隨著混合式辦公成為數位化企業新常態,應用系統的雲端化,或直接採用SaaS模式已是必然結果。為了幫助企業限縮攻擊面,F5 BIG-IP Access Policy Manager(APM)設計的身分感知代理(IAP)、聯合身分驗證與單一登入、API保護等機制,落實零信任網路存取(ZTNA)策略,為現代化應用服務把關安全。
F5台灣區資深技術顧問陳廣融引述Gartner調查統計指出,目前全球有81%企業至少選用2家雲端服務供應商部署現代化App;蓋洛普(Gallup)調查疫後職場工作模式,65%員工希望繼續在家或遠端辦公。從不同領域的調查數據可發現,傳統網路邊界將逐漸失去意義,企業若至今仍要求員工透過VPN連線存取應用資源,不僅降低用戶體驗影響生產力,更讓駭客可利用VPN軟體本身的漏洞、中間人攻擊等多種手法取得合法憑證,讓員工在不自覺情況下成為內部威脅。
BIG-IP APM驗證人與設備
零信任架構目標是即時緩解滲透入侵威脅,打破既有劃設信任區的資安管理模式,針對人、設備及工作負載落實「永不信任、始終驗證」的概念,不僅須通過身分驗證、只給予可存取應用服務與機敏資料的最小授權,在使用者操作過程中還得持續地驗證,並審查登入者身分、設備環境、發起存取請求的位置等資料,防範被攻擊者介入冒用卻不自知。
過去的邊界預設是將內部網路視為安全可信,只防範外部的連線存取,較便於管理。零信任策略則是所有應用服務連線行為都須通過驗證後才允許存取,對於使用者行為、應用程式整合運行而言難度相當高,陳廣融認為,欲從現階段網路架構設計轉換到零信任控管策略,絕非一蹴可幾,而須逐步實踐。
對此,採用BIG-IP APM集中控管用戶身分與授權,便能基於最小權限存取原則配置,無須透過VPN連線即可存取地端或雲端資源。陳廣融說明,用戶經過驗證機制取得Token,寫入到傳輸的HTTP封包,以便順利連線到應用服務存取資源,若在DevOps工作流程中納入安全機制,即可運用F5 NGINX扮演查核Token的角色。BIG-IP APM可協助驗證與控管人、設備,NGINX則可整合應用程式防護,讓存取行為流程得以落實零信任策略。
整合IDaaS輔助擴展身分辨識
當攻擊面持續不斷地擴大時,過去建構的機制勢必無法完全保障網路安全,存取標的防護力成為首要之重,也就是防護措施應配置在應用層,通過驗證後才給予最小授權的存取行為。
為確保設備環境的安全性,對使用者進行身分驗證並授予存取權之前,F5 Access Guard可先行檢查該設備安全狀態,搭配身分感知代理機制,無須透過VPN連線。BIG-IP APM則能持續地檢查、及時終止機敏應用存取授權,其基於機器學習演算分析建立的行為模型(UEBA),一旦偵測發現異常便可立即阻斷存取行為,或觸發額外身分驗證機制確認,正可協助企業IT落實零信任控管策略。
零信任安全方法對於用戶存取的授權管理,理當涵蓋公有雲原生或SaaS應用模式以至於既有地端應用系統。原以地端為主的BIG-IP APM方案,針對雲端則可整合Azure AD、Okta等身分認證即服務(IDaaS)來辨識身分,並以HTTP連接器介接第三方安全方案開放API,蒐集關聯屬性與內容,甚至是利用Azure AD存取條件,基於角色與屬性值套用控管條件。通過驗證的身分別,即可授予存取應用資源的最低權限。
NGINX建構微服務應用層防護
不只企業關注零信任落實作法,在行政院國家資通安全會報去年(2021)最新提出的「國家資通安全發展方案」中,零信任架構已成為重要的一環。事實上,美國行政管理與預算部門(OMB)於日前發布「聯邦零信任戰略」草案,目標是網路安全架構皆採以零信任原則管控。公部門率先引領實作,未來勢必將擴展到各產業環境,或許主管單位亦可參考NIST SP 800-207制定數位應用場域的產業規範。
依據美國國家標準暨技術研究院(NIST)於2020年發布SP 800-207標準文件說明零信任架構,美國國家網路安全卓越中心(NCCoE)日前宣布啟動實作專案合作研發協議,選用將近20家國際IT大廠的技術,F5即為其中成員。
F5 Labs研究統計近九成的前端網頁皆採以SSL/TLS加密傳輸,為避免遭攻擊者利用來隱匿惡意程式而成功繞過資安檢測,F5 SSL Visibility機制可用來消除盲點,同時基於編排器(Orchestrator),把解密後的封包導向次世代防火牆(NGFW)、資料外洩防護(DLP)、網頁應用程式防火牆(WAF)、入侵防禦系統等既有已部署的資安技術,依據控管策略執行攔阻或放行。
陳廣融強調,既然邊界安全已無法發揮效益,可改採關鍵數位資產之一的應用服務為核心,讓用戶透過加密通道存取確保安全性。F5旗下的NGINX主要負責應用程式碼彼此之間的安全防護,亦可用於整合建立零信任驗證機制,避免被攻擊者滲透與破壞,甚至盜取知識財產。
現代化應用程式已演進到微服務架構,在容器叢集環境運行時,Pod或程式碼之間的溝通皆透過API整合來提供服務。為增進安全性,DevOps團隊可在自動化持續整合與部署工作流程中納入NGINX App Protect WAF,基於F5長期投入應用程式防護領域累積的知識,可即時偵查發現後端應用程式尚未修補的已知漏洞,可防止OWASP Top 10網頁應用程式安全風險,強制執行合規性要求,防範攻擊者常見的迴避檢測伎倆,並且提供黑名單、檢查Cookie、保護API。
此外,NGINX亦可整合Shape Security解決方案,運用機器學習與人工智慧(AI)識別詐欺意圖。例如日前多家證券期貨商遭遇憑證填充(Credential Stuffing)攻擊,主因在於歷來所有網站已外洩相當多個資,再加上多數人密碼設定強度較弱或重複使用,攻擊者只要掌握這些外洩的個資,撰寫自動化程式持續嘗試登入,即有機會破解用戶帳密。若基於Shape Security蒐集大數據並且建立使用者行為(UBA)模型,即可深入分析操作輸入帳密、註冊資料等需要鍵盤與滑鼠的動作,判別是否為自動化程式,並適時觸發阻擋機制,正可對付憑證填充手法,降低攻擊者得逞的機率。