什麼是零信任安全性?
零信任安全性概念深信隱式信任一律含有弱點,因此,安全性必須採用「永不信任,一律驗證」的設計策略。簡單來說,零信任會嚴格落實身分識別和裝置驗證流程,藉此對 IT 資源的存取權限施加限制。
舉凡零信任身分識別 (ZTI) 和零信任存取 (ZTA),皆可確保無論裝置或使用者的所在地和所屬類型為何,都不會依預設授予信任,零信任網路存取 (ZTNA) 則會限制經確認的使用者和裝置只能存取特定網路分段,而非授予整個網路的存取權限。

消弭開發、資安和營運部門之間的差異:零信任焦點

端對端零信任的實用做法
什麼是零信任?運作方式為何?
零信任會對使用者和裝置落實嚴格的安全性控制機制,隨後才授予受保護資源的存取權限。零信任身分識別驗證和授權會採用最小權限原則 (PoLP),僅授予特定功能所要求的最小限度權限,然後再傳輸單一封包。
網路資源的存取方式歷經諸多變革,正是導致零信任成為必要之舉的主因。網路周邊或僅限 VPN 的存取模式,早已過時;時至今日,與日俱增的行動員工,以及蔚為風潮的在家工作趨勢,皆迫使企業需要尋求新的使用者安全性方法;在此同時,由於容器和微服務的運算更加趨於分散,也意味著裝置對裝置的連線數量正不斷增加。
正因如此,零信任要求進行相互驗證,以確認裝置 (無論其位於何處) 的身分識別和完整性,進而根據裝置身分識別、裝置運作狀況和使用者驗證的可信度,為其授予存取權限。
零信任的優勢
零信任網路架構可因應網路拓撲和使用方式演變所衍生的兩大弱點。傳統上,網路安全性會使用周邊加以界定,將企業網路的「內部」和「外部」明確劃分開來。通常,上述做法會為「內部」使用者授予整個網路周邊的存取權限,因此,位於任一網路分段中的裝置,將可看到企業網路周邊內的其他所有網路分段。
時至今日,雲端、行動裝置、邊緣和物聯網的崛起,讓運算裝置和存取權限變得極度分散;在網路內外部的分界點趨於模糊之下,保護網路周邊的難度也與日俱增。零信任網路存取假設網路周邊內外部的任何項目都不應受到信任,因此,所有存取的每個交易和連線都需進行驗證。驗證完成後,零信任網路存取就會建立一個存取權限極度受限的微分段網路。零信任身分識別並非以 IP 位址為基礎,而是以邏輯屬性為基礎,例如虛擬機名稱。
零信任安全性使用情境
零信任安全性的使用情境相當多元,包括用來限制外部第三方 (例如廠商和承包商) 的存取權限、隔離物聯網裝置,以及為數量日益龐大的行動員工提供安全的遠端連線。
將零信任運用在廠商和承包商上:
許多引發軒然大波的安全性漏洞,皆肇因於「受信任」的第三方,例如惡名昭彰的 Target 公司漏洞事件。為外部組織提供廣泛的存取權限,可能會帶來災難性的後果。而零信任可透過兩種方式解決這項問題。首先,使用多重要素驗證或其他身分識別和存取管理 (IAM) 平台,為每個外部對象指派一個權限類別,藉此定義對方在網路內的存取權限,繼而執行嚴格的驗證。再來則會運用分段,限制第三方僅能存取執行工作或交易所需的該網路部分。
將零信任運用在物聯網上:
物聯網裝置正以勢如破竹的趨勢持續成長,根據預測,在 2023 年,其數量可達 150 億左右。無所不在 (而且通常安全功能相當有限) 的物聯網裝置,必須採用零信任方法來存取網路資源。舉例來說,只要物聯網裝置隔離在單一網路分段中,即可達成上述目的;此舉能限制遭入侵的物聯網裝置存取,並防止橫向擴散至其他更敏感的網路資產上。
將零信任運用在遠端工作者上:
隨著越來越多員工因公司政策或疫情之故,在傳統網路周邊外部工作,零信任網路存取可確保所有員工 (無論使用 VPN 或 Starbucks 的公共 Wi-Fi 工作) 都能安全地連接完成工作所需的企業資料、服務和資源,藉此提供安全的員工存取,並縮小攻擊範圍。
零信任模式的核心原則
零信任的主要原則,就是「永不信任,一律驗證」。無論裝置或使用者的所在地、IP 位址或網路存取方式為何,皆不會受到信任。網路中的所有互動不管來源為何,一律都需進行驗證。此外,網路存取範圍也僅限達成目標所需要的最小分段;畢竟,多數網路都涵蓋許多緊密連結的區域,包括地端基礎架構、雲端、遠端和行動裝置使用者。
對 VMware 而言,零信任安全性意味著建置更穩健且動態的現代化安全性架構,並採用更深入且更全面的依據來建立信任。
為了實現此一更加完善的零信任方法,VMware 致力於滿足零信任架構的五大要素。

零信任的主要原則,就是「永不信任,一律驗證」。無論裝置或使用者的所在地、IP 位址或網路存取方式為何,皆不會受到信任。網路中的所有互動不管來源為何,一律都需進行驗證。此外,網路存取範圍也僅限達成目標所需要的最小分段;畢竟,多數網路都涵蓋許多緊密連結的區域,包括地端基礎架構、雲端、遠端和行動裝置使用者。
對 VMware 而言,零信任安全性意味著建置更穩健且動態的現代化安全性架構,並採用更深入且更全面的依據來建立信任。
為了實現此一更加完善的零信任方法,VMware 致力於滿足零信任架構的五大要素。
1. 裝置信任:
組織可實作裝置管理、裝置監視清單、裝置合規性和裝置驗證等解決方案,以大幅降低未經授權使用者取得裝置存取權限,並運用該權限從事惡意活動的風險。
2. 使用者信任:
使用者信任涵蓋密碼驗證、多重要素驗證、條件式存取,以及動態評分,這些機制都可用來「證明」該使用者為經授權且通過驗證的使用者。
3. 傳輸 / 工作階段信任:
傳輸 / 工作階段參數會透過限制授予使用者的存取權限,以及套用執行指定工作所需的最小權限等方式,落實資源存取的最小權限原則。
4. 應用程式信任:
使用單一登入 (SSO)、隔離和任何裝置存取等工具,將應用程式信任參數予以強化。
5. 資料信任:
VMware 零信任安全性模式的最後一個要素,就是資料信任。資料信任策略涵蓋透過加密或不可變等方式保護靜態資料、資料完整性 (經常檢查資料完整性)、資料外洩防護 (DLP),以及資料分類。
上述五大零信任要素,皆受到能見度和分析架構層,以及自動化與協調作業所支援。
- 分析和自動化
這五大零信任要素可共同建構全方位安全性方法,以大舉推動分析和自動化作業。組織可在這五大零信任要素上運用分析和自動化解決方案,藉此汲取攸關組織安全態勢的洞悉資料。
舉凡使用日誌記錄位置維護所有日誌記錄的中央存放庫、透過儀錶板進行監控,以及運用集中化主控台進行疑難排解等做法,都有助於將五大零信任要素真正體現在解決方案所提供的分析和自動化功能上。 - 自動化與協調作業
制定強大的零信任原則,意味著藉助於更多流程和原則之力來實現這個更安全的環境。自動化與協調作業可將多餘的手動流程轉換為自動化且經協調的方法,繼而讓這項流程更具效率。
舉凡在裝置上保留合規引擎、使用 API 整合外部程式,以及運用關聯性工作流程進行自動修正等措施,都有助於推動更自動化且安全無虞的零信任方式。
實作零信任的最佳實踐方式
許多工具和技術都有助於建構零信任的最佳實踐方式。下方簡單列出了可帶領您邁向成功的重大關鍵:
- 絕不信任且一律驗證所有項目
請假設所有裝置都已遭到入侵,且絕對不要信任任何未經驗證的裝置。零信任身分識別工具可將身分識別控制機制推送至端點,進而確保裝置會先完成註冊,才能取得企業資源的存取權限。裝置註冊也能簡化識別和確認每部裝置所取得權限的作業,並確保裝置符合零信任網路存取需求。 - 採用網路微分段
零信任網路架構一次只會授予對部分小型網路區段的存取權限,而且只有已確認有權存取每個網路區段的使用者,才能獲得存取權限。使用者與裝置驗證則是在微分段層級進行。連線至每個微分段的方式,都是以「需要知道」(need-to-know) 模式為基礎。無論是網域名稱系統 (DNS) 資訊、內部 IP 位址,甚或內部網路基礎架構的可見連接埠等資訊,都不會進行傳輸。
若要存取任何個別區段,使用者必須通過嚴格的身分識別與裝置驗證程序。在建立通訊工作階段之前,所有工作階段都必須經過驗證、授權並記錄 (AAA)。
為了實現零信任身分識別,網路身分識別應以邏輯屬性為基礎,例如多重要素驗證 (MFA)、傳輸層安全性 (TLS) 憑證、應用程式服務,或是使用邏輯標籤。
- 依據最小權限原則 (PoLP) 來限制存取
最小權限原則會將權限和存取限縮在執行特定工作所需的最小限度。如果使用者只需唯讀存取權,請不要授予寫入或執行存取權。
套用最小權限原則時,應將使用者和裝置一視同仁;因此,針對物聯網裝置、連線應用程式和微服務,請僅授予完成其交易所需的最小限度權限。
- 部署多重要素驗證 (MFA)
多重要素驗證已廣泛應用在消費者銀行和金融網站上,也相當適合做為零信任環境的一環。一般而言,多重要素驗證會要求使用者提供至少兩個要素,包括: - 已知資訊:機密資訊,例如密碼、PIN 碼,或使用者記住的字詞
- 擁有的事物:使用者擁有的物件或權杖,例如,以智慧型手機或智慧卡所產生或顯示的一次性使用代碼來搭配已知資訊
- 生物特徵:生物特徵辨識資訊可包含指紋、臉部掃描或視網膜掃描
使用者需要提供兩項 (或更多) 要素來證明其合法性,才能通過驗證。
維護零信任網路
若要維護零信任網路,IT 必須:
- 清楚掌握所有可存取網路的使用者和裝置,以及他們需要具備哪些存取權限才能執行工作。
- 確保網路安全性原則保持在最新狀態,並定期測試原則的有效性,以確認沒有任何弱點成為漏網之魚。
- 持續進行合規性監控,包括持續監控網路流量是否有異常或可疑行為。
- 掌握流量以及流程和資料關聯性層級的能見度,藉此妥善比對正常流量,從而進一步鎖定非正規的通訊模式。
有了 VMware 服務定義的防火牆,企業就能透過單一介面獲得深入的能見度,並享有全方位的原則控制能力。
為了全面實作零信任網路架構,VMware 提供了 VMware 服務定義的防火牆,這是一款建置在 VMware NSX 上的分散式水平擴充內部防火牆,可保護多雲環境中的東西向流量。