為協助企業在多元的數位化應用場景中落實零信任控管模式,Zscaler持續強化其雲端原生的Zscaler Zero Trust Exchange平台。
近期,Zscaler宣布推出零信任網路分段(Segmentation)機制,此技術源自2024年收購Airgap Networks所取得的無代理、基於身分的網路分段技術,為全球分布的分支機構、工廠、資料中心及公有雲環境中的使用者、裝置與工作負載,提供動態且精細的存取控制,藉此遏止東西向網路流量中的潛在滲透威脅。
Zscaler Zero Trust Exchange平台的核心優勢在於能夠全面對抗攻擊鏈中的每個環節。該平台採取整體性防護策略,與MITRE ATT&CK框架相對應,從縮減攻擊面、預防入侵、阻止橫向移動到防止資料外洩,皆提供完善的安全防護。平台基於最小權限原則,透過全代理(Proxy)架構實現大規模的TLS/SSL流量檢查,並根據使用者身分、存取情境與控管政策,確保使用者與應用程式之間的安全連線。
藉由安全存取服務邊緣(SASE)架構,企業無需將內部網路延伸至分散各地的據點與公有雲環境。每個外部據點、工廠及公有雲皆可視為獨立的虛擬網段,透過任何寬頻連線直接與Zero Trust Exchange平台通訊,進一步降低攻擊面,並防止勒索軟體在不同營運據點之間的橫向傳播,提升整體資安韌性。
雲服務採用數增長 帶動資安議題
SASE與零信任的發展,與企業對雲端服務的接受度及使用程度息息相關。Zscaler亞洲區技術總監梁耀康觀察指出,台灣目前的雲端服務法規與使用限制,使企業在採用雲端解決方案時抱持顧慮,進而影響SASE與零信任的推動。儘管企業普遍認同零信任的重要性,但對雲端服務的陌生與疑慮仍是一大障礙。然而,數位轉型步伐較快的企業,如廣泛使用Microsoft 365等雲端應用,已逐步採用SASE服務以簡化資安管理的複雜性。
梁耀康表示:「目前SASE與零信任的採用正處於漸進發展階段,尤以製造業與銀行業的進展最為顯著,尤其是在金管會大力推動下,金融業者積極投入相關技術的了解與測試。」全球市場的發展趨勢也是台灣企業的重要參考依據,愈來愈多企業採用完整的SASE方案進行資安控管,其最大效益在於強化資安與簡化管理。儘管SASE、SSE(安全服務邊緣)與零信任等名詞繁多,其核心理念皆聚焦於一致性的安全防護,不論數位資產位於內部網路或雲端,都須持續驗證存取者,以實現隨時隨地的安全防護並簡化整體資安架構。
SASE的資安效益在於一致性的控管,能減少攻擊成功的可能性與管道,並提供顯著的管理簡化,尤在全球資安人才短缺之際,SASE能有效減輕資安人員的負擔。此外,零信任平台化的服務,能整合分散的資安產品與政策,降低人為配置錯誤或產品整合不良所帶來的風險。平台上統一格式的日誌資料,則有助於後續的關聯性分析與資安監控。
值得注意的是,率先導入零信任控管模式的企業,往往也是數位轉型推進較快的企業,顯示零信任不僅是資安議題,更是數位轉型的重要推手。梁耀康強調,零信任的落實,能讓企業在數位轉型過程中無後顧之憂,因此向高階管理層說明零信任的價值時,應強調其對數位轉型目標的助益,而非僅視其為資安措施。
參考CISA方法論落實零信任
SASE雲端服務整合了多項關鍵技術與產品,包括零信任網路存取(ZTNA)、雲端存取安全代理(CASB)、網站安全閘道(SWG)及防火牆等。雖然零信任是SASE控管策略的核心,但兩者在概念與應用上並不完全相同。美國國土安全部旗下的網路安全暨基礎設施安全局(CISA),依據美國國家標準與技術研究院(NIST)特別出版物800-207,將零信任定義為一種網路安全原則與架構模型。
Zscaler亞洲區技術總監梁耀康建議,企業在評估零信任控管模式時,應說明其對數位轉型目標的助益,而非僅討論資安控管措施,如此方可使高層更能理解並支持資安控管的必要性。
CISA所提出的《零信任成熟度模型》將零信任架構劃分為五大核心支柱:身分識別、裝置、網路、應用程式與工作負載、資料。這五大支柱共同構成了零信任架構的基礎。例如,多因素驗證(MFA)與身分治理確保了使用者身分的安全性;持續監控裝置的安全狀態;強化網路分段與流量監控;確保應用程式安全並實施最小權限原則;以及強化資料分類、加密與存取控制。
零信任的核心概念是「假設攻擊者已成功滲透企業網路」,因此所有存取請求皆須持續驗證,無論是遠端存取SaaS服務或內部應用系統,皆需經由政策引擎進行決策。政策引擎整合了身分、裝置風險狀態與威脅情報,並具備執行網路隔離等控管能力,透過自動化、協調與可視化機制,實現全面的零信任控管。
梁耀康進一步指出,根據CISA與NIST的定義,零信任是一種理念,而非SASE的組成部分。SASE結合了SD-WAN與SSE技術,並透過政策引擎實現安全控管。Zscaler的Zero Trust Exchange平台採用全代理技術架構,確保所有資產的存取連線皆須經過該平台的驗證後,才能存取機敏資料或應用程式。此平台如同「代理人」,使用者必須先提交請求並經過檢查,才能執行操作。雖然此程序增加一道流程,但由於網路技術的進步與平台設計的優化,整體操作體驗並不受影響。
目前,Zscaler不僅保護使用者端,更將零信任理念擴展至雲端伺服器、IoT裝置與第三方供應鏈。面對數量龐大且安全性不一的IoT設備挑戰,Zscaler架構能即時評估風險並控管存取,防止攻擊擴散至企業內部。最新的零信任網路分段機制透過細緻的存取控管,有效防止攻擊橫向移動,進一步提升企業網路的資安防護能力。