Zero Trust網路存取讓每次遠端連線更快速且安全

29 1月, 2024

過去企業常用的遠端傳輸方案VPN已經過時,零信任網路存取技術是更適合現今許多採用雲端服務、混合辦公模式的企業,在提升員工連線體驗同時強化安全。

企業對遠距辦公的需求一直存在,而疫情之後許多企業仍維持彈性的混合上班模式,有更多員工需要更長時間保持遠端連線,企業開始體認到過去走VPN的方式,不僅效能不佳還存有高度安全風險,於是業界開始提倡零信任架構及零信任網路存取(Zero Trust Network Access, ZTNA)技術。然而建構零信任架構只要靠單一解決方案就能搞定嗎?還有哪些環節需要注意?

不同於VPN,ZTNA提供更安全的遠端連線傳輸方式

2019年開始陸續傳出研究人員發現數款知名VPN設備存有漏洞,企業若未及時安裝修補程式將有資料外洩風險。同時經過調查受害企業的入侵破口時也發現,從具有VPN服務帳號的伺服器下手正是許多駭客愛用的招數,藉由VPN進入到企業內網後,他們便可以輕鬆地橫向移動,提高權限存取各項系統資源並竊取企業機密。

ZTNA不同於VPN,ZTNA是在使用者的筆電等裝置與企業特定應用程式或伺服器之間建立一對一的加密連線,而VPN則是建立該次連線後即可從遠端存取整個區域網路內的系統資源,也因此當遠距員工的裝置感染惡意程式時,極有可能擴及整個企業網路。

ZTNA可以透過兩種方式進行配置(如圖1),一種是不需安裝代理程式、由瀏覽器建立安全連線並驗證用戶設備的模式,此模式是透過反向Proxy連線來避免使用者直接存取應用程式,並阻擋他們存取未被授權的應用程式與資料,同時讓管理者保有控制權與靈活性。若是遠端使用者主要需求是存取Web應用程式,可考慮採用此模式。


圖1 Cloudflare ZTNA支援(免安裝)代理程式兩種模式

另一種則是在用戶裝置上安裝代理程式,此模式可以整合第三方端點保護平台或MDR/EDR,確認端點設備的安全狀態,並整合目前常用的身份識別服務(如微軟AAD等)及FIDO2驗證,確認使用者及設備是真實且安全後,才依授權建立設備與應用程式之間的加密連線(如圖2)。此一模式可以讓管理者根據用戶所在位置、裝置安全性及風險的不同,制定更精細的存取管理政策。同時,此模式也較適合要存取透過SSH、RDP、VNC、SMB 和其他TCP連線的企業內部應用程式。

圖2 依授權建立設備與應用程式之間的加密連線


攜手Cloudflare為企業打造逐步成熟的零信任架構

美國網路安全暨基礎建設安全局(CISA)定義建構零信任成熟度模型需具備5大支柱,這是一個循序漸進的導入過程,非一蹴可幾。這5大支柱包括確保身份、裝置、網路、應用程式與工作負載、資料等方面的安全,且各支柱中須整合可視性與分析、自動化、治理等跨領域的功能。

Cloudflare的ZTNA解決方案Cloudflare Access能滿足上述要求,具備以下特色:


1.身份安全

Cloudflare已與常用的企業身分識別提供者整合(如Okta、Azure AD、Google Workspace等),以支援安全遷移雲端服務及第三方使用者存取。對於外部合作夥伴臨時存取企業系統亦可啟用一次性 PIN碼,並支援社交網路身分識別來源,如LinkedIn和GitHub。

2.裝置安全

Cloudflare在授予資源存取權限之前會評估裝置狀態,包括是否存在Gateway 用戶端、企業裝置序號和mTLS 憑證,以確保只有安全的已知裝置可以連線到企業資源。並整合第三方端點保護平台(EPP)提供者的裝置狀態檢查,包括 Crowdstrike、Carbon Black、Sentinel One 和Tanium,確保裝置安全才能連入。

3.網路安全

透過 Cloudflare網路以私有方式路由任何TCP或UDP流量,並進行一次性加速、驗證和篩選,藉此有助於提升遠端傳輸效能和網路安全。透過 IP防火牆和零信任規則的設定,限制企業資源之間的橫向移動。

4.應用程式與工作負載安全

Cloudflare可保護任何應用程式,不論是SaaS、雲端或內部部署應用程式。可確保Web應用程式和SSH連線安全,且無需安裝代理程式或做終端使用者設定;對於非Web應用程式、RDP連線和私有路由,則是在不同的網際網路和應用程式存取的應用情境間,透過綜合型用戶端代理程式連接。

5.可視性管理與分析功能

Cloudflare可記錄在受保護應用程式中發出的任何要求,包括使用者在任何應用程式中的活動都可留下記錄,不只是帳號登入和登出。Cloudflare將彙整活動記錄,或將其匯出到企業的SIEM平台。

建構零信任架構需涵蓋網路基礎建設(實體及虛擬)的調整以及依企業需求制定作業流程。數聯資安擁有豐富網路安全及系統整合專業,能為企業打造最合適的零信任架構,提高團隊生產力並將安全風險降至最低。