為了應對疫情的不確定性,企業紛紛採取混合辦公模式,IT一方面須開放遠端用戶存取內部資源、採用雲端服務增進協同工作,同時又須確保安全與合規,因而促使「零信任」成為新世代數位應用的管理原則,在發起存取請求的員工、設備、程式碼、資料庫等環節,皆實施身分識別來配置相對應的存取權限。
Thales大中華區資深技術顧問陳昶旭指出,最新發布的「2022 Thales資料威脅報告」亞太版本中針對資安專業人員與高階主管進行廣泛調查,卻發現只有28%受訪者表示已採納零信任的發展策略,來架構整體混合雲應用安全,可見當前的數位化應用場景欲阻斷外部攻擊威脅,仍有許多改善的空間,首要任務是運用技術發展已相當成熟的身分識別與存取管理(IAM),為零信任原則奠定基礎。
雲端優先策略首重身分安全
根據「2022 Thales資料威脅報告」的調查報告統計,混合辦公用於遠端存取應用系統的方式,依序是桌面虛擬化(VDI)為59%、VPN與雲端服務提供單一登入(SSO)機制為53%、部署零信任網路存取(ZTNA)為38%。儘管已逐步延伸強化安全措施,至今仍有高達80%的受訪企業對於遠端辦公資安風險感到非常擔心或有些擔心,主要因素是45%受訪企業遭遇駭客攻擊次數不減反增,攻擊類型分別是勒索軟體(58%)、惡意程式(57%)、阻斷服務攻擊(45%)。
此外根據該報告統計,半數的受訪者表示曾遭遇安全漏洞影響,其中32%確實爆發過資料外洩事件。追問其因素,雲端優先策略實施後衍生的安全議題可說是關鍵,現階段已有51%受訪者表示至少有40%的資料儲存在外部雲端環境,然而在雲端環境中管理隱私和資料保護法規的遵循,比本地環境內部網路更為複雜,33%的受訪者在過去12個月內曾經歷雲端資料和應用程式的資料外洩或是沒有通過審查事件。
陳昶旭認為,不論任何攻擊手法,首要目標即是竊取用戶身分帳密,以合法手段進行竊取機敏資料、植入後門程式等惡意行為,對此,身分識別機制在現有資安市場上屬於成本低、有效防護的機制,控管得當將可大幅降低遭滲透成功機率,甚至對於中小企業而言,引進可負擔得起的OTP(一次性密碼)機制亦可達到效果。
工具協助建立自動化控管流程
就整個身分生命週期管理來看,陳昶旭指出,至少要做到兩個層面,首先是身分來源為相同位置,其次是即便採用不同身分驗證方法,例如OTP或近來金融圈關注的FIDO(Fast Identity Online),仍須整合到地端Active Directory、LDAP認證系統,以便在員工離職帳號刪除時,OTP系統也自動同步刪除,用以改善過去無效率、易出錯的人工操作,運用工具達到自動化。
其實當前市場上各種IAM技術或工具已發展相當成熟,導入部署的關鍵是必須在用戶體驗與安全性取得平衡,尤其是地端與雲端並行的架構,IT或資安管理者除了考量安全性,同時得對於商業流程有一定程度的了解,才有能力釐清高風險環節,以最小程度影響用戶存取行為的方式增添防護的控管措施。
若以零信任原則的角度來看,最安全的作法是每次員工發起存取請求系統當下都得再次確認的身分,然而實務上勢必會干擾使用者執行工作任務,因此企業得同時引進單一登入(SSO)機制來平衡用戶體驗。陳昶旭說明,傳統方式是用戶第一次登入後保留帳密,供發起存取另一個應用系統時可直接帶入,Thales的作法則是帳密的Token用以存取另一個系統須再驗證,甚至增添條件檢查,例如來源IP位址必須是公司內部,否則將觸發OTP驗證。他從實際接觸客戶的經驗發現,甚至有大型企業每半年定期由第三方顧問檢視身分識別與存取管理策略,以持續改善數位化演進過程中的安全性。
整合建構統一管理降低維運負擔
數位轉型驅動愈來愈多企業IT改採雲端優先發展策略,IAM技術供應商也逐步跟進,但是陳昶旭觀察台灣客戶需求,目前仍以地端為主,為單一應用系統增添多因素驗證機制。問題是隨著雲端服務數量增多,身分識別與存取管理複雜度勢必將難以負荷,此時即可借助Thales提供的SafeNet Trusted Access解決方案支援混合雲應用場景,也就是整合地端VPN、專屬驗證伺服器,包含金管會發起成立金融行動身分識別聯盟推動的金融FIDO亦可支援,無需完全仰賴雲端服務。
為了協助企業導入部署雲地整合的身分識別與存取管理體系,Thales顧問服務團隊可協助評估應用場景制定執行計畫,讓地端既有應用軟體、VPN、Active Directory等系統,以及雲端服務,得以透過API整合建構統一存取管理,降低維運負擔,並且引進無密碼驗證機制的FIDO標準技術,來改善用戶體驗。此外,Thales把支援超過200種雲端服務的整合方式轉化為設定精靈,僅需於網頁介面上照著步驟執行即可完成。
雲端優先策略發展趨勢中,以往單體式應用系統正在演進到微服務架構,運行在Kubernetes容器環境,DevOps團隊欲建立資料的加解密機制,大多只能自行撰寫程式碼,近期Thales CipherTrust資料保護平台將納入支援,讓DevOps團隊運用工具輔助降低負擔。
Thales大中華區資深技術顧問陳昶旭指出,零信任採以「永不信任、始終驗證」原則,必須在用戶體驗與安全性取得平衡才得以成功,尤其是地端與雲端並行的架構,以最小程度影響用戶存取行為的方式增添防護控管措施。
陳昶旭說明,市場上熟知的CipherTrust資料保護平台,技術實作是從作業系統層執行檔案加密,獲得許多企業肯定,得以不干擾前端應用系統存取同時符合法規遵循。問題是,此方案在Kubernetes環境變得無用武之地,現階段的技術可加密映像檔檔案,卻缺乏針對後端資料庫的防護技術,CipherTrust將補強支援。另一方面,程式碼部署到容器環境,加解密得自行撰寫,Thales研發設計Inline機制,部署在前端程式與後端資料庫之間,讓寫入用戶身分證等機敏資料欄位的執行程序,經過CipherTrust方案自動執行加密,開發者無須修改程式即可實現。
「微服務架構興起改變了傳統應用邏輯,過去寫入資料庫的程式碼可撰寫模組以便於統一呼叫,演進到微服務架構則可能得拆分到不同容器,一旦執行寫入資料庫的動作,透過CipherTrust自動加密,開發者不用再學習撰寫加解密,甚至可能無須理會,把需要加解密的環節交給資安單位來決定。」陳昶旭說。