零信任雲端安全架構

為什麼選擇零信任雲端安全？

這股趨勢的進步速度之所以會越來越快，是因為劃分安全性的緊急優先順序、重新定義混合式與分散式工作團隊需求，再加上透過雲端可隨時隨地存取軟體、資料和其他資源的資料分析、機器學習(ML)和人工智慧(AI)。雲端還將組織、網路與使用者，連接至邊緣運算裝置和系統。

透過雲端鬆散互連的使用者、裝置與應用程式，範圍隨著這些趨勢擴大，種類也越來越多。不幸地，這些元素可能都容易遭受到不法之徒和惡意程式碼的攻擊。

網路安全對於使用雲端的組織來説是優先要務，因為他們必須保護資料資產、應用程式、裝置和使用者。許多產業和國家還會管制資料的控管方式，而合規性則依據安全措施而異。

為了具備高度效能，網路安全策略必須控制對雲端和網路所有資產的存取權、主動識別及回應威脅，並且迅速回應，才能限制任何攻擊所造成的傷害，以及從傷害恢復。

對於建立網路安全文化來說，部署零信任安全架構是最佳實務，也是負責任的方法，尤其是在雲端方面。零信任的目標為持續的保護所有攻擊。這類表面包括網路、資料中心、雲端和端點的所有實體資產，以及網路連線軟體、資料和使用者本身。

零信任安全是什麼？

零信任是全方位的安全策略，旨在保護組織網路和雲端上的所有硬體、軟體、資料和使用者。

零信任安全策略，有別於比較傳統的邊界防禦策略。組織若採用邊界防禦，會透過防火牆及多層安全性軟體的解決方案，管制及過濾公用網路的雙向流量。使用者或裝置一通過驗證並獲准進入私有網路，通常就被視為信任的資源。

相較之下，零信任安全架構的設計，是假設隨時都可能發生網路攻擊，而且根本不存在所謂信任的資源。該架構的設計應用安全技術保護組織基礎架構的硬體、軟體、資料與使用者，而且每個使用者或裝置每次互動前都必須重複通過驗證。

隨著雲端運算成長，零信任越來越受歡迎，因為雲端作業不容易被控制在邊界防禦的防護範圍內。

新冠肺炎全球大流行，加快了採用零信任安全的速度。由於突然轉變為遠端工作，因此不再受到組織防火牆或其他邊界防禦措施控制的使用者和裝置數量超乎預期。零信任被更廣泛採用，因為它要求在每個網路階段作業之前，重複驗證及授權所有使用者和裝置。Okta 於 2021 年進行的研究顯示，78% 接受意見調查的全球公司表示，因為全球新冠疫情，零信任成了優先順序較高的選項，而且將近 90% 的公司已經開始採用零信任方案，在疫情之前只有 41%。¹

零信任安全在雲端的優勢

零信任雲端安全需要動態的身分識別與存取管理（IAM）策略。使用者和裝置必須獲得相對應正確的資源存取權。反之，未經授權的使用者與裝置則必須遭到封鎖。有些人在被阻止存取其他資源後，存取特定資源的權利可能受到限制。舉例而言，對於大型組織來說，限制系統管理員權限是常見的作法，因此只有 IT 人員能夠存取那些應用程式和檔案。

採取零信任雲端安全措施，有助於組織防範針對雲端型資料、應用程式和業務模型的網路攻擊。另外，零信任也有助於保護客戶的私人資料，以符合法規規定及良好的商業實務。

採取零信任雲端安全

新的或升級後的雲端基礎架構，應及早在設計階段採用零信任安全架構。

執行零信任架構與安全政策時，組織一開始應採取深度防禦策略。這種多層策略利用多種安全措施保護組織的資產。

深度防禦首先應以信任的硬體為基礎，才能為支援其餘技術堆疊的韌體、BIOS 和作業系統（OS）提供更妥善的保護。

加密和平台保護等工具則是構成了下一個階層，協助解決組織的 IT 安全問題。

最後，利用硬體支援和軟體支援的各項功能，即可加速與加強安全性解決方案的軟體。當所有基礎階層皆獲得保護時，便可安心地在安全的基礎上部署雲端型應用程式和其他軟體。

隨著雲端資料安全功能獲得改善，組織可透過有助實現機密運算的技術，實現公有雲、私有雲或混合雲部署所帶來的成本和彈性優勢。

Intel 與零信任安全

Intel 提供硬體支援的工具與功能，可協助支援零信任雲端安全架構。安全功能已內建於 Intel® 晶片，隨時皆可在軟體中啟用。

這些和其他 Intel® 安全技術，有助於改善身分識別和存取權管理，滿足實施使用者權限控制和零信任安全程序的需求。

請注意，雲端架構設計師可以單獨存取部分內建的功能，即使是公有雲也不例外。其他功能則必須由個別雲端服務供應商啟用。

• 搭載 Intel® Xeon® 可擴充處理器的雲端執行個體，提供平衡的架構，可實現內建的 AI 加速與進階的安全功能。Intel® Xeon® 可擴充處理器已針對不同的工作負載類型和效能等級進行優化。
• Intel® Software Guard Extensions (Intel® SGX) 提供受硬體信任的執行環境，將特定應用程式程式碼與資料隔離於記憶體。Intel® SGX 使授權軟體能夠以高階的專業與控制措施來分配和保護記憶體隔離區。
• Intel® Trusted Execution Technology (Intel® TXT) 可協助確保平台在載入敏感資料之前先進入已知的良好配置。
• 第 4 代 Intel® Xeon® 可擴充處理器中的 Intel® Crypto Acceleration 功能，可協助優化密集型加密網路安全程序中的工作負載。

除了這些技術之外，Intel 正在開發代號為「Project Amber」的全新認證服務。這項服務預計將在 2023 年全面推出。² Project Amber 將提供第三方驗證服務，可驗證雲端、邊緣和內部部署環境是否值得信任。這項遠端服務將驗證機密運算環境，確保環境配置正確無誤、處於最新狀態，而且會先載入預期的軟體再處理機密資料。

由於這些技術和工具是以硬體本身為基礎，因此有助於減少潛在的攻擊面和相關威脅，為私有雲、公有雲和混合雲環境中的機密運算，建立安全的隔離區。

另外還有其他的 Intel® 技術，也能協助保護易受攻擊的端點，防範未經授權的使用者與惡意程式碼。舉例來說，搭載 Intel vPro® 平台的桌上型電腦與筆記型電腦包含 Intel® Hardware Shield，可協助防範系統韌體、作業系統、記憶體、應用程式和資料受到進階威脅。

迎接零信任

零信任這個全方位的安全架構，可保護組織在雲端、資料中心、端點和邊緣的作業與資產。隨著組織持續投入數位轉型和雲端現代化，最重要的關鍵在於，從最早的系統設計階段就在雲端架構中加入零信任安全策略。這項有效的安全策略應該是優先要務，另外輔以支援完整執行這項策略的技術與基礎架構。Intel 的安全技術，有助於讓身分識別與存取權管理更嚴格，支援使用者權限控制措施與政策，進而在整個基礎架構實現零信任安全。

Intel® 技術以硬體支援的功能、最佳化的軟體，以及可加強第三方安全解決方案的開發工具，支援零信任雲端安全。此外，Intel 與雲端服務供應商、安全軟體供應商和系統整合商合作，為世界各地各種不同的運算環境和使用模型，建置強大有效的安全解決方案。