ZTA並非單一架構，基於7大零信任原則與不同情境來設計，每次資源存取都要經即時動態評估才放行，若要導入ZTA可採漸進方式，逐步做到更嚴格的資源存取控管
文章出處：iThome
發表時間：2021-07-21 / 羅正漢

【提升國家網路安全，美國政府下令採用零信任架構】在今年5月12日，美國總統拜登頒布行政命令，公開多項國家網路安全策略，期望能藉此改善該國的網路安全現況，當中焦點包括軟體供應鏈安全，以及要求導入零信任架構的網路安全策略。

在2021年5月12日，美國總統拜登下達行政命令，公布多項國家網路安全策略，期望改善該國的資安現況，當中最受關注的焦點之一，就是推動美國聯邦政府網路安全現代化，要求導入零信任架構的網路安全策略。

當中指出，美國政府自身必須採取果斷措施，讓達成網路安全的方法能跟得上時代，包括提供政府對威脅的可見度，以及保護隱私與公民自由，因此，美國政府必須朝向零信任架構（Zero Trust Architecture）邁進，並加快腳步遷徙到安全雲端服務。

由於在2020年8月，NIST已公布SP 800-207標準文件，成為美國政府採用ZTA的指南，在2021年5月這次的行政命令中，更是規定當地政府機構要在60天內，制定實施ZTA的計畫，並參考NIST標準文件指引的導入建議。

因此，我們別以為這樣的應用離現實還很遠！在國際上，零信任概念帶來的資訊安全架構重要轉變，已經邁向普遍應用的階段。

隨著企業網路環境的改變，網路安全架構也該翻新

零信任的網路安全策略，演變至今，由NIST公布的SP 800-207標準文件，可說成為各界瞭解ZTA的重要參考依據。不過，對大多數國內企業組織而言，對於ZTA可能仍一知半解，為了更完整掌握這樣的概念，我們找來臺灣科技大學教授查士朝進行解讀，他曾在今年臺灣資安大會上，剖析箇中關鍵NIST SP 800-207標準文件。

若要了解零信任，有那些重點要注意？首先是基本背景，NIST SP 800-207第一章，就是針對這部分的整理。

簡單來說，現在IT架構變得複雜，超越了傳統網路邊界安全的作法，因為企業網路邊界並不是單一存在，並且難以識別。所以，一旦攻擊者突破邊界後，後續橫向移動則是暢通無阻。查士朝表示，ZTA主要就是針對傳統強化邊界的方法，面對BYOD、雲端服務與遠端工作等新興存取方式的挑戰而發展。

因此，現在提倡的新型網路安全模式，稱之為零信任。基本上，零信任的方法，著重於資料與服務的保護，但也應該擴展到所有企業資產與主體，這些企業資產包括裝置、基礎架構元件、應用程式，以及虛擬與雲端元件，而主體也包括來自使用者、應用程式或機器的資源請求。

根據NIST說明，零信任架構ZTA，是基於零信任原則企業網路安全架構，目的是為防止資料外洩與限制內部橫向移動。零信任非單一的架構，而是關於工作流程與系統設計與營運的指導原則。

特別的是，NIST指出，過渡到ZTA將是一段旅程，並非透過全面的技術更換就能完成。其實，現在多數組織的IT基礎設施，都已經有ZTA的元素，因此組織應逐步尋求零信任原則的實施、流程的變更，以及技術解決方案。

遵循的原則與信任關係是關鍵，組織內外資安管控應一致

在NIST SP 800-207第二章中，提供了外界更多關於零信任的基礎知識。這裡有兩大部分值得重視：一是具體描繪出ZTA的設計與部署需遵循的基本原則，另一是提供了從零信任的視角來看待網路的假設與見解。對於導入ZTA的組織而言，有了基本原則與相關假設，就能根據這些來進行開發設計。

根據NIST說明，零信任是聚焦於資源保護為核心的網路安全模型。從其定義來看，零信任提供了一系列概念與想法，重點在於防止未經授權存取資料與服務，使存取控制盡可能做到更精細。

但是，存取控制有其不確定性，因此重點將放在身分驗證、授權與限縮信任區域，而且，需要盡可能減少身分驗證機制的時間延遲，保持可用性，並盡可能讓存取規則更精細，讓每次資源存取請求的操作，只提供所需的最小權限。

而在過渡到ZTA時，NIST也強調，不是單純替換技術就可做到，而是關係到組織如何在其任務中評估風險的過程。

為了說明這方面的存取控制，NIST提供簡要的存取模型。當使用者或機器需要存取企業資源時，會經過政策落實點（PEP），以及相應的政策決策點（PDP）來授予權限，為的是即時基於風險評估的結果，決定是否能夠存取。

查士朝指出，NIST在此章節還統整出ZTA設計應遵循的7大基本原則，簡而言之，主要是：識別可存取資源、連線安全、妥善存取控制、考量存取者狀態、了解資源狀態，以及監控裝置與資源風險，持續蒐集資訊與改善。

而關於零信任架構的設計與部署，都要依據這些原則來進行，但NIST也說這些原則是理想的目標，畢竟，並非所有原則都能以最純粹的形式來實現。

另一方面，NIST也列出零信任角度下對於網路的6大假設，包括：

（1）企業私有網路不能預設為信任區

（2）網路中的裝置有可能不是企業所擁有的，或是能被設定的

（3）任何資源並非天生就可受信賴

（4）並非所有企業資源都位於企業擁有的基礎架構上

（5）遠端使用者存取企業主體與資產時，不能完全信任本地的網路

（6）在企業與非企業基礎建設之間移動的資產與工作流程，應具有一致的安全政策與安全狀況。

不僅要持續驗證，存取控制也應基於風險評估而動態調整

要如何實現零信任架構？在NIST SP 800-207第三章中，描繪ZTA邏輯元件的架構圖，呈現ZTA核心元件的關係。

基本上，我們可將網路控管環境，區分為資料層，以及控制層。從資料層面來看，當任何主體透過系統要存取企業資源前，需先經過存取控制的政策落實點（PEP），決定是否給予權限。

而在這PEP的背後，將會藉由控制層所相應的政策決策點（PDP）來判斷，而PDP內部本身包含兩部分，分別是負責演算的政策引擎（PE），以及負責策略執行的政策管理（PA）。

同時，在決策過程中，還會引入多方與外部資訊來幫助決策，包括：企業建立的資料存取政策、PKI、身分管理系統、SIEM平臺資訊，以及威脅情報、網路與系統活動日誌，還有美國政府已提出持續診斷與緩解（CDM）系統，以及產業合規系統等。

NIST零信任架構的組成

零信任架構中最主要的關鍵，就是每次資源存取都要經過存取控制的政策落實點（PEP）去確認是否放行，而此背後則是藉由相應的政策決策點（PDP）來判斷，特別的是，當中的政策引擎除了依據企業制定的資料存取政策，還應分析威情情資、SIEM、活動日誌等多方資訊，來做到基於風險的評分以進行決策。資料來源：NIST，iThome整理，2021年7月

查士朝表示，因此ZTA不只是依照管理者設定的政策去判斷可否放行，政策引擎還要考量到多方外部資訊，做到即時調整控制權限。

另一方面，在此章節中，NIST還說明了一些較為技術性的內容，包含ZTA的3項必要技術，4種ZTA部署方式，以及政策引擎在考量多方與外部資訊時，所建議的可信任演算法、風險評分機制，同時，還有ZTA網路環境的需求。

舉例來說，由於ZTA並非單一架構，因此組織可透過多種方式為工作流程制定ZTA，因此NIST更是說明，完整的零信任解決方案，將具備3項要素，包括：進階的身分治理（Enhanced Identity Governance）、網路微分割（Micro-Segmentation），以及軟體定義邊界（Software Defined Perimeters）。

在部署方式上，由於每個公司與組織的環境不同，NIST只是簡單提出4種情境。簡單來說，前兩種是基於代理程式（Agent）的模式，差異在於存取資源時是否經過單獨的網路閘道器，或是將很多資源部署在同個網段，經過同一個網路閘道器，後兩種則是沒有Agent的模式，不同處在於：一個是經過網頁入口，另一是透過沙箱。

查士朝認為，要理解這些部署方式，其實可從在家工作的角度去思考，例如，透過下列3種狀況來比較差異，包括：（1）完全隔離的工作環境、（2）在辦公室工作、（3）異地分區辦公。如此一來，能夠更便於設想。

舉例來說，我們可以試想遠距或行動辦公會面臨的資安威脅。此時，通常較欠缺實體安全防禦，也缺乏維護作業環境安全能力，而且居家也可能受到網路攻擊，以及釣魚郵件攻擊，還有不安全的網路連線伺服器主機，以及未妥善保護的企業網路資源等。

為了讓大家對ZTA更有概念，他特別提到遠端連線的種類，並引用SP 800-46來對照說明。

基本上，遠端連線包括直接應用程式存取、Tunneling、遠端桌面存取，以及入口（Portal），而在ZTA中，VPN只是連線工具，而非安全機制，遠端桌面則有很多缺點，當遠端機器很多時，容易產生安全問題，企業可能透過VDI做到集中式管理，因此，ZTA方案多半屬於入口網站形式，透過入口伺服器的驗證，再讓主體去存取後面的資源，Google的BeyondCorp就是典型的例子。

整體而言，查士朝認為ZTA有5大關鍵，包括保護裝置安全、識別存取者身分、存取控制、持續監控並視為存取控制依據，以及現在存取範圍，並以存取控制為核心，來考量其他技術元件。

對於ZTA整體布局情境，NIST現階段僅提出較籠統的說明

ZTA有哪些參考使用案例？在NIST SP 800-207第四章稍微提到，針對部署情境舉出5種企業型態的例子。像是：擁有衛星工廠的企業，使用多種雲端服務的企業，擁有合約服務與非員工存取的企業，跨企業邊界協作的企業，以及面向公眾或客戶服務的企業。

查士朝指出，這部分主要是在很單純的實務情境中，說明可以如何部署，但細節並未著墨太多。

至於接下來兩章的內容，分別是探討ZTA的相關威脅，以及ZTA與美國既有聯邦指引的關連，包括美國政府在各方面提出的資安框架，以及法規要求等。

邁向零信任從評估著手，企業流程更是重要

由於邁向ZTA並非一蹴可幾，因此NIST在這份標準文件的最後（第七章），特別提供了導入ZTA的步驟建議，讓企業對於ZTA的導入更有方法。

以ZTA部署生命週期而言，首先要做到評估，這方面包含了系統清單、使用者清單，以及企業流程審查。也就是一開始就要對資產、主體與業務流程，有詳細的瞭解，否則，一旦無法掌握企業現況，企業將無法確定需要那些新流程系統。而在評估之後，步驟則是風險評估與政策制定、部署與作業。

值得關注的是，NIST在這份文件說明掌握業務流程的重要性，因為，相關調查的進行，都與組織業務流程檢查有關。同時，這些步驟可與NIST風險管理框架（RMF）的SP 800-37相對應。這是因為，採用ZTA的每個過程，也就是降低組織業務功能風險的過程。

整體而言，包括要識別企業中的攻擊者，識別企業擁有的資產，接著要清查的部分，是關鍵流程並評估相關風險，之後再來制定ZTA策略與選擇ZTA解決方案。

而在制定存取控制的政策時，也要考慮到基於風險評估的判斷，後續，還要加強對於行為的監控。

零信任的下一關注焦點：ZTA的SP 1800系列實踐指引將發布

就現階段而言，有意導入ZTA的企業，NIST SP 800-207無疑是必須參考的內容，這其實也讓日後各界在討論ZTA時，能夠有一致、共通的語言來溝通，至於後續是否還有其他更具體的資料可供大家參考？

事實上，美國NIST與旗下國家網路安全卓越中心（NCCoE），在2019年2月，啟動了零信任架構的計畫，當中有部分工作與此有關──除了發布NIST SP 800-207標準文件，他們還規畫Zero Trust Test Lab實驗室，以建立符合使用情境的網路環境，統整零信任技術與元件，進行場景測試。

NCCoE也表示，將啟動「實施ZTA」的計畫。他們已經在2020年10月，發布專案描述文件「Implementing a Zero Trust Architecture」，這裡主要提供6個情境，而且是針對的是存取的情境來舉例，同時也預告日後將發布基於零信任架構的SP 1800系列指引，以及提供最佳實務與資源，屆時企業可以同時參考標準文件與實踐指引，在設計、推動與落實零信任概念時，將會更有幫助。