零信任(Zero Trust)無所不在。它是工業行業的出版刊物和活動的探討話題,也是董事會會議商談的主題,更是CISO、CIO甚至總裁懷抱的思維。
何謂零信任,以及為何如此重要?
零信任本身並非網路安全解決方案,但推動零信任架構可協助減災並最終減少對您組織造成的網路安全攻擊,大幅降低營運及財務風險。
何謂零信任?
零信任安全模式所蘊含的概念,簡單來說就是不論組織網路內外部的所有對象,都應默認為不予信任。此模式要求使用者、其裝置、網路組成甚而所有具備聲稱身分的封包,都應在持續受到監控與驗證的條件下才能存取該組織環境,特別是最至關重要的資產。
此概念與以往「信任所屬區域內任何對象」的做法截然相反,這種做法是過去幾年來許多IT歸屬的運作模式。如今零信任採取「只有在可多重驗證的條件下才予信任」的方針來保障安全。
如何打造零信任架構?
若您正考慮在組織推動零信任模式,並想更了解如何開始,可參考下述由零信任創建者John Kindervag列舉的五個實用步驟。
步驟1:定義保護面
大部分的組織都了解攻擊面的概念,其包含惡意行動者為了試圖破壞組織,而可能嘗試存取的每個潛在進入點。
保護面則有所不同。保護面囊括了對於事業重要性的考量下,貴組織想要特別保護的資料、實體設備、網路、應用程式與其他關鍵資產。
為何要採取保護面方針,而非檢視整個攻擊面?Kindervag簡述如下:「保護面會轉而為可解決的問題,有別於攻擊面,實際上是無法解決的問題。像是網際網路本身這麼大的問題要如何解決?」
關鍵在於優先識別出環境內需要保護的資產。敏感性最高的資料位在何處?什麼樣的營運技術對工廠和生產過程最為至關重要?從安全性與存取管理的觀點,表列出絕對有必要優先處理的資產,並排列出優先次序。
步驟2:描繪交易流程
識別出保護面以後,就能開始描繪其交易流程。
這包括檢視各類使用者可存取其資產的所有途徑,以及每個保護面如何與環境中所有其餘的系統互動。舉例來說,使用者也許只能在已進行多重要素驗證(MFA)並確認身分後才能存取終端服務,而且使用者只能在預定時間由預定處所登入,以及只做預定任務。
當保護面已識別且優先次序已排定,以及交易流程描繪後,就能開始建構零信任環境。從最高優先度的保護面開始,完成之後進行下一個。每一個已推動零信任架構的保護面,都是逐步奠定優質基礎,實現更強力的網路恢復力以及更低的風險。
步驟3:建構零信任環境
請銘記在心:沒有任何單一產品能夠交付整個零信任架構。零信任環境運用多種網路安全工具,舉凡從MFA和身分與存取管理(IAM)等存取控制,以至像是加密和權杖化(tokenization)等過程來保護敏感性資料之技術。
除了富含各種安全技術外,每個零信任架構大致上從建立智慧而詳細的分割與防火牆政策開始。採取這些政策之後,接著按照提出存取要求的個人、其所使用裝置、網路連線種類、提出要求當日的時間等屬性建立多種變體,逐步搭建環繞每個保護面的安全圍籬。
步驟4:建立零信任政策
此步驟針對攸關於存取控制和防火牆規定之活動和期望,訂立可加以管理的政策。
跳脫思考框架,也將這些新政策運用到組織內網。考量要在組織全體推動所需的教育訓練計畫,進而在員工、廠商和顧問之間推廣高強度安全實務。經常性的網路安全意識訓練已蔚為主流,係為幫助降低風險所不可或缺。
步驟5:網路監控與維護
Kindervag流程最後一個步驟,係驗證此零信任環境與其規範政策按照您預期方式運作,鑑別出缺口或待改善區域以及必要時的歷程修正。要達成此目標,需遴選出OT網路安全方面有深厚經驗和知識的可信賴MSSP夥伴,然後全面大規模部署安全措施。
立即展開零信任安全旅程
零信任安全代表著思維轉變與新的方針,最終目的將強化組織的安全狀態,進而降低高機密資料和生產系統遭有心份子不當使用的可能性。
準備好展開零信任部署?我們可提供協助。立即了解洛克威爾自動化可如何協助您打造與維護零信任架構 - 立刻聯絡洛克威爾自動化安排專家諮詢。
文章原始發表出處:CPO Magazine。
