為資安團隊配置零信任網路的建議

Secure Access Service Edge(SASE,安全存取服務邊緣)是一全新的網路安全概念,由市調公司 Gartner 在某一份研究報告中所提出,整合了網路安全及 WAN,可以縮小網際網路之間的安全界線,如此一來企業或組織機構就可以簡化並且安全的存取使用者所需要的資源或服務,降低重複驗證使用者身份的繁瑣過程,這對許多成長中的數位化公司至關重要。

而 Zero Trust Network Access(ZTNA,零信任網路存取)則是 SASE 框架的核心,旨在網路世界裡,為每個人定義靈活的個人安全邊界,透過 ZTNA 來為公司建立可信任、安全的端點,以整合所有服務。根據 Cisco 投資公司提供的資料,約有 98% 的資訊安全團隊看到了 SASE 的好處,也表明有意願在這方面付出成本,事實上,那些接受 Cisco 採訪的所有資安團隊裡,其中有 42% 的人表示公司的資安預算將會優先用在 ZTNA 方面,而這一發現,突顯了若能輕量化網路的基礎建設與網路安全差距,便能提升營收數字的成長。

什麼是 SASE?

SASE 是一全新的網路安全概念,由 WAN 與其他網路安全功能相結合,比如說 ZTNA,以雲端服務為基礎,以提供公司或組織機構所需要的存取需求,美國最大的一家私人醫療保健網路 Steward Health Care 的資訊安全主管 Esmond Kane 表示「要理解 SASE 的核心是零信任,因此我們談論的是身份、身份驗證、存取權限與控制等內容,從這些地方開始,接著向外擴展。」

Gartner 的客戶希望能能將使用者的「身份」定義為新的安全邊界,SASE 框架是 Gartner 根據客戶的搜尋關鍵字而發現的,越來越多公司開始注意到將現有的基礎網路設施部署妥當,將能更好地支援數位化經營的企業公司或組織。2020 年與 2019 年的同期相比,查詢 SASE 關鍵字的使用者比例從 3% 增長至 15%。

2022 年的資安團隊需要哪些內容

企業的網路及其使用的身份對任何的企業組織來說都是有一定程度的安全風險,根據 Cisco 投資公司的調查,60% 的資安團隊認為企業網路不論是軟體或硬體,都是最難管理卻是最需要保護的資產,但仍然有許多人認為「影子 IT(未經同意的非企業雲端軟體服務)」不會消失,原因是因為應用程式、網路資訊及數據、多端點的存取正迅速成長,藉此面對轉型中的數位化公司。

所有資訊安全團隊在 2022 年需要做足以下準備,以整合網路的基礎設施及網路安全,進而保護每一位客戶的身分安全:

  • 重新定義整個 SASE 框架的核心為 ZTNA,它將取代傳統的 VPN。從市場調查的結果報告中可以發現,在 SASE 平台中選擇具有 ZTNA 功能的應用程式或供應商,在 SASE 的計畫中顯得非常重要,唯有在使用者經過認證之後,才可以依權限存取資源,也因為這個 SASE 框架是「可信任」的,使用者的憑證及授權也才得以受到信任、包括任何資訊的流向或安全風險,都是可見可視也可控管著的。
  • 透過零信任的存取方式,可以指定使用者的權限來查看線上即時的網路活動,不論使用者身在何處,使用什麼設備,都可以透過 ZTNA 這項服務來取得所有應用程式或網路資源的存取權限,並採用最小特權存取原則,進而減少那些因身份憑證被竊取,或內部使用者操作不當,而產生的各種安全性風險。
  • 跨越所有端點及資料庫中心的即時資產管理。將公司的網路設備、端點、相關資產以及合約等統一管理,使他們更依賴 IT 資產管理系統與平台來了解網路上的內容,以管理公司的資產設備。
  • 將傳統的內部部署、雲端以及網頁版的應用程式,能夠與 SASE 整合成 API。設計有瑕疵的 API 逐漸成為被攻擊的主要原因之一,而那些木馬程式或漏洞也變得越來越難以識別,然而,API 在企業組織的 SASE 框架中,卻扮演了黏著劑的作用,但 API 就像雙面刃,新的 API 仍有可能成為企業的威脅,雖然 API 的威脅防護技術,可以阻擋這些攻擊,但僅僅只是使用 API 的安全技術是不夠的。資安團隊需要重新擬定 API 的管理及防火牆以保護 API,並同時保護有權存取的使用者憑證及數據,高度關注所有 API 測試報告以保護整個基礎架構中的 API。

SASE 框架將實現未來企業組織的安全

ZTNA 是整個企業網路安全的核心,有鑒於它需要與 SASE 框架的其他元件交互作用才能實現,因此在理想的狀況下,它需要在 SASE 的平台上共用相同的程式碼。對資安團隊來說,最重要的莫過於加速採用 ZTNA,透過正確的使用 SASE,可以提高數位化轉型成功的機會,而要正確的使用 SASE,也必須要正確的使用 ZTNA。

原文連結:https://venturebeat.com/2021/12/07/zero-trust-network-access-should-be-on-every-cisos-sase-roadmap/