20210818

<科網熱話>網路安全新思路 - 零信任架構

hero banner

在傳統邊界防護安全體系下,多以內網外網分區構建安全體系,而內網用戶多為默認擁有較高的網絡權限,外網用戶則以VPN等技術接入內部網路。過去一年疫情期間,遠程工作模式漸成常態。亦隨著不同的網絡技術,例如IOT、雲計算等的發展,令公司網路環境的攻擊面增加,需要控制的風險更多,因此零信任架構模組在近年重新獲得關注,以降低傳統防護的複雜程度及提高安全性。

零信任架構模組最初由Forrester的John Kindervag於2010年提出,並於Google的BeyondCorp項目得到應用。此模組主要概念為以身份為中心進行訪問控制,默認整個網絡不論內外的人、設備、進程於驗證前均不予信任,並且透過持續驗證提供授權。

對比傳統防護體系以區域劃分信任,零信任架構基於可信身份,可信設備及可信應用三個元素提供訪問權限。每一個訪問要求均進行用戶身份驗證,設備安全狀態檢查及整個數據傳輸路程加密。在設計上大致有以下思路被提出:

可信身份則對用戶身份進行驗證,而身份需要統一控制監管以確保最小權限的釋放。針對可信設備,對新接入設備都需要有統一標準,例如公司統一控制、安全加固、定期進行漏洞檢測等。同時在訪問時驗證硬件信息及證書確保身份。進程則需要檢測是否有漏洞或病毒等。傳輸路程加密則透過密鑰加解密每個訪問,並均驗證用戶、設備及應用信息,對比傳統VPN可減少SSL連接及路由配置過程。

其實大部分提出的安全措施均頗為常見,坊間也有不少方案可以達到有關控制。而相對新穎的兩點是取締VPN以TCP訪問作通訊認證,以及整合各種信息,例如設備、應用程式、時間以及靜態帳號權限配置,去達到動態的權限分配,同時兼容連接的穩定性及速度。在雲計算、IOT等新技術普及後的網絡環境下,網絡攻擊會更層出不窮,而安全機制亦愈趨複雜。文中簡單介紹現時討論的零信任架構的內容,期望更精簡的設計及應用會在未來出現,能夠同時滿足便利性和安全性,在各種環境下都能夠執行,以加固網絡安全、保護企業和機構的重要資訊資產。


林芷晴


永盛科訊 

地址:香港皇后大道中183號中遠大廈4602室

電郵:info@ringus-solution.com

電話:(852) 2907 6011

網址:www.ringus-solution.com


集團品牌及推廣 FROM 亨達集團
標籤

延伸閱讀

<科網熱話>數位信任 — 企業的強心針
BY 集團品牌及推廣 FROM 亨達集團

<科網熱話>在ESG浪潮下數位科技發展的去向
BY 集團品牌及推廣 FROM 亨達集團

<科網熱話>區塊鏈應用的超新星 – NFT熱潮
BY 集團品牌及推廣 FROM Hantec Prosperous Limited

RingusPro – Cybersecurity & Privacy Consultation
亨達資訊科技
A.

香港九龍旺角太子道西193號新世紀廣場一座18樓1817-20室


T.

(852) 2907 6011


W. http://www.itaudit.com.hk

閱讀更多
Rinex
亨達資訊科技
A.

香港九龍旺角太子道西193號新世紀廣場一座18樓1817-20室


T.

(852) 2907 6011


W. http://www.rinexhk.com

閱讀更多
WISVIA
亨達資訊科技
A.

香港九龍旺角太子道西193號新世紀廣場一座18樓1817-20室


T.

(852) 2907 6011


W. http://www.wisvia.com

閱讀更多