專家傳真-提升網路彈性 身分安全治理須零信任
過去,企業依賴安全模型管制來自網路外部的存取,像是使用防火牆、虛擬專用網路 (VPN)、存取控制、電子郵件安全和Web安全等安全協議。然而,隨着愈來愈多企業從本地部署轉移到混合和雲端環境,以及愈來愈多的組織轉向遠端工作並使用個人設備,邊界防禦和控制在網路中橫向移動的用戶變得愈來愈困難。
如今,隨着網路攻擊者使用各種方法進入組織,企業須隨時確保在正確的時間,向正確的用戶賦予正確資源的正確存取權限以保護所有身分,例如員工、合作伙伴、供應商等。
企業必須全面瞭解他們擁有的敏感資料類型、敏感數據所在的位置以及組織中的哪些人可以存取這些資料。因此,身分安全毫無疑問的是零信任安全策略的核心。零信任架構的概念圍繞在「驗證身分之前,絕不信任任何的用戶、設備或連接」。透過零信任架構,組織可以在每個存取點有效地保護所有用戶、數據和系統。
■發展零信任架構之必要
有了堅實的零信任策略,企業也能更好地應對內部和外部威脅,實現對資料的精細控制,改善用戶體驗,並符合法律規定標準。這就是臺灣政府逐步推出零信任架構的原因,並特別強調在身分驗證、保護敏感知識產權以及臺灣關鍵產業(如半導體產業)供應鏈的落實。
透過實施零信任架構,身分在不斷驗證的過程中獲得授權。此外,一旦身分進入網路,安全性檢驗就不會停止,它們會在身分進行內部橫向移動時持續檢驗。
零信任能夠達到安全的方法是透過建立組織的身分基礎設施上達到防禦,而不是透過設立網路邊界來建構。不再僅僅透過用戶是否屬於某個組織或提供正確的密碼來信任他們,必須查看用戶的屬性和行爲模式,以瞭解誰在嘗試獲得存取權、他們如何獲得存取權以及他們將使用該存取權做什麼。
強大的身分安全計劃,將使企業能夠管理和治理來自不同類型數位身分的存取活動,建立一個零信任框架,將得以系統性地適應和迴應企業和整體威脅環境中不斷的變化。全面的身分安全解決方案還將使企業能夠實現身分生命週期自動化、管理身分屬性的完整性、根據企業中的角色實施特權身分,並利用人工智慧和機器學習等先進技術來管理和應對存取風險。
■六項執行步驟不可少
組織如何使他們的零信任策略與身分安全方法保持一致?有六點應注意:一、透過建立一個集中的身分數據儲存庫,得以作到對每個用戶身分的完全可視性和掌握,包括非人類實體、設備、數據源和影子IT;二、使用角色和存取策略管理,僅在需要時授予對數據和應用程序資源的存取權限,並設置職責分離(SoD)策略以避免潛在的病毒存取組合;三、透過不斷審查和調整用戶的身分權利和角色,以確保他們在正確的時間對正確的資源具有正確的存取權限;四、監測用戶對資源的存取權限並標記可疑的存取活動或權利改變,並提醒相應的管理員;五、當員工離開公司時自動取消不再需要的存取權限;六、根據用戶屬性或職權的變化,或當用戶在組織內改變角色時,自動修改或終止權限;並在檢測到風險活動時自動執行補救措施。
如今,由於大多數組織都在多雲端環境中運作並且擁有分散和遠端的團隊成員,因此採用零信任策略比以往任何時候都更加重要。以身分爲核心,零信任架構使組織能夠正確地決定是否應授予每個身分的存取權限。
以身分安全爲中心的零信任策略有助於建立強大的網路安全架構並保護關鍵數據和資源,這對臺灣的國家安全和企業組織至關重要,更符合數位發展部(MODA)推動加強網路彈性的政策。