Zero Trust 零信任安全架構
這個產業是筆者一直很有興趣的產業,但上份美股分析師工作中只有花一點零碎時間去了解這個產業,雖然有pitch $NET,但過了快兩年都快忘光了,且基金的整體投資策略還是以半導體硬體投資為主,現在離職後終於有時間來好好研究,蠻享受現在邊找工作邊研究的狀態。
Framework :
Traditional castle and moat function
why traditional castle and moat doesn’t work now?
What’s next?
Zero trust 是甚麼?
Zero Trust players
城堡與護城河(castle and moat) :
傳統上,企業使用內部網路(跟電信商租賃的網路線路),這個網路會連結母/子公司與工廠,創造一個外部無法訪問的網路,又稱WAN(Wide Area Network),所以WAN只提供服務給來自企業內部的網路需求(traffic),而遠端工作者則需要使用VPN連入公司網路以取得內部服務。所以WAN即在所有企業基礎設施、App、設備和用户之間維護一個受信任的網路(周圍有一個安全的邊界),只要在這範圍內你使用的終端設備(手機、筆電)是企業控管的、或是App在雲端但連入的是企業網路,那SWG(Secure Web Gateway)都可以過濾外部訪問並封鎖對內的惡意程式植入和對外的惡意程式連線。
why traditional castle and moat doesn’t work now?
1.許多可以加速工作效率的SaaS雲端軟體
假設今天所有資料都在公司的資料中心,那WAN還可以持續運行免受資安威脅,但如今已有許多SaaS雲端軟體與App的應用是企業必須應用在每天的營運上,舉凡人力資源管理、金融、行銷活動、銷售追蹤、客戶參與以及企業內部間的溝通都是SaaS,所以使用這些軟體的企業當然無法在別人的SaaS雲端軟體建造安全邊界,而這就會暴露出內部網路無法有效提防外部攻擊,這時如果還是以傳統Castle& moat思維,當惡意攻擊發生時,他會層層遞進深入企業網路去取得所有企業的秘密資訊。
2.終端設備的增加因疫情而加速遠端工作的趨勢,許多的Home office、Roaming user都可以直接藉由VPN連入公司網路,而這時就會顯現出WAN的弱點,首先是沒辦法辨認連入者的身分(一個新進員工但可能用VPN可以直接看到公司的所有機密)、無法看出加密流量是否有問題、缺乏保護資料的能力等(Solving WAN Vulnerabilities using SD-WAN, SWG, ZTNA)。
What’s next?
這時WAN開始轉向SD-WAN(software-defined WAN),可以藉由SWG(Secure Web Gateway)來過濾企業的外部訪問,SD-WAN也讓企業的固定成本下降,因為不需要像以往那麼多的伺服器或資料中心等硬體設備,而這也是零信任架構(Zero Trust)的起源。
Zero trust 是甚麼?
Zero trust核心精神為對內部網路系統(企業網路/WAN)及外部網路(網路、SaaS服務)都不信任,必須驗證。所以使用者首先需要通過驗證(user authentication)再經由系統判斷你可以使用哪些應用或服務(authorization),這兩者確立後零信任架構會創造一個暫時的網路連接給該服務或應用,所以使用者只能使用該服務且使用者只能使用他的身分驗證下有權力使用的SaaS服務或應用。
Zero Trust players :
身分識別提供者(Okta、PingID、MSFT Actice Directory, Duo) : 管理員工安全並提供 單點登入(SSO) 和多因素身份驗證 (MFA) 等功能。身份提供者可以驗證用戶並管理他們對每項服務擁有哪些存取權限,然後將用戶移交給用戶訪問提供者,以管理和保護來自該使用者對外部 SaaS 服務要求(通過 SWG)和內部服務要求(通過零信任)。
即時監控系統SIEM(Datadog, Sumo Logic、Splunk、Elastic、Crowdstrike、SentinelOne、Palo Alto) : 安全資訊與事件管理,藉由分析 log 資料以及所有裝置的活動資訊來找出可疑的網路攻擊或行為,並發出警告。
端點保護提供商(Crowdtrike、SentinelOne、VMWare Carbon Black、Tanium) : 提供端點保護平台(EPP)去保護所有企業的設備(筆電、手機、工作站),了解目前企業的終端設備有哪些並管理以及端點偵測與反應(EDR)系統去管理整個企業裝置的資安,是否無毒以及安全。
SASE — Secure Access Service Edge 包括 Secure Web Gateway、Zero Trust Network Access、CASB(Cloud Access Security Broker)、Remote Browser Isolation (Zscaler、Netskope)
下篇Zero Trust有關文章會著重在個股分析
References :
What is Zero Trust? (hhhypergrowth.com)
本篇文章之內容皆來自筆者認可之資料來源,但不保證其完整性及精確性。文章內容所提及之各項業務、財務等相關檔案資料及所有的意見及預估皆基於筆者 於特定日期所做之判斷,故有其時效性限制,爾後若有變更時,筆者將不做預告或更新。本篇文章內容僅供參考,並不提供或遊說客戶為買賣股票之投資依據。投資人應審慎考量本身之投資風險,並就投資結果自行負責。
