從縮略字到行動:揭秘 Zero Trust
Zero Trust:這是一個似乎永遠流傳的術語。然而,儘管它已存在一段時間,卻依然籠罩著某種神秘色彩,更因為一連串不斷冒出的縮寫詞而變得更加撲朔迷離,比如:SSE、SASE、SWG、ZTNA、CASB、RBI……這個名單似乎永遠列不完。
身陷這場風暴的企業陷入一片混亂,因為眾多供應商都宣稱自己的 Zero Trust 產品是解決所有安全問題的終極方案。然而,正如每個專家甚至他們家的狗都會告訴你的一樣,實施 Zero Trust 並非像購買現成產品那麼簡單。它更像是一種理念。可惜的是,企業部署這種理念並非易事,最終,企業需要某種技術或解決方案來實現它。而這正是最容易產生混亂的地方。
保護使用者
讓我們深入剖析 Zero Trust 的各個層面,從抽象的概念走向實際的應用。我們將聚焦於 Zero Trust 真正發揮關鍵作用的領域:保護使用者安全。在過去,網路使用者幾乎可以不受限制地存取企業資源,唯一的門檻可能就只是輸入使用者名稱與密碼而已。當使用者的認證洩露或裝置遭入侵時,這可能會成為一個嚴重的問題。理想情況下,我們應該採取措施保護使用者及其裝置,同時又不會影響生產力。有人說,Zero Trust 就像使用者的隱形泡棉包裝。這個比喻聽起來很奇怪,但卻觸及了 Zero Trust 的核心——將增強的安全性與無縫的使用者體驗結合。
這讓我們想到了VPN,這個網路安全領域經常被人詬病的「繼子」。它笨重難用,就像撥接上網時代的迴響,只不過沒有數據機的提示音。啟動 VPN 用戶端,輸入認證,等待連線,瀏覽錯綜複雜的公司內部網路,然後斷開連線返回到常規網際網路。這就像一場精心排練的 VPN 探戈。
遠端工作的興起讓 VPN 成為焦點,但也暴露了它的侷限。傳統企業應用程式逐漸被 SaaS 替代方案取代,使得 VPN 不得不倉促應戰,努力跟上步伐。結果如何?產生了連線瓶頸、速度變慢,甚至出現連線失敗的情況。VPN 通常僅透過帳號密碼驗證來確保安全,登入了即可提供與公司內部網路使用者相同的網路存取權限。
結果很明顯:VPN 的應用範圍過於廣泛,影響使用者體驗,在與雲端整合時面臨困難,且在擴展性與無所不在的存取能力上表現不佳。再加上可能遭受針對脆弱 VPN 基礎架構的 DDoS 攻擊威脅,災難隨時可能降臨。
「隨處辦公」的新時代已經到來。雲端應用程式、遠端使用者和個人裝置的爆炸性成長,要求徹底革新網路週邊安全模型。基於設備的舊式 VPN 解決方案已無法跟上時代的步伐。Zero Trust 網路存取 (ZTNA) 應運而生,從舞台左側隆重登場。
Zero Trust 理念的實際應用
Zero Trust 理念根植於一個簡單的原則:永不信任,始終驗證。ZTNA 體現了這一理念,它能夠提供直接、精細且具備情境感知能力的資源存取方式,而不會授予過於寬泛的網路�存取權限。它顛覆了傳統,提供卓越的使用者體驗、強大的安全性、可見性和可擴展性。它是當今混合辦公模式的理想選擇。
不過等等,Zero Trust 理念可不是只適用於遠端存取而已。當然不是。Zero Trust 原則同樣適用於網際網路瀏覽器,像是透過安全 Web 閘道 (SWG) 和遠端瀏覽器隔離 (RBI) 技術來強化安全。更別說電子郵件了——超過 90% 的網路攻擊都是從網路釣魚電子郵件開始的。我越來越認為,「永不信任,始終驗證」這套哲學,也應該延伸應用到電子郵件收件匣,並提供電子郵件網路釣魚防護。
保護終端使用者的安全至關重要,但保護重要的公司資料也至關重要。CASB 和 DLP 也是 Zero Trust 體系的一部分,有助於防止資料外洩。在 AI 和聊天機器人時代,這一點比以往任何時候都更加重要。制定、執行和監控網路中資料移動方式和位置的策略也是 Zero Trust 系統的重要組成部分。隨著企業使用軟體定義安全架構重塑網路,Zero Trust 模型的重要性也日益凸顯。
If zero trust is the promised panacea, why isn't everyone on board? If we were building from the ground up today, zero trust would be the unequivocal choice. We'd select a zero trust platform, link up the IDP of choice, and promptly start provisioning users with ZTNA and the rest of the arsenal. But transitions aren't instantaneous. Often, it's because network and security teams aren't in sync. At other times, it’s the sizable investment already sunk into the current VPN infrastructure that stalls the shift. There may even be a resource crunch to execute the change. But let's be clear, these are explanations, not justifications.
我們知道,安全威脅不僅真實存在,而且正在不斷升級。使用者暴露在風險之中,時刻擔心因誤點電子郵件而引發網路攻擊。身為安全領導者,我們不應責怪使用者,而應承擔起保護使用者的責任。Zero Trust 模式秉承「永不信任,始終驗證」的原則,提供了一種高效且適應性強的策略,彌補了傳統 VPN 和網路安全的不足。採用 Zero Trust 最簡單的方法是透過單一平台,而不是拼湊多家供應商的單點解決方案。採用 Zero Trust 架構,為終端使用者與資料提供分層保護,其實並不複雜。但在遠端工作、SaaS 與 AI 技術蓬勃發展的今天,採用 Zero Trust 已經不僅是一個戰略選擇,而是必須採取的行動。
信任基礎
在瞬息萬變的網路安全領域中,採用 Zero Trust 模式代表著一場關鍵的思維轉型。當組織認知到基於邊界的傳統防禦機制已不足以因應威脅時,便能獲得多重效益,包括強化資料保護、縮小攻擊面,以及提升對抗高階威脅的韌性。採用 Zero Trust 不僅是一項技術決策,更是戰略層級的必然選擇——它能協助組織守護關鍵資產,並在這個充滿不確定性的數位世界中,建立起真正的信任基礎。
Cloudflare 結合安全與網路即服務 (SASE) 產品,協助組織實施 Zero Trust,將安全性、效能和可靠性集於一身。藉助覆蓋全球的 Cloudflare 網路,無論您的員工身在何處,都能享有快速且穩定的網際網路連線。在每個存取請求中套用 Zero Trust 安全機制,確保所有流量都經過驗證,從而有效保護您的員工與資料免受威脅。使用 Cloudflare Zero Trust,您可以透過統一的介面阻止不必要的存取、減少資料遺失並掌控一切。不論您目前處於數位轉換的哪一個階段,Cloudflare 都能為您提供全方位的支援。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
閱讀《Zero Trust 架構藍圖》報告,瞭解如何從基於邊界的傳統安全模式,邁向 Zero Trust 架構。
作者
John Engates
Cloudflare 前現場技術長
重點
閱讀本文後,您將能夠瞭解:
保護使用者和資料的要求已變更
Zero Trust 可實現全面保護
如何建立信任基礎並取得控制權