ZTNA 1.0 如何違反最低權限原則

This post is also available in: English (英語) 简体中文 (簡體中文) 日本語 (日語) 한국어 (韓語)

透過 ZTNA 2.0 的精細存取控制降低風險

「ZTNA 實話實說」包含五個部分,而本文是這個系列的第一部分,其將深入探討 ZTNA 2.0 的五大核心,也就是保護存取的新標準。

零信任的概念 – 也就是從我們的網路和數位交易移除所有隱含的信任 – 已普遍認定為是目前用來保護企業安全的最佳方法。不過,如同 Nir Zuk 最近所指出,現有的零信任網路存取解決方案包含五種警報功能的缺陷,這些缺陷讓企業面臨風險:

1) 違反最低權限原則。

2) 遵循「允許及忽略」模式。

3) 未執行任何安全檢查。

4) 無法保護數據。

5) 只能保護一小部分的企業應用程式。

針對第一個缺陷,也是今天的重點,我們將探討 ZTNA 1.0 如何違反最低權限原則。

最低權限原則是一種資訊安全概念,表明僅授予使用者或實體最少量的必要存取權限來執行他們的工作。此一概念就是將存取權限維持在最低限度,一旦發生問題也能減少暴露的程度。

最低權限也可說是零信任狀況的基礎,ZTNA 1.0 供應商通常也會宣稱已在其解決方案中「內建」此原則。不過,ZTNA 1.0 的架構缺陷也會對其實現概念的能力構成嚴重阻礙。

ZTNA 1.0 違反最低權限原則 (實際表現也沒有比 VPN 更好)

在討論 ZTNA 1.0 發生了什麼問題之前,我們必須先聊聊什麼是遠端存取 VPN。長久以來,VPN 都是用來提供公司網路的遠端存取。雖然這種針對整個網路授予廣泛存取權限的做法絕對稱不上是理想的方式,但實際上也沒有其他替代方法,並且由於只有相對較少的使用者在連線時才會獲得「信任」且使用率不高,因此仍被視為是可接受的方式。不過,快速移轉至混合工作型態以及現代化威脅的複雜化 (尤其是涉及橫向移動的攻擊) 已讓傳統的 VPN 變得過時。

ZTNA 的目的在於限制使用者只能存取他們需要的特定應用程式而非整個網路,藉此解決 VPN 其中一項最大的挑戰。不過,廠商實作 ZTNA 1.0 解決方案的方式基本是將應用程式轉譯成第 3 和第 4 層網路架構,像是 IP (或 FQDN) 和連接埠號碼。這樣的限制會迫使管理員只能制定大範圍、但卻不夠精準的存取控制政策,授予的存取權限往往大幅超過預期。

對於應用程式元件使用靜態 IP 位址和連接埠號碼的舊型應用程式來說,使用 IP/連接埠識別應用程式是仍可被接受的方法。不過,最近幾乎所有的企業都使用能提供數種功能的雲端應用程式,每一種功能都是透過個別 URL 或類似的高層次概念所提供。同樣地,通常使用動態 IP 和連接埠、伺服器啟動連線的商業應用程式,與其他只能根據 IP 和連接埠來建立靜態存取控制政策的情境也完全不相符。

現代化應用程式的存取控制

如同我之前所討論的,總結來說最低權限原則就是僅授予使用者最少量的權限來執行他們的工作。為了因應 SaaS 和其他使用動態 IP 與連接埠的現代化應用程式,ZTNA 1.0 解決方案會需要您將存取權限授予更大範圍的 IP 和連接埠,使存取控制 (和應用程式) 能夠正常運作。但這種做法很明顯地已違反最低權限原則,並且會在網路中產生更大的漏洞而遭到攻擊者或惡意軟體所利用。

透過 ZTNA 2.0,無論應用程式使用哪些 IP 和連接埠,系統都會以動態方式在任何使用 App-ID 的通訊協定和連接埠中識別應用程式以及應用程式的特定功能。因此管理員將不再需要考量網路架構,並可啟用非常精細的存取控制以實作真實的最低權限存取。

ZTNA 1.0 對於使用伺服器啟動連線的應用程式不適用

另一種難以適用 ZTNA 1.0 解決方案的應用程式就是需要從伺服器建立用戶端連線的應用程式。其中包括各種任務關鍵應用程式,例如更新和修補程式管理解決方案、裝置管理應用程式和服務台應用程式等等。即使是已經由許多廠商實作的 ZTNA 1.0 方法,也必須由使用者啟動這些連線,且完全不允許應用程式或伺服器啟動的連線。在我們所觀察許多由客戶嘗試實作 ZTNA 1.0 解決方案的例子中,他們都被迫維持其舊型的 VPN 解決方案,只為了解決這一類的使用案例!

另一方面,像是 Prisma Access 等 ZTNA 2.0 解決方案則會使用 App-ID 進行雙向存取控制以定義應用程式存取政策,可對於所有類型的應用程式輕鬆地啟用最低權限存取,包括使用伺服器啟動連線的應用程式。

私有應用程式的子應用程式控制

許多的私有應用程式都缺乏存在於大部分現代化 SaaS 應用程式的內建、精細存取控制功能。即使是允許使用者存取應用程式以檢視數據但不允許上傳或下載數據的一些簡單功能,在 ZTNA 1.0 解決方案中也幾乎做不到,因為它只能根據 IP 位址和連接埠號碼來識別應用程式。在子應用程式層級上提供這一類的精細控制 (亦即指定應用程式存取權限,但限制上傳/下載) 對於利用 App-ID 架構來識別應用程式和子應用程式的 ZTNA 2.0 解決方案可說是輕而易舉。

需要透過 ZTNA 2.0 的精細控制以更有效率地執行最低權限存取

在應用程式和使用者無所不在的世界中,遵循最低權限原則對於有效採用零信任及降低企業風險來說非常重要。如同先前所討論的,ZTNA 2.0 能夠不受 IP 位址和連接埠號碼等網路架構的影響,對於所有類型的應用程式啟用精準的存取控制。這對於保護存取安全來說等於是往前邁進一大步,且最終能夠讓我們擺脫舊型遠端存取 VPN 的束縛。