零信任是維護世界資訊安全的關鍵
安全性、合規性和身分識別企業副總裁 Vasu Jakkal
我們現今賴以營運的世界,所面臨的網路安全性複雜度可說是前所未見。雖然近幾年來,我們擁有迅速偵測與因應資安攻擊的能力,然而惡意人士也不斷更新攻擊手法。從 Nobelium1 和 Hafnium 發動的大規模資安攻擊,以及重大基礎建設遭到勒索軟體攻擊的事件,不難看出攻擊者的協調能力與技術都更加純熟。這明確點出,網路安全和 IT 部門的工作對國家/地區和全球安全都極其重要。
Microsoft 具有獨特的全球網路威脅與攻擊資料存取層級,並致力分享資訊和深入解析以嘉惠全球使用者。在近期的資安攻擊中,我們與公家機關與私人機構協同合作,並聯合業界同行和合作夥伴,建立更強健且更有智慧的網路安全社群,為民眾提供保障。
與我們建立協同合作關係的對象也包含美國政府,也很高興得知美國當局頒布美國網路安全行政命令2 (EO),期望快速達成數個里程碑。這項行政命令載明了數項應採取的實際行動,以加強國家網路安全,並對抗聯邦機構與整個數位生態系之中日益複雜的威脅。此行政命令要求各大機構和其供應商,改善資訊分享、事件偵測、事件回應、軟體供應鏈安全性和 IT 現代化等方面的功能和協調作業,對此我們更由衷贊同。
隨著這些全國性的舉措步上軌道,外界紛紛呼籲所有企業加強網路安全措施,而 Microsoft 與廣大的合作夥伴生態系也整裝待發,為民眾提供多一分保障。目前 Microsoft 已有一套現代化架構,可以保護重大基礎建設、減少未來資安事件發生頻率,並打造更安全的世界,那就是零信任。在 2020 至 2021 年間遠端與混合式工作型態興起的推波助瀾下,我們也已協助許多公家機關和私人組織建立並實施零信任方法。Microsoft 始終致力於推出全方位整合並可大規模實作的安全性解決方案,同時在客戶安全性歷程的每個階段給予協助,其中也包含針對零信任部署作業提供詳盡的指南。
零信任是協助維護世界資訊安全的關鍵
以往最典型的安全性做法,是在資源和資料周圍打造難以突破的防禦,但面對今時今日的挑戰,這種做法顯然已經不可行。遠端與混合式工作型態逐漸成為常態,使用者在工作和個人生活間的界線日漸模糊,運用多種裝置進行組織內外的協同合作也更加頻繁。身分識別、裝置、應用程式、網路、基礎架構和資料並未受到傳統周邊設備防禦機制的保護,因此常常是攻擊者鎖定的破口。這些現代化數位資產遍布各處,形態十分多元且複雜。
我們必須採用零信任方法,因應嶄新工作常態。
EO 於第 3 節中呼籲,聯邦政府須提升推動雲端服務保護和實作零信任的速度,包含訂定多重要素驗證和端對端資料加密相關命令,並「採取決定性的舉措,推動網路安全做法現代化」。對於美國當局認可零信任策略為網路安全最佳做法,我們相當肯定,也贊同白宮鼓勵私人機構遵循 EO 指導方針,採取「積極的措施」。
美國網路行政命令第 3 節中提到,如同其他產業和科學創新的衡量機制,零信任的聯邦標準和指南是由美國商務部國家標準與技術委員會 (NIST) 所研擬發展。NIST 依據多項基本的參考依據來定義零信任:
• 在允許存取權之前,所有資源的驗證和授權都是採動態強制執行。
• 信任要求者的存取權會經過評估,才能授與存取權。系統會依據完成工作所需的最少權限來授與存取權。
• 資產應一律以攻擊者就在企業網路中的假設來因應。
Microsoft 將這些零信任參考依據簡化成三大原則:明確驗證、使用最低權限存取權、假設漏洞。我們為客戶、軟體開發和全球安全性狀態制定的策略指南,也是採用這三項原則。
以零信任心態營運的組織會更有應變能力、持續並及時回應新的資安攻擊。落實端對端零信任策略不僅會讓攻擊者更難入侵網路,也能防堵攻擊者橫向移動至其他系統,縮小潛在的損害範圍。
雖然防範惡意人士取得存取權相當重要,但這只是零信任策略之中的一環。若要盡可能減輕入侵事件造成的影響,組織勢必要有能力偵測到手法細膩的惡意人士進入作業環境。因此運用縝密的威脅情報和分析便相當關鍵,組織可藉此迅速評估攻擊者的行為、撤出資產並加以修復。
用於強化公家和私人機構內國家安全的資源
我們相信美國總統拜登所發佈的 EO 非常適時適地,不僅鼓勵政府機關採取行動,同時也為想改善對抗網路威脅能力的企業立下典範。對於事件回應、資料處理、協同合作和實作零信任的關注與措施,勢必能促使公家機關和私人組織進一步保護全球供應鏈、基礎建設資源、資訊和流程,往更美好的未來邁進。
聯邦機構為響應美國當局的要求,致力加強組織間和組織內部的能力,以發展政府的全網路功能,而 Microsoft 則傾注全力提供協助。Microsoft 聯邦團隊的技術主管 Jason Payne 日前概述了建議聯邦機構採取的步驟。我們也負責提供聯邦機構依循 NIST 標準所設計的關鍵零信任案例架構,以及零信任迅速現代化計畫 (Zero Trust Rapid Modernization Plan)。
Microsoft 也致力協助客戶掌握最新資訊安全趨勢,並培育新一代的資訊安全專業人士。 我們開發了一套提升技能的資源,以訓練團隊學習 EO 中提到的功能,並著手打造更安全、更靈活,且可支援各種任務的環境。
除了為聯邦政府機構提供的 EO 相關資源,我們也持續發佈指南、分享所學、開發資源並投資新功能,協助組織加快實行零信任方法的速度,並且達到組織的網路安全要求。
以下是我們推薦的首要零信任資源:
• 如需 Microsoft 定義零信任方法的詳細資料,以及身分識別、端點、應用程式、網路、基礎架構和資料解決方案的詳盡解說,請下載零信任成熟度模型。
• 若想評估貴組織在零信任歷程中的進度,並取得後續步驟的技術建議,請使用零信任評估工具。
• 如需部署、整合與開發技術指南,請前往零信任指導中心,其中的指南將帶領您逐步完成實作零信任原則。
• 若您想了解 Microsoft 自身部署零信任的歷程,請前往Microsoft Digital Inside Track,閱讀資訊安全性主管 Bret Arsenault 和其團隊分享的故事。
一同對抗複雜的網路威脅
上述 EO 為所有組織帶來契機,能改善網路安全狀態,並迅速實作零信任,包含多重要素驗證與端對端加密。白宮已針對相關要求提供明確指示,指出全球各地的私人企業、國家與地方政府和組織都可使用零信任架構模型。
唯有團結合作,才能成功對抗惡意攻擊者,克服重大挑戰。貴組織為推動零信任架構所採取的每一步,不僅能保護您的資產,也能為眾人打造更安全的世界。我們相當肯定各種規模組織採納零信任的做法,也會盡全力在這趟歷程中與眾人合作。
如需進一步了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
欲了解更多原文內容,請至微軟資安部落格參考更多。
1Nobelium Resource Center,Microsoft 安全回應中心。2021 年 3 月 4 日。
2President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks (美國總統簽署行政命令,力求改善國家網路安全並保護聯邦政府網路),白宮,2021 年 5 月 12 日。
