John Kindervag是全球第一個提出零信任架構的資安專家,被譽為零信任之父,日前訪臺時,暢談企業導入零信任架構的五步驟。(圖片來源/SEMI)
隨著網路安全威脅日益嚴峻,全球政府機構和企業正積極尋求創新方法來保護其數位與實體資產。在這一背景下,零信任架構(Zero Trust)逐漸成為最具影響力的安全戰略之一。全球率先針對零信任架構的提出者、也是現任Illumio傳道士John Kindervag,日前於國際半導體展(SEMICON 2024)召開的半導體資安趨勢高峰論壇,這是他二度訪臺並公開發表演說,也揭露並分享他對網路戰爭及零信任架構的深刻見解。
現代戰爭的範圍之廣,已經遠遠超越傳統的陸海空領域,隨著全球依賴數位基礎設施,網路空間成為空中、海洋、太空、陸地之外的第五個戰爭領域,全球的軍事、執法機構和企業,每天都在應對這場無形的戰爭。
John Kindervag強調,我們每天都在與網路戰爭對抗,從事網路安全的專業人士,並非只是維護簡單的防火牆IT設備,或進行日常的防毒軟體更新,而是每天都在對抗一個無形但強大的敵人,是一場關鍵的全球戰役。
「每天你所做的事都對全球的安全有深遠的影響,應該為自己的工作感到驕傲,因為這是一場與威脅全球安全息息相關的戰爭。」他說。
John Kindervag被譽為「零信任之父」,早在2010年9月14日,便發表了第一篇關於零信任的文章,正式提出這一資訊安全架構。
他回憶當時的情況:「當時沒有人認真看待零信任,很多人認為這個想法過於天馬行空,甚至是不可能實現的。」但他堅信,這是正確的方向,因為他後來又進行了兩年的研究,並建立了一個零信任的原型環境。
時至今日,零信任已成為全球網路安全戰略的重要支柱,也是網路安全的致勝策略。John Kindervag表示,零信任架構以「拒絕信任」為核心理念,要求所有系統、用戶和設備的信任等級都設定為「零」,從而有效地降低了網路攻擊成功的可能性。
2021年,美國總統拜登在一次演講提到:「聯邦政府必須推進零信任架構,並加快向安全雲服務的過渡。」這一政策要求美國各政府機構設立零信任計劃辦公室,並指派專責經理來推動該策略的落實。
John Kindervag便提到,他與美國政府的合作不僅限於聯邦層級,還涉及軍事領域,包括與美國軍事導彈防禦局討論如何將零信任應用於軍事設施及系統的保護上。
「這不僅僅是保護我們的網路資產,因為這些資產與實體世界緊密相連,必須同時受到保護。」他說。
零信任架構過去大家曾懷疑可行性,如今成為全球共識
John Kindervag身為全球第一個提出零信任架構的發起人,若回顧零信任架構的起源,可以溯及2010年9月14日,當時這一理念首次被提出時,並未引起太大的關注。
他說,最初發表零信任架構的演講,當時僅有14人參加,許多人覺得這個理念過於激進,甚至難以實施;然而,他在經過兩年的深入研究並獲得一些企業的支持,逐步完善了這一安全戰略。
但即便如此,零信任當時依舊是曲高和寡的資訊安全架構,直到2021年5月12日這一天,美國總統拜登發表聲明,要求聯邦政府全面推行零信任架構並且重視雲端安全之後,零信任架構瞬間成為全球重要的資安框架。
這也意味著,零信任理念從邊緣進入主流,還促使美國政府各部門紛紛設立零信任專責部門及管理辦公室,開啟了政府層面的零信任安全計畫。
「零信任架構不僅僅是保護數位資產,它同樣涉及保護實體設施,這一點在與美國導彈防禦局的合作中體現得尤為明顯。」John Kindervag指出,網路威脅與實體設施日益相關,任何數位攻擊都有可能轉化為實體威脅,對於軍事和政府機構更為如此。
零信任架構與傳統安全模式不同,零信任消除了內部系統的固有信任,拒絕信任傳統系統的任何內外部設備或用戶,無論內部網路還是外部設備,都必須接受相同的安全策略監控,並且對於每個用戶、設備和應用程式,設置了同樣嚴格的驗證和授權要求。
John Kindervag表示,「很多人將零信任與多因素身分驗證(MFA)混為一談,或者認為它只是VPN的替代技術,這是錯誤的觀念。」
他進一步解釋,零信任其實是一種戰略理念,能夠適用於任何組織,防止資料洩露並降低網路攻擊的成功率。
零信任架構常見的4大謬誤(False)
零信任是讓系統變得可信。(Zero Trust means making a system trusted.)
零信任是關於身分驗證的。(Zero trust is about identity.)
市場上有零信任的產品。(There are zero trust products.)
零信任非常複雜(Zero trust is complicated)
資料來源: Illumio傳道士John Kindervag,iThome整理,2024年10月
打破傳統信任模型,零信任成應對內外威脅的新標準
傳統的信任模型是「內外有別」,對於內部和外部的信任程度並不一樣,這種方式在過去也主導了網路安全的策略。
然而,隨著內部網路和外部攻擊者的界限逐漸模糊,傳統的信任模型已經無法有效應對日益複雜的網路威脅。
在零信任架構中,每一個數位行為──無論是來自內部還是外部──都被視為潛在的風險,這意味著所有的流量、設備和用戶,都必須被持續監控和驗證。
透過這種方式,可防止攻擊者進入系統後的進一步擴展權限,從而有效降低了資料洩露的風險。
「人類的信任是一種情感聯繫,但在數位世界中,這種信任應該被完全消除。數位系統中的一切只是資料,沒有情感,只有0和1。」John Kindervag強調,信任只應存在人與人的互動,而不是機器與機器的通信。
隨著零信任的理念逐漸被全球政府和企業所接受,這一資安架構也不斷地演進和擴展。特別是隨著美國政府積極推行零信任政策,許多國家和跨國大企業也開始跟隨這一趨勢,並將零信任作為防禦網路攻擊的核心策略之一。
零信任不僅適用於網路資產的保護,還涵蓋對實體設施的安全保障,這一點在美國政府與導彈防禦局的合作中,也得到驗證。
他表示,隨著現代網路與實體設施的深度整合,如今的網路威脅,正逐漸演變為直接影響實體安全的風險。
零信任的另一個核心理念在於「分權管理」,目的就是為了防止過度授權所造成的內部安全風險。
過去,許多企業和政府機構的授權管理上存在過度信任,這使得內部威脅成為了網路安全的重大隱患。
他也特別提出曼寧(Chelsea Manning)和斯諾登(Edward Snowden)的案例說明,前者將超過70萬份美國國防部和國務院的機密文件,洩露給維基解密(WikiLeaks);後者則向《衛報》和《華盛頓郵報》的記者洩露了大量的機密文件,揭露美國國家安全局針對全球互聯網通信和電話記錄的全球監控計畫。
這些內部威脅者,原本是系統中的「可信用戶」,擁有多重身分驗證措施,但由於缺乏對資料流量的監控,他們最終成功竊取大量敏感資料。
「這些案例揭露了傳統網路安全模式中的致命漏洞,意即進入系統後就可以自由存取的權限。」John Kindervag說。
「零信任的核心不僅在於身分驗證,而是基於身分驗證來決定用戶是否應該被授予存取權限。」他指出,這正是零信任架構與傳統安全策略的根本區別。
零信任架構在技術上被一些人視為複雜的安全實施,但實際上,它的理念非常簡單。
John Kindervag表示,他的好友Greg Tuhill將軍、被美國歐巴馬總統任命為美國首任美國聯邦首席資訊安全長便曾提及:「為什麼人們總是讓零信任聽起來那麼複雜。」
對此John Kindervag提出回應,他表示,這可能是因為人們喜歡把事情變複雜,才會顯得他們更加聰明。
但事實上,零信任的理念是直觀且易於理解的。因為,他認為,零信任的簡單性,恰恰就是它的力量所在。
他總結說道,只要可以正確理解零信任架構的基本原則,就可以作為一個強大的武器,幫助政府和企業在網路戰爭中,立於不敗之地。
用特勤局保護美國總統的策略來比喻零信任
為了能夠更好地理解零信任架構,John Kindervag透過美國特勤局如何保護總統的方式,進行比喻。
他表示,特勤局的保護過程也揭示了零信任三個核心理念的關鍵要素,也適用於網路安全中保護資料和資產的方式。
首先,特勤局始終知道「誰是總統」,這意味著他們不需要發現總統的存在,因為總統是他們全程保護的焦點。
這一點對應了零信任的概念中,必須先清楚了解需要保護的資產對象,並且無需多次驗證其存在。
其次,特勤局清楚總統的具體位置,知道「總統在哪裡」,確保在整個過程中不會弄丟總統。
這一點在零信任中對應的是資產的可視性,意即需要時刻掌握資料和關鍵資產的流向,並保證它們在預期的範圍內。
最後,特勤局嚴格控制「誰可以接近總統」,確保只有通過審查的人員才能靠近總統。
這與零信任中的授權過程類似,強調每個存取的請求都需要被精確審核,並根據具體需求進行動態管理。
這三個要素構成了零信任的核心,他表示,在充分理解這些原則後,零信任看起來就不會那麼複雜,而是極其嚴謹的保護策略。
Illumio傳道士John Kindervag以美國特勤局保護美國總統為例,解釋零信任的核心概念,那就是知道「誰是總統」、「總統在哪裡」以及「誰可以接近總統」。(攝影/黃彥棻)
深入分析特勤局的工作方式,可用來進一步說明零信任的內涵。
當我們看到特勤局人員執勤,有些人可能看起來只是站著,拉緊了外套,並未進行實際的保護工作,然而,這實際上是一種「安全劇場」(Security Theater)。
所謂安全劇場,是指那些看似保護措施的行為,實際上並沒有發揮任何實際保護作用,這類似於一些企業所採取的、僅具表面作用的安全策略。
相反的,真正的安全措施,是在更隱蔽且精確的位置進行的,這就是零信任中的「保護面」(Protect Surface),就是需要集中保護的關鍵資產範圍,這也是零信任的核心概念之一。
許多網路安全討論都集中在如何管理「攻擊面」(Attack Surface),但事實上,攻擊面不斷擴大,猶如無窮無盡的宇宙,幾乎無法完全控制。
因此,與其嘗試縮小攻擊面,不如將焦點轉向保護面,這一思路轉變,有助於企業集中力量保護最核心的資產,避免資源分散。
舉例來說,特勤局的保護對象並非每位民眾或整個城市,而僅限於總統及其家人,而這樣的保護策略,非常類似零信任的做法,重點在於精準保護,而不是試圖一網打盡,避免所有風險。
零信任運作強調動態權限與最小授權
特勤局的保護措施不僅靠近總統這個「保護面」,還建立緊密環繞在總統周圍的「微型邊界」(Micro-Perimeter),促使控制更為精確。
這意味著在零信任架構下,對於特定資產、資料或應用,要設置更精細化的安全邊界,以確保更嚴格的存取控制。
不過,在傳統的網路安全策略中,這種微型邊界周邊的控制措施通常放在外圍,例如:防火牆或端點裝置的安全工具,這些地方與真正要保護的資產相距太遠,從而產生「滯留時間」(Dwell Time),滯留時間是指:攻擊者成功入侵系統後,尚未被發現的時間。
長時間的滯留,會給攻擊者提供更多時間進行橫向移動,最終可能導致資料洩露。
而John Kindervag表示,零信任透過可視性和持續驗證,大大縮短了滯留時間,使得攻擊者無法長期隱匿於系統內。
在零信任模型中,可以隨時查看系統中發生的所有行為,針對所有存取請求,只有允許或拒絕兩種結果。
這種二進制的安全策略,意味著系統從最初,就不允許任何不受信任的行為進入,不是在事後試圖阻止潛在的威脅。
以美國特勤局的保護策略為例,只有經過特殊許可的特定探員可以接近總統,而保護總統的具體工具,如專車「野獸」,僅僅是交通工具,並不是保護的核心。他說,無論總統處於什麼環境,核心的保護策略始終不變。
同樣的,在零信任的框架下,則會通過動態的安全策略即時監控環境變化,不斷更新政策來應對潛在的威脅;特勤局也會即時更新威脅情報,通知相關人員進行應對,這類動態反應的策略與零信任所提倡的精準控制理念,不謀而合。
零信任的關鍵特徵是基於「需要知道」原則動態授予權限。在這個模式下,並不是試圖通過各種被動的安全措施阻止攻擊,而是從一開始就拒絕所有未經授權的請求,並只允許符合條件的存取。
舉例而言,當總統乘坐專車時,只有兩位特勤局探員可以接近他,這樣的精確控制符合零信任的「最小授權原則」,每位接觸資料或系統的使用者,都必須根據角色和任務,分配最小的存取權限,這樣可以最大程度降低內部風險。
而John Kindervag認為,這一動態授權過程的最大挑戰是:保持系統的精確可視性,只有清楚掌握每個存取請求的背景與目的時,才能根據具體需求來靈活調整授權策略,從而實現對內外部威脅的即時防護。
雖然許多人認為零信任是一個複雜的安全體系,但它的核心理念其實非常簡單。正如John Kindervag所說,這種安全模型只是基於「信任最小化」的基本原則進行設計,並不像傳統的安全技術那樣試圖解決所有問題。
通過將每個安全控制措施緊密圍繞在最需要保護的資產周圍,零信任大大降低了系統受到攻擊的風險。他表示,這不是一個技術上的複雜策略,而是應用簡單且嚴格的原則來防止潛在的威脅。
零信任架構的理念強調「永不信任,始終驗證」
隨著網路攻擊的頻率與複雜度不斷增長,零信任逐漸成為全球安全策略的核心框架之一,像是美國政府在其聯邦網路安全政策,便已經全面採用零信任作為防禦的主要模式,其他也有許多國際大企業和其他國家,開始將這一架構納入其安全防護計畫中。
隨著全球網路環境的不斷變化,零信任將在未來的安全框架中扮演愈加重要的角色,傳統的安全防護模式,已經無法應對日益複雜的網路威脅,這使得零信任架構成為當今網路安全的關鍵解決方案之一。
隨著各種資料外洩事件頻繁發生,John Kindervag表示,企業對於資料保護的需求變得越來越迫切,而零信任不僅適用於資料保護,還可以靈活應對實體基礎設施的安全需求。
在過去幾年中,也發生數起重大資料外洩事件,這些事件則揭露了傳統安全措施的缺陷,並強調零信任架構的重要性。
例如,某個大型企業的S3雲端資料庫,因為配置錯誤導致資料外洩,根據訴訟文件的顯示,這並非是單純的技術失誤,而是由於公司高層,故意放鬆了安全限制,以便能夠加快開發進度。
John Kindervag認為,這種錯誤的安全觀念就暴露出,企業過度依賴傳統安全措施的風險,他也強調了,零信任架構對於保護企業核心資料、資產的必要性。
正如美國特勤局保護總統的策略一般,零信任架構同樣關注「保護面」的安全。
這種方式,要求組織不僅僅是保護整個網路,而是專注於具體的資料、應用、資產或服務,確保這些核心資產得到最嚴格的保護。
他強調,零信任架構的理念強調「永不信任,始終驗證」,將每個進入網路的使用者或設備視為潛在威脅。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03
