資訊專欄

2021-07-23
【Zero Trust Architecture,從理解NIST SP 800-207著手】打造以零信任原則的企業網路安全環境點閱數:206

ZTA並非單一架構,基於7大零信任原則與不同情境來設計,每次資源存取都要經即時動態評估才放行,若要導入ZTA可採漸進方式,逐步做到更嚴格的資源存取控管
文章出處:iThome
發表時間:2021-07-21 / 羅正漢

【提升國家網路安全,美國政府下令採用零信任架構】在今年5月12日,美國總統拜登頒布行政命令,公開多項國家網路安全策略,期望能藉此改善該國的網路安全現況,當中焦點包括軟體供應鏈安全,以及要求導入零信任架構的網路安全策略。

在2021年5月12日,美國總統拜登下達行政命令,公布多項國家網路安全策略,期望改善該國的資安現況,當中最受關注的焦點之一,就是推動美國聯邦政府網路安全現代化,要求導入零信任架構的網路安全策略。

當中指出,美國政府自身必須採取果斷措施,讓達成網路安全的方法能跟得上時代,包括提供政府對威脅的可見度,以及保護隱私與公民自由,因此,美國政府必須朝向零信任架構(Zero Trust Architecture)邁進,並加快腳步遷徙到安全雲端服務。

由於在2020年8月,NIST已公布SP 800-207標準文件,成為美國政府採用ZTA的指南,在2021年5月這次的行政命令中,更是規定當地政府機構要在60天內,制定實施ZTA的計畫,並參考NIST標準文件指引的導入建議。

因此,我們別以為這樣的應用離現實還很遠!在國際上,零信任概念帶來的資訊安全架構重要轉變,已經邁向普遍應用的階段。

隨著企業網路環境的改變,網路安全架構也該翻新

零信任的網路安全策略,演變至今,由NIST公布的SP 800-207標準文件,可說成為各界瞭解ZTA的重要參考依據。不過,對大多數國內企業組織而言,對於ZTA可能仍一知半解,為了更完整掌握這樣的概念,我們找來臺灣科技大學教授查士朝進行解讀,他曾在今年臺灣資安大會上,剖析箇中關鍵NIST SP 800-207標準文件。

若要了解零信任,有那些重點要注意?首先是基本背景,NIST SP 800-207第一章,就是針對這部分的整理。

簡單來說,現在IT架構變得複雜,超越了傳統網路邊界安全的作法,因為企業網路邊界並不是單一存在,並且難以識別。所以,一旦攻擊者突破邊界後,後續橫向移動則是暢通無阻。查士朝表示,ZTA主要就是針對傳統強化邊界的方法,面對BYOD、雲端服務與遠端工作等新興存取方式的挑戰而發展。

因此,現在提倡的新型網路安全模式,稱之為零信任。基本上,零信任的方法,著重於資料與服務的保護,但也應該擴展到所有企業資產與主體,這些企業資產包括裝置、基礎架構元件、應用程式,以及虛擬與雲端元件,而主體也包括來自使用者、應用程式或機器的資源請求。

根據NIST說明,零信任架構ZTA,是基於零信任原則企業網路安全架構,目的是為防止資料外洩與限制內部橫向移動。零信任非單一的架構,而是關於工作流程與系統設計與營運的指導原則。

特別的是,NIST指出,過渡到ZTA將是一段旅程,並非透過全面的技術更換就能完成。其實,現在多數組織的IT基礎設施,都已經有ZTA的元素,因此組織應逐步尋求零信任原則的實施、流程的變更,以及技術解決方案。

零信任7大原則

1. 所有的資料來源與運算服務都要被當作是資源。

2. 不管適合哪個位置的裝置通訊,都需確保安全。

3. 對於個別企業資源的存取要求,應該要以每次連線為基礎去許可。

4. 資源的存取應該要基於客戶端識別、應用服務,以及要求存取資安可觀察到的狀態,以及可能包括的行為或環境屬性,去動態決定。

5. 企業監控與衡量所有擁有與相關資訊資產的正確性與安全狀態。

6. 在允許存取之前,所有的資源的身分鑑別與授權機制,都要依監控結果動態決定,並且嚴格落實。

7. 企業應該要盡可能收集有關資訊資產、網路架構、骨幹,以及通訊的現況,並用這些資訊來增進安全狀態。

資料來源:NIST,iThome整理,2021年7月

遵循的原則與信任關係是關鍵,組織內外資安管控應一致

在NIST SP 800-207第二章中,提供了外界更多關於零信任的基礎知識。這裡有兩大部分值得重視:一是具體描繪出ZTA的設計與部署需遵循的基本原則,另一是提供了從零信任的視角來看待網路的假設與見解。對於導入ZTA的組織而言,有了基本原則與相關假設,就能根據這些來進行開發設計。

根據NIST說明,零信任是聚焦於資源保護為核心的網路安全模型。從其定義來看,零信任提供了一系列概念與想法,重點在於防止未經授權存取資料與服務,使存取控制盡可能做到更精細

但是,存取控制有其不確定性,因此重點將放在身分驗證、授權與限縮信任區域,而且,需要盡可能減少身分驗證機制的時間延遲,保持可用性,並盡可能讓存取規則更精細,讓每次資源存取請求的操作,只提供所需的最小權限。

而在過渡到ZTA時,NIST也強調,不是單純替換技術就可做到,而是關係到組織如何在其任務中評估風險的過程。

為了說明這方面的存取控制,NIST提供簡要的存取模型。當使用者或機器需要存取企業資源時,會經過政策落實點(PEP),以及相應的政策決策點(PDP)來授予權限,為的是即時基於風險評估的結果,決定是否能夠存取。

查士朝指出,NIST在此章節還統整出ZTA設計應遵循的7大基本原則,簡而言之,主要是:識別可存取資源、連線安全、妥善存取控制、考量存取者狀態、了解資源狀態,以及監控裝置與資源風險,持續蒐集資訊與改善。

而關於零信任架構的設計與部署,都要依據這些原則來進行,但NIST也說這些原則是理想的目標,畢竟,並非所有原則都能以最純粹的形式來實現。

另一方面,NIST也列出零信任角度下對於網路的6大假設,包括:

(1)企業私有網路不能預設為信任區

(2)網路中的裝置有可能不是企業所擁有的,或是能被設定的

(3)任何資源並非天生就可受信賴

(4)並非所有企業資源都位於企業擁有的基礎架構上

(5)遠端使用者存取企業主體與資產時,不能完全信任本地的網路

(6)在企業與非企業基礎建設之間移動的資產與工作流程,應具有一致的安全政策與安全狀況。

不僅要持續驗證,存取控制也應基於風險評估而動態調整

要如何實現零信任架構?在NIST SP 800-207第三章中,描繪ZTA邏輯元件的架構圖,呈現ZTA核心元件的關係。

基本上,我們可將網路控管環境,區分為資料層,以及控制層。從資料層面來看,當任何主體透過系統要存取企業資源前,需先經過存取控制的政策落實點(PEP),決定是否給予權限。

而在這PEP的背後,將會藉由控制層所相應的政策決策點(PDP)來判斷,而PDP內部本身包含兩部分,分別是負責演算的政策引擎(PE),以及負責策略執行的政策管理(PA)。

同時,在決策過程中,還會引入多方與外部資訊來幫助決策,包括:企業建立的資料存取政策、PKI、身分管理系統、SIEM平臺資訊,以及威脅情報、網路與系統活動日誌,還有美國政府已提出持續診斷與緩解(CDM)系統,以及產業合規系統等。

NIST零信任架構的組成

零信任架構中最主要的關鍵,就是每次資源存取都要經過存取控制的政策落實點(PEP)去確認是否放行,而此背後則是藉由相應的政策決策點(PDP)來判斷,特別的是,當中的政策引擎除了依據企業制定的資料存取政策,還應分析威情情資、SIEM、活動日誌等多方資訊,來做到基於風險的評分以進行決策。資料來源:NIST,iThome整理,2021年7月

查士朝表示,因此ZTA不只是依照管理者設定的政策去判斷可否放行,政策引擎還要考量到多方外部資訊,做到即時調整控制權限。

另一方面,在此章節中,NIST還說明了一些較為技術性的內容,包含ZTA的3項必要技術,4種ZTA部署方式,以及政策引擎在考量多方與外部資訊時,所建議的可信任演算法、風險評分機制,同時,還有ZTA網路環境的需求。

舉例來說,由於ZTA並非單一架構,因此組織可透過多種方式為工作流程制定ZTA,因此NIST更是說明,完整的零信任解決方案,將具備3項要素,包括:進階的身分治理(Enhanced Identity Governance)、網路微分割(Micro-Segmentation),以及軟體定義邊界(Software Defined Perimeters)。

在部署方式上,由於每個公司與組織的環境不同,NIST只是簡單提出4種情境。簡單來說,前兩種是基於代理程式(Agent)的模式,差異在於存取資源時是否經過單獨的網路閘道器,或是將很多資源部署在同個網段,經過同一個網路閘道器,後兩種則是沒有Agent的模式,不同處在於:一個是經過網頁入口,另一是透過沙箱。

查士朝認為,要理解這些部署方式,其實可從在家工作的角度去思考,例如,透過下列3種狀況來比較差異,包括:(1)完全隔離的工作環境、(2)在辦公室工作、(3)異地分區辦公。如此一來,能夠更便於設想。

舉例來說,我們可以試想遠距或行動辦公會面臨的資安威脅。此時,通常較欠缺實體安全防禦,也缺乏維護作業環境安全能力,而且居家也可能受到網路攻擊,以及釣魚郵件攻擊,還有不安全的網路連線伺服器主機,以及未妥善保護的企業網路資源等。

為了讓大家對ZTA更有概念,他特別提到遠端連線的種類,並引用SP 800-46來對照說明。

基本上,遠端連線包括直接應用程式存取、Tunneling、遠端桌面存取,以及入口(Portal),而在ZTA中,VPN只是連線工具,而非安全機制,遠端桌面則有很多缺點,當遠端機器很多時,容易產生安全問題,企業可能透過VDI做到集中式管理,因此,ZTA方案多半屬於入口網站形式,透過入口伺服器的驗證,再讓主體去存取後面的資源,Google的BeyondCorp就是典型的例子。

整體而言,查士朝認為ZTA有5大關鍵,包括保護裝置安全、識別存取者身分、存取控制、持續監控並視為存取控制依據,以及現在存取範圍,並以存取控制為核心,來考量其他技術元件。

對於ZTA整體布局情境,NIST現階段僅提出較籠統的說明

ZTA有哪些參考使用案例?在NIST SP 800-207第四章稍微提到,針對部署情境舉出5種企業型態的例子。像是:擁有衛星工廠的企業,使用多種雲端服務的企業,擁有合約服務與非員工存取的企業,跨企業邊界協作的企業,以及面向公眾或客戶服務的企業。

查士朝指出,這部分主要是在很單純的實務情境中,說明可以如何部署,但細節並未著墨太多。

至於接下來兩章的內容,分別是探討ZTA的相關威脅,以及ZTA與美國既有聯邦指引的關連,包括美國政府在各方面提出的資安框架,以及法規要求等。

邁向零信任從評估著手,企業流程更是重要

由於邁向ZTA並非一蹴可幾,因此NIST在這份標準文件的最後(第七章),特別提供了導入ZTA的步驟建議,讓企業對於ZTA的導入更有方法。

以ZTA部署生命週期而言,首先要做到評估,這方面包含了系統清單、使用者清單,以及企業流程審查。也就是一開始就要對資產、主體與業務流程,有詳細的瞭解,否則,一旦無法掌握企業現況,企業將無法確定需要那些新流程系統。而在評估之後,步驟則是風險評估與政策制定、部署與作業。

值得關注的是,NIST在這份文件說明掌握業務流程的重要性,因為,相關調查的進行,都與組織業務流程檢查有關。同時,這些步驟可與NIST風險管理框架(RMF)的SP 800-37相對應。這是因為,採用ZTA的每個過程,也就是降低組織業務功能風險的過程。

整體而言,包括要識別企業中的攻擊者,識別企業擁有的資產,接著要清查的部分,是關鍵流程並評估相關風險,之後再來制定ZTA策略與選擇ZTA解決方案。

而在制定存取控制的政策時,也要考慮到基於風險評估的判斷,後續,還要加強對於行為的監控。

零信任的下一關注焦點:ZTA的SP 1800系列實踐指引將發布

就現階段而言,有意導入ZTA的企業,NIST SP 800-207無疑是必須參考的內容,這其實也讓日後各界在討論ZTA時,能夠有一致、共通的語言來溝通,至於後續是否還有其他更具體的資料可供大家參考?

事實上,美國NIST與旗下國家網路安全卓越中心(NCCoE),在2019年2月,啟動了零信任架構的計畫,當中有部分工作與此有關──除了發布NIST SP 800-207標準文件,他們還規畫Zero Trust Test Lab實驗室,以建立符合使用情境的網路環境,統整零信任技術與元件,進行場景測試。

NCCoE也表示,將啟動「實施ZTA」的計畫。他們已經在2020年10月,發布專案描述文件「Implementing a Zero Trust Architecture」,這裡主要提供6個情境,而且是針對的是存取的情境來舉例,同時也預告日後將發布基於零信任架構的SP 1800系列指引,以及提供最佳實務與資源,屆時企業可以同時參考標準文件與實踐指引,在設計、推動與落實零信任概念時,將會更有幫助。

 


原文引用連結:https://www.ithome.com.tw/news/145709

 


上一則   |   回上頁   |   下一則