John Kindervag是全球第一个提出零信任架构的资安专家,被誉为零信任之父,日前访台时,畅谈企业导入零信任架构的五步骤。(图片来源/SEMI)
随著网路安全威胁日益严峻,全球政府机构和企业正积极寻求创新方法来保护其数位与实体资产。在这一背景下,零信任架构(Zero Trust)逐渐成为最具影响力的安全战略之一。全球率先针对零信任架构的提出者、也是现任Illumio传道士John Kindervag,日前于国际半导体展(SEMICON 2024)召开的半导体资安趋势高峰论坛,这是他二度访台并公开发表演说,也揭露并分享他对网路战争及零信任架构的深刻见解。
现代战争的范围之广,已经远远超越传统的陆海空领域,随著全球依赖数位基础设施,网路空间成为空中、海洋、太空、陆地之外的第五个战争领域,全球的军事、执法机构和企业,每天都在应对这场无形的战争。
John Kindervag强调,我们每天都在与网路战争对抗,从事网路安全的专业人士,并非只是维护简单的防火墙IT设备,或进行日常的防毒软体更新,而是每天都在对抗一个无形但强大的敌人,是一场关键的全球战役。
「每天你所做的事都对全球的安全有深远的影响,应该为自己的工作感到骄傲,因为这是一场与威胁全球安全息息相关的战争。」他说。
John Kindervag被誉为「零信任之父」,早在2010年9月14日,便发表了第一篇关于零信任的文章,正式提出这一资讯安全架构。
他回忆当时的情况:「当时没有人认真看待零信任,很多人认为这个想法过于天马行空,甚至是不可能实现的。」但他坚信,这是正确的方向,因为他后来又进行了两年的研究,并建立了一个零信任的原型环境。
时至今日,零信任已成为全球网路安全战略的重要支柱,也是网路安全的致胜策略。John Kindervag表示,零信任架构以「拒绝信任」为核心理念,要求所有系统、用户和设备的信任等级都设定为「零」,从而有效地降低了网路攻击成功的可能性。
2021年,美国总统拜登在一次演讲提到:「联邦政府必须推进零信任架构,并加快向安全云服务的过渡。」这一政策要求美国各政府机构设立零信任计划办公室,并指派专责经理来推动该策略的落实。
John Kindervag便提到,他与美国政府的合作不仅限于联邦层级,还涉及军事领域,包括与美国军事导弹防御局讨论如何将零信任应用于军事设施及系统的保护上。
「这不仅仅是保护我们的网路资产,因为这些资产与实体世界紧密相连,必须同时受到保护。」他说。
零信任架构过去大家曾怀疑可行性,如今成为全球共识
John Kindervag身为全球第一个提出零信任架构的发起人,若回顾零信任架构的起源,可以溯及2010年9月14日,当时这一理念首次被提出时,并未引起太大的关注。
他说,最初发表零信任架构的演讲,当时仅有14人参加,许多人觉得这个理念过于激进,甚至难以实施;然而,他在经过两年的深入研究并获得一些企业的支持,逐步完善了这一安全战略。
但即便如此,零信任当时依旧是曲高和寡的资讯安全架构,直到2021年5月12日这一天,美国总统拜登发表声明,要求联邦政府全面推行零信任架构并且重视云端安全之后,零信任架构瞬间成为全球重要的资安框架。
这也意味著,零信任理念从边缘进入主流,还促使美国政府各部门纷纷设立零信任专责部门及管理办公室,开启了政府层面的零信任安全计划。
「零信任架构不仅仅是保护数位资产,它同样涉及保护实体设施,这一点在与美国导弹防御局的合作中体现得尤为明显。」John Kindervag指出,网路威胁与实体设施日益相关,任何数位攻击都有可能转化为实体威胁,对于军事和政府机构更为如此。
零信任架构与传统安全模式不同,零信任消除了内部系统的固有信任,拒绝信任传统系统的任何内外部设备或用户,无论内部网路还是外部设备,都必须接受相同的安全策略监控,并且对于每个用户、设备和应用程式,设置了同样严格的验证和授权要求。
John Kindervag表示,「很多人将零信任与多因素身分验证(MFA)混为一谈,或者认为它只是VPN的替代技术,这是错误的观念。」
他进一步解释,零信任其实是一种战略理念,能够适用于任何组织,防止资料泄露并降低网路攻击的成功率。
零信任架构常见的4大谬误(False)
零信任是让系统变得可信。(Zero Trust means making a system trusted.)
零信任是关于身分验证的。(Zero trust is about identity.)
市场上有零信任的产品。(There are zero trust products.)
零信任非常复杂(Zero trust is complicated)
资料来源: Illumio传道士John Kindervag,iThome整理,2024年10月
打破传统信任模型,零信任成应对内外威胁的新标准
传统的信任模型是「内外有别」,对于内部和外部的信任程度并不一样,这种方式在过去也主导了网路安全的策略。
然而,随著内部网路和外部攻击者的界限逐渐模糊,传统的信任模型已经无法有效应对日益复杂的网路威胁。
在零信任架构中,每一个数位行为──无论是来自内部还是外部──都被视为潜在的风险,这意味著所有的流量、设备和用户,都必须被持续监控和验证。
透过这种方式,可防止攻击者进入系统后的进一步扩展权限,从而有效降低了资料泄露的风险。
「人类的信任是一种情感联系,但在数位世界中,这种信任应该被完全消除。数位系统中的一切只是资料,没有情感,只有0和1。」John Kindervag强调,信任只应存在人与人的互动,而不是机器与机器的通信。
随著零信任的理念逐渐被全球政府和企业所接受,这一资安架构也不断地演进和扩展。特别是随著美国政府积极推行零信任政策,许多国家和跨国大企业也开始跟随这一趋势,并将零信任作为防御网路攻击的核心策略之一。
零信任不仅适用于网路资产的保护,还涵盖对实体设施的安全保障,这一点在美国政府与导弹防御局的合作中,也得到验证。
他表示,随著现代网路与实体设施的深度整合,如今的网路威胁,正逐渐演变为直接影响实体安全的风险。
零信任的另一个核心理念在于「分权管理」,目的就是为了防止过度授权所造成的内部安全风险。
过去,许多企业和政府机构的授权管理上存在过度信任,这使得内部威胁成为了网路安全的重大隐患。
他也特别提出曼宁(Chelsea Manning)和斯诺登(Edward Snowden)的案例说明,前者将超过70万份美国国防部和国务院的机密文件,泄露给维基解密(WikiLeaks);后者则向《卫报》和《华盛顿邮报》的记者泄露了大量的机密文件,揭露美国国家安全局针对全球互联网通信和电话记录的全球监控计划。
这些内部威胁者,原本是系统中的「可信用户」,拥有多重身分验证措施,但由于缺乏对资料流量的监控,他们最终成功窃取大量敏感资料。
「这些案例揭露了传统网路安全模式中的致命漏洞,意即进入系统后就可以自由存取的权限。」John Kindervag说。
「零信任的核心不仅在于身分验证,而是基于身分验证来决定用户是否应该被授予存取权限。」他指出,这正是零信任架构与传统安全策略的根本区别。
零信任架构在技术上被一些人视为复杂的安全实施,但实际上,它的理念非常简单。
John Kindervag表示,他的好友Greg Tuhill将军、被美国欧巴马总统任命为美国首任美国联邦首席资讯安全长便曾提及:「为什么人们总是让零信任听起来那么复杂。」
对此John Kindervag提出回应,他表示,这可能是因为人们喜欢把事情变复杂,才会显得他们更加聪明。
但事实上,零信任的理念是直观且易于理解的。因为,他认为,零信任的简单性,恰恰就是它的力量所在。
他总结说道,只要可以正确理解零信任架构的基本原则,就可以作为一个强大的武器,帮助政府和企业在网路战争中,立于不败之地。
用特勤局保护美国总统的策略来比喻零信任
为了能够更好地理解零信任架构,John Kindervag透过美国特勤局如何保护总统的方式,进行比喻。
他表示,特勤局的保护过程也揭示了零信任三个核心理念的关键要素,也适用于网路安全中保护资料和资产的方式。
首先,特勤局始终知道「谁是总统」,这意味著他们不需要发现总统的存在,因为总统是他们全程保护的焦点。
这一点对应了零信任的概念中,必须先清楚了解需要保护的资产对象,并且无需多次验证其存在。
其次,特勤局清楚总统的具体位置,知道「总统在哪里」,确保在整个过程中不会弄丢总统。
这一点在零信任中对应的是资产的可视性,意即需要时刻掌握资料和关键资产的流向,并保证它们在预期的范围内。
最后,特勤局严格控制「谁可以接近总统」,确保只有通过审查的人员才能靠近总统。
这与零信任中的授权过程类似,强调每个存取的请求都需要被精确审核,并根据具体需求进行动态管理。
这三个要素构成了零信任的核心,他表示,在充分理解这些原则后,零信任看起来就不会那么复杂,而是极其严谨的保护策略。
Illumio传道士John Kindervag以美国特勤局保护美国总统为例,解释零信任的核心概念,那就是知道「谁是总统」、「总统在哪里」以及「谁可以接近总统」。(摄影/黄彦棻)
深入分析特勤局的工作方式,可用来进一步说明零信任的内涵。
当我们看到特勤局人员执勤,有些人可能看起来只是站著,拉紧了外套,并未进行实际的保护工作,然而,这实际上是一种「安全剧场」(Security Theater)。
所谓安全剧场,是指那些看似保护措施的行为,实际上并没有发挥任何实际保护作用,这类似于一些企业所采取的、仅具表面作用的安全策略。
相反的,真正的安全措施,是在更隐蔽且精确的位置进行的,这就是零信任中的「保护面」(Protect Surface),就是需要集中保护的关键资产范围,这也是零信任的核心概念之一。
许多网路安全讨论都集中在如何管理「攻击面」(Attack Surface),但事实上,攻击面不断扩大,犹如无穷无尽的宇宙,几乎无法完全控制。
因此,与其尝试缩小攻击面,不如将焦点转向保护面,这一思路转变,有助于企业集中力量保护最核心的资产,避免资源分散。
举例来说,特勤局的保护对象并非每位民众或整个城市,而仅限于总统及其家人,而这样的保护策略,非常类似零信任的做法,重点在于精准保护,而不是试图一网打尽,避免所有风险。
零信任运作强调动态权限与最小授权
特勤局的保护措施不仅靠近总统这个「保护面」,还建立紧密环绕在总统周围的「微型边界」(Micro-Perimeter),促使控制更为精确。
这意味著在零信任架构下,对于特定资产、资料或应用,要设置更精细化的安全边界,以确保更严格的存取控制。
不过,在传统的网路安全策略中,这种微型边界周边的控制措施通常放在外围,例如:防火墙或端点装置的安全工具,这些地方与真正要保护的资产相距太远,从而产生「滞留时间」(Dwell Time),滞留时间是指:攻击者成功入侵系统后,尚未被发现的时间。
长时间的滞留,会给攻击者提供更多时间进行横向移动,最终可能导致资料泄露。
而John Kindervag表示,零信任透过可视性和持续验证,大大缩短了滞留时间,使得攻击者无法长期隐匿于系统内。
在零信任模型中,可以随时查看系统中发生的所有行为,针对所有存取请求,只有允许或拒绝两种结果。
这种二进制的安全策略,意味著系统从最初,就不允许任何不受信任的行为进入,不是在事后试图阻止潜在的威胁。
以美国特勤局的保护策略为例,只有经过特殊许可的特定探员可以接近总统,而保护总统的具体工具,如专车「野兽」,仅仅是交通工具,并不是保护的核心。他说,无论总统处于什么环境,核心的保护策略始终不变。
同样的,在零信任的框架下,则会通过动态的安全策略即时监控环境变化,不断更新政策来应对潜在的威胁;特勤局也会即时更新威胁情报,通知相关人员进行应对,这类动态反应的策略与零信任所提倡的精准控制理念,不谋而合。
零信任的关键特征是基于「需要知道」原则动态授予权限。在这个模式下,并不是试图通过各种被动的安全措施阻止攻击,而是从一开始就拒绝所有未经授权的请求,并只允许符合条件的存取。
举例而言,当总统乘坐专车时,只有两位特勤局探员可以接近他,这样的精确控制符合零信任的「最小授权原则」,每位接触资料或系统的使用者,都必须根据角色和任务,分配最小的存取权限,这样可以最大程度降低内部风险。
而John Kindervag认为,这一动态授权过程的最大挑战是:保持系统的精确可视性,只有清楚掌握每个存取请求的背景与目的时,才能根据具体需求来灵活调整授权策略,从而实现对内外部威胁的即时防护。
虽然许多人认为零信任是一个复杂的安全体系,但它的核心理念其实非常简单。正如John Kindervag所说,这种安全模型只是基于「信任最小化」的基本原则进行设计,并不像传统的安全技术那样试图解决所有问题。
通过将每个安全控制措施紧密围绕在最需要保护的资产周围,零信任大大降低了系统受到攻击的风险。他表示,这不是一个技术上的复杂策略,而是应用简单且严格的原则来防止潜在的威胁。
零信任架构的理念强调「永不信任,始终验证」
随著网路攻击的频率与复杂度不断增长,零信任逐渐成为全球安全策略的核心框架之一,像是美国政府在其联邦网路安全政策,便已经全面采用零信任作为防御的主要模式,其他也有许多国际大企业和其他国家,开始将这一架构纳入其安全防护计划中。
随著全球网路环境的不断变化,零信任将在未来的安全框架中扮演愈加重要的角色,传统的安全防护模式,已经无法应对日益复杂的网路威胁,这使得零信任架构成为当今网路安全的关键解决方案之一。
随著各种资料外泄事件频繁发生,John Kindervag表示,企业对于资料保护的需求变得越来越迫切,而零信任不仅适用于资料保护,还可以灵活应对实体基础设施的安全需求。
在过去几年中,也发生数起重大资料外泄事件,这些事件则揭露了传统安全措施的缺陷,并强调零信任架构的重要性。
例如,某个大型企业的S3云端资料库,因为配置错误导致资料外泄,根据诉讼文件的显示,这并非是单纯的技术失误,而是由于公司高层,故意放松了安全限制,以便能够加快开发进度。
John Kindervag认为,这种错误的安全观念就暴露出,企业过度依赖传统安全措施的风险,他也强调了,零信任架构对于保护企业核心资料、资产的必要性。
正如美国特勤局保护总统的策略一般,零信任架构同样关注「保护面」的安全。
这种方式,要求组织不仅仅是保护整个网路,而是专注于具体的资料、应用、资产或服务,确保这些核心资产得到最严格的保护。
他强调,零信任架构的理念强调「永不信任,始终验证」,将每个进入网路的使用者或设备视为潜在威胁。
导入零信任架构的五步骤:从内向外的安全策略
零信任架构的实施并非一蹴而就,需要循序渐进的部署。
John Kindervag表示,零信任的实施可以分成五个步骤,这些步骤目的在于在简化安全流程,确保系统的每个保护面得到充分保护。
Illumio传道士John Kindervag分享导入零信任架构的五个步骤,而这套流程是针对企业量身打造,并且强调反脆弱性(Antifragile),意味著系统在面对挑战时会变得更有韧性。(摄影/黄彦棻)
步骤1:定义保护面,确认DAS元素
导入零信任的第一步是:明确定义需要保护的核心资产、最具有价值的保护标的为何,就是「保护面」(Protect Surface)。
这些保护标的就是所谓的DAS元素,包括:资料、应用、资产和服务的缩写。
他指出,许多组织或企业在部署安全措施时,往往未能确定具体的保护标的,而是依赖于现有的安全产品。
他认为,这种「从外向内」的安全保护方式很容易失败,因为它忽视了内部核心资产的精确保护需求。
所以,零信任强调「从内向外」的设计理念,要求组织首先要确定哪些是关键资产,再围绕这些资产,进一步建构安全防护措施。
他举例说明,许多企业会认为,零信任就是透过采购不同的资安产品,就可以达到零信任架构的目标。
但问题的根源在于,不管买哪些产品,企业要保护的标的到底是什么呢?
「只要是’无法确认保护标的为何,这个所谓的零信任就会失败。」John Kindervag说,必须要先确认保护的资料或是资产是什么,之后就会再以此为核心,往外设计。
零信任架构最关键就是要保护这些核心资产,但并不是要试图保护整个网路。他认为,这种方式大大提高了安全防护的精确度,并降低潜在风险。
他说:「我们必须一次处理一个保护面。」许多人导入零信任架构会失败的原因在于,因为他们试图「一次性」实施零信任,但这是不可能的。
零信任架构成功的关键在于:必须可以将零信任架构,分解为「小而可管理」的部分来实施。
John Kindervag举例表示,如果房子在正在翻修,通常是一次翻修一个房间,不会一次找来800个朋友,请朋友周末来帮忙房屋翻修工作。
他认为,一次完成一个房间,也是在零信任中应该做的事情,一次完成一个保护面。
「当你理解了自己在保护什么标的之后,下一步,你需要了解这个系统如何作为一个整体运作。」他说。
步骤2:绘制交易流
John Kindervag认为,在实施零信任之前,必须全面了解系统的交易流,因为只有在理解这些流动的基础上,才能准确地设计出合适的安全策略,以保护每个保护面,「所以,必须先理解系统如何协同工作,才能做到这一点。」他说。
他曾经看过某些公司系统完全崩溃,不在于零信任架构出问题,而是系统营运者不懂系统是如何运作的。
John Kindervag以德州一家COBOL Cowboys软体顾问公司为例,COBOL是许多金融业、老旧大型主机系统还在使用的程式语言,但现在许多工程师不懂COBOL,一旦遇到问题,企业会寻求COBOL Cowboys这类程式语言专家,提供协助。
不过,他也坦白表示,这些COBOL专家其实多数都已经非常年长,未来倘若这些专家都过世的时候,当系统一旦出包,没有这些年长的COBOL专家帮忙时,又该由谁提供协助呢?
所以,他认为,绘制交易流(Map the Transaction Flows)的主要目的就是,为了深入理解系统中各个组成部分之间的交互和资料流动,了解这些交易流之间的依赖关系,并确定从起点到终点的每条交易流路径的风险分析等。
「通过了解交易流,组织能够更好地识别可能的风险点以及如何最有效地保护资产。」他说。
而这些内容包括:资料的传输方式、应用程序之间的通信,以及每个用户或设备如何存取特定资源等。
最终,就是帮助企业深入理解它们的应用和资料流动,以便设计出精细的安全策略,确保对每个流进行严格的控制和管理。
步骤3:设计零信任环境
John Kindervag认为,零信任架构的实施过程需要分阶段进行,而不是一口气完成,这过程则与翻修房子类似,一次只专注于一个房间,确保每个部分都得到妥善处理。
他指出,如果企业或组织尝试同时处理所有的保护面,只会导致混乱与失败;但若透过逐步实施,企业和组织可以逐步完善其安全策略,从而实现更加可靠的网路保护。
因为每个零信任架构的环境,都必须针对「保护面」量身打造,绝对不是一个通用的方案。
若以美国特勤局对美国总统的保护政策来看,这是针对总统本人量身订做的保护策略,并且会依照总统所在不同地方而有不同的保护策略,对于保护总统的安全,特勤局并没有一套「通用」的保护策略。
「设计零信任环境(Architect a Zero Trust environment)」这个步骤,是整个零信任实施过程中的核心部分,目的是将对交易流(Transaction Flows)的理解,转化为具体的安全架构,规画并建构合适的技术、安全策略和管理方法,确保网络中的每个元素都能根据零信任的原则得到保护,最大限度地减少信任带来的风险,确保所有资产和交易流的安全性,以实现全方位的零信任安全保护,
如何针对不同保护面,设计不同的保护方案呢?
首先,可以在每个「保护面」周围设计微型周界(Micro-Perimeters),将保护目标和周边的其他系统隔离开来,对每一个保护面进行精细的控制和保护,以减少不必要的攻击面。
其次,选择合适技术来实现安全控制,包括多因素身分验证(MFA)、微分割(Micro-Segmentation)、加密技术、身分与存取管理(IAM)等,来确保每个资产和交易流都得到了合适的保护。
第三,设计一个政策自动化与应用的架构,使得系统能够基于预定的安全政策,自动做出允许或拒绝的决定。这样的政策应根据每个保护面的特定需求,结合对用户、设备、应用程序的存取需求和风险评估,进行精细化设计。
第四,确保所有的保护面都能够被持续地监控,并且可以即时反应异常活动或潜在的威胁,让这些管理和监控系统,能够提供完整的可视性,并能根据即时资料,快速应对网路事件。
步骤4:制定零信任策略
John Kindervag 的制定零信任策略(Create Zero Trust Policy),是整个零信任架构中至关重要的一步,零信任的核心原则,即「永不信任,始终验证」,目的就是通过设计一套精细、动态且基于风险的存取控制政策,来确保组织内部所有的资料、资产和应用的安全性。
他进一步指出,零信任是一组粒度细致的允许规则,组织或企业则会根据个人的工作职能角色,来允许他们可以存取的资源。
这个步骤目的是,为组织内的资料、应用、资产或服务(DAS元素),按照最小权限(Least Privilege)和「始终验证」的原则,建立一套严格且细致的存取控制政策,从而最大限度地减少安全风险,并且提高网络的整体安全性,以保护每一个「保护面」。
而零信任的策略是二进制的,对于每个请求,都只有「允许」或者「拒绝」这两种结果;零信任策略也是动态的,系统会根据当前的情境,例如用户的身分、设备的状态、位置、行为模式等,动态地调整存取控制策略,可以根据风险状况,对某些存取进行额外的验证或限制,确保系统安全性。
至于这些制定的零信任政策,则必须套用在防火墙等网路设备中,并做到自动化执行和即时回应,确保相关政策和网路设定政策一致,也降低人为错误的风险。
步骤5:持续监控与维护
John Kindervag提出的零信任架构中,第五个也是最后一个导入步骤就是持续监控与维护(Monitor and Maintain),目的是通过不断的监控、资料收集和分析确保系统的安全策略能够动态应对各种威胁,并且根据新的风险情况对策略,进行调整和维护,以保持整个系统的安全。
具体作法上,即时监控所有的交易流和存取行为,以确保可以符合先前制定的安全策略,包括:使用者的身分验证、设备状态,以及应用程式之间的互动,透过持续监控,组织才能发现不正常活动或可能的安全威胁,及时应对。
在监控过程中,系统收集包括网路流量、设备状态、使用者行为等资讯,可以协助组织用来了解并分析网路内部动态,并做出相对应的防御措施;同时,根据监控分析结果,动态调整并优化安全策略,以因应新的威胁和风险。
此外,在监控基础上,建立自动化回应机制,以便即时发现异常活动。例如,系统检测到某个设备异常时,可以自动启动限制存取,或是启用额外的验证程序,以减少人工介入的时间和误差。
John Kindervag推动零信任架构最重要的使命就是,让各界关注的焦点,从身分认证转向分割技术(Segmentation),因为,分割技术是启动零信任旅程的关键技术,身分认证虽然重要,但是还是次要的。
他解释,通过网路分割、缩小信任范围的方式,可以做到最大限度地降低攻击面,并提高安全性的目的。
他指出,网路分割使得网路不再是一个单一、易于攻击的大范围,而是被划分为若干小型、精细化控制的「保护面」,每个保护面都有自己的微型周界和安全控制措施,而所有的存取,都需要根据动态的策略进行验证。
而这样的设计,不仅能够减少攻击者的入侵机会和横向移动风险,还能确保每一个资产的安全性得到保障,真正实现「永不信任,始终验证」的零信任原则。因此,网路分割也成为零信任架构中不可或缺且基础的部分。