.png){kind=logo}
Mavis 零信任與特權存取專欄(一)
新一代 Mavis 混合雲 IT 治理維運稽核工具
奔騰網路技術長 Sam 在企業的產品策略發展戰略會議上,針對奔騰網路全新世代的「Mavis 混合雲 IT 治理稽核工具」,發表了新產品和「零信任」與「特權存取」這兩項對於現代資安極為重要的技術架構之間的關聯性,讓內外部人員有機會一探 Mavis 背後深層的技術。
什麼是零信任?和 Mavis 的關係?
零信任是一個用於保護現代數位業務環境的策略性網路安全模型,這些日益增加的環境有很大一部分來自各企業在數位轉型上需要使用的公有及及私有雲、SaaS 應用程式、維運操作等。零信任的目標在於降低組織受到網路攻擊的風險,其設計和部署會遵循以下這幾項基本原則
組織不應該自動信任任何的人事物
所有試圖連接至組織系統的人員或個體都需要經過驗證
對資源的訪問是通過策略決定的,包括用戶身份的狀態和要求的系統,可能還包括其他行為屬性
企業要確保所有所屬的和相關的系統都在最安全的狀態
用戶認證是動態的,並且在允許訪問前嚴格執行
要達成零信任的標準需要同時符合多項條件,因此無法只靠單一項技術來達成,有效的零信任策略是結合運用多種既有或創新的方法,來對實現對數據資產的全面保護,以建構起零信任的框架。
Mavis 的零信任架構是屬於應用層的級別,基於治理稽核、監控並記錄所有特權存取活動;權限管理,採用最小權限原則(Principle of Least Privilage, PoLP)並嚴格執行存取控管;跨雲集中,不管資源位於何地,用戶都要能夠安全存取的三項基本核心功能,符合「零信任安全模型」的「特權存取系統」,能夠實現落實「特權用戶」對資源存取的 IT 治理與合規政策。在 Mavis 的零信任安全模型中有兩個重要的控制節點,分別是負責開始、監控、並最終結束與主體間連結的組建系統 PEP(Policy Enforcement Point, 策略實施點),而 PEP 實際上又可分為客戶端與資源端,確保人員對資源的安全訪問;以及 PDP(Policy Decision Point, 策略決策點) 賦予完成當前流量的認證、授權以及風險識別的工作。當用戶訪問資源時發送原始請求,這個請求會被 PEP 攔截下來並轉發給 PDP,在將申請請求的結果發回給 PEP 來決定是否要讓用戶訪問資源,而 Mavis 正是作為整個零信任安全模型中策略決策的中心,幫助企業做好最高層級的資安控管,不僅是讓資源可以在高規格的情況下被保管,因為資源的有效控管讓使用效率也大幅的提升。
Mavis 零信任與特權存取專欄(二)
存取策略與3W管理規則
Mavis 在存取政策管理面,應用了「誰(Who)在何時(When)可以存取什麼(What)」的 3W 管理規則,團隊的開發目標在於:
以最小特權原則(Principle of Least Privilege, PoLP)設定
基於零信任安全模式,而信任的基礎是「身份」以及「脈絡」資訊
基於角色的存取控管規則,角色根據任務的需要給予不同權限
權控人員需要確切的掌握每個被賦予權限的人,應該做什麼樣的事情,甚至更近一步了解其效力時間以及個體動作,藉以有效將資源最大化利用,明確的身份更可以對於角色的辨別上有相當大的幫助,但這並不是一件靠人力就能簡單完成的事情,應搭配適當的工具加以輔助,才能沒有缺失地完成每項任務。Mavis 的 3W 管理規則,可以讓權控人員透過簡單的操作,讓授權過程彈性且易於調整,效率也得以因此提升。
3W 的核心價值與重要性
最小特權原則(Principle of Least Privilege, PoLP)是一種設計原理,是指從下至上授予訪問權限,不僅指提供執行必要工作功能的最小權限,而且會隨著工作需求的變化進行調整。透過限制特權,任何組織的安全都將保持完整性。過於寬鬆地授予職責、角色、權限等,尤其是在組織發展的早期,在人手少又需要迅速完成工作的情況下,常常會給系統留下很大的濫用漏洞,因此應定期查看用戶特權,以確保僅授予與當前工作職責相關的特權。
Mavis 在設定上,透過全方位的 RBAC(Role-Based Access Control, 基於角色的存取控管)來達到權控的有效管理,輕鬆賦予專案成員明確的權限及身份。資產若是經由 Mavis 進行管理,那麼維運人員將無需經手帳密資料,即可以對資產進行操作,這樣的好處是解決過往機敏資料容易暴露在外,有效降低資安風險外,作業品質也因為有效的權控帶來莫大的提升。
Mavis 零信任與特權存取專欄(三)
降低資安風險從好的 PAM 做起
特權存取是取得企業最寶貴資產的一個路徑,而且在幾乎所有重大資安事件中都扮演著核心關鍵的角色。企業若想緩解因為特權存取造成的資安風險,企業就必須制定一系列的管理及監視特權存取的策略,然而這樣的做法很容易造成系統的堆疊使得基礎架構變複雜,開始變的難以判斷哪些資產需要做哪種保護,因此要決定實施哪種資安專案來解決特權存取會變的越來越困難。此時,一個有效的特權存取管理(Privileged Access Management, PAM)就會是至關重要的技術。
Mavis PAM 解決方案技術
所謂的特權方案管理 PAM 係指透過特權使用者帳號的集中管理、存取控管、行為監控,協助單位降低因特殊權限帳號的違規使用,以及駭客入侵而造成的資安事件,以此滿足資訊治理與法規遵循。任何人只要取得特權帳號、憑證及金鑰,即可控制組織資源、停用安全系統及存取大量敏感資料。有了存取特權,就能不受限制地存取,為使降低IT風險與挑戰,因此可集中管理、收集及報告特權存取活動的系統至關重要。
Mavis 在 PAM 的操作上採共用特權帳戶的模式,一般來說使用該模式的解決方案有著:
特權帳戶不會因用戶變動而需要調整
帳戶數量少、對資源的安全稽核比較簡單
不用針對每個特權用戶建立一個特權帳戶
等優點,但卻也出現了以下的缺點:
需要記錄用戶的存取活動作為稽核與合規用途
特權帳戶的活動與用戶無法直接關聯
需要避免用戶取得特權帳戶的機敏資料
Mavis 在 PAM 技術架構上配合「特權會期管理」功能,解決上述過往常見問題,提供企業完整的配套措施。所謂特權會期管理(Privileged Session Management)係指監控與紀錄所有特權用戶對資源的存取活動,在 Mavis 上稱之為稽核軌跡(Audit Trail)。從某種程度上說,稽核管理是每家企業的日常工作。此外,由於越來越多的法律法規要求企業保護自身及客戶資料的安全,稽核人員需要更多時間收集詳盡的日誌、記錄及證據,證明企業正在保護其最敏感性資料的安全。因此採用 Mavis 對於特權帳戶的解決方案,企業就可以自動收集且記錄與關鍵IT基礎架構及敏感資訊等有關活動,有助於深入了解最關鍵資產的最新情況。
Mavis 零信任與特權存取專欄(四)
各企業都需要有更便捷的的稽核管理方法
現在不只金融單位,其它如電信、製造、零售服務業者及政府單位都被要求遵循資安相關法規。MIS 維運從業人員除了確保企業的維運正常之外,法規遵循也成為日常重要工作一環。Mavis 是一款支援特權會期管理系統的混合雲 IT 維運稽核管理工具,幫助監控與紀錄所有特權用戶對資源的存取活動,其中的系統日誌檔(Log)與連線側錄(Session recording)提供了稽核人員落實了在稽核管理上一個很大的幫助。
系統日誌檔與連線側錄帶來稽核改革
系統日誌檔顧名思義記載系統運作軌跡,可以掌握過去在此系統內發生過哪些事件,然而系統日誌檔不僅相當多樣,內容複雜且資料量龐大,稽核者需要協助工具才能有效掌握並分析這類的日誌檔,況且並非所有稽核人員都懂熟稔程式語言,面對被畫面覆蓋的程式碼,無可避免地會無法抽絲剝繭抓到問題重點。
所有透過 Maivs 進行的資產操作,都會存有稽核軌跡的紀錄留存,這樣的稽核軌跡可以有效幫助稽核人員在事前就做好資料的整理方便備查,免除繁瑣的資料篩選讓審查可以快速進行。這樣的軌跡包含了四大要素:
操作日誌
存取日誌
任務日誌
連線側錄
Mavis 將維運操作用三種不同的日誌做分類整理,幫助稽核人員針對需要的部分進入查看,免除大量的紙本查找工作,而維運人員本身也得以善用該功能,做好朔源以及處理問題的最佳回顧方式。除了靜態的系統日誌檔外,工具本身還備有連線側錄的功能,維運人員可以針對資產進行的所有動作都將透過影像記錄下來,這讓稽核人員或是監控人員可以更直覺地用視覺來觀察,體貼不同知識背景的人。而奔騰團隊正在如火如荼地開發即時連線監控(Real-Time Session Monitoring)的功能,滿足需要更即時性的監控需求。
