零信任架構與尖端技術齊步前行,深入內部與外部流量控管。邁出資料安全防護進化之路!
文/屠震
無論你的公司是地區的、全國的還是全球性營運,管理和限制資料送出、接收都至關重要。實施輻射式架構(hub and spoke)可以透過執行統一的全球網際網路政策來大幅降低網路攻擊的風險並最佳化安全投資。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
圖 1 示範如何使用雲端服務來保護所有進出資料流,以及提供 DNS 託管和電子郵件保護。由於超過 90% 的攻擊源自網路釣魚電子郵件、不安全的用戶瀏覽和直接 DMZ 攻擊,因此位於雲端中的強大外圍防禦層(最好靠近潛在攻擊點或區域)可以在公司資產遭到破壞前進行保護。
資料傳入安全控制的演變
DDoS 攻擊為一種流行且廉價的方式來破壞生產並造成聲譽損害,已成為目前首要的攻擊方式。借助 Cloudflare、Akamai 等公司的新技術,他們的 SaaS 服務現在可以阻止全球分散式入口點的攻擊,只允許可信任或經過清理的流量到達公司的設備或系統,例如主頁和 DMZ 服務。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
未來 Web3/IPFS 的部署將消除中心化伺服器被攻擊的可能。圖 2 是由 Zscaler 提供的 ZTNA 架構。
對外上網安全管控
如前所述,大多數攻擊都是由網路釣魚電子郵件和不安全的使用者網路瀏覽引起的。遠端瀏覽器隔離技術不僅為檔案下載提供了改進的保護,也為資料對外傳送提供了更好的保護。該技術能夠區分手動輸入和複製貼上操作,並可以阻止上傳。傳統代理商無法提供如此精確的出站控制。
例如,許多公司已阻止使用 ChatGPT 等網際網路開放人工智慧網站,主要是出於資料保護方面的考量。 然而,借助遠端瀏覽器隔離技術,可以允許使用者手動輸入查詢,同時阻止複製貼上和上傳操作。
零信任防網路釣魚雲端身份識別
擁有有效的零信任、防網路釣魚的雲端身分管理解決方案至關重要。傳統的雙重認證(使用使用者密碼和手機或電子郵件的第二層驗證)無法抵禦網路釣魚。 網路釣魚電子郵件可以透過「中間人攻擊」繞過此控制。 因此,需要一種提供條件存取(主要是存取設備實體身份驗證)的防網路釣魚多因子身份驗證。
[ 推薦閱讀:以人為本 強化企業資訊安全 ]
此外,擁有雲端身分平台(例如 Okta、Azure 或 Google Platform)對於擁有許多 SaaS 雲端應用程式的公司來說至關重要。平台應使用 SAML 或其他標準來提供單一登入。 這種方法簡化了資料保護,因為當員工離開公司時,他們無法再在家中存取 SaaS 應用程式,從而無需管理每個單獨的 SaaS 帳戶終止。
新世代應用程式存取
ZTNA 是「零信任網路存取」(Zero Trust Network Access)的縮寫。 它是一種安全模型,透過在使用者設備和他們需要存取的應用程式之間動態建立安全連接(無論其位置如何)來提供對應用程式和資料的安全存取。
ZTNA 架構,在網路傳輸資料流來看,與 SD-WAN 類似,使用者端點與防火牆控制的資料中心內託管的應用程式都連接到 ZTNA 中央控管雲端或 ZTNA Exchange 設備。 使用者驗證成功後,就會開啟虛擬動態路徑,無需為應用程式的授權存取開啟任何防火牆通訊埠。 對於我們勞累過度的防火牆管理員來說,這簡直是救命稻草。
使用 ZTNA,使用者存取是基於中央的資安政策,這意味著只有被授權使用者才能存取特定的應用程式,並且只提供給他們必要的資源。這種方法減少了公司網路內部和外部的攻擊面,並提供了對應用程式更精細的存取控制。
有了 ZTNA,即使彼此相鄰而坐的員工,他們所能看到的內部應用程式可能並不相同。然而,在當今的大多數公司中,公司網路內的所有員工都可以查看所有內部應用程式,包括一些他們沒有存取權限的應用程式。
值得注意的是,將 ZTNA 與 SD-WAN 結合起來可以提高存取效能。由於每個辦公室都有自己的網際網路連接,在各區辦公室的使用者將使用最近的 ZTNA 入口點存取 ZTNA 供應商的網路,然後再利用高速骨幹網路存取最近的 SaaS 應用程式。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
