過去在討論零信任架構,一般都聚焦在客戶端將內部網路建構強大的邊界並集中驗證使用者身份,只防範外部的連線存取,忽略了更大的應用與API的安全架構。隨著微服務、雲端和分散式部署的普及,邊界已經變得越來越模糊,沒有使用者、應用、網路、伺服器、服務或API是可信的思維下,零信任模型應運而生。
全球市場今年仍處於新一波經濟不確定性,在此同時,台灣也受到地緣政治衝突引發的一連串網路攻擊,引發網路安全下一波的革命。近二十年來,業界一直在談論零信任架構的導入,城堡和護城河架構的思維已經一去不復返了,從混合雲發展到多雲、多應用、用戶遍布全球;而BYOD、雲端和遠端工作者的激增,帶來的傳統架構和網路邊界也早已不復存在。
面對接二連三的災難性安全漏洞和勒索軟體攻擊,2021年5月,拜登政府頒布一項行政命令,要求改進美國的安全技術,並特別呼籲建構零信任(Zero Trust,即ZT)安全模型。同年8月,美國國家標準與技術研究院(NIST)發佈了一份白皮書,其中詳細定義了零信任架構(ZTA),並探討了零信任可以改善企業整體資訊技術安全態勢的部署模型和案例。
零信任架構成為支援對主要業務應用和資料的全天候存取的安全策略,可以幫助企業發展得更快、更安全,其消除了定義範圍內的可信任網路的想法,也就是假設攻擊者已經在網路裡並隱藏在其中,因此用戶存取必須使用最低權限的授權並儘可能地仔細檢查它。
為了實現零信任,企業必須遵守以下三個原則:永遠不要相信、始終驗證以及持續監控。過去在討論零信任架構,一般都聚焦在客戶端將內部網路建構強大的邊界並集中驗證使用者身份,只防範外部的連線存取,忽略了更大的應用與API的安全架構。隨著微服務、雲端和分散式部署的普及,邊界已經變得越來越模糊,沒有使用者、應用、網路、伺服器、服務或API是可信的思維下,零信任模型應運而生。在零信任模型中,所有存取都透過指定的代理進行傳輸,該代理對所有各方進行身份驗證並根據安全策略給予許可權與持續監控。
F5認為要保護零信任架構中的四個關鍵控制點,必須具備強大的應用安全機制組合
其必須包含:
● 應用與API的端點驗證:為所有應用提供現代化身份驗證機制。
● 網路基礎設施:透過應用基礎設施安全解決方案來保護網路。
● 應用層安全(無論應用是在雲端、本地、基於SaaS還是完全託管):在應用或周邊提供強大安全性並對第4層到第7層應用提供保護。
● 第三方身份驗證機制:將值得信賴的身份驗證機制解決方案與身份即服務(IDaaS)供應商整合,讓企業無論基於雲端、SaaS以及關鍵任務,都能提供統一、安全的存取體驗。
隨著微服務、雲端和分散式部署的普及發展以及持續的網路安全威脅,持續引用零信任架構勢在必行,唯有完整涵蓋地端自建架構與多雲微服務架構,才能在著眼內部使用者的安全存取安全外,強化更完整應用與API的安全架構。
零信任是一個持續的旅程,應用安全的專業與完整的方案可滿足企業關鍵應用的零信任部署策略,並提供即服務或完全託管的服務,為零信任模型架構奠定正確的基礎。