【搞懂零信任，從理解NIST SP 800-207著手】打造以零信任原則的企業網路安全環境

基本上，我們可將網路控管環境，區分為資料層，以及控制層。從資料層面來看，當任何主體透過系統要存取企業資源前，需先經過存取控制的政策落實點（PEP），決定是否給予權限。
而在這PEP的背後，將會藉由控制層所相應的政策決策點（PDP）來判斷，而PDP內部本身包含兩部分，分別是負責演算的政策引擎（PE），以及負責策略執行的政策管理（PA）。
同時，在決策過程中，還會引入多方與外部資訊來幫助決策，包括：企業建立的資料存取政策、PKI、身分管理系統、SIEM平臺資訊，以及威脅情報、網路與系統活動日誌，還有美國政府已提出持續診斷與緩解（CDM）系統，以及產業合規系統等。
查士朝表示，因此ZTA不只是依照管理者設定的政策去判斷可否放行，政策引擎還要考量到多方外部資訊，做到即時調整控制權限。
另一方面，在此章節中，NIST還說明了一些較為技術性的內容，包含ZTA的3項必要技術，4種ZTA部署方式，以及政策引擎在考量多方與外部資訊時，所建議的可信任演算法、風險評分機制，同時，還有ZTA網路環境的需求。
舉例來說，由於ZTA並非單一架構，因此組織可透過多種方式為工作流程制定ZTA，因此NIST更是說明，完整的零信任解決方案，將具備3項要素，包括：進階的身分治理（Enhanced Identity Governance）、網路微分割（Micro-Segmentation），以及軟體定義邊界（Software Defined Perimeters）。
在部署方式上，由於每個公司與組織的環境不同，NIST只是簡單提出4種情境。簡單來說，前兩種是基於代理程式（Agent）的模式，差異在於存取資源時是否經過單獨的網路閘道器，或是將很多資源部署在同個網段，經過同一個網路閘道器，後兩種則是沒有Agent的模式，不同處在於：一個是經過網頁入口，另一是透過沙箱。
查士朝認為，要理解這些部署方式，其實可從在家工作的角度去思考，例如，透過下列3種狀況來比較差異，包括：（1）完全隔離的工作環境、（2）在辦公室工作、（3）異地分區辦公。如此一來，能夠更便於設想。
舉例來說，我們可以試想遠距或行動辦公會面臨的資安威脅。此時，通常較欠缺實體安全防禦，也缺乏維護作業環境安全能力，而且居家也可能受到網路攻擊，以及釣魚郵件攻擊，還有不安全的網路連線伺服器主機，以及未妥善保護的企業網路資源等。
為了讓大家對ZTA更有概念，他特別提到遠端連線的種類，並引用SP 800-46來對照說明。
基本上，遠端連線包括直接應用程式存取、Tunneling、遠端桌面存取，以及入口（Portal），而在ZTA中，VPN只是連線工具，而非安全機制，遠端桌面則有很多缺點，當遠端機器很多時，容易產生安全問題，企業可能透過VDI做到集中式管理，因此，ZTA方案多半屬於入口網站形式，透過入口伺服器的驗證，再讓主體去存取後面的資源，Google的BeyondCorp就是典型的例子。
整體而言，查士朝認為ZTA有5大關鍵，包括保護裝置安全、識別存取者身分、存取控制、持續監控並視為存取控制依據，以及現在存取範圍，並以存取控制為核心，來考量其他技術元件。
NIST零信任架構的組成
零信任架構中最主要的關鍵，就是每次資源存取都要經過存取控制的政策落實點（PEP）去確認是否放行，而此背後則是藉由相應的政策決策點（PDP）來判斷，特別的是，當中的政策引擎除了依據企業制定的資料存取政策，還應分析威情情資、SIEM、活動日誌等多方資訊，來做到基於風險的評分以進行決策。資料來源：NIST，iThome整理，2021年7月
對於ZTA整體布局情境，NIST現階段僅提出較籠統的說明
查士朝指出，這部分主要是在很單純的實務情境中，說明可以如何部署，但細節並未著墨太多。
邁向零信任從評估著手，企業流程更是重要
以ZTA部署生命週期而言，首先要做到評估，這方面包含了系統清單、使用者清單，以及企業流程審查。也就是一開始就要對資產、主體與業務流程，有詳細的瞭解，否則，一旦無法掌握企業現況，企業將無法確定需要那些新流程系統。而在評估之後，步驟則是風險評估與政策制定、部署與作業。
值得關注的是，NIST在這份文件說明掌握業務流程的重要性，因為，相關調查的進行，都與組織業務流程檢查有關。同時，這些步驟可與NIST風險管理框架（RMF）的SP 800-37相對應。這是因為，採用ZTA的每個過程，也就是降低組織業務功能風險的過程。
整體而言，包括要識別企業中的攻擊者，識別企業擁有的資產，接著要清查的部分，是關鍵流程並評估相關風險，之後再來制定ZTA策略與選擇ZTA解決方案。
而在制定存取控制的政策時，也要考慮到基於風險評估的判斷，後續，還要加強對於行為的監控。
就現階段而言，有意導入ZTA的企業，NIST SP 800-207無疑是必須參考的內容，這其實也讓日後各界在討論ZTA時，能夠有一致、共通的語言來溝通，至於後續是否還有其他更具體的資料可供大家參考？
事實上，美國NIST與旗下國家網路安全卓越中心（NCCoE），在2019年2月，啟動了零信任架構的計畫，當中有部分工作與此有關──除了發布NIST SP 800-207標準文件，他們還規畫Zero Trust Test Lab實驗室，以建立符合使用情境的網路環境，統整零信任技術與元件，進行場景測試。
NCCoE也表示，將啟動「實施ZTA」的計畫。他們已經在2020年10月，發布專案描述文件「Implementing a Zero Trust Architecture」，這裡主要提供6個情境，而且是針對的是存取的情境來舉例，同時也預告日後將發布基於零信任架構的SP 1800系列指引，以及提供最佳實務與資源，屆時企業可以同時參考標準文件與實踐指引，在設計、推動與落實零信任概念時，將會更有幫助。
 

Related Keywords

Taiwan ,United States ,France , ,For Association ,Technology University Professor ,Center On Start ,Service Access ,United States Internet ,File Guidelines ,Coloane Territory ,Taiwan Science ,Access Data ,Access Request ,Access Enterprise ,Control Manager ,Federal Guidelines ,Enterprise France ,Description File ,Security All ,Enterprise Industry Resources ,டைவாந் ,ஒன்றுபட்டது மாநிலங்களில் ,பிரான்ஸ் ,அல்லது சங்கம் ,சேவை நுழைவு ,ஒன்றுபட்டது மாநிலங்களில் இணையதளம் ,டைவாந் அறிவியல் ,நுழைவு தகவல்கள் ,நுழைவு கோரிக்கை ,கட்டுப்பாடு மேலாளர் ,கூட்டாட்சியின் வழிகாட்டுதல்கள் ,பாதுகாப்பு அனைத்தும் ,