag在2010年創造的概念。大約在2017年,Gartner另一位分析師正在運作一個相關但不同的想法:持續自適應風險和信任評估(continuous adaptive risk and trust assessment : CARTA)。CARTA的設計目的與Kindervag的零信任相吻合,使用明確驗證的為信任要求,取代網路設備天生對信任區域的隱含(implicit)承認。

Steve Riley是Gartner從事這方面領域的分析師之一。大約在雲端安全聯盟(CSA)和谷歌BeyondCorp創建的“軟體定義邊界”出現的時候。這些與Gartner在「持續自適應信任」方面的工作有相似之處,而”零”只是一個開端。到2019年, Steve Riley 準備撰寫一份關於CARTA的Gartner市場報告,但他說服了同事,認為零信任網路存取(ZTNA),將是一個更容易被識別的主題標題,於是乎零信任和網路安全就深烙在業界。持平地說,Riley更希望使用零信任應用程式訪問(ZTAA)。

在早期階段,零信任主要關注身份驗證和存取授權管理。現在組織越來越意識到數據保護的重要性,許多組織正在轉向安全訪問服務邊緣 (SASE),通過整合雲端服務處理對應用程式、網路和設備的存取(進出)。但機構還仍然必須知道在網路內部發生了什麼,誰在使用數據以及如何使用數據。這不僅意味著要實施類似DLP和相關工具,還要整合像是證據保全、行為分析領域。

然而,以數據為中心的零信任方法,為基於網路身分驗證的傳統規則,提供了一種替代方案。其框架是圍繞數據存取安全方案構建,可構成數據使用的即時可見性,以更好地保護核心數據。儘管零信任可以應用於其他領域,例如零信任電子郵件存取(ZTEA)或零信任數據存取(ZTDA),但這可能是未來的事情,在這裡我們專注於ZTNA/ZTAA。在Riley的定義中,它包括持續自適應風險和持續信任評估的想法,作為一種兼顧可用性的折衷方案,在不影響可用性的情況下提供最大可能的安全性。

 

實現以數據為中心的安全性

在基礎層面上,以數據為中心的安全性是關乎收集有關用戶、數據和應用程序之間關係的活動訊息。這意味著必須了解網路和雲端的數據敏感度級別,以及用戶存取權限和存取活動。這些訊息可以協助採用最小特權原則的決策,並持續監控用戶與關鍵數據資產之間的交互作用,從而更容易識別繞過預防控制的惡意內部人員和外部駭客。

使用者不論用何種方式使用數據,這中間的工具媒介,必然是設備與應用程式。X-FORT端點外洩防護在端點的上應用於幾個面向:

零信任端點設備 
  • 組織內部的端點用戶相互之間存取,不再是以往的預設(implicit) 信任。消除傳統的網路安全預設信任區(zone),每一個端點對於其他端點都是零信任存取,直到驗證後被授予最小存取權限,這作法不依賴網路也能達到microsegment。
  • 端點為最有效的政策落實點(PEP),唯有在端點上直接部署控制軟體,才可以有效控制與監視,強制落實組織資安政策。
零信任應用程式存取
  • 應用程式白名單(Application Whitelisting, AWL)是一種端點上應用程式安全策略,預設拒絕其他所有程序,只允許經過驗證和授權允許的應用程式在端點上執行。而傳統黑名單的方案,使用已知惡意檔案的列表,阻止執行終結其行程。AWL則不需要窮舉不斷變化的惡意程式特徵。利用白名單即時應用程式執行控制,可有效阻止未知型的惡意程式(例如勒索軟體)未經授權存取。
  • 即便是在同一作業環境內,應用程式存取資料夾及檔案,依據最小可完成工作權限原則,未獲授權則應視為非信任。其他未知的程序存取就會被阻擋,該程序也會被鎖定終止,防止資料夾中檔案被無故異動。
零信任裝置存取
  • 端點可連接的裝置控管,包含儲存裝置(不論內外接)、外接網卡、Peer 2 Peer 連接、IrDA、藍牙傳輸等,個別單獨控制,防範外洩或被入侵擴散。
  • 硬體裝置白名單鎖定,將初始化時的裝置配備鎖定,列為白名單。未來不論是人員連接,或惡意程式產生的軟體裝置,都一律阻擋,除非獲得系統管理者授權。
零信任網路存取
  • 端點存取外部網路或內部網路資源,包括網站瀏覽,內部網路分享,檔案傳輸服務等,採取控制與限制存取。
持續監視與風險評估
  • 驗證後獲得授權存取,並不代表永遠有效,風險永遠不變。連線存取的信任度會因為主客觀環境變化而降低。已核准授權的應用程式獲准可以執行,並不代表可以為所欲為,應用程式存取資源也會受到監控。存取時間,目的地變更等,對應變化自動調整政策。

 

真正的零信任方法並不止於信任與授權存取,組織還必須制定全面的數據管理策略(即靜態加密和傳輸中的數據)以及數據外洩預防(監視、分析和控制數據,無論是使用中、傳輸中還是靜態)策略。搭配數據外洩防護 (DLP) 工具於端點系統,用於監視使用者在與資料存取時執行的互動操作,保留有效記錄。後續不但可以利用調查分析工具追蹤數據流向,還可以進一步分析使使用者行為特徵,甚至於預測意圖。