零信任的七個應用,微軟如何保護資訊安全?|專家論點【黃婉中】
作者:黃婉中(雲端架構師)
延續上一篇文章,我們來了解實務上怎麼進行零信任。
使用多因素認證
有沒有發現,這幾年使用新裝置登入某些服務(例如Gmail、蝦皮)時,除了輸入帳號密碼,還需要輸入傳送到簡訊或電子信箱的驗證碼才能登入?這就是多因素認證,確保即使在密碼外洩的情況下,系統也能夠確認使用者的身分。
多因素認證讓入侵不再只是破解密碼或者資料庫這麼單純,也讓駭客得逞的難度大幅提高。
確認裝置健康
疫情爆發三年以來,大家出入公共場所習慣在門口噴酒精,甚至出入特定公共場所,例如健身房,還需要有疫苗接種證明,目的是確保進出的人類本身不是病毒帶原者,不會帶著病毒跑來跑去。
這樣「確認出入人員健康」的原則其實和零信任相通。執行零信任的企業會確保所有存取企業資源的裝置都是健康的,這裡的健康指的是最新軟體版本、安裝防毒軟體。
如果不能確認裝置健康,即使網路和防火牆安全防護做得再好,也難以避免「木馬屠城」的狀況發生,因為病毒就在裝置裡面。
隨時監控服務狀況
即使已經確認使用者身分、確認裝置健康,使用者在服務內的行為仍然要被監控,企業可以利用人工智慧(AI)觀察大量監控數據後形成模型,讓異常的行為模式無所遁形,並隨之進化,降低風險。
員工可以使用個人裝置嗎?
疫情爆發的前兩年,許多員工在完全遠距的情況下上工(on-board),人沒有到公司報到,因為同事都在家上班、甚至電腦也都要過一段時間才能寄到家裡,中間的空窗期只能使用個人電腦。企業如何維持生產力,讓員工以遠端或者混合模式工作,同時兼顧資訊安全?
一是使用虛擬桌面(Virtual Desktop),讓員工使用個人裝置存取企業資源,例如Sharepoint、Onedrive、Teams;二是使用網頁版的Outlook收發信件。
即使偷跑進來,也要確保將傷害降到最小-網路隔離
過去疫情爆發時,所有飛入台灣的旅客都需要隔離,隔離天數從兩周到目前的3+4不等。總之,旅客需要被限制行動,待在一個不會接觸到他人的地方,目的就是要避免傳染給更多人。
網路隔離(Network Segmentation)也會將裝置、資料或服務利用規則(Policy)隔離,即使網路受到病毒攻擊了,也能將傷害鎖在一個範圍內,減少損失。
打不開的藏密筒-防止資料外洩
多年前風靡全世界的電影《達文西密碼》裡,蘇菲和蘭登好不容易偷出「藏密筒」(Cryptex),卻發現必須輸入五位數密碼才能解開,還不能暴力破壞,否則裡面的莎草紙就會被流出的醋液腐蝕消失。
微軟使用Microsoft Information Protection防止資料外洩,員工可以在文件上進行分類,當設到最高級別時,即使文件以電子信箱或是隨身碟的方式流到組織外了,也需要本來具有存取權的人才能夠授權打開。
降低對VPN的依賴
遠距工作開始盛行後,企業對VPN的依賴明顯增加了,但這樣的情況除了VPN負擔太大,完全把資訊安全由網路把關顯然也不夠全面。
零信任的概念讓資訊保護不再侷限於網路上,而延伸到服務本身。例如當員工需要使用差旅報帳系統時,並不需要透過VPN,透過Internet也可以,但系統會要求必須使用受管理的裝置才能登入,同時使用者身分也需要被確認。
總結
由以上分析我們知道,因為工作型態的轉變,網路資訊安全也必須與時俱進,從「進了我家門,都是一家人」轉變成隨時驗證。
零信任不是一種產品,而是一種方法論。企業可依據「隨時驗證身分」、「採用最小權限原則」、「假設資料已經外洩」三個原則展開行動。
瀏覽 1,126 次