為什麼選擇零信任雲端安全機制?
組織很多運算工作負載越來越仰賴雲端。安全機制成了迫在眉睫的優先要務、混合式與分散式工作團隊的需求重新定義,加上雲端可隨時隨地存取軟體、資料和其他資源,受惠的資料分析、機器學習(ML)和人工智慧(AI)驟增,這股趨勢的發展於是越來越快。此外,雲端將組織、網路與使用者,連接至邊緣運算裝置和系統。
受到這類趨勢帶動,透過雲端鬆散互連的使用者、裝置與應用程式,範圍大幅擴大,種類也越來越多。不過很遺憾,這些元素全部可能都容易遭受不法之徒和惡意程式碼攻擊。
網路安全對於使用雲端的組織是優先要務,因為他們必須保護資料資產、應用程式、裝置和使用者。此外,管制資料控管方式的產業和國家很多,而合規性則取決於安全措施。
網路安全策略若要達到高成效,就必須控制對雲端和網路所有資產的存取權、主動識別及回應威脅,並且迅速回應,在遏制任何攻擊所造成的傷害後恢復運作。
若要塑造網路安全文化,,尤其是在雲端方面,部署零信任安全架構是最佳實務,也是負責任的方法。零信任的目標是持續保護所有攻擊面。這類攻擊面包括網路、資料中心、雲端和端點的所有實體資產,以及連網的軟體、資料和使用者本身。
零信任安全機制是什麼?
零信任是全方位的安全策略,旨在保護組織網路和雲端的所有硬體、軟體、資料和使用者。
零信任安全策略有別於較傳統的邊界防禦策略。組織若採用邊界防禦,管制及過濾公用網路的雙向流量時,保護私有網路邊界的手段是防火牆和多層次軟體安全解決方案。使用者或裝置一通過驗證並獲准進入私有網路,通常就視同可信任的資源。
反之,零信任安全架構的設計則是假設網路攻擊隨時都可能發生,而且根本不存在所謂可信任資源。該架構的設計採用保護組織基礎架構硬體、軟體、資料與使用者的安全技術,而且每位使用者或每部裝置每次互動前,都必須重複通過驗證。
隨著雲端運算成長,由於在防禦型邊界防護範圍內不易控制雲端作業,因此零信任越來越受歡迎。
新冠肺炎全球大流行,加快了採用零信任安全機制的速度。工作方式突然轉變為遠端作業,不再受到組織防火牆或其他邊界防禦措施控制的使用者和裝置數量超乎預期。零信任要求在每個網路階段作業之前,重複驗證及授權所有使用者和裝置,採用零信任的範圍也因而越來越廣泛。Okta 在 2021 年進行的研究顯示,受訪的全球企業中,有百分之 78 表示,因為這場全球大流行,零信任成了當務之急,近百分之 90 早已著手設計零信任計畫,相形之下,這個數字在全球大流行之前只有百分之 41。1
雲端零信任安全機制的優勢
零信任雲端安全機制需要動態的身分識別與存取管理(IAM)策略。正確的使用者或裝置必須獲得正確資源的存取權。反之則必須封鎖未經授權的使用者與裝置。有些人可能擁有特定資源的有限存取權,但其他資源的存取權卻遭到封鎖。舉例而言,對於大型組織來說,限制系統管理員權限稀鬆平常,因此只有 IT 人員能存取那些應用程式和檔案。
實施零信任雲端安全措施,有助於防範組織雲端型資料、應用程式和商業模型遭受網路攻擊。另外,為遵守法規規定和良好的商業實務,零信任可協助保護客戶的私人資料。
實施零信任雲端安全機制
新的或升級後的雲端基礎架構,應及早在設計階段納入零信任安全架構。
實施零信任架構與安全政策時,組織一開始應採取縱深防禦策略。這種分層策略巧妙運用多種安全措施保護組織的資產。
縱深防禦應先以可信任的硬體為基礎,才能為支援其餘技術堆疊的韌體、BIOS 和作業系統(OS)提供更妥善的防護。
加密和平台防護等工具則構成下一個分層,協助因應組織的 IT 安全議題。
最後,硬體支援和韌體支援的各項功能,可加速並加強軟體型安全解決方案。所有基礎分層皆獲得保護時,便可胸有成竹在安全基礎部署雲端型應用程式和其他軟體。
雲端資料安全功能精益求精,組織透過有助於支援機密運算的技術,便可實現公有雲、私有雲或混合雲部署方面的成本和靈活性優勢。
Intel 與零信任安全機制
Intel 提供硬體支援的工具與功能,可協助支援零信任雲端安全架構。安全功能已內建於 Intel® 晶片,隨時皆可在軟體啟用。
這些和其他 Intel® 安全技術,有助於改善身分識別和存取權管理,符合實施角色型控制和零信任安全程序的需求。
請注意,雲端架構設計師可單獨存取部分內建功能,即使是公有雲也不例外。其他功能則必須由個別雲端服務供應商啟用。
- 搭載 Intel® Xeon® Scalable 處理器的雲端執行個體,提供平衡的架構,可實現內建 AI 加速與進階的安全功能。Intel® Xeon® Scalable 處理器已針對許多工作負載類型和效能等級最佳化。
- Intel® Software Guard Extensions (Intel® SGX) 提供硬體型可信任執行環境,在記憶體隔離特定應用程式的程式碼與資料。Intel® SGX 的精確度與控制力高,可讓獲得授權的軟體分配及保護記憶體隔離區。
- Intel® Trusted Execution Technology (Intel® TXT) 可協助確保平台先進入已知良好的配置,然後再載入敏感資料。
- 第 4 代 Intel® Xeon® Scalable 處理器中的 Intel® Crypto Acceleration 功能,可協助將加密密集型網路安全程序中的工作負載效能最佳化。
除了這些技術,Intel 還正著手開發代號為「Project Amber」的全新驗證服務,預計在 2023 年正式推出。2 Project Amber 將提供第三方證明服務,可驗證雲端、邊緣和內部部署環境是否值得信任。這項遠端服務負責驗證機密運算環境,確保環境配置正確無誤、處於最新狀態,而且會先載入預期的軟體再處理機密資料。
由於這些技術和工具以硬體為建置基礎,因此有助於縮小潛在的攻擊面並減少相關威脅,為私有雲、公有雲和混合雲環境中的機密運算建立安全的隔離區。
另外,還有其他 Intel® 技術也能協助保護易受攻擊的端點,防範未經授權的使用者與惡意程式碼。舉例來說,搭載 Intel vPro® 平台的桌上型電腦與筆記型電腦有 Intel vPro® Security,可協助系統韌體、作業系統、記憶體、應用程式和資料防範進階威脅。
大力採用零信任
零信任這個全方位的安全架構,可保護組織在雲端、資料中心、端點和邊緣的作業與資產。組織持續投入數位轉型和雲端現代化,在最早的系統設計階段就在雲端架構採用零信任安全策略是一大關鍵。這項有效的安全策略,以及支援完整執行這項策略的技術與基礎架構,應視為優先要務。Intel 的安全技術有助於讓身分識別與存取權管理更滴水不漏,支援角色型控制措施與政策,帶動在整個基礎架構實現零信任安全機制。
Intel® 技術以硬體支援的功能、最佳化的軟體,以及可加強第三方安全解決方案的開發工具,支援零信任雲端安全機制。此外,Intel 與雲端服務供應商、安全軟體供應商和系統整合商合作,為世界各地各種不同的運算環境和使用模型,建置強大有效的安全解決方案。