數位浪潮之下,隨之而來的是風險也不斷演變,如今已導致技術背後安全與信任之間的關係,越來越不平衡,如何因應全球都在探討,就在美國每年10月舉辦全國資安意識月前夕,Cisco提出了新信任標準(The New Trust Standard)的探討與分享,期望扭轉現今的威脅局勢。
特別的是,當中以零信任(Zero Trust)的網路安全策略,作為新時代信任標準的首要關鍵構成,而這也可能成為日後Cisco其合作夥伴都必須朝向的目標,甚至倡議各方供應鏈都該重視,臺灣產業勢必也要關注這股潮流,儘早做好準備。
不只網路安全零信任與供應鏈安全,要贏得企業與客戶之間的信任,需在多個層面設法提升
現在的信任失效了嗎?從現實面來看,的確有很大的問題,資料外洩問題持續嚴重,供應鏈威脅更引發產業高度重視,都持續成為國際與資安界關注的焦點。為此,美國政府已積極採取行動,對於零信任與供應鏈議題,提出國家級別的戰略。例如,美國聯邦倡議採用零信任原則與方法來保護資訊系統與網路,於是NIST推出《NIST SP 800-207 Zero Trust Architecture》標準文件,而在2021年5月12日,美國總統拜登簽署EO 14028的總統行政命令,當中已經強調零信任與供應鏈安全的實踐。
同時,該國的大型網路與資安廠商也早已陸續發力,例如這次Cicso提出的新時代信任標準,又在呼應此一態勢。更引起我們關注的是,多年前他們已經提出網路安全的零信任架構,也將這樣的概念融合於產品,而在這次新信任標準的發布中,他們並不只針對網路安全,而是在更多層面上,都提出新的信任基本要求。
根據Cisco的說明,他們之前就已採取多項行動,除了零信任架構的建立,Cisco也與供應商簽訂合約,要求對方也能遵守Cicso所承諾的資安與隱私標準,此外,他們公布了自家面對政府索取資料的原則與方法(a Principled Approach to Government Requests for Data)的文件,以及隱私資料表(Privacy Data Sheets),當中描述自家各產品服務對於處理個人資料的方式,並針對客戶常見問題提供足夠詳細的回答,以獲取客戶的信任。
這也意味著,這些議題早已受各界關注並持續進展,但如今Cisco的行動,開始將這些點、線彙整成面,建構出一個更完整的信任框架。
這樣的國際態勢,勢必將會影響到國內企業,而這也將給予國內企業資訊長一個更宏觀的思維,就是要讓近年備受關注的資安議題,包括零信任網路安全策略、供應鏈安全與資料治理的推動,從現有的信任基準拉升到新一個水準。
關於新信任標準的意義,Cisco指出,現在要贏得客戶的信任,需依賴整個組織的安全性與透明度,這裡所探討的對象,包括:產品、服務、人員、流程、道德與價值觀、內部系統、供應商與承包商。如此一來,客戶才能信任將資料交給你。
畢竟,若不知道環境裡有什麼,不了解硬體與軟體是如何製造,或者沒有證據表明相互連接的系統是如何做到安全,都會使我們面臨風險。
顯然,思科推動的新信任標準涵蓋更多層面,而這當中還不只是企業內部各構面與供應商,甚至還包含了道德與價值觀,儘管Cisco在此並未多作著墨,但也可看出現今信任關係的變化。
提出新時代信任標準的框架,包含5大關鍵要素,期望各界也能仿效
對於這個新信任標準的提出,思科全球資安產品事業部業務經理朱育民表示,這將有助於塑造產業在數位轉型上的思維,可以跨出更好的一步,這個標準如同一份指引,也是一份大綱,能夠分享給客戶與供應商,讓他們在資安行動上,有更明確的方向可以遵循,同時希望這樣的概念,能讓其他企業也能仿效或思考。
具題而言,這是一個關於期望與責任的框架,要讓企業與客戶雙方都能同意新的規範,提升數位的信任關係。而這個新信任標準的內容,是Cisco從各方交流與經驗所整理歸納而來,包括了客戶、合作夥伴、資安產業與監管機構等,當中包含了5大關鍵要素,分別是:零信任架構、受信任供應鏈、資料治理、透明度,以及合規監管與認證。
零信任
在新信任標準的組成要素中,零信任架構(Zero Trust Architecture,ZTA),被列為第一關鍵。
根據Cisco的說明,在允許存取之前,對於是否安全的存取,要經過強制且基於證據的判斷保證,也就是評估是否安全才可放行存取。目前,這種思維方式的轉變,還處於早期階段,但最終必須滲透到所有的系統之中。而這些系統本身的安全變化,將對提供給客戶的產品與服務,帶來深遠的影響。
關於零信任的重要性,朱育民表示,零信任網路安全雖然提出了許多年,但大家還沒有這樣的意識,隨著美國NIST提出SP 800-207,該國政府也正在要求當地聯邦政府,導入零信任架構的網路安全策略,因此,不管是標準、法規的力量,都已朝向這樣的趨勢。他認為,這次Cisco提出的新信任標準,是一個很好的時間點,也可以重新教育客戶、市場與整個產業,了解到零信任的重要。畢竟,現在企業受攻擊的表面是越來越多,零信任網路安全策略將可提供過往要補足的構面。
Cisco本身也這麼做,已經發展零信任解決方案。例如,他們在2019年提出對於零信任網路安全的定義,並將這樣的概念融入自身。朱育民表示,在他們所提的3W零信任架構中──Workforce、Workloads與Workplace,其實就與NIST發布的SP 800-207 ZTA標準文件中,所描述的3個關鍵技術吻合,也就是增加的身分治理、微分割與軟體定義的網路基礎架構。
受信任供應鏈
第二個關鍵,是供應鏈風險的管理,也就是要如何相信供應商能建立一個值得信賴的供應鏈。這已是近年最受關注的資安威脅,供應鏈攻擊已為全球屢屢帶來嚴重損害,挑戰也相當大。
但無論如何,現在的局勢,就是客戶都希望服務提供商要能了解自身產品中所有元件,並採取合理措施來檢測與緩解各式資安問題。
對於供應鏈的議題,Cisco指出,複雜生態系統的廠商需要經過驗證,才能確保最終我們銷售或消費的技術的可信度,而這必須要融入供應鏈流程與技術本身。
至於實踐上,Cisco提出6個要點,包括:防止竄改、要求供應商遵守正確的產業標準、建立信任鏈、在合約中建立信任,以及對於自家與其他供應商產品的整合要進行測試,並要定期執行稽核與漏洞測試。
其中,Cisco也提到了遵循產業標準,事實上,這是推動資安與零信任架構時所能採取的好出發點,他們舉例,包括:資安與隱私控制的NIST 800-53,資安管理標準ISO 27001,以及雲端使用安全的ISO 27018,還有隱私管理的ISO 27701等。
資料治理
第三是資料治理,其用意就是要確保資料得到適當處理與保護,只有為真正有需要的人提供存取權限,畢竟,客戶都希望服務提供者能保護他們的資料,這是數位世界在信任上的基本要求,但不僅僅是如此,還要能尊重資料權利,持續抱持能符合客戶與政府規定的期望。
可以想像的是,將有越來越多的消費者,會考慮隱私與透明度的提供商。而資料的未來,將會朝向數位主權發展。
對此,Cisco提出3個建議,包括透過技術控制、透過合規控制,以及考慮讓客戶能選擇資料存放資料中心的所在地區。
透明度
第四是透明度,企業要能揭露所有客戶所需的資訊,必須讓客戶能在知情的情況下去選擇。這樣的精神,過往資安界積極揭露資安漏洞與資安事件時,就已經不斷呼籲與強調。
關於增加透明度的方法,例如,讓客戶更容易得知或找到他們正在找尋的資訊,對於重大漏洞資訊應公開揭露,同時通知所有受事件影響的人,以及在政府要求資料時為客戶力爭辯護。
合規監管與認證
最後的合規監管與認證,也就是要能證明,這是做到明確信任過程之中所必要,企業應透過獨立的第三方驗證,以證明對客戶的承諾。
整體而言,在前面三大關鍵主軸之外,後面兩個關鍵要素,也就是透明度與認證,其精神其實更是貫穿整個標準,其實兩者的概念,過去其實已經不斷被強調,但重要性可能被忽略,因此這次Cisco將它與零信任、供應鏈與資料治理,列為同等重要的要素。而從這5大方向著手,將是企業重新思考信任基準點的開始。
Cisco建議的零信任原則
●將客戶體驗放在首要任務,因為認證不應該是一種負擔。使用者完成工作需要可以方便地存取企業內部與雲端的應用程式。
●持續驗證使用者、設備與應用程式是否受到信任。
●利用機器學習來識別異常用戶行為的嘗試登錄。會有誤報事件發生,因此要權衡阻止合法存取的風險。
●應用程式安全性政策的強度要與資料的敏感性相符合。這需要準確的資料分類,並要能夠瞭解正常應用程式流量是什麼樣子,這樣才能發現異常。
●確保不同應用程式元件之間需要安全的連接,例如應用程式邏輯與資料庫。
●讓入侵攻擊者更難從一臺伺服器移動到其他伺服器,使用技術包括網路分區隔離、強式的認證與加密,以及建立標記受信任的設備。
@資料來源:Cisco,iThome整理,2021年10月
為何需要新的信任標準?
之所以提出新的信任標準,Cisco舉出了一個簡單的問題,你的客戶可以信任將資料交給你嗎?答案是,隨著商業型態複雜,信任這件事已不再是建立於個人關係之上,現在客戶的信任已經開始依賴整個組織的安全性與透明度,這裡談的包括你的產品、服務、人員、流程、道德與價值觀、內部系統、供應商與承包商。
因此,現在所論及的信任內涵,已經變得更加全面。例如,客戶是否能信任你,不僅取決於你的政策,也取決於你的供應商,甚至你的共應商的共應商;不僅取決於你的網路安全防護,並還取決於你在發生漏洞時的做法;不僅取決於你如何儲存客戶的敏感資料,還取決於你如何在周五下班之際面對國外執法部門的請求。
而且,現在的安全也與信任及透明度拖不了關係。Cisco說明,在什麼都相互連接的今日世界中,這意味著我們已是共享風險與共享安全的態勢。然而,不知道我們的環境裡有什麼,不了解硬體與軟體是如何製造,或者沒有證據表明相互連接的系統是如何做到安全,都會使我們面臨風險。因此,需要信任與透明度的存在並發揮作用,才能方便我們都能集體管理風險。
"標準" - Google 新聞
October 19, 2021 at 12:13PM
https://ift.tt/30G3oJu
Cisco提出新信任標準,不只是強調零信任架構,供應鏈與資料治理的信任也要重新思考 - iThome Online
"標準" - Google 新聞
https://ift.tt/3aQsuVJ
Mesir News Info
Israel News info
Taiwan News Info
Vietnam News and Info
Japan News and Info Update
https://ift.tt/2yz8FVl
Bagikan Berita Ini
0 Response to "Cisco提出新信任標準,不只是強調零信任架構,供應鏈與資料治理的信任也要重新思考 - iThome Online"
Post a Comment