在數位化趨勢驅動下,原本集中在企業內部資料中心的應用系統,有不少逐漸改採用SaaS服務或遷移部署到雲端平台,讓員工隨處皆可處理公務。
引進零信任架構(ZTA)為數位場景建立防護措施,因而逐漸成為共識,根據2021年CyberArk發布的資安長觀點調查報告指出,高達64%的受訪者表示採取零信任作為非常重要,選用實施零信任措施的技術依序是身分與存取管理(45%)、資料保護(27%)、終端安全(21%)。
早在20年前就已經開始使用零信任架構來研發安全防護機制的CyberArk,初期主要是針對特權帳號管理(PAM)應用需求,CyberArk亞太區技術副總裁霍超文指出,特權管理方案本質上就是依零信任策略所建構。大型企業、政府單位等掌握最多機敏資料的環境,已陸續改以零信任架構來控管風險,只是範疇尚未擴及整體IT架構。隨著近幾年企業開展數位轉型,應用服務依照業務型態選擇部署在地端或雲端,遭駭客攻擊得逞的案例持續增加,防護策略的有效性因而被重新檢視,零信任概念成為關注焦點。CyberArk因應企業轉型需求,從特權帳號管理擴展到身分安全(Identity Security)平台領域,讓部門員工可依據應用場景套用特權帳號管理模式執行防護。
CyberArk身分安全平台涵蓋了特權、存取、應用程式溝通等數位化環境的零信任管理機制。針對特權帳號以及企業內外部人員存取行為的身分認證,皆增添多因素驗證機制來確認。設備環境、開源技術堆疊的現代化應用程式、自動化工具等,非人類身分擁有特權憑證來存取敏感資料時,可透過綁定App或設備發送驗證通知,以免遭冒用。
身分安全成功藍圖逐步落實
針對美國國家標準暨技術研究院(NIST)特別發布800-207標準文件說明的零信任架構原則,CyberArk身分安全平台即可用於實作。霍超文說明,NIST SP 800-207闡明的零信任架構區分為控制層與轉發層,控制層須具備政策引擎與控管介面,讓IT或資安長自訂控管措施,套用到轉發層的前端操作行為。
例如員工帳密存取公司的資源,仍必須在公務配發筆電環境執行,僅有合法帳密無法通過驗證,以免帳密外洩遭惡意攻擊者利用來執行滲透。員工通過驗證後存取App,每次發起連線請求當下仍須經政策執行點(Policy Enforcement Point)檢驗權限,並且分析異常行為指數,一旦過高將採不同方式再次驗證身分,例如直接撥打電話核對個資,確認為本人才可繼續使用。
CyberArk設計提供身分安全成功藍圖,目的在協助企業與組織制定控管措施以防範憑證遭竊、阻斷橫向與縱向移動、限制特權升級與濫用,以風險為基礎制定自家應用場景的政策。霍超文建議可區分為五個階段逐步引進,由初期開始依序是:先行保護擁有控制整個環境的最高特權身分、鎖定關鍵應用的平台管理者、將身分控管整合到企業安全策略及應用程式工作流程架構、待現有控管政策穩定運行後擴展範疇到內部與外部身分安全防護、讓特權管理融入到DevOps開發初期增強企業營運防護力。如此一來,企業可自行診斷,在短期內解決最急迫的問題,同時擬定長期規畫處理更進階的風險控管機制。
深入應用程式溝通與驗證
現代化應用服務種類相當多元,以企業熟知的JBoss、Apache Tomcat應用程式伺服器來看,DevOps團隊在持續整合/持續發布(CI/CD)過程,多數會運用主流的開源陣營技術自動化執行,或者是採以機器人流程自動化(RPA)工具提升效率,例如UiPath、Blue Prism、Automation Anywhere等,並賦予最高權限管理者帳密,以便登入即可使用。霍超文指出,「實施持續整合與發布時,管理者帳密亦可採CyberArk技術先行認證,來取代直接內嵌到自動化執行的程式碼,以提升工作負載安全性。」
他進一步說明,前述的CyberArk技術實際上已演進約15年時間,初期提供的SDK套件,主要是讓大型應用程式伺服器藉此保護高權限帳密。如今單體式應用程式逐漸演進,改以微服務架構運行在容器叢集環境的數量逐年增長,CyberArk技術自然也納入,甚至是企業IT開始大量採用的RPA亦可支援。
至於第三方應用程式,則通常需要最高級別特權,以便存取不同系統。對此CyberArk便透過C3聯盟計畫整合各家第三方應用程式,把原本必須寫死在程式碼內的最高權限帳密,改為存放到CyberArk Secrets Manager金鑰管理解決方案,僅提供給通過驗證的應用程式呼叫使用。
CyberArk亞太區技術副總裁霍超文說明,CyberArk身分安全平台涵蓋了特權、存取、應用程式溝通等數位化環境的零信任管理機制。針對特權帳號以及企業內外部人員存取行為的身分認證,皆增添多因素驗證機制來確認。
Secrets Manager為保護混合雲或雲端原生的容器化環境設計使用安全憑證,主要由Conjur Secrets Manager企業版、開源版,以及Credential Provider集中存放與控管憑證。DevOps團隊撰寫完成的程式碼採用Jenkins等CI/CD工具,大多數是從程式碼儲存庫中提取帳密,Secrets Manager可Plug-in在工具環境,代為保管存放在儲存庫的密碼,並且不斷更改以防遭竊取,當應用程式要求存取資源時,必須進行身分驗證與授權,通過後Credential Provider才會發放最新的金鑰。攻擊者即使滲透成功取得該應用程式高權限帳密,但當呼叫取用時該組密碼早已更換,因而無法得逞。
嚴加審查網頁應用服務操作風險
隨著企業採用雲端服務的意願提升,CyberArk自2020年啟動轉型,改以SaaS模式提供,搭配訂閱制銷售,讓各種規模的企業得以依據應用場景選擇合適方案。日前最新發布的SaaS服務項目CyberArk Identity Secure Web Session,用以記錄單一登入後的操作行為,協助資安長或IT管理者解決內部威脅、錯誤配置風險。
Secure Web Session適用於高機敏性的網頁應用服務提升防護力,例如財務、客戶資料、知識財產權等,藉由記錄存取該應用服務的用戶活動,達到偵測與稽核的效益。運行方式是在背景執行拍照,可在不影響用戶體驗的情況下,記錄特定用戶存取關鍵應用執行的操作,以便於日後稽核。若不啟用拍照亦可藉由執行持續性驗證來進行保護,當用戶執行點選動作時,背景自動運行Cookie比對,防範遭到假冒。當偵測到用戶出現高風險的異常行為,例如同時在不同地區發起登入請求,則須改以不同方式驗證,例如直接撥打電話、郵件確認方式再次證明為用戶本人,為營運核心業務嚴加把關、降低風險。