Vysvětlení architektury nulové důvěry
Dnešní síťová infrastruktura se stala velmi proměnlivou a rozšířila se do cloudu – SaaS, IaaS a PaaS. Kromě toho stále větší počet rozptýlených zařízení a uživatelů spadá do kategorií, jako je např uživatelsky spravovaná zařízení (BYOD) , IoT a vzdálení pracovníci. Tradiční přístup k bezpečnosti má v takto vysoce různorodých a distribuovaných prostředích menší smysl. Jednou z hlavních slabin konvenčního přístupu k zabezpečení je to, že předpokládá, že všemu uvnitř sítě organizace lze důvěřovat.
Jedním z důsledků tohoto předpokladu je, že nás udržuje slepými vůči hrozbám, které se dostanou do sítě, které jsou pak ponechány, aby se potulovaly a útočily na síť, kdekoli si svobodně zvolí. K překonání tohoto nedostatku musí organizace přijmout nový přístup k ochraně moderní síťové infrastruktury. Tento nový přístup se nazýváArchitektura nulové důvěry (ZTA).
Co je architektura nulové důvěry (ZTA)?
Architektura Zero Trust Architecture (ZTA), známá také jako Zero Trust Security Model nebo Zero Trust Network Access (ZTNA), představuje posun v přístupu k zabezpečení, kterýmpřístup je odepřen, pokud není výslovně udělen a právo na přístup není průběžně ověřováno. Myšlenkou ZTA je, že síťová zařízení by ve výchozím nastavení neměla být důvěryhodná, i když jsou připojena k podnikové síti nebo byla dříve ověřena. Přístup nulové důvěry obhajuje kontrolu identity a integrity zařízení bez ohledu na umístění a poskytování přístupu k aplikacím a službám na základě spolehlivosti identity zařízení a zdraví zařízení v kombinaci s autentizací uživatele.
ZTA snižuje rizika vnitřních hrozeb důsledným ověřováním uživatelů a ověřováním zařízení před udělením přístupu k citlivým zdrojům. Pro externí uživatele jsou služby skryté na veřejném internetu, což je chrání před útočníky, a přístup bude poskytnut pouze po schválení jejich zprostředkovatelem důvěry. Podle společnosti Gartner , do roku 2022 bude 80 % nových digitálních obchodních aplikací přístupných přes ZTNA. Zvláštní publikace amerického Národního institutu pro standardy a technologie (NIST). NIST SP 800-207 poskytuje podrobné pokyny a doporučení neutrální vůči dodavatelům pro veřejné a soukromé organizace, které chtějí implementovat principy ZTA.

Jak funguje architektura Zero Trust?
ZTA pracuje tak, že spojuje různé moderní technologie, které tak či onak přispívají k naplňování filozofie nulové důvěry „nikdy nedůvěřuj, vždy prověřuj“. Mezi technologie patří správa identity a přístupu (IAM) , vícefaktorové ověřování založené na riziku, zabezpečení koncových bodů nové generace , firewall nové generace (NGFW) , end-to-end šifrování a technologie, které mimo jiné ověřují stav prostředků a koncových bodů předtím, než se připojí k aplikacím.
ZTA předpokládá, že jakýkoli uživatel, aktivum nebo zdroj je nedůvěryhodný a před udělením přístupu musí být ověřen a neustále vyhodnocován pro každou relaci a aktivitu. Jde o úplný odklon od tradičního modelu zabezpečení sítě, který se opíral o princip „důvěřuj, ale prověřuj“. Konvenční přístup automaticky důvěřoval uživatelům a koncovým bodům v rámci organizace, vystavoval organizaci riziku ze strany vnitřních hrozeb, což umožňovalo neautorizovaným a kompromitovaným účtům neomezený přístup v rámci podnikové sítě. Tento model se stal zastaralým s příchodem cloud computingu a zrychlením distribuovaného pracovního prostředí.
V ZTA musí každý pokus uživatele nebo zařízení získat přístup k síťovým zdrojům podstoupit přísné ověření identity. A to přesahuje použití uživatelského jména a hesla a ID tokenu pro autentizaci. Musí také obsahovat parametry kdo, co, kde, kdy, proč a jak. To znamená, že musí být ověřen uživatel, použité zařízení, poloha, denní doba, účel přístupu a přístupová oprávnění. Přístup může být odmítnut, pokud se zjistí, že některý z těchto atributů nespadá do přijatelných hranic použití.
ZTA si můžete představit jako podobnou implementaci fyzického řízení přístupu k ochraně přístupu do kritických oblastí a míst v komplexu budov. Takže místo jednoho zařízení pro kontrolu přístupu, které ověřuje uživatele u hlavní brány nebo recepce, předpokládejte, že nikdo není důvěryhodný, a nechte je nainstalovat u vchodu do kanceláře, zasedací místnosti, serverovny, knihovny a dalších kritických míst v budově. vynutit přísnou kontrolu přístupu. To v kostce vysvětluje, jak ZTA funguje.
Jaké jsou základní principy ZTA?
ZTA přijímá určité základní principy, aby zabránil útočníkovi v pohybu po síti nebo v rámci sítě poté, co získal přístup k této síti. ZTA, která implementuje tyto techniky, může snadno zadržet boční pohyb zlomyslných aktérů. Kromě toho může být napadené zařízení nebo uživatelský účet umístěn do karantény a odříznut od dalšího přístupu, jakmile je detekována přítomnost útočníka.
Základní principy ZTA
- Vícefaktorové ověřování (MFA): MFA je bezpečnostní technika, při které je uživateli udělen přístup k systému nebo síti pouze po úspěšném předložení dvou nebo více důkazů (faktor ověření) autentizačnímu mechanismu. ZTA využívá tuto techniku ke snížení výskytu krádeží identity.
- Nejméně oprávnění přístupu: Jedná se o koncept zabezpečení, ve kterém je uživateli udělen pouze minimální přístup nebo oprávnění potřebná k provádění jeho pracovních funkcí. ZTA využívá tuto techniku k omezení „poloměru výbuchu uživatele“ a vystavení citlivým částem sítě.
- Řízení přístupu k zařízení: ZTA také vyžaduje přísná pravidla pro přístup k zařízení. Provádí to sledováním počtu zařízení, která se snaží o přístup k síti, a zajišťuje, že každé zařízení je autorizováno a splňuje požadovaný zdravotní stav. Kromě toho ZTA využívá tuto techniku k omezení „poloměru výbuchu zařízení“ a vystavení citlivým částem sítě. To dále minimalizuje útočnou plochu sítě.
- Mikrosegmentace: Tato bezpečnostní technika umožňuje rozdělit bezpečnostní perimetry na různé bezpečnostní segmenty až na úroveň individuální zátěže a poté definovat bezpečnostní kontroly a poskytovat služby pro každý jedinečný segment. ZTA využívá tuto techniku, aby zajistila, že osoba nebo program s přístupem do jednoho z těchto segmentů nebude mít přístup k žádnému z ostatních segmentů bez samostatného oprávnění.
- Průběžné sledování a ověřování: To znamená, že žádnému uživateli ani zařízení (uvnitř nebo vně) by nemělo být automaticky důvěřováno. ZTA ověřuje identitu a oprávnění zařízení a uživatele a zajišťuje, že navázané relace periodicky vyprší, což nutí zařízení a uživatele neustále znovu ověřovat. Aby to fungovalo efektivně, podmíněný přístup založený na rizicích zajišťuje, že pracovní tok je přerušen pouze tehdy, když musí nastat změna úrovně rizika. To poskytuje nepřetržité ověřování bez obětování uživatelské zkušenosti.
Kdy byste měli zvážit ZTA pro své podnikání?
Víte, že vaše firma je zralá na model nulové důvěry, pokud se na vaši organizaci vztahují následující scénáře:
- Vaše organizace má centrální ústředí a několik vzdálených kanceláří a zaměstnanců, kteří nejsou spojeni fyzickým síťovým připojením ve vlastnictví podniku. A protože jsou tyto kanceláře a zaměstnanci vzdálené, vaše organizace využívají cloudové zdroje a aplikace k propojení týmů.
- Vaše organizace si najímá externí pomoc nebo poskytuje externím dodavatelům, partnerům a zákazníkům určitou úroveň přístupu k podnikovým zdrojům, interním aplikacím, citlivým databázím, službám nebo jiným chráněným aktivům.
- Vaše organizace má systémy založené na IoT s obrovským množstvím dat neustále shromažďovaných z datových zdrojů, jako jsou připojená auta, vozidla, lodě, tovární haly, silnice, zemědělské půdy, železnice atd., a přenášených do vaší cloudové sítě.
- Vaše organizace využívá více poskytovatelů cloudu. Má místní síť, ale k hostování aplikací/služeb a dat využívá dva nebo více poskytovatelů cloudových služeb. A musíte chránit síťovou infrastrukturu, která zahrnuje multi-cloud a cloudová připojení, hybridní, multi-identitní, nespravovaná zařízení, starší systémy, aplikace SaaS.
- Vaše organizace se musí vypořádat s rostoucím prostředím hrozeb, které zahrnuje hrozby od škodlivých zasvěcenců, ransomware , útoky na dodavatelský řetězec , mezi ostatními.
Pokud je vaše organizace na této křižovatce, může to být skvělý čas zvážit ZTA ve vaší síti. Schopnost ZTA urychlit povědomí, předcházet, detekovat a reagovat na bezpečnostní události s minimální latencí z něj činí ideální bezpečnostní strategii pro řešení těchto scénářů.
Jak implementujete ZTA pro vaše podnikání?
Jak by tedy měly organizace postupovat při aplikaci konceptů ZTA k řešení jejich moderní síťové reality? TheRámec NIST SP 800-207 na ZTAdoporučuje, aby se organizace snažily postupně zavádět principy nulové důvěry a technologická řešení, která chrání jejich nejcennější datová aktiva, namísto přímého nahrazování infrastruktury nebo procesů za běhu. K migraci na ZTA nemusí dojít během jediného cyklu obnovy technologie. Místo toho by to mělo být vnímáno jako cesta. „Většina podniků bude po určitou dobu i nadále fungovat v hybridním režimu nulové důvěry/obvodu a zároveň bude nadále investovat do probíhajících iniciativ modernizace IT.“
Podle rámce NIST ZTA „než se pokusíte přinést ZTA do vaší organizace, měl by proběhnout průzkum aktiv, subjektů, datových toků a pracovních postupů. Toto vědomí tvoří základní stav, kterého musí být dosaženo, než bude možné nasazení ZTA“. Následuje pětikroková metodika pro implementaci ZTA ve vaší organizaci. To vám pomůže pochopit, kde se nacházíte v procesu implementace a kam jít dál způsobem, který je nákladově efektivní a neruší.
Pětikroková metodika implementace ZTA ve vaší organizaci
- Definujte chráněný povrch: Prvním krokem je definovat chráněný povrch tím, že zjistíte, jaká data mají hodnotu. S nulovou důvěrou se nesoustředíte na svůj útok, ale pouze na kritická data, aplikace, aktiva a služby, které jsou pro vaši organizaci nejcennější (chráněný povrch). Po definování můžete ovládací prvky přesunout co nejblíže k tomuto chráněnému povrchu a vytvořit tak mikroobvod.
- Mapovat toky transakcí: Způsob, jakým se provoz přes síť pohybuje, určuje, jak by měl být chráněn. Podnik nemůže určit, jaké nové procesy nebo systémy musí být zavedeny, pokud nemá znalosti o aktuálním stavu provozu. Dalším krokem je tedy určit, kam data směřují, k čemu se používají a co dělají. Toho dosáhnete mapováním toků provozu vašich dat napříč vašimi sítěmi prostřednictvím vašich podnikových aplikací. Po dokončení můžete použít ZTA, abyste zabránili všem ostatním.
- Navrhněte si ZTA : Jakmile definujete chráněný povrch a zmapujete tok dat, abyste věděli, co by mělo být povoleno, můžete navrhnout ZTA, která vynucuje mikroobvody vaší sítě. Neexistuje jediný univerzální design pro ZTA. Váš ZTA je jedinečný pro vaši firmu a je postaven kolem chráněného povrchu. Příklady technologií, které je třeba v této fázi zvážit, zahrnují virtualizaci, firewall nové generace (NGFW) , Softwarově definovaný obvod (SDP) , mezi ostatními.
- Vytvořte si zásady ZTA: Jakmile je ZTA navržena, dalším krokem je vytvoření vašich zásad ZTA pro určení přístupu. Můžete si například osvojit koncept kdo, co, kde, kdy, proč a jak, abyste zjistili, kdo jsou vaši uživatelé, k jakým aplikacím potřebují přístup, proč potřebují přístup a jak se obvykle připojují k vašim aplikacím. S touto úrovní podrobného vynucování zásad si můžete být jisti, že bude povolen pouze legitimní provoz.
- Sledujte a udržujte své ZTA: Jakmile jsou vaše síť a zásady s nulovou důvěrou zavedeny, musíte vše monitorovat v zájmu neustálého zlepšování. Jediný způsob, jak zjistit, zda existuje problém, je sledovat provoz v celé infrastruktuře. To vyžaduje viditelnost do sítě. Kontrola a protokolování veškerého provozu poskytne cenné informace o tom, jak síť v průběhu času zlepšovat.
Výběr správného řešení ZTA pro vaše podnikání
ZTA není jediný hotový produkt a rozhodně to není služba. Jak můžete vyvodit z tohoto článku, znamená to přesně to, co říká, nulová důvěra – „nikdy nedůvěřuj, vždy prověřuj“. Existuje však celá řada prodejců a poskytovatelů řešení ZTA, takže výběr toho správného pro vaši firmu a rozpočet může být náročný.
Musíte vzít v úvahu různé faktory: Vyžaduje řešení ZTA instalaci koncového agenta? Integruje se zprostředkovatel důvěry s vaším stávajícím poskytovatelem identity? Vyhovuje dodavatel NIST 800-207? Je podpora dodavatele dostupná ve vašem regionu a v jakém rozsahu? Jak geograficky různorodé jsou okrajové lokality dodavatele po celém světě? Jaké jsou celkové náklady na vlastnictví? Abychom vám pomohli brodit se hlukem, podívejte se na náš článek na sedm nejlepších řešení ZTA pro vaše podnikání . Doufejme, že vás to povede v procesu výběru toho správného pro vaši firmu.