零信任是什麼?零信任機制為何對企業資安防禦很重要?

在過往,許多企業會依賴防火牆和周邊安全措施來保護其網絡免受外部攻擊的威脅。然而,隨著遠程工作和雲端運算的普及,許多的攻擊者可能已深入滲透到企業內部,並且能夠在組織的網絡內部自由行動與存取資料。由內開始的攻擊模式對傳統的防禦措施構成了巨大的挑戰。

零信任(Zero Trust)是一種用於保護組織數位環境的綜合性安全模型,該模型認為組織不應自動信任任何的使用者或是裝置,並會嚴格要求任何試圖連接至組織系統的人員或個體執行身分驗證和授權後,才可以取得存取權。在此模型中,任何的資料存取要求都會被視為來自不受信任的網路。

零信任基於「不信任,始終驗證」的理念, 強調最小權限原則並劃分為多個微型網路。每個環節都需要進行身分驗證和授權,透過應用最小權限原則降低潛在攻擊面。此外,零信任透過在訪問開始時進行驗證與於過程中不斷監控用戶行為,有助於企業組織能及時偵測異常行為並迅速作出反應,進一步保護系統和資訊安全。

零信任並不是一個單一的安全解決方案,而是一個持續不斷的過程。企業需要將內外威脅一視同仁,並透過不斷改進和更新安全政策、技術和措施,以應對不斷演變的威脅和攻擊手法。

 

Google Workspace結合AI之力,強化企業零信任機制

Google認為零信任安全模型已成為組織企業降低分散式勞動力安全風險的重要關鍵。為能幫助IT 和資安人員對資訊的使用與存取更為精確,Google Workspace提供包含資料外洩防護(Data Loss Prevention ,DLP)與情境感知存取(Context-Aware Access, CAA)等內建的安全控制機制,以協助組織加速零信任架構的實現。

利用AI自動對 Google Drive 中的資料進行分類和標記:

Workspace用戶現在可透過AI自動並持續地對Google Drive中的資料進行分類與標記,確保資料能獲得適當的共享並同時預防資料外洩。此外,用戶可以透過專為其組織所定制的AI模型,對新舊資料自動進行分類與標記。AI後續即可依照企業安全政策為資料執行分類、標籤,強化資料外洩的防護力及資料存取管制。

在Workspace服務上實現資料外洩防護(Data Loss Prevention ,DLP)

Workspace用戶現可於Google Chat、Google Drive 或Chrome等常見的Google服務項目中,透過設定設備位置或安全狀態等條件,限制其他用戶必須要滿足特定的條件才能讀取內部中分享的資訊,有助於防止資料的遺失並協助資安團隊控制組織內外部敏感資訊得共享。而在本次的Next’23大會中,Google更宣布規劃將這項功能導入到Gmail內,並預計將在今年年底前推出預覽版。

 

 

Google Workspace突破地理限制,遠端幫助企業管理資料

近年來,隨著雲端運算科技的興起,數位主權控制(digital sovereignty controls)的重要性也經越來越為企業或是公部門所重視。數位主權控制認為單一個體必須擁有管理自己數位資訊的權力與能力,並透過採取行動措施來維護線上環境與控制網際網路在組織內部的運作。

防止第三方存取機密資料

用戶端加密(Client-Side Encryption,CSE)可以透過加密金鑰的機制幫助組織添加額外的資料保護層。只有擁有加密金鑰,即便是伺服器端或服務供應商都將無法存取資料。在Google Next’23大會中,Google更宣布於多項Google Workspace服務上推出CSE 增強功能,目前包含Google Calendar、Gmail、Google Meet等服務項目都已可支援CSE功能。此外,Google也預定於今年2023年結束前再新增3項可啟用CSE的服務,包含預設特定組織單位啟動CSE、支援Google Docs評論以及Microsoft Excel文件的讀取與編輯。

自由選擇加密金鑰的位置

Google透過聯手Thales、Stormshield 與Flowcrypt等資安解決方案服務商,幫助每一位啟用CSE功能的用戶都能夠自由選擇將加密金鑰儲存於其所在的國家或是值得信賴的合作夥伴中,並能滿足當地法規的限制。

自由選擇儲存與處理資料的位置

在未來的預覽版中,Google Workspace將開放讓用戶自行選擇資料處理的地點(如在歐盟或美國),並可以直接將資料與備份內容直接儲存在所選擇的國家/地區中。

限制特定區域人員的訪問權限

Google Workspace的用戶將可以透過Access Approvals來限制Google技術支援團隊可存取資料的範圍與監控Google團隊的行為,以避免內部資料會因支援團隊的不當操作而外洩受損。目前Google Workspace已開美國企業設定只允許來自美國Google的技術支援,並預計會在今年下半年開放歐盟地區的服務。

 

 

Google Workspace如何協助資安威脅的事前預防

來自外部的網路釣魚攻擊往往是導致組織資料外洩的常見原因之一。Google Workspace透過提供完整的威脅防禦控制(Threat defense controls)機制,幫助用戶能夠在威脅攻擊發生前即進行預防、偵測與回應。在Next’23大會中,Google宣布將推出更多的防禦機制,協助資安人員能更有效地維護帳號的安全性。

限制特定用戶強制執行兩段式驗證(2-Step verification, 2SV)

擁有管理權限的帳戶一旦受到攻擊入侵,其對內部所造成的衝擊影響往往比一般的用戶更來得巨大。根據Google的統計,執行兩段式驗證(2-Step verification, 2SV)的帳戶可降低其被入侵的可能性達50%。為確保用戶帳號資料的安全性,Google宣布將於下半年開始強制限制經銷商或是大型企業客戶夥伴的管理員帳號都需啟用兩段式驗證。

限制敏感操作需要經過第三方管理者同意

為避免組織內部的惡意操作並提供額外的防禦層,Google Workespace允許管理員帳號將特定的行為設定為敏感操作(如變更用戶的兩段式驗證設定)。一旦管理員帳號想要執行任何的敏感操作,都必須要有另一位管理員帳號的額外同意後才能開始執行。

利用AI強化Gmail預防機制

Google Workspace目前正持續擴增Duet AI與Gmail於資安保護上的支援功能。期望透過生成式AI的輔助,幫助用戶針對Gmail中的其他敏感操作(如:電子郵件過濾或轉發)提供自動保護。此功能目前已於預覽版中開放使用。

讓Workspace log可輕鬆匯出到 Chronicle中

管理員帳號現在可以直接將Workspace log匯出到Chronicle中,以協助判斷可能的異常活動並縮短對威脅的回應時間。此功能目前已於預覽版中開放使用。

對於資安人員來說,Google Workspace將不再只是日常辦公工具,其所提供的資安防護機制,不僅可協助企業節省基礎設施建置、維運等設備與時間成本,更能大幅提升整體營運效能,專注於核心業務上。

宏庭科技為Google菁英合作夥伴,協助多間知名企業打造穩定的雲端基礎架構,保護企業敏感資料並防止惡意軟體攻擊與威脅,客戶遍及物流業、零售業、遊戲業與公部門。想了解更多雲端資安防護攻略嗎?歡迎填寫連絡表單,讓宏庭科技的專屬顧問團隊提供您最專業的雲端資安方案,幫助您安心擁抱雲端!

本文章改寫自 Google Workspace官方部落格:來源