Posted: 1 Min ReadChinese, Traditional
Original Post: English

深入探索零信任

企業不能再依賴過往流行的護城河與堡壘方式。未來屬於零信任網路

Sean Connery 在《鐵面無私》中扮演的老練警察,教導 Kevin Costner 的角色有關禁酒時期芝加哥的現實時,他對世界運作方式的第一課很簡單:不要相信任何人。

安全領域應採用類似的直率方法,尤其是在重新思考過時的信任假設方面。以往的舊式安全方法是驗證和決定網路邊緣使用者的信任。如果他們值得信賴,他們就能進來。如果不能,他們就被阻擋。然而,真正完整的信任永遠無法建立。

在此同時,過往流行的護城河與堡壘方式岌岌可危,入侵者能藉由牆壁中的裂縫和駭客攻擊,突破邊界型安全防護。有鑑於此,產業開始尋找一種以資料為中心、解決企業安全問題的最新全面性方法。

正如我之前在部落格文章所說,許多企業正轉向 Forrester 的零信任模式,當作務實的藍圖來強化他們的安全計劃。零信任將威脅看作永遠來自四面八方,同時來自外部以及內部。在我們日益以雲端、行動服務為中心的世界裡,不再有邊界的存在,而資料則散佈各地。

因此,必須對資料本身套用精細的保護措施,並且必須涵蓋所有資料存取點建置控管,例如行動裝置、雲端工作負載和公司網路。

在未來的部落格文章中,我們將深入探討零信任的每個關鍵「支柱」,但此時我想更深入討論它在網路安全控制環境中的意義。我們先來看看零信任網路。

零信任網路

在零信任網路中,任何人都無法再自由進出,即使他們就位在網路邊界內。其實並沒有真正的整體網路邊界。網路經過分段,然後再次分段。結果呢?一個微分段網路,有很多微小的邊界。 

任何想要在這些微邊界取得資源的個人或裝置請求,都需要嚴格的驗證。更棒的是,這些邊界內的資料已根據敏感程度進行分類,最敏感的資料已加密。只有經授權的使用者才能直接存取雲端中的這些資料。當然,形式可能會迅速改變,因此監控使用者、根據此能見度,依行為風險分數、裝置類型、使用者位置等因素調整對網段的存取等,這些能力必須納入現代零信任網路。  

請記得,現代網路已延伸到資料中心之外,進入雲端。因此,也必須在雲端應用分段和控管資料的原則,並考量網路,網路中有哪些部分您不希望讓使用者接觸?而有哪些部分他們可能需要存取,才能完成工作,但讓您有點緊張?網路也需要根據風險進行分段,而且資料交換和存取需要監控和嚴格控管。

目標在所有這些領域,提供對網段有限或極可控的存取,以避免暴露在安全威脅之中,並盡可能減少惡意人士突破企業防禦時,可能造成的潛在損害。

除了分段和存取控制之外,還必須掃描和監控網路流量 (無論其來源) 是否有威脅。Web 閘道有能力掃描加密流量,找出可能隱藏其中的惡意程式,專門用於完成大量繁重工作,可安排到沙箱等工具的流量,以阻止零時差威脅。使用威脅隔離等同級最佳工具的電子郵件閘道,可以幫助抵禦我們所有人都會遭遇的網路釣魚攻擊。這些工具獲得精確的即時威脅情報,必須成為零信任網路方法的一部分。

 

許多企業正轉向 Forrester 的零信任模式,當作務實的藍圖來強化他們的安全計劃。

這樣值得嗎?

但是,為什麼要投入時間和精力 (尤其是投資),以零信任立場改造您的網路?我所見採用零信任的組織已經完成計算,確認入侵事件的成本將超過升級網路以符合零信任立場的投資支出。他們知道,如果針的發生了入侵事件,由於已實行了網路分段和資料隔離,影響將可大幅降低。 

同時,零信任網路監控和鑑識應能找出入侵者及其產生的影響,並啟動自動緩和步驟加以阻止。之後,自動化可以策劃網路中以及其他控制點的矯正活動 (例如行動裝置),以使企業的安全狀態恢復到適切水準。 

額外效益:採用零信任還有助於公司在保護資料、在裝置和網路上強制執行身分和存取控制時,遵守他們目前面臨的嚴格合規要求。我已看到組織將他們的零信任計劃,結合必須遵守的更大範圍合規制度。

零信任網路:為何要選擇賽門鐵克?

賽門鐵克憑藉安全解決方案的廣度,在提供建置零信任網路方法所需的深度能力方面佔有獨特地位。關鍵技術包括:

  • 安全 Web 和電子郵件閘道
  • 威脅隔離和網路沙箱
  • 網路鑑識和加密流量管理
  • Information-Centric Encryption 和 Data Loss Prevention (DLP)
  • 雲端應用程式安全
  • 使用者行為分析
  • SD-WAN

此外,我們最近與 Fortinet 的防火牆技術合作,將把 Fortinet 同級最佳的新世代防火牆帶入我們的雲端交付網路安全服務。 

隨著企業展望零信任網路的支柱,企業發現賽門鐵克也能滿足他們在零信任之其他領域的需求。我們整合式網路防禦平台的廣度、深度和整合程度,是 Forrester 最近在其 Zero Trust Extended (ZTX) 生態系統 Wave 報告中,將我們稱為領導者的關鍵原因。更多有關賽門鐵克產品組合如何對應到零信任架構的詳細資訊,請前往賽門鐵克的零信任主題頁面。 

如果您正在瞭解零信任,請與賽門鐵克聯繫,瞭解我們可如何在過程中與您合作。希望這些關於零信任網路的討論對您有幫助,我們期待與客戶及合作夥伴繼續討論零信任。

About the Author

Gerry Grealish

Head of Product Marketing, Network Security

Gerry is the Head of Product Management for Symantec’s Network Security product line. Prior to joining Symantec through the acquisition of Blue Coat, Gerry was CMO at Perspecsys, a leader in the fast growing CASB cloud security market.