面對當今日益複雜且持續的網路威脅態勢,保護國家基礎設施,已是全球焦點,以美國而言,企業與基礎建設頻遭重大網路攻擊,促使該國政府今年積極採取行動,致力改善國家網路安全,近期,美國行政管理和預算局(OMB)有了新的行動。

在9月7日,OMB公布了「聯邦零信任戰略」(Federal Zero Trust Strategy)草案,以此推動政府走向零信任的網路安全原則,並支持5月該國總統拜登的行政命令(EO 14028),目標,是讓企業組織的網路安全架構,都是基於零信任原則而成,並且期望在2024年完成初步推動。

而在9月29日舉行的一場線上演講,美國OMB資深顧問Eric Mill親自上陣,介紹草案重點。

基於這樣的態勢,臺灣不論是政府或產業,除了關注這股潮流的發展,也該思考的是,自身的網路安全應該怎麼做。

朝向零信任網路安全架構邁進,美國政府正提出具體規畫

基本上,這個聯邦零信任戰略草案目的,是讓所有聯邦機構的網路安全發展,透過這樣的戰略奠定初期步驟設置,促使所有聯邦機構處於同一發展路線,並持續採取行動,以邁向高度成熟的零信任架構,幫助每個單位認識到本身的成熟度狀態,而這僅僅是開始。

畢竟,過渡到零信任架構並不容易。在該國總統拜登行政命令(EO 14028)也指出,單靠漸進式改進,無法為該國提供所需的安全性,因此,他們需大膽改變,以及重大的投資,以捍衛支撐美國生活方式的重要機構。而美國政府這次提出的聯邦政府零信任戰略,顯然再次呼應這樣的訴求。

雖然,這還不是全面且成熟的零信任架構指南,但已經對美國聯邦的零信任架構提出設想。在這個聯邦零信任戰略草案中,有五個要點,包括:(一)需要強式身分驗證,實踐於跨聯邦機構;(二)不再依賴邊緣安全策略,應依賴加密與應用程式測試;(三)要能識別政府的每一種裝置與資源;(四)資安反應要智慧且自動化的支援;(五)雲端服務的使用要有安全與穩健性。

多項資安要素成必備,以提升基本資安水準

就聯邦零信任戰略的目標而言,Eric Mill表示,在行政命令EO 14028中,其實,明確指出多項具體的安全要素,包括通用日誌管理、多因素認證(MFA)、可靠的資產盤點,以及無所不在的加密使用,還有採用零信任架構,以滿足政府重要基本安全標準。

這是因為,現在的網路安全架構,必須假設網路與其他元件將受到入侵。因此,機構應避免對設備與網路的隱含信任,並要意識到自身擁有什麼,而這也是從根本上提升了最小特權原則的遵循。

另外,此戰略的內容也提到,儘管零信任架構背後的概念並不新鮮,然而,對於多數企業組織或是政府機構而言,仍然陌生。因此,在此段期間,對於新政策與技術的實踐,都需要經過持續的學習與調整。特別的是,當中也相當鼓勵機構使用資安功能豐富的雲端基礎架構。

近期美國政府積極推動零信任網路安全策略,不只NIST與NCCoE制定標準與指引,美國行政管理和預算局在今年9月,也已擬出聯邦零信任戰略草案,希望讓所有政府機構都能朝向網路零信任環境邁進。

在近期FIDO聯盟舉辦的Authenticate Virtual Summit,美國白宮管理和預算局的資深顧問Eric Mill在一場演講中,指出識別的重要性,也介紹聯邦零信任戰略目前草案版本的內容。

實踐零信任架構從5大面向做起

關於這個零信任戰略的實現,從目前草案的規畫當中,已可看出該國政府設法採取的一些具體行動,或許可以做為外界設計零信任架構的借鏡。而當中也提及實施進度的要求,目前看來,應該是希望在該國的2024財政年度前,能夠達到特定的零信任安全目標。

在具體內容上,這個戰略中可分為5個部分,包括:識別、裝置、網路、應用程式與資料。Eric Mill表示,這其實與美國CISA、國防部或國土安全部所談的零信任成熟度模型的五種支柱是一致的。

聯邦零信任戰略草案五大願景



面向 願景
識別(Identity)    讓機構工作人員在工作中,須使用企業級的識別來存取應用程式,並且使用可防釣魚的多因素驗證,以保護使用者受到複雜的網路攻擊。
裝置(Device)     機構需要建立完整的裝置清單,包含所有授權於政府使用,且為政府所擁有的運作裝置,並要能夠偵測與回應這些設備上的事件。
網路(Network)    主要重點放在對於環境中加密所有DNS請求與HTTP流量,以及制定網路分隔計畫,同時也將確定電子郵件加密的可行方式。
應用程式(Application) 機構在看待所有應用程式時,都必須將之視為與網際網路連接,並要定期執行嚴格的實際驗證測試,並且樂於接受外部漏洞報告。
資料(Data)      在資料分類與保護方面,機構將有更清晰與共享的路徑,要利用雲端服務與工具的優勢,來發現、分類與保護自身的敏感資料,並需實現全企業範圍的日誌記錄與資料分享。
 資料來源:OMB,iThome整理,2021年11月

 

識別

以識別面向而言,主要有兩大目標,包括全企業範圍的身分識別存取,以及提供避免釣魚的多因素驗證(MFA),以保護員工的存取與登入。

簡單而言,這部分強調整合身分驗證系統將是必要,政府機構需要設計良好的單一身分驗證系統(SSO),將各種工作上使用的服務的集中於此,並逐步汰換其他身分驗證系統。最終目標,就是要為所有內部用戶提供SSO機制,可支援SAML或OpenID等開放標準,並要與零信任與風險管理原則一致。

同時,進階的強式身分驗證是零信任架構的必要組成,而多因素驗證將是該國政府安全最基本的要求,而且,MFA需套用在應用程式層,而不是透過VPN這樣的網路身分驗證。要注意的是,由於許多雙因素認證無法抵擋複雜的網路釣魚,不過,現在W3C已經推出Web Authentication標準與FIDO標準,也可參考NIST SP 800-63B中的定義,以抵制網路釣魚。

這方面將有4大具體行動項目,第一,必須為機構人員建立單一登入(SSO)服務,同時,整合包含雲端服務的應用程式與通用平臺;第二,必須在應用程式層級強制啟用MFA,並在可行情況下使用企業SSO,在此當中,對於機構工作人員、承包商與合作夥伴,必須採用能避免網路釣魚的MFA。而對於公眾使用者,像是提供國民的服務,也應具備可避免網路釣魚MFA的選項;第三,必須採用安全密碼策略,並要根據已知外洩資料來檢查密碼安全性;第四,CISA將提供一項或多項可私下檢查密碼的服務,以免因密碼查詢導致暴露。

裝置

以裝置面向而言,主要強調的關鍵是資產盤點的必要性,以及端點偵測與回應(EDR)設備的重要性。

基本上,機構本身必須知道自己擁有什麼裝置,以及何處容易受到攻擊,不論是在企業內部或是雲端環境,都要做到良好的監控,並要提升端點與伺服器與其他關鍵技術資安的安全性。

Eric Mill表示,持續診斷和緩解(CDM)是長期存在的計畫,用於幫助聯邦環境的監控,該計畫提供一套服務,可改進機構對於資產的檢測與監控,而這也是EO 14028行政命令中的一部分。現在,依據零信任原則來建構CDM,將變得更加重要。

這有2大具體行動,包括:第一、機構須參與CISA的持續診斷和緩解(CDM)計畫,而CISA將把CDM計畫建立在最小權限原則的基礎上,同時,優先考慮雲端基礎設施的運作方式,當中也提到了日後將朝向盡可能避免使用特權軟體代理程式;第二,是EDR設備的採用,需確保每個用戶操作的企業配置設備,都具有機構挑選的EDR產品,其中,缺乏這些工具的機構,將與CISA合作採購,此外,機構需建立相關技術與程序,將其EDR報告的資訊提交給CISA。

網路

以網路面向而言,主要重點放在環境中加密所有DNS請求與H­P流量,以及制定網路分隔計畫,同時也將確定電子郵件加密的可行方式。

在零信任架構的關鍵原則中,就是對於網路不再有隱式信任,因此,所有流量都需經過加密與身分驗證。至於可能無法深入偵測檢查的地方,則可藉由可視的matadata、機器學習技術,以及其他啟發式技術來分析。另外,還需要解決網路分隔的問題。

在具體的行動上,第一要務,是加密DNS流量,在技術可以辦到的情況下,都必須使用加密DNS來解析DNS查詢,而CISA的DNS保護計畫將對這方面提供支援;第二,是加密HTTP流量,環境中所有網頁與API流量,都要強制採用HTTPS連線,而CISA將與各個機構合作,將他們的.gov網域控制為只能透過HTTPS存取;第三,是加密電子郵件的網路流量,將評估以MTA-STS技術作為加密電子郵件的相關解決方案,並提出建議;第四,需提出圍繞在應用程式的網路分隔計畫,作法上將與CISA協商制定後,再提交給OMB。

應用程式

以應用程式面向而言,有兩個重點,首先是要假設所有應用程式都與網際網路相連,其次是要對於面對資安漏洞問題要積極且正向。

基本上,零信任架構強調防護要盡可能貼近資料與操作,而應用程式是最正面接觸的攻擊面,它作為系統元件,通常具有必須授予廣泛的資料存取權限。

然而,應用程式面所要顧及的因應面向不少,這裡提到幾個重點,例如,要執行應用程式安全測試,需容易取得第三方測試,要積極面對應用程式漏洞報告,並要從網際網路角度來考量,例如可以安全使用,並且不用依賴VPN,以及零信任架構需全面瞭解組織可從網際網路存取的資產。

對此,這方面有5 大具體項目:第一,執行專門的應用程式安全測試;第二,透過專業且優質的公司,進行應用程式安全的獨立第三方評估,CISA與美國聯邦總務署(GSA)將協助公司採購;第三,需發布公開漏洞揭露計畫,並要維持有效性且樂於接受,CISA將提供漏洞揭露平臺,便於機構接受報告並與安全人員聯繫;第四,必須可透過網際網路,以及企業SSO來進行存取,確定至少有一個內部面向聯邦資訊安全管理法FISMA的應用程式。第五,CISA與GSA將合作提供線上應用程式與其他資產的資料,同時機構也必須提供使用的非.gov主機名。

資料

以資料面向而言,在分類與保護方面,機構將有更清晰的路徑,要利用雲端服務與工具的優勢,來發現、分類與保護自身的敏感資料,實現全企業範圍的日誌記錄與資料分享。

簡單來說,雖然早已要求機構去做資料盤點,但全面的零信任資料管理方法,可能超越機構既有認定的資料集,例如,還需包含對結構更鬆散與分散的資訊系統,例如電子郵件與檔案協作等資料,以及中間資料(Intermediate data)等。

因此,這方面所制定4大具體行動中,首要工作就是,政府將制定零信任資料安全策略,以及資料分類與保護的指南,針對特定領域還要能夠監管。

第二,必須對資料分類與安全事件回應,建立初步自動化的機制,並聚焦於敏感文件的標記與存取管理,這部分提到SOAR的應用;第三,要求使用加密來保護商業雲端基礎架構中的靜態資料,並要做到這方面稽核;第四,需與CISA合作,實行全面的日誌記錄與資訊共享,這當中也提到OMB已發布編號M-21-31的備忘錄,並指出機構首要任務就是,執行完整性日誌記錄措施,以限制存取並允許加密驗證,以及記錄環境中發出的DNS請求。

在10月中旬,美國網路安全及基礎設施安全局(CISA)舉辦第四屆Annual National Cybersecurity Summit,其中一場議程,也有針對零信任議題的專屬座談,與會者包括CISA技術長Brian Gattoni,國家安全局 (NSA) 零信任技術主管 Kevin Bingham,以及美國行政管理和預算局(OMB)資深顧問Eric Mill。


熱門新聞

Advertisement