透過可見性構建 零信任網路架構
趨勢科技首席技術策略長 David Chow 在一場與媒體的座談中,暢談其在美國任職政府機關資訊長時,如何逐步構建網路安全防護能力,終至打造零信任網路架構。
採訪/施鑫澤‧文/楊迺仁
傳統的網路資安,通常是在能夠存取企業資產的網路周圍,築起一道安全「圍籬」,防止駭客進入內部散播惡意程式和勒索病毒。這樣的方法一般稱為「邊界防護」。但這種方式存在著一些缺點,不論閘道口的戒備多麼森嚴,駭客一旦能夠通過,就能在防火牆內暢行無阻。
網路安全領域因此開始關注「零信任(Zero Trust)」網路的概念,其精隨在於沒有任何連上網路的使用者、裝置或資產原生就是安全的。每一次的連線,在被證明可以信任之前都不能被信任,不管是今日企業的工作方式、個人自備裝置 (BYOD)、遠距上班、雲端元素、服務型態(as-a-service)的解決方案,都必須全部納入網路資安的考量範疇當中,每一次的存取都必須持續受到監控以及反覆不斷授權。
網路安全需要掌握完整的可見性
趨勢科技首席技術策略長 David Chow 表示,零信任網路其實更像是一個參與對話的框架,可以讓不了解網路安全的人,更好的了解網路安全的影響,同時也能改變人員處理資安技術的方式。
David Chow 也分享了他之前在美國聯邦住房和城市發展部(US Department of Housing and Urban Development;HUD)擔任 CIO 的相關經驗。David Chow 表示,他在 2018 年 8 月接任 HUD 的 CIO 時,問員工的第一件事是:「我們有 Splunk 嗎?我們有沒有辦法在網路中掌握完整的可見性?」
HUD 員工卻回答:「什麼是 Splunk?」
David Chow 認為,在某種程度上 HUD 並沒有真正關注網路安全,不僅在網路和應用程序數據和日記記錄中,能看到的資訊非常有限。事實上,HUD 的 IT 預算每年雖然高達 4 億美元,但在 David Chow 上任之前,可能僅將其中的 5% 用於網路安全。直到 HUD 將網路安全預算比重增加到全部預算的 20%,才真正開始算是構建了資安能力並開始前進。
更嚴重的問題是,HUD 的網路安全計劃,包括整個訊息和網絡安全審查的部分,實際上是不太完整的。他表示,許多 IT 人員起初都是來自不同的部門,也沒有特別完善的訓練計劃。
透過路線圖方便溝通
David Chow 因此開始著手透過零信任網路架構的概念,來為 HUD 建立網路安全基礎。David Chow 表示,零信任網路的本質,就是在安全邊界之外,或之內運行的新參與者、系統網路或服務都是不可信的,所有的事務,都必須透過認證或建立訪問權。
但他最初的概念,純粹是將其用作對話片段,透過對話來獲得必要的支持和預算,實際的作法是設法將網路安全的觀念,有效傳達給決策者、同事或機構負責人,讓人們開始對什麼是網路安全,覺得有了解的必要。
David Chow 認為,企業若想要增強網路安全的成熟度,首先要找到處理相關技術人員的交流方式,然後開始構建基礎,並將其構建為成熟度框架的一部分,其中有很多工作,都只是為了確保必要的可見性,在有效的資源控管下集中控制及管理,建立系統化及可重複的流程,以及在環境中進行實時保護,然後利用這種方式進行溝通和提高透明度。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
HUD 實際構建的路線圖共分為三個階段。
第一階段是審視我們之前的位置。第二階段是現在所處的位置,所以在制定路線圖時,實際上已經處於第二階段,然後是第三階段,基本上就是要朝哪個方向走。
所以在某種程度上,一個非常清晰的路線圖很重要,不僅可以在內部展示,員工也能因為看到願景和進展,而覺得有支持的必要。但對 HUD 而言,最重要的是實際上要與美國國會分享,因為國會必須接受,並了解網絡安全方面存在缺陷,才會繼續為行動提供資金。
David Chow 表示,HUD 很快就確定了四個主要的戰略目標。
第一目標是製定和完善網絡安全風險管理計劃;
第二目標是發展完善企業安全管理中心(SOC);
第三目標是所有數據的保護;
第四目標是建立網路安全文化。
要達成這四個目標,需要在人員、流程、技術方面加以努力,如第二及第四目標,就需要教育員工,確保整個組織在網路安全方面的必要意識。流程則與第一及第二目標相關,以確保適當的安全策略,實際解決審計結果希望做的事情,技術則是與第二及第三目標相關,用來補充缺乏的東西,實現環境中必要的可見性。
David Chow 指出,可見性非常關鍵,網路安全運營中心必須有辦法集中監控和部署功能,來監督環境中發生的事情,以確保可以通過理解環境中的所有風險,來降低企業的整體風險。
David Chow 表示,網路安全機制的一部分還包括數位轉型。如 HUD 的業務之一,是管理 1.3 兆美元的美國抵押貸款交易,由於之前主要是由大型主機系統管理,有很多紙本作業、僵化以及網路安全等運營問題,後來就是透過低代碼平台(low-code)、雲端運算,使用 FedRAMP 認證等解決方案,終於能將索賠流程的處理時間,從 17 個月轉變為 17 秒。
不僅如此,它實際上還降低了整體運營成本,並可將其轉化為加強數位轉型和提升網路安全成熟度,隨後也導致更好的風險管理,以及降低網路安全的整體風險。
人員、流程、技術
David Chow 表示,從他在 HUD 的經驗可以發現,人員、流程、技術是最先需要解決的問題。所以首先要設法獲得必要的資金以及領導層的支持,然後通過路線圖進行全面溝通,聘用及培訓合適的網路安全人員,並設定正確的期望目標。
然後是流程改善,以確保我們制定了適當的政策能夠有效回應,特別是學習和測試用戶行為,同時處理總體審計結果。最後是利用技術來增強 IT 環境中查看風險可見性的能力。
David Chow 指出,對於現今網路安全的演變,隨著技術和威脅的增強,企業已經意識到網路安全的影響,合規驅動不再有效。事實上,美國已經開始推動立法,要求所有公開上市企業的董事會,都需要具備網路安全專業知識,其中的零信任網路架構,識別和整體網路安全環境的成熟度,都是重要的一環。
[ 推薦閱讀:傳統邊界已打破 F5零信任機制保護企業 ]
David Chow 表示,現在的單一管理平台就能夠查看 IT 環境中的所有內容,解決 IT 問題的成熟度也高得多。當人們遷移到雲環境時,當然也要具備必要的安全性,來增強雲安全部分。
David Chow 強調,零信任網路架構可能會很昂貴。因此,每個組織首先都需要了解他們在風險承受能力方面的位置。其次則是定義責任和目標。從風險管理的角度來看,有哪些目標?誰真正負責實現這些目標?將數位轉型作為整體概念,然後有辦法確保為環境建造合適的空間。
最後,要將網路安全整合為風險管理能力。如整合 XDR(延伸式偵測及回應)蒐集並自動交叉關聯涵蓋多個防護層的資料,包括多重身份驗證以實施並作為網路安全成熟度基礎的一部分,最終在此基礎上構建整個 IT 環境中更高級別的成熟度。
零信任網路的五根支柱
David Chow 最後指出,零信任網路架構需要五根支柱:
第一根支柱是身份識別,包括如何實現多重身分識別;
第二根支柱是設備,如何做好資產盤點,確保資產能在設備上被識別;
第三根支柱是網路,包括如何使用網路、監控、保護資料等相關部分。
第四根支柱是應用程序和工作負載,這與雲安全功能非常相似。
第五根支柱是數據,你必須進行必要的數據加密,同時確保有數據分類和識別數據的敏感性,以便花費資源來保護它。
實際上的每個領域都存在挑戰,David Chow 認為,首先必須在環境中具有必要的可見性。擁有 XDR 解決方案將能夠獲得可見性,隨後擁有正確的加密,並將所有五個區域支柱結合在一起,以形成整體零信任架構。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
