從縮略字到行動:揭秘 Zero Trust
Zero Trust:這是一個似乎永遠流傳的術語。然而,儘管它已存在一段時間,卻依然籠罩著某種神秘色彩,更因為一連串不斷冒出的縮寫詞而變得更加撲朔迷離,比如:SSE、SASE、SWG、ZTNA、CASB、RBI……這個名單似乎�永遠列不完。
身陷這場風暴的企業陷入一片混亂,因為眾多供應商都宣稱自己的 Zero Trust 產品是解決所有安全問題的終極方案。然而,正如每個專家甚至他們家的狗都會告訴你的一樣,實施 Zero Trust 並非像購買現成產品那麼簡單。它更像是一種理念。可惜的是,企業部署這種理念並非易事,最終,企業需要某種技術或解決方案來實現它。而這正是最容易產生混亂的地方。
保護使用者
讓我們深入剖析 Zero Trust 的各個層面,從抽象的概念走向實際的應用。我們將聚焦於 Zero Trust 真正發揮關鍵作用的領域:保護使用者安全。在過去,網路使用者幾乎可以不受限制地存取企業資源,唯一的門檻可能就只是輸入使用者名稱與密碼而已。當使用者的認證洩露或裝置遭入侵時,這可能會成為一個嚴重的問題。理想情況下,我們應該採取措施保護使用者及其裝置,同時又不會影響生產力。有人說,Zero Trust 就像使用者的隱形泡棉包裝。這個比喻聽起來很奇怪,但卻觸及了 Zero Trust 的核心——將增強的安全性與無縫的使用者體驗結合。
這讓我們想到了VPN,這個網路安全領域經常被人詬病的「繼子」。它笨重難用,就像撥接上網時代的迴響,只不過沒有數據機的提示音。啟動 VPN 用戶端,輸入認證,等待連線,瀏覽錯綜複雜的公司內部網路,然後斷開連線返回到常規網際網路。這就像一場精心排練的 VPN 探戈。
遠端工作的興起讓 VPN 成為焦點,但也暴露了它的侷限。傳統企業應用程式逐漸被 SaaS 替代方案取代,使得 VPN 不得不倉促應戰,努力跟上步伐。結果如何?產生了連線瓶頸、速度變慢,甚至出現連線失敗的情況。VPN 通常僅透過帳號密碼驗證來確保安全,登入了即可提供與公司內部網路使用者相同的網路存取權限。
結果很明顯:VPN 的應用範圍過於廣泛,影響使用者體驗,在與雲端整合時面臨困難,且在擴展性與無所不在的存取能力上表現不佳。再加上可能遭受針對脆弱 VPN 基礎架構的 DDoS 攻擊威脅,災難隨時可能降臨。
「隨處辦公」的新時代已經到來。雲端應用程式、遠端使用者和個人裝置的爆炸性成長,要求徹底革新網路週邊安全模型。基於設備的舊式 VPN 解決方案已無法跟上時代的步伐。Zero Trust 網路存取 (ZTNA) 應運而生,從舞台左側隆重登場。
Zero Trust 理念的實際應用
Zero Trust 理念根植於一個簡單的原則:永不信任,始終驗證。ZTNA 體現了這一理念,它能夠提供直接、精細且具備情境感知能力的資源存取方式,而不會授予過於寬泛的網路存取權限。它顛覆了傳統,提供卓越的使用者體驗、強大的安全性、可見性和可擴展性。它是當今混合辦公模式的理想選擇。
不過等等,Zero Trust 理念可不是只適用於遠端存取而已。當然不是。Zero Trust 原則同樣適用於網際網路瀏覽器,像是透過安全 Web 閘道 (SWG) 和遠端瀏覽器隔離 (RBI) 技術來強化安全。更別說電子郵件了——超過 90% 的網路攻擊都是從網路釣魚電子郵件開始的。我越來越認為,「永不信任,始終驗證」這套哲學,也應該延伸應用到電子郵件收件匣,並提供電子郵件網路釣魚防護。
保護終端使用者的安全至關重要,但保護重要的公司資料也至關重要。CASB 和 DLP 也是 Zero Trust 體系的一部分,有助於防止資料外洩。在 AI 和聊天機器人時代,這一點比以往任何時候都更加重要。制定、執行和監控網路中資料移動方式和位置的策略也是 Zero Trust 系統的重要組成部分。隨著企業使用軟體定義安全架構重塑網路,Zero Trust 模型的重要性也日益凸顯。
如果 Zero Trust 真的是眾所期盼的萬靈丹,為什麼不是每個組織都已經全面採用呢?如果今天我們是從頭開始建置網路架構,那麼 Zero Trust 毫無疑問會是我們的首選。我們會選定一個 Zero Trust 平台,連接我們偏好的 IDP,然後迅速開始為使用者佈建 ZTNA 以及其他相關安全措施。然而,現實中的轉型從來都不是一蹴而就的,這通常是因為網路團隊與安全團隊的步調不一致。有時,是因為在現有 VPN 基礎架構上已經投入的巨額投資阻礙了轉變。甚至可能是因為執行變革所需的資源緊張。但我們必須明確一點,這些都是解釋,而非理由。
我們知道,安全威脅不僅真實存在,而且正在不斷升�級。使用者暴露在風險之中,時刻擔心因誤點電子郵件而引發網路攻擊。身為安全領導者,我們不應責怪使用者,而應承擔起保護使用者的責任。Zero Trust 模式秉承「永不信任,始終驗證」的原則,提供了一種高效且適應性強的策略,彌補了傳統 VPN 和網路安全的不足。採用 Zero Trust 最簡單的方法是透過單一平台,而不是拼湊多家供應商的單點解決方案。採用 Zero Trust 架構,為終端使用者與資料提供分層保護,其實並不複雜。但在遠端工作、SaaS 與 AI 技術蓬勃發展的今天,採用 Zero Trust 已經不僅是一個戰略選擇,而是必須採取的行動。
信任基礎
在瞬息萬變的網路安全領域中,採用 Zero Trust 模式代表著一場關鍵的思維轉型。當組織認知到基於邊界的傳統防禦機制已不足以因應威脅時,便能獲得多重效益,包括強化資料保護、縮小攻擊面,以及提升對抗高階威脅的韌性。採用 Zero Trust 不僅是一項技術決策,更是戰略層級的必然選擇——它能協助組織守護關鍵資產,並在這個充滿不確定性的數位世界中,建立起真正的信任基礎。
Cloudflare 結合安全與網路即服務 (SASE) 產品,協助組織實施 Zero Trust,將安全性、效能和可靠性集於一身。藉助覆蓋全球的 Cloudflare 網路,無論您的員工身在何處,都能享有快速且穩定的網際網路連線。在每個存取請求中套用 Zero Trust 安全機制,確保所有流量都經過驗證,從而有效保護您的員工與資料免受威脅。使用 Cloudflare Zero Trust,您可以透過統一的介面阻止不必要的存取、減少資料遺失並掌控一切。不論您目前處於數位轉換的哪一個階段,Cloudflare 都能為您提供全方位的支援。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
John Engates — @jengates
Cloudflare 現場技術長
重點
閱讀本文後,您將能夠瞭解:
保護使用者和資料的要求已變更
Zero Trust 可實現全面保護
如何建立信任基礎並取得控制權