市場趨勢
如何實施零信任安全
擁抱零信任-快速降低企業資安風險
報告類型
發布日期
2024/12/6
隨著近年來上雲趨勢的持續發展,零信任架構(Zero Trust)逐漸成為熱議的話題,各國政府機關相繼呼籲企業落實此架構。然而,當企業嘗試尋找零信任解決方案時,可能會因市面上眾多品牌趁著熱度搭上話題,標榜透過自家產品就能達成「零信任」而感到困惑。其實零信任是一種專注於保護企業資產的戰略理念,涵蓋資安技術、策略與程序。在規劃實踐零信任時,應跳脫單純產品導向的框架。
網路邊界逐漸模糊,如何守護企業關鍵資產?
在雲服務、遠距工作等趨勢的影響下,企業「內部」與「外部」邊界日益模糊。
隨著數位轉型盛行,使用者逐漸移往外部網路,企業的資產也可能分散存放於外部雲端,傳統邊界防護架構愈加無力。企業資源有限,與其試圖尋找攻擊者,將焦點轉向企業資產更為重要。無論是內部或外部,任何嘗試接觸或存取企業資產的系統、用戶或設備,都不應被預設信任,而這一理念正是零信任的基礎。
在零信任架構下,所有欲存取企業資產的主體需通過多層驗證,涵蓋身分鑑別、設備鑑別、信任推斷、使用者位置與行為等要素,並依據一致的動態政策決定是否允許存取,且僅授與所需的最小權限。由於這些驗證資訊會隨時間變化,因此並非通過驗證就可長期信任,而是要「永不信任,持續驗證」。一旦發現異常行為,應立即切斷或限縮存取權限,將風險降至最低。
圖1. 零信任簡易圖解
減少攻擊面,迅速降低風險
「零信任」被視為現代網路安全的核心框架之一,但企業該如何逐步實踐零信任呢?
駭客不會等待受害者完成準備,而規模越大的公司,找出所有重要資產的挑戰也越大。因此,您可以優先著手減少威脅進入的途徑,即降低「攻擊面」。首先可以先建立一個安全且唯一的資源存取管道,從落實身分驗證與存取控制開始,例如採用多因素驗證(MFA)、零信任存取(ZTNA)等控制措施。這不僅能強化認證使用者身分、持續關注使用者行為,還能有效防範駭客在企業資源之間的橫向移動。此舉能夠迅速降低資安風險,為企業搭建初步的零信任安全架構。
在此基礎上,可進一步建立一套基於風險的動態存取控制策略,以實現零信任的核心原則「永不信任,持續驗證」。該策略應結合多重資訊(如身分鑑別、設備鑑別、信任推斷等),動態判斷存取權限,並確保以最小權限原則進行授權。
隨著基礎防護的完善,企業需對資產進行持續的分級與分類,針對最關鍵的資產提供額外的安全措施,例如為不同等級的資產採用適當的資料保護策略,例如網路分割或為不同資料套用不同DLP規則,即所謂的「強化保護面」。透過層級式保護方式可以在企業有限的資源內達到最大風險降低效果。
圖2. 實踐零信任架構三要點
直接購買資安產品並不足以落實零信任架構,而是需要經過長期的評估、調整、改進及建立自動化的流程,並隨著環境變化不斷優化。如您正在探索如何為企業落實零信任,歡迎洽詢具備豐富資安系統建置經驗的大鈞科技,讓我們一同規畫最適合您公司的零信任架構。
我想了解......
我想了解如何應對新興資安挑戰,請業務提供相關資料或安排拜訪。