隨著身分成為新的邊界,一個整體的身分安全戰略,對於零信任的基礎至關重要,包括確實地驗證每一個身分,給每一個身分適當的許可權,並以結構化的方式設置該特權身分可存取資產的範圍等等。
新冠疫情(COVID-19)徹底改變企業運作方式,同時也衝擊IT基礎架構和網路安全需求。由於「Work From Aanywhere」的普遍化,傳統邊界概念已經模糊不清,如今,身分就是新的邊界。
這種新的發展產生了許多網路安全相關的問題。其中,有很高比例的漏洞是起因於身分的洩露和特權憑據的濫用。特別是在多雲環境中,無論是遠端IT管理者還是遠端員工,在某些情況都可能可以擁有高權限,能隨意存取公司最寶貴的資產。例如2020年底爆發的SolarWinds供應鏈攻擊事件中,明顯看到身分的輕率使用和對於特權身分的擺弄,再次提醒人們特權身分未受監控的高度危險。
零信任已被普遍認可為一種可以有效大幅降低風險的安全模式。零信任的精神就是預設任何設備、應用程式或人員都不可信任。在這個框架中,在任何階段裡任何實體的任何動作都必須得到認證和授權。企業要落實這樣的零信任模式,身分安全儼然是核心基礎。
身分安全方案能協助企業維護個人身分安全,包括身分驗證,提供所需授權,並保障其對特權資產的存取。它是零信任的核心,因為可以協助企業授權員工和客戶從任何設備安全地存取應用程式和資源。一個普通的大型企業可能有成百上千的人類和非人類身分,其中絕大多數擁有需要被保護和控管的特權帳戶。企業越快掌握保護這些資產的方法就能越快降低新興網路威脅的風險,這使得特權存取集中管理成為必要的措施。
零信任其中一個基本面向是最小特權存取的概念,而基於身分的控管可以有效限制特權存取。例如,身分安全方案可以做到透過遠端身分閘道提供對企業內部應用程式的存取,同時評估諸如使用者是誰、設備的安全狀況、使用者活動的當前風險以及需要存取的系統或應用程式等因素。
最低許可權原則在多雲環境中也非常適用。例如,在許多資料洩露事件中,我們可以看到,透過竊取雲端資源的存取憑據,攻擊者可以在不被發現的情況下存取關鍵的工作負載,或者進一步提升他們的權限來竊取雲端託管的資料,破壞關鍵的應用程式,甚至迫使整個雲端部署斷線。
特權存取管理(PAM)解決方案可以協助找出並管理特權帳戶和憑據,以及隔離和補救跨環境的高風險活動。採用未加更改的預設密碼或寬鬆的提權是多雲環境中資料外洩的一些主要原因。PAM能屏除過多的雲端權限,同時提高整個雲環境中隱藏的、配置錯誤的和權限過高的可視性。
由於零信任策略的大部分要素都仰賴基於身分的安全解決方案(多因素認證、特權存取管理等),因此加強基於身分的存取控管必須成為企業的焦點方向,以有效控管並活用寶貴的企業資產。
<本文作者:謝文駿現為CyberArk北亞區總監>