寫在開頭

零信任 (Zero-Trust, Z.T.) 策略，
是這幾年談資安威脅策略最夯的主題之一，
核心精神「永不信任、總是驗證 (Never trust always verify)」，
開始不再只針對網路本身，而是強化對應用程式的服務與資料保護。

跟威脅管理 (Threat Management) 不同的是，
零信任著眼的是傳統網路邊界逐漸消融的混合辦公型態，
不再明確區分內、外部網路環境，任何資料的存取均需驗證與保護。
而威脅管理是方法框架，
用以管理企業面臨的威脅生命週期管理，
一個比較屬於策略概念、另一個則是框架方法

閘道端零信任策略

在目前閘道端的保護策略上，
主流提倡的是 Zero Trust Network Access (ZTNA)，
根據 Gartner 的名詞定義，節錄部分如下：

Zero trust network access (ZTNA) is a product or service that creates an identity- and context-based, logical access boundary around an application or set of applications...

核心策略就是透過閘道端類似「防火牆」的角色，
作為網路層的零信任策略的發動引擎，
無論 PaloAlto 或 Fortinet 防火牆領導品牌，
都有其相應的 ZTNA 技術論述與解決方案。

參考資料：https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna-

VPN v.s. ZTNA

由於 Z.T 是策略概念，因此在網路、身份與資料的角度，
都有相應機制實現永不信任、總是驗證的作法，
而閘道端則是最早與最合適實現 ZTNA 的位置。

傳統 VPN 機制的特點

傳統遠端存取的作法是透過防火牆搭配 VPN，
來執行遠端連線的認證與授權，
像 Fortinet 的防火牆 FortiGate (Firewall)，
搭配自家的端點解決方案 FortiClient (EPP+VPN)，
長久以來提供與保護許多企業的網路邊界與遠端連線存取。

現代混合辦公的挑戰

而當企業開始過度發展到「混合辦公」型態，
VPN 面臨的挑戰是基於網段存取的保護管理機制，
必須要透過比較複雜的政策管控達到更精細的服務存取規範，
再者常見基於帳號密碼或憑證的 VPN 認證，
亦無法在存取相關服務時，啟用強認證機制(ex 雙因子機制)，

ZTNA 功能特點

當 VPN 轉型到 ZTNA 的發展，
主要係利用原先閘道端防火牆的角色，
搭配在端點的 ZTNA Agent，
提升在端點裝置的安全管控顆粒度，
一方面提供與保護企業內部的連線存取；
另一方面亦透過雲端的代理機制 (SASE)，
來讓無論身在何地的用戶與端點設備，
都能無縫接軌的連接企業內、外部核心服務，
同時輔以 CASB 機制管控雲端服務的存取保護。

更重要的即是可以透過 ZTNA 機制，
啟用對相關服務存取時的 SSO/MFA 機制，
來達到傳統 VPN 網路層的保護外，
同時整合與情境關聯的身份認證與存取授權。

參考資料：https://www.fortinet.com/products/endpoint-security/forticlient

SIEM 與 ZTNA 的關聯

SIEM 作為企業資安監控的中央與核心，
故各閘道端威脅偵測的日誌，
以及透過與防火牆整合的 ZTNA，
相關端點產生的活動與存取日誌，
都可以透過防火牆或端點平台集中收容後，
送到 SIEM 平台關聯分析來偵測相關潛藏風險。

因為用戶從設備、網路、身份到存取服務的過程，
ZTNA 可以協助處理設備、網路到初始身份認證，
著重在用戶與設備在網路層接入的存取管理範疇。

而當用戶開始登入應用服務後，
相關系統活動與存取紀錄都仍須仰賴 SIEM 機制。
因為零信任關注的是：用戶與應用程序活動與行為的持續可視性，
相關的網路風險不會隨著初步的身份驗證與授權結束，
而有更多應用層的活動需持續監控與分析。

透過完善規劃與設計的 SIEM 威脅監控機制，
能夠提供企業組織所需要的威脅可視性，
以確保用戶在整個活動生命週期仍能持續保持信賴，

寫在結尾

SIEM 與 ZTNA 是非常好的互補關係，
從環境內、外的關鍵日誌來源收集相關數據，
包括用戶行為、身份和訪問管理 (IAM) 日誌、
網路行為、安全態勢與第三方威脅情報等等，
有助協助安全團隊獲得組織整體資安風險的正常/異常情形，
亦可再延伸整合實現 SOAR 事件回應的自動化。

明日預告

今天是零信任三重奏的第一天，
我們從市場最成熟、普遍的閘道端切入，
介紹 ZTNA 的零信任網路架構的基本概念，
明天我們會就「身份認證與授權」牽涉的零信任，
繼續介紹相關 key insights 給各位邦友。

另外明天 (9/20) 開始，
即是 2022 CYBERSEC 資安大會，
期待明天在實體展區能與各位邦友相見歡！