適用於 5G 的零信任：實現安全的數位轉型

This post is also available in: English (英語) 日本語 (日語)

轉移到雲端和 5G 的問世已經透過數位化的方式改變我們展開業務的方式和我們的生活方式，而零信任促使我們改變我們看待網路防禦的方式。適用於 5G 的零信任是將我們的技術平台以及使用這個平台的方式予以現代化和重建的機會。這種新的防禦方法不僅能夠持續保護資產，而且提供改變我們實作的動作以及實作的方式的機會。

企業才剛開始全面接受數位轉型，後來發現舊的安全模型不利於企業的發展。考量下列事實：

• 5G 可以促進企業轉型，並且為網路竊取提供新的機會。
• 應用程式和網路功能轉移到雲端的過程造成了新的攻擊範圍。
• 由於 IoT 裝置增加而且員工分散，行動端點的數量呈現爆炸式成長。
• 精密的多階段網路攻擊導致防禦更加困難。
• 政府將 5G 網路視為國家基礎結構的一部分。

與此同時，長久以來養成的習慣並不能產生良好的效果。安全部門由於長期接受的訓練而習慣尋求單點解決方案。面對「每日威脅」，安全部門總是以相對的「每日供應商」加以因應。不過，資源限制和網路安全失效更突顯出以新方式看待網路防禦的必要性。零信任強調消除隱性信任並要求對各個存取請求進行驗證，這為我們提供了持續探究的指引。

按照定義，零信任是網路安全策略方法，可以透過消除隱性信任並持續驗證數位互動的各個階段來保護企業。無論情況如何、使用者是誰、使用者在哪裡或使用者嘗試存取什麼應用程式，適用於 5G 的零信任都會消除隱性信任。

零信任對網路安全的影響透過運用網路區隔、防止橫向移動、提供第 7 層威脅防禦和簡化精細的使用者存取控制，專門保護敏感數據和關鍵應用程式。傳統安全模型假設企業周邊內的一切都可以信任，而零信任模型則認為信任是弱點。

簡單來說，適用於 5G 的零信任促使服務供應商、企業和組織藉此機會重新思考，對於現代雲端、SDN 環境和開放原始碼 5G 網路，如何以可擴展和可持續的方式保護使用者、應用程式和基礎結構。打造零信任企業表示採用零信任原則，藉以達到可行性並以有效的方式重建安全性，因此跟上數位轉型的速度。這是 Palo Alto Networks 的獨特優勢，可以提供更廣泛且更高品質的多項功能。

針對 5G 服務供應商實施零信任

安全平台需要良好的基礎。5G 網路營運商需要強大而全面的安全策略，藉以涵蓋跨越信號層、數據層和應用程式層的所有流量。

實施 5G 安全和採用零信任原則時，服務供應商有機會透過多種策略提高安全性：

• 最低限度權限：使用微區隔更確實保護 5G 網路功能。
• 精確的安全政策：企業客戶實施更有針對性的政策，藉以更精細控制數據和應用程式存取。
• 保護雲端原生網路功能 (CNF) 工作負載：在整個 CI/CD 生命週期中保護 CNF。
• 偵測和防禦威脅：監控所有層的網路功能之間的所有互動。
• 運用自動化和人工智慧：改進異常識別，抑制分散式拒絕服務 (DDOS) 攻擊。
• 透過存取請求強制執行安全措施：從專注於保護整個攻擊範圍開始。

Palo Alto Networks 的 5G 安全方法首先要實現整個網路的完全可視性和安全性實施。智慧安全性由信號層和數據層之間的相關性驅動，藉以識別使用者和裝置。機器學習式和雲端式威脅情報有助於對威脅做出快速回應。此外，這些安全性功能需要嵌入分散式雲端的各個位置 — 核心數據中心、網路邊緣和多存取/行動邊緣雲端。

為了保護雲端中的雲端原生網路功能 (CNF) 工作負載，我們收購了雲端安全公司 Twistlock 和 Bridgecrew，並將這些公司的產品整合到 Prisma Cloud。這為主機、容器和無伺服器提供測試左移和執行階段保護功能。我們也將身分式微區隔功能整合到 Prisma Cloud。這些功能可用於保護雲端原生 5G 架構中的運算基礎結構，而適用於 5G 的 CN-series 將保護 5G 服務層和應用程式層。

做為業界首款專為 Kubernetes 環境建構的新世代防火牆 (NGFW)，CN-series 防火牆大規模運用深入容器脈絡和 5G 脈絡來保護 5G 服務層。如此即可確保我們的客戶能夠運用雲端原生 5G 堆疊的整體安全措施。軟體 5G 防火牆可以部署在任何雲端平台上 (公有雲或私有雲、營運商核心網路或行動邊緣雲端)，因此成為多功能的分散式 5G 安全架構。

藉由將零信任安全原則嵌入到各個存取請求和交易中，我們相信使用者、應用程式和基礎結構獲得解放而達到最佳效能，促使 5G 企業和 5G 客戶能夠以安全而且有信心的方式實現數位轉型的承諾。

將零信任運用於企業的 5G 安全性

經過數年「同級最佳」安全工具的鍛鍊，零信任對於企業執行更好的策略和採購提供明確的指引。部署零信任架構 (ZTA) 支援更順暢、更高效率的數位轉型途徑。企業因此能夠更有信心地保護資產：

• 實施更精確的 5G 安全政策以控制使用者可以存取的內容。
• 定義身分以涵蓋需要對於受保護的資產進行存取的所有人員和機器。
• 偵測和防禦涉及使用者和應用程式的所有數據交易中面臨的威脅。
• 從保護整個攻擊範圍轉移到在存取請求時提供保護。

零信任使得脈絡和持續驗證的構想顯得極為重要，這種構想能夠實質提供安全性改進：

• 更嚴格的安全檢查。
• 簡化、低成本、一致的安全狀況。

企業可以在 IoT (物聯網) 等領域看到零信任的其他實際效益。由於這些裝置正在大規模部署，而且幾乎沒有內建安全措施，因此存在極大的風險。Unit 42 研究指出，98% 的 IoT 流量未加密，因而會暴露網路上的個人和機密數據。此外，57% 的 IoT 裝置容易遭受中度或高度嚴重性的攻擊，使 IoT 成為攻擊者唾手可得的目標。5G 速度也將遭到攻擊者利用。

採用「最低限度權限、最低限度存取」的方法可確保各個裝置只能存取單一工作所需的內容 (也就是監視攝影機、MRI 機器等)，藉以降低相應的風險。

藉由將新世代防火牆 (NGFW) 直接放置在行動網路內部，企業網路可以獲得進一步的精確控制，為 5G 區段提供與企業網路的其他任何區段相同層級的管理和控制。企業安全政策因此能夠擴展到 5G 網路。NGFW 提供對 5G 服務層的完全可視性和控制，包括使用者數據流量。客戶可以啟動威脅防禦、WildFire 和其他訂閱，並按照使用者/裝置要求建立政策。

零信任是一段歷程，就像安全成熟模式。我們認為我們的工作是協助客戶定義歷程，然後協助客戶統整各個部分來衡量客戶達成的進展。

我們透過零信任專業服務吸引全球多個領域的廣大客戶群。這些客戶的需求迥然不同。

一些客戶尚未展開這個歷程，因此我們為這些客戶擬定完整的轉型計劃，其中包括我們的專業知識、架構規劃和領先市場的安全解決方案。其他客戶已經開始零信任專案或試用，因此我們能夠接觸這些客戶並進行合作以達到這些客戶想要的狀態。所有這些客戶都抱持關於驗證所有使用者、裝置和應用程式以及實施脈絡感知存取控制和持續監控威脅的共同目標。

許多企業發現零信任轉型造成極大的壓力 (特別是在 5G 實施過程中)，而且難以實現。我們持續在 Palo Alto Networks 努力提供不受廠商限制的設計服務和專業服務，並準備按照客戶在零信任歷程中所處的階段為客戶提供協助。

深入了解服務供應商的 5G 安全、企業的 5G 安全和我們的零信任方法。當您準備進行討論時，請聯絡我們。