近年來雲端轉型風潮日熾,混合式辦公成為新常態,使得不論Client端或Server端都處於動態分散態勢,導致資安管理複雜度激增,給予駭客集團見縫插針的機會。影響所及,許多企業意識到傳統城牆式防禦架構的保護效果驟減,於是擁抱零信任架構。
因此零信任日趨火紅,成為資安業界熱門辭彙,許多資安公司都搭上流行列車,競相推出所謂的零信任方案。但企業即便採用這些產品,試圖打造他們期待的零信任架構,卻在實作過程屢遭阻礙,遲遲無法實現目標。
所幸成立於12年前的Zentera,憑藉著匯聚12項獨特專利技術的CoIP(Cyber over IP)平台,正式進軍台灣市場,有望讓懸而未解的零信任障礙,通通迎刃而解。
更動 AP 或網路茲事體大,成為零信任障礙
Zentera執行長李兆興博士表示,零信任一詞為Forrester在2016年於市場上推出,如今廣受企業和政府界重視,主要驅動力源自內網攻擊大增。因現今攻擊無特徵碼可比對,具備Zero Day、立刻攻擊、當場合成等特質,讓用戶猝不及防、頻頻遇駭。此一情勢就好比經常聽聞鄰居失火,自己內部也開始偵測到異樣,當然要儘快買保險,造成零信任蔚為顯學。
為何零信任成為各方公認的資安新解方?李兆興說,傳統資安擅長「抓壞人」,但礙於天天有新攻擊,實在來不及建立特徵碼,迫使用戶只能尋求新做法。零信任之所以吸睛,在於它採取「認定好人」新角度,在TCP連線建立的100ms內,高效率檢查訪客的身分、裝置、軟體、Process…等眾多參數,限定符合所有正面表列條件的訪客才准予放行,使壞人甚難矇混過關。
「參數越多,認得越準,」李兆興解釋,攻擊者難以分毫不差模仿各種合法行為,也無法出示身分證,就容易被識破;但防守方要做出這麼無懈可擊的零信任檢查機制,也著實不易。
主要癥結在於若按照既有資安技術脈絡,必定無法Plug & Play直接實現零信任。所以企業為了能夠檢查網路與應用參數,必須進行Re-model,要嘛改AP、要嘛改網路,才能把零信任導入企業應用環境;但不管改的是什麼,對企業皆是傷筋動骨的浩大工程。
換言之企業必須藉助新技術,才有望突破上述瓶頸。而Zentera於12年前創建的CoIP資安虛擬化平台,由於蘊含Overlay Application Network關鍵技術,讓用戶不需更改上層AP或下層網路,便能在上下層間順利插入零信任檢查機制。
識別17種參數,完整覆蓋 CISA 零信任模型 5 大 Pillar
值得一提,儘管CoIP誕生於12年前,竟能完整呼應10年後問世的NIST SP 800-207零信任架構(ZTA)標準,及CISA零信任成熟度模型(Zero Trust Maturity Model),可謂英雄所見略同,而CoIP亦是當今唯一完整支援兩大零信任準則的平台。
李兆興指出,CoIP高度契合ZTA的關鍵在於Overlay Protocol。CoIP在Layer 5 Session Layer建立零信任Control Plane;另於Layer 4 Transport Layer建立Data Plane,藉由Overlay Tunnel,以致能對上面的AP層完全透通,在絲毫不改前提下插入零信任檢查。
Zentera台灣區總經理蔡穎碩補充說,簡言之CoIP透過Overlay技術,有效建立了符合SP 800-207定義的政策決定點(PDP),作為信任決斷層。此即為資安虛擬化概念(Security Virtualization),藉由一層虛擬資安遮罩,幫助企業加速實踐ZTA。
至於CISA 零信任成熟度模型,當中定義了使用者、機器、網路、應用暨工作負載、資料5個Pillar,底層則有Visibility & Analytics、Automation & Orchestration、Governance等機制。Zentera現已發展17種參數,完整涵蓋CISA模型的5大Pillar,未來將朝20、30、50種…繼續擴增,不斷提升零信任精準度。
李兆興說,多數宣稱為零信任的產品皆存在盲點,因缺乏Orchestration,無法做到SP 800-207標準當中諸如PDP等技術細節,只能侷限在CISA模型的前2個Pillar(身分識別與裝置識別),但如果僅檢查這兩類參數,並非完整的ZTA實作。
另外不少用戶購置不同廠牌的產品,有意以拼湊方式組成ZTA,卻因難以克服整合難度,以失敗收場。惟用戶一旦導入CoIP,不需費時整合,只要透過標準做法,把用戶自定的Operation Policy接上CoIP,便可由系統自動產出所有正向表列參數,並自動更新Rule Table,經由內建在Server或Client 端的Agent,將檢查規則派送至所有端點。
以 Agent或 Agentless 形式,快速實現 ZTA
更重要的CoIP平台可以根據用戶的Policy,將特定幾台機器劃分為虛擬安全區域,構成SP 800-207定義的政策執行點(PEP),達到SDP(Software-Defined Perimeter)或Micro-segmentation網路切割效果,以強化零信任管控。
舉例會計系統是企業亟需保護的Destination Server,只要將Zentera的Agent安裝在內,便可受到PEP保護、被隔離在安全Chamber;今天某ERP Client欲存取會計系統,須先接受PDP檢查其參數,確認無誤後,PDP再通知PEP開啟Chamber大門,建立Client與Server間的連線。
針對無法植入Agent的系統,Zentera提供Agentless方案。一是Gateway Proxy模式,將Gateway架設於Oracle DB等不適合安裝Agent的重要資產前,要求Client在Gateway下車、通過Orchestration檢查後再訪問DB。惟因後端欠缺PEP保護,故建議用戶藉由VLAN或ACL自建圍牆,防止有心人士乘隙潛入。
另一為Gatekeeper模式,適用於工控網路環境,利用Gatekeeper設備的Ethernet Port Pairs控制South Side機台訪問流量,形成OT DMZ,限定Client在DMZ下車接受零信任檢查。但李兆興提醒,雖然Gatekeeper可保護自動化機台,但近年駭客鎖定標的其實是Client端的MES;必須在MES伺服器安裝Agent,嚴防駭客以偽冒MES對機台下達惡意指令。
總括而言,Zentera深具資安虛擬化歷練,已在國外贏得Cadence、Siemens等大客戶青睞,業務版圖遍佈高科技、金融、醫院生技、電信等領域。蔡穎碩說,Zentera已在台灣設立據點,並佈建代理經銷體系,接下來Zentera將與通路夥伴並肩作戰,與用戶直接溝通,帶領用戶瞭解如何規劃與建置ZTA。