根據資安院說明,零信任網路 (Zero Trust Network, 簡稱 ZTN) 主要目的是解決現今網路環境複雜,造成信任邊界不明之資安窘境,期望透過對任何資料存取皆永不信任且必須驗證的原則,達成不論在何時何地存取資料皆保證一致安全性之相關技術。
目前數位發展部也正在力推政府單位導入零信任,數位部導入的零信任就是Cloudflare Zero Trust。零信任架構包含身份鑑別、設備鑑別、信任推斷,來加強驗證與資安。
Cloudflare Zero Trust 是一種網路安全模型,強調只信任已驗證的使用者和設備。傳統的網路安全模型假定所有內部使用者都是可信的,而外部使用者是不可信的。這種假設在現代網路環境下已經不再適用,因為許多公司不僅僅是在自己的網路上工作,還有遠程工作和雲端應用。
Cloudflare Zero Trust 提供了一個簡單的解決方案,將所有設備和使用者的身份驗證和訪問控制集中管理。它使用適應性風險評估來驗證設備和使用者的身份,並將訪問控制部署在分佈式邊緣網路上。這樣可以確保訪問者只能訪問他們應該訪問的資源,並且在發生任何風險事件時可以及時應對。
介面
在 Cloudflare 後台點選「Zero Trust」,初次建立會需要建立組織,就會進入儀表板。Zero Trust 計價方式是以驗證後的帳號數量計價,免費方案提供 50 人的額度。
功能
Cloudflare Zero Trust 下有很多小功能組合而成,後續文章會進一步說明:
- Access:將一個安全的登錄入口點新增到網路應用程序之前,並要求使用者驗證身份,根據該身份來限制對該應用程序的訪問權限。使用者可以使用任何支援 SAML 或 OAuth 2.0 的身份驗證提供者,如 G Suite、Microsoft Azure AD、Okta 等,進行身份驗證。
- Tunnel:一種安全的連線方式,可以讓您安全地將本地應用程式和服務部署在 Cloudflare 全球節點上,使其可以公開訪問。可以避免將應用程式和服務直接公開到公共網際網路上,這樣可以更好地保護您的資源免於被攻擊和滲透。
- Gateway:可以保護企業的網路免受網路攻擊、威脅和惡意軟件的傷害。可以防止惡意軟體和病毒,還可以控制和監控員工在工作時的網路活動。
- WARP:是一款虛擬私人網路 (VPN) 應用程式,可讓用戶安全地使用公共 Wi-Fi 或在不受信任的網絡上瀏覽網頁,並提供更快的網際網路連接。也可用於讓 Gateway 監控管理使用者存取網路的行為。
以上幾種防護是可以分開使用的,並不一定 Access、Gateway、Tunnel 都要用到,可以依使用情形使用。架構與關係大概如下:
結語
Cloudflare Zero Trust 是個極有彈性的架構,可以快速的將現有專案納入零信任架構。