在數位化和雲端轉型快速推進的今天,企業網路安全面臨前所未有的挑戰。傳統的安全邊界正變得模糊,內外部威脅層出不窮,攻擊者手法日益複雜。CIO或CISO需要一個能夠適應這些變化並提供持續保護的安全架構。
以「永不信任,始終驗證」為核心理念的網路安全策略,無論是內部還是外部的用戶和設備都需要經過嚴格的身分驗證和權限控制才能存取資源。傳統基於邊界的安全措施已難以應對新型的攻擊手法,如加密、暴力破解和潛伏攻擊等。攻擊者可以在企業內長期進行滲透和資料竊取,而縱深防禦雖能對外來攻擊進行防禦,但無法有效應對內部威脅和動態變化的網路環境,對於未知威脅和零時差攻擊效果有限。零信任架構則讓企業可以有效在橫向平面建立如同蜘蛛網般的內部防護網,及時發現和應對異常事件,企業需要採取更有效的網路安全管理方案,以應對當前的挑戰並保護企業價值。
在開始導入零信任架構前,企業必須先部署基礎網路設施,確保在實踐零信任的過程中,各種方案能夠發揮最大功效。透過網路微切分的方式,可以讓企業重新定義有效的防護邊界,以阻止橫向移動並限制侵害的爆發範圍來應對各種攻擊風險。
零信任之父John Kindervag建議企業在導入零信任過程可以依據5個步驟有助於企業執行導入部署零信任規劃:
一、建立保護面:企業的高價值資產(HVA)都具有獨特地位,依據Data、Assets、Applications、Service(DAAS-資料、資產、應用程式、服務)等四大面向的重要性和敏感性劃分不同的等級。
二、繪製流量地圖:利用工具將企業的保護面繪製成流量地圖,能夠清晰地呈現各個保護面之間的溝通的狀態和關係。這有助於企業全面了解資產間的相互影響、連接情形、易受攻擊的位置,發現潛在的風險點和弱點。
三、建構環境:透過已繪製出來的保護面流量區分、建構零信任的環境,分出建構零信任環境的優先次序。這包括根據資產的重要性和流量的特徵,確定優先建立的保護區域,並逐步構建完整的零信任架構。
四、建立政策:依據建構出來的環境分階段逐步建立有效的零信任策略,讓零信任政策實踐於企業之中,此為建立零信任政策是實現零信任架構的重要步驟。
五、監控維護:零信任是一個持續與動態調整的過程,透過持續性的監控與動態政策的管理,定期檢測環境中的安全狀態,發現潛在威脅並及時應對,根據實際情況調整策略和執行方針,讓零信任在企業中運行能夠更具有高效彈性,隨時處於零信任保護狀態。
<本文作者:李佳凌現為叡揚資訊資安直屬事業處副處長>