近期又出現各機關的資安新聞。看到新聞敘述,許多情境都是一台電腦中鏢,然後在擴散到其他內部網路。這很多時候在於我們太信任內部的電腦了。
以往想切割存取權,設定為僅內部網路可以存取就足夠了,並非確認電腦或使用者的憑證。現在,比較好的建議是方放憑證,並在主機端存取前做確認,不可以做來源的放行。不管你應用的要求從何而來,都一定必須經過驗證。
網路的切割能做額外一層的存取條件,反過來卻不能當放行的條件。能存取,必定是有權限的憑證。
有憑證的好處:能夠更細分存取權限,也容易去追查中毒電腦和其他電腦的互動紀錄,做資料的還原比較有頭緒。甚至在錯誤存取頻率過高時,就能夠讓系統去暫時停止該憑證的放行,提前作到隔離和阻斷。
想知道更多,可以查詢『零信任』『zero trust』,或看 Google 的研究結果。