iT邦幫忙

2022 iThome 鐵人賽

DAY 19
0
Security

【 30 天成為 SIEM 達人】系列 第 19

Day 19: 寫在當下 - SIEM 與零信任 (閘道端)

  • 分享至 

  • xImage
  •  

寫在開頭

零信任 (Zero-Trust, Z.T.) 策略,
是這幾年談資安威脅策略最夯的主題之一,
核心精神「永不信任、總是驗證 (Never trust always verify)」,
開始不再只針對網路本身,而是強化對應用程式的服務與資料保護。

跟威脅管理 (Threat Management) 不同的是,
零信任著眼的是傳統網路邊界逐漸消融的混合辦公型態,
不再明確區分內、外部網路環境,任何資料的存取均需驗證與保護。
而威脅管理是方法框架,
用以管理企業面臨的威脅生命週期管理,
一個比較屬於策略概念、另一個則是框架方法

閘道端零信任策略

在目前閘道端的保護策略上,
主流提倡的是 Zero Trust Network Access (ZTNA),
根據 Gartner 的名詞定義,節錄部分如下:

Zero trust network access (ZTNA) is a product or service that creates an identity- and context-based, logical access boundary around an application or set of applications...

核心策略就是透過閘道端類似「防火牆」的角色,
作為網路層的零信任策略的發動引擎,
無論 PaloAlto 或 Fortinet 防火牆領導品牌,
都有其相應的 ZTNA 技術論述與解決方案。

參考資料:https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna-

VPN v.s. ZTNA

由於 Z.T 是策略概念,因此在網路、身份與資料的角度,
都有相應機制實現永不信任、總是驗證的作法,
而閘道端則是最早與最合適實現 ZTNA 的位置。

傳統 VPN 機制的特點

傳統遠端存取的作法是透過防火牆搭配 VPN,
來執行遠端連線的認證與授權,
像 Fortinet 的防火牆 FortiGate (Firewall),
搭配自家的端點解決方案 FortiClient (EPP+VPN),
長久以來提供與保護許多企業的網路邊界與遠端連線存取。

現代混合辦公的挑戰

而當企業開始過度發展到「混合辦公」型態,
VPN 面臨的挑戰是基於網段存取的保護管理機制,
必須要透過比較複雜的政策管控達到更精細的服務存取規範,
再者常見基於帳號密碼或憑證的 VPN 認證,
亦無法在存取相關服務時,啟用強認證機制(ex 雙因子機制),

ZTNA 功能特點

當 VPN 轉型到 ZTNA 的發展,
主要係利用原先閘道端防火牆的角色,
搭配在端點的 ZTNA Agent,
提升在端點裝置的安全管控顆粒度,
一方面提供與保護企業內部的連線存取;
另一方面亦透過雲端的代理機制 (SASE),
來讓無論身在何地的用戶與端點設備,
都能無縫接軌的連接企業內、外部核心服務,
同時輔以 CASB 機制管控雲端服務的存取保護。

更重要的即是可以透過 ZTNA 機制,
啟用對相關服務存取時的 SSO/MFA 機制,
來達到傳統 VPN 網路層的保護外,
同時整合與情境關聯的身份認證與存取授權。

參考資料:https://www.fortinet.com/products/endpoint-security/forticlient

SIEM 與 ZTNA 的關聯

SIEM 作為企業資安監控的中央與核心,
故各閘道端威脅偵測的日誌,
以及透過與防火牆整合的 ZTNA,
相關端點產生的活動與存取日誌,
都可以透過防火牆或端點平台集中收容後,
送到 SIEM 平台關聯分析來偵測相關潛藏風險。

因為用戶從設備、網路、身份到存取服務的過程,
ZTNA 可以協助處理設備、網路到初始身份認證,
著重在用戶與設備在網路層接入的存取管理範疇。

而當用戶開始登入應用服務後,
相關系統活動與存取紀錄都仍須仰賴 SIEM 機制。
因為零信任關注的是:用戶與應用程序活動與行為的持續可視性,
相關的網路風險不會隨著初步的身份驗證與授權結束,
而有更多應用層的活動需持續監控與分析。

透過完善規劃與設計的 SIEM 威脅監控機制,
能夠提供企業組織所需要的威脅可視性,
以確保用戶在整個活動生命週期仍能持續保持信賴,

寫在結尾

SIEM 與 ZTNA 是非常好的互補關係,
從環境內、外的關鍵日誌來源收集相關數據,
包括用戶行為、身份和訪問管理 (IAM) 日誌、
網路行為、安全態勢與第三方威脅情報等等,
有助協助安全團隊獲得組織整體資安風險的正常/異常情形,
亦可再延伸整合實現 SOAR 事件回應的自動化。

明日預告

今天是零信任三重奏的第一天,
我們從市場最成熟、普遍的閘道端切入,
介紹 ZTNA 的零信任網路架構的基本概念,
明天我們會就「身份認證與授權」牽涉的零信任,
繼續介紹相關 key insights 給各位邦友。

另外明天 (9/20) 開始,
即是 2022 CYBERSEC 資安大會,
期待明天在實體展區能與各位邦友相見歡!


上一篇
Day 18: 寫在當下 - SIEM 與上市櫃資通安指引
下一篇
Day 20: 寫在當下 - SIEM 與零信任 (身份端)
系列文
【 30 天成為 SIEM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言