漫談企業資訊化安全 - 零信任架構

一、引言

《萬物簡史》的作者比爾·布來森說，當他小的時候學科學的時候，好像這些科學家們都是有一種本領，把科學總是以一種讓人看不懂的方式說得神乎其神，好像有藏著什麼不可告人的秘密。因此，想要寫一本讓大家都能看得懂的書，讓大家瞭解世界是怎麼運作的。

在資訊科技領域也是一樣，我們會看到很多新的名詞、各種專有名詞的因為縮寫，聽起來是那麼地高大上。實際上，我們追本溯源，就能瞭解事情的真相。在這一篇文章中，我們就來介紹什麼是零信任，為什麼會有人提出零信任這樣的需求，它能為我們解決什麼問題，您的企業是否需要實施零信任等等基本問題。

二、零信任的精髓

創新都是需求驅動的，在資訊保安上也同樣如此。以前我們提到安全，很多時候只限於在電腦上安裝防毒軟體，在公司網路上安裝上防火牆，就基本上沒有問題了，可是為什麼現在資訊保安問題就變得更復雜了呢？這是因為隨著各種需求的湧現，讓企業的IT基礎架構變得越來越複雜，如何應對與之伴生的安全威脅也變得越來越嚴峻，因此需要有更新的技術在解決資訊保安問題。

在下圖中，描述了很多現代企業資訊化的一些需求：

1. 移動辦公/BYOD，隨著移動網際網路的快速發展、以及社會環境的影響，越來越來的企業面臨居家辦公、移動辦公等混合辦公模式、使用者使用自帶裝置接入企業服務的情形，在這種情況下，如果確保移動辦公、BYOD的資訊保安是其中一個需求

2. 遠端辦公/分支機構，這個和移動辦公類似

3. 供應商/第三方訪問，為了提升企業工作效率，企業可能需要與供應商/第三方協作，在協作過程中，如何確保資訊保安？

4. 雲服務及構建在公有云上的私有化服務，SaaS/PaaS/IaaS等以雲服務形式提供的資訊基礎架構雖然簡化了企業服務的部署，但是這些服務都是部署在Internet網路上，如何確保這些雲服務訪問的安全？

5. 本地應用和構建在本地的私有化應用，這些應用如何為各種使用者提供訪問，並確保安全？

6. 身份驗證，企業中要各種各樣的系統和服務，也會有各種各樣的身份驗證，如何對身份驗證進行更行之有效的管控？

傳統上，IT 行業依賴 外圍安全策略 來保護其最有價值的資源，如使用者資料和智慧財產權。 這些安全策略涉及使用防火牆和其他基於網路的工具來檢查和驗證進出網路的使用者。 然而，數字化轉型和混合雲基礎結構遷移之旅正在改變各個行業開展業務的方式。 依賴網路外圍已不再足夠。

零信任是一種用於保護組織的安全模型，它的理念是預設不信任任何人員或裝置，即使人員或裝置已經位於組織的網路內也是如此。零信任方法在整個網路中（而不僅僅是在可信邊界上）強制執行嚴格的身份驗證和授權，以消除隱式信任。在此模型中，每個訪問資源的請求都被視為來自不受信任的網路，系統會對其進行檢查、身份驗證和核實。

說到資訊保安，不管是傳統的安全模型，還是零信任安全模型，它關注的是兩個核心問題：

1. 資料傳輸過程中安全（Data at Transition)，即資料以各種方式流動過程中的安全

2. 資料儲存的安全（Data at Rest)，即資料靜態儲存中的安全

只是傳統的安全模型，在新的資訊架構下，已不能滿足資訊保安要求，因此要用新的安全模型來進一步增強資訊保安。

三、零信任的典型架構

零信任並不是一個產品的名字，而是一種安全模型和理念。零信任理念最早由福布斯（Forrester）研究公司的分析師約翰·肯納（John Kindervag）於2010年提出。

而後，美國的國家標準與技術研究院（NIST）釋出了關於零信任架構的標準SP 800-207，在SP 800-207標準中，零信任架構的如下：

上圖中，各元件的含義如下：

1）策略引擎（Policy Engine）：此元件負責最終決定是否授予特定主體對資源的訪問許可權。

2）策略管理員（Policy Adaministrator）：此元件負責建立和/或關閉主體與資源之間的通訊路徑（透過向相關的策略執行點（PEP）傳送指令）。

3）策略執行點（Policy Enforcement Point）：此係統負責啟用、監控並最終終止主體與企業資源之間的連線。PEP與策略管理員（PA）進行通訊，以轉發請求和/或接收來自PA的策略更新。

4）持續診斷與緩解（CDM）系統：該系統收集有關企業資產當前狀態的資訊，並對配置和軟體元件應用更新。

5）行業合規系統：此係統確保企業遵守其所適用的任何監管制度（例如，FISMA、醫療或金融行業的資訊保安要求）。

6）威脅情報饋送：此係統提供來自內部或外部來源的資訊，幫助策略引擎做出訪問決策。

7）網路和系統活動日誌：該企業系統彙總資產日誌、網路流量、資源訪問操作以及其他事件，提供有關企業資訊系統安全狀況的實時（或接近實時）反饋。

8）資料訪問策略：這些是關於訪問企業資源的屬性、規則和政策。

9）企業公鑰基礎設施（PKI）：該系統負責生成並記錄企業頒發給資源、主體、服務和應用程式的證書。

10）身份管理系統：負責建立、儲存和管理企業使用者賬戶和身份記錄（例如，輕量級目錄訪問協議（LDAP）伺服器）。

11）安全資訊與事件管理（SIEM）系統：負責收集安全相關的資訊以供後續分析。

四、零信任能幫助使用者解決的問題

零信任是一種理念，在實施零信任安全架構時，可以從下面的一些關鍵原則入手：

1. 不信任： 不信任內部或外部網路，將所有使用者、裝置和應用程式視為潛在的威脅，需要進行適當的驗證和授權才能訪問資源。

2. 嚴格訪問控制： 採用最小特權原則，對資源的訪問許可權進行精確控制，只授權使用者訪問其所需的資源和服務。

3. 持續身份驗證： 不僅在使用者登入時進行身份驗證，還需要在使用者會話期間持續監控和驗證其身份、裝置狀態和行為。

4. 全面可見性： 實現對網路、使用者和資料活動的全面可見性，以及對安全事件和威脅的及時檢測、響應和調查。

5. 零信任架構： 透過構建多層次的安全防禦和控制來實現零信任策略，包括網路分割、加密、多因素身份驗證等技術手段。

這些原則共同構成了零信任安全模型的基礎，旨在提高網路安全性並降低潛在的安全風險。

透過實施零信任安全架構，可以幫助使用者解決如下的一些問題：

1. 提高資料安全性： 透過嚴格的訪問控制和持續身份驗證，防止未經授權的使用者或裝置訪問敏感資料，從而提高資料安全性。

2. 減少內部和外部威脅： 不信任網路內的任何使用者或裝置，即使是已經透過認證的使用者，也需要經過持續的身份驗證和訪問控制，從而降低內部和外部威脅的風險。

3. 提高網路可見性： 透過實時監控和記錄使用者和裝置的活動，實現對網路活動的全面可見性，及時發現和應對潛在的安全威脅。

4. 簡化安全管理： 零信任安全架構將安全策略集中在使用者和資源的訪問控制上，簡化了安全管理和策略執行，降低了管理成本和複雜性。

5. 加強合規性： 透過嚴格的訪問控制和持續身份驗證，確保企業網路符合法規和行業標準的安全要求，提高了合規性。

6. 增強移動和遠端工作安全性： 零信任安全架構不依賴於傳統的邊界防禦，使得遠端使用者和移動裝置也能夠獲得與本地使用者相同的安全保護，增強了移動和遠端工作的安全性。

五、你需要零信任相關的產品嗎？

我們先來看看誰不需要零信任產品，或者說不值得實施零信任相關產品，而可以改用其他替代方案的場景：

1. 小型組織或個人使用者： 對於規模較小的組織或個人使用者來說，可能沒有足夠的資源或需要來實施複雜的零信任安全框架，因此可能會選擇更簡單、成本更低的安全解決方案。

2. 特定場景下的低風險環境： 對於一些低風險的特定場景，如非敏感性資料的公共資訊網站、臨時性專案等，可能不需要投入大量資源來實施零信任安全策略。

3. 傳統網路邊界仍然有效的環境： 如果某些組織的傳統網路邊界安全措施已經足夠有效，能夠有效防禦內部和外部威脅，那麼可能不需要立即轉向零信任模型。

4. 臨時性或短期專案： 對於一些臨時性或短期性的專案，可能不值得為其實施複雜的零信任安全框架，而是可以採取一些簡單、快速的安全措施來滿足專案的安全需求。

5. 不涉及敏感資料的環境： 對於一些不涉及敏感資料的環境，如公共資訊網站、演示系統等，可能不需要採取嚴格的零信任安全措施。

除開這些不需要轉向零信任方案的場景，其他場景是建議考慮逐步轉向零信任方案，分步驟實施零信任模型中的關鍵特性，最終讓企業的資訊保安能夠上升到一個新的臺階。

六、相關的一些名詞解釋

在討論零信任話題時，其實會經常出現一些名詞，這些名詞和零信任都或多或少有關聯，在此，對這些名詞及其含義做一些羅列：

1. ZTNA（Zero Trust Network Access）/零信任網路訪問： 相比於零信任架構（ZTA）是一種安全架構而言，零信任網路訪問（ZTNA）是一種具體的安全解決方案，即它是具體的一種產品，ZTNA基於嚴格的身份驗證和持續的安全評估，不依賴傳統的網路邊界。ZTNA可以被看作是Z他的一部分或一種實現形式。ZTNA專注於提供對特定應用和資源的安全訪問，而ZTA則是一個更廣泛的框架，涵蓋了整個IT環境中的零信任原則。它提供了比傳統VPN更細緻的網路訪問控制：

   1. 細粒度訪問控制： 僅授予使用者訪問特定應用或資源的許可權，而不是整個網路。

   2. 動態身份驗證： 使用多因素身份驗證（MFA）和持續監控來驗證使用者身份。

   3. 加密通訊： 確保所有訪問流量在傳輸過程中是加密的，防止資料洩露。

2. SDP（Software Defined Perimeter）/軟體定義邊界：SDP是一種網路安全框架，旨在提供安全、隱私和訪問控制，透過建立一種透明的、動態的連線模型，將使用者和裝置與應用程式之間的連線限制在一個隱形的、不可見的網路邊界之內。SDP的目標是透過動態生成的邊界實現更加精細的訪問控制和安全性。

3. SSO、IdP、IdB:

   1. SSO (Single Sign On）/單點登入：使用統一身份登入多個服務的使用者登入方式

   2. IdP (Identity Provider）/身份提供者：IdP是負責管理和驗證使用者身份的服務或系統。IdP通常支援多種身份驗證和授權協議，如SAML（安全斷言標記語言）、OAuth、OpenID Connect等，以與各種應用程式和服務整合。

   3. IdB（Identity Broker）/身份代理：用於管理和整合多個身份驗證和授權系統，以提供統一的使用者身份認證和訪問控制。

4. PAM（Privileged Access Management）/特權訪問管理：是一種網路安全領域的解決方案，專注於管理和監控對於系統、網路和資料等關鍵資源的特權訪問。PAM系統旨在確保只有經過授權的使用者可以訪問特權賬號和敏感資料，同時提供審計和監控功能，以減少濫用特權訪問所帶來的風險。通俗的說法就是對於那些具有特權的賬號如何進行使用和管理，譬如Linux的Root賬號、Windows的Administrator賬號，因為特權賬號對於企業裡的關鍵資料有更高的訪問許可權。

5. SWG（Secure Web Gateway）/安全Web閘道器：是一種網路安全解決方案，用於保護組織網路免受惡意網路流量和網路攻擊的影響。安全閘道器位於組織的網路邊界，監視和過濾進出網路的流量，以確保網路安全和資料保護。

6. DLP（Data Loss Prevention）/資料丟失防護：DLP是指資料丟失防護（Data Loss Prevention），是一種資訊保安策略和技術，旨在防止敏感資料在未經授權的情況下被訪問、使用、傳輸或洩露。DLP解決方案透過監控和控制資料流動，保護企業和組織的機密資訊和敏感資料，如客戶資訊、財務資料、智慧財產權等。

7. EDR（Endpoint Detection and Response）/終端檢測與響應：是一種專注於監控、檢測和響應端點裝置（如計算機、伺服器、移動裝置等）上的安全威脅的網路安全解決方案。EDR系統旨在提供對端點裝置的可見性，幫助安全團隊迅速識別、調查和響應各種安全事件。

8. TPA（Third Party Access）/第三方訪問：是指允許外部實體（如合作伙伴、供應商、承包商、服務提供商或外部使用者）訪問企業內部系統、應用程式或資料的許可權和策略。管理和控制第三方訪問是確保網路安全和資料保護的重要方面。

9. SASE（Secure Access Service Edge）/安全訪問服務邊界：是一種網路架構模型，結合了網路和安全服務，以提供統一的雲原生服務。SASE由Gartner在2019年首次提出，旨在應對現代企業對靈活、安全和高效的網路訪問需求。SASE透過將廣域網（WAN）功能與網路安全功能整合到一個雲服務框架中，為分散式企業提供一致的安全訪問。

10. UEM（Unified Endpoint Management）/統一終端管理：UEM用於管理和保護企業中的所有端點裝置，包括桌面計算機、膝上型電腦、智慧手機、平板電腦、物聯網（IoT）裝置等。UEM整合了多個裝置管理技術，如移動裝置管理（MDM）、移動應用管理（MAM）和傳統的客戶端管理工具，以提供統一的管理平臺和策略。