疫情延燒迄今,所幸台灣控管得宜,遭受到的衝擊相對較小,日常生活與工作模式的改變並不大,得以從容驗證遠距工作須制定的相關管理辦法,進而以零信任實施降低資安風險。
對此Thales提出三角模型落實零信任,主要針對身分辨識、裝置控管、資料保護三大方面,整合旗下SafeNet Trusted Access雲端服務、Luna Network HSM設備、CipherTrust Data Security平台來實作控管措施。
Thales大中華區資深技術顧問陳昶旭指出,過去不論是出差、拜訪客戶,若要透過公司配發的筆電上網查詢資料,必須先以VPN連線回公司才能接取外部網際網路。開始實施居家辦公之後,原本VPN可能僅有少數人才需要使用,突然間全數員工都得配發,首當其衝自然是頻寬及授權數量不足。然而更大的問題是,所有員工存取企業內部資源及應用服務,都會先透過VPN連線進入內部網路,攻擊者當然也觀察到這個轉變,勢必會大舉利用VPN漏洞進行滲透,因此企業關鍵應用系統須改以零信任方式防護,才能有效降低風險。
IAM搭配多因素驗證把關風險
台灣多數企業對於信任區域的認知,仍停留在內網為安全可被信任,因此思考零信任概念時較著重於外部資源的存取,鮮少針對既有地端IT架構進行調整。陳昶旭觀察近期接觸的客戶,評估多因素驗證解決方案的目的主要提供給外部廠商使用,最終決議往往是讓員工僅使用帳密就可以遠端登入連線回到內網存取資源。由此來看,零信任概念仍舊得持續教育,尤其是數位轉型應用模式中,雲端運算已成為重要環節之一,以往邊界防禦築高攻擊門檻已無法發揮效益,零信任可說是現階段較適合混合雲應用的防護模式。
若應用系統並非部署在企業內部,而是已遷移上雲端平台,陳昶旭認為,可參考美國國家標準暨技術研究院(NIST)發布800-207文件中說明的零信任準則,建議讓員工直接存取雲端服務,無需再經VPN連線回到內部網路,減少攻擊者可利用來滲透進入內部網路的管道。
過去企業IT架構設計大多以內部網路為統一對外出入口,藉此運用深度封包解析等技術偵測防範惡意程式。不過現代的SaaS服務皆設計為公開網頁登入方式,只要攻擊者竊取到帳密即可合法登入,企業要求員工透過VPN連線存取SaaS意義不大,應搭配可針對雲端服務控管能力的身分識別與存取管理(IAM)機制才可發揮效益。
陳昶旭進一步說明,Thales設計的身分識別與存取管理方案,已結合高權帳號管理機制,在第一道多因素驗證通過後,增加單一登入(SSO)與存取管理(Access Management)功能,這屬於零信任框架中提及的存取政策控管範疇,依據部門別的職務指定允許存取的應用系統與資料,其他行為則一概禁止。例如,員工透過VPN登入內部網路環境之後,可允許直接接取到Office 365,工作任務若有需要登入Salesforce雲服務查詢客戶資料,則必須通過多因素驗證。
企業以往設計的單一登入機制,主要是為了方便員工存取多個應用系統,只須驗證一次即可,零信任控管模式則強調,針對涉及機敏資料的應用系統,必須再次驗證,以降低風險。IT管理者可藉由存取控管提供的儀表板,查閱使用者登入狀況與操作行為記錄,藉由科學數據統計分析來調整高風險環節的政策配置。
身分即服務讓異質App統一驗證
對於IT管理者而言,不論是多因素驗證、單一登入、存取控管,皆採用相同系統來配置權限與掌握存取行為狀態,統一控管模式才可降低複雜度。問題是採用雲端服務的企業,多數會直接使用該雲端平台提供的多因素驗證服務,往往使得管理成本過高,例如員工離職後得手動撤銷帳號;或者是員工登入異質App就得重新再執行驗證。
「採用Thales提供的SafeNet Trusted Access雲端服務,可協助建立統一驗證機制,讓異質App得以單一登入方式存取,這種模式我們稱為身分識別即服務(Identity as a Service)。零信任管理模式興起的同時,無密碼(Password-less)驗證機制正在快速發展,接下來若得以讓兩者結合,將有機會消除多數企業對於雲端服務的疑慮。」陳昶旭說。
大部分企業不採用雲端服務,其一是不願意把重要的密碼存放在外部平台,此時無密碼驗證機制即可解決。例如Thales內部配發的筆電是採用Smart Card方式來登入網域,屬於多因素驗證的一環,只是Smart Card過去無法存取雲端服務,如今則可透過SafeNet Trusted Access協助,讓企業可直接採用PKI卡,抑或是基於FIDO(Fast Identity Online)標準以無密碼方式登入雲端服務。
連網裝置內嵌安全元件增進防護力
Thales相當看重雲端服務將衍生的安全性需求,內部已設置專責部門推廣SafeNet Trusted Access,可直接把企業端應用需求回饋給研發單位,並且快速地設計提供相關功能,例如前述提到Smart Card登入雲端服務,是在2020年初才整合提供,FIDO標準驗證機制也是日前才上線。
Thales大中華區資深技術顧問陳昶旭指出,Thales提出三角模型落實零信任,主要針對身分辨識、裝置控管、資料保護三大方面,整合旗下SafeNet Trusted Access雲端服務、Luna HSM設備、CipherTrust Data Security平台實作控管措施。
畢竟零信任核心精神是讓可信任的人或設備得以順利取用,不同於過去的防禦主軸在於抵抗外部威脅攻擊,兩者設計研發的風險管理機制實作方式自然不同。Thales提出的零信任控管框架是以身分、裝置、資料為核心,針對人的身分可採用SafeNet Trusted Access雲端服務輔助,資料則可交給CipherTrust Data Security平台,以加密技術執行保護措施,當存取需求產生時,必須通過驗證才可開啟,並且記錄操作行為。
至於裝置方面,首要著重的是設備識別,目前市場上主要仰仗PKI技術,並且已有硬體製造商開始將PKI納入安全元件(Secure Element)的設計。連網裝置內嵌安全晶片後,不僅存放金鑰亦具備運算能力,製造商便可藉此辨識進而執行韌體更新,透過自建部署Thales Luna Network HSM設備可發送設備憑證,運用安全等級通過共同準則(Common Criteria)與聯邦資訊處理標準(FIPS)140-2第三級的硬體架構,在金鑰整體生命週期中防範惡意入侵確保免遭篡改。此外,Luna亦提供雲端服務,可自動同步地端部署硬體設備保護的金鑰,防範中間人攻擊事件發生。