Обяснена е архитектурата с нулево доверие
Днешната мрежова инфраструктура е станала много подвижна, разширявайки се до облака - SaaS, IaaS и PaaS. В допълнение, нарастващ брой разпръснати устройства и потребители попадат в категории като устройства, управлявани от потребителя (BYOD) , IoT и отдалечени работници. Традиционният подход към сигурността има по-малко смисъл в толкова разнообразни и разпределени среди. Една от основните слабости на конвенционалния подход към сигурността е, че той предполага, че на всичко в мрежата на една организация може да се вярва.
Едно следствие от това предположение е, че то ни държи слепи за заплахи, които влизат в мрежата, които след това са оставени да бродят и атакуват мрежата, където решат свободно. За да преодолеят този недостатък, организациите трябва да възприемат нов подход за защита на модерната мрежова инфраструктура. Този нов подход се наричаАрхитектура с нулево доверие (ZTA).
Какво е Zero Trust Architecture (ZTA)?
Архитектурата с нулево доверие (ZTA), известна още като модел на сигурност с нулево доверие или мрежов достъп с нулево доверие (ZTNA), е промяна в подхода към сигурността, чрез коятодостъпът се отказва, освен ако не е изрично предоставен и правото на достъп се проверява непрекъснато. Идеята зад ZTA е, че мрежовите устройства не трябва да се вярват по подразбиране, дори ако са свързани към корпоративна мрежа или са били предварително проверени. Подходът с нулево доверие се застъпва за проверка на самоличността и целостта на устройствата, независимо от местоположението и предоставяне на достъп до приложения и услуги въз основа на увереността на самоличността на устройството и изправността на устройството, съчетани с удостоверяване на потребителя.
ZTA намалява рисковете от вътрешни заплахи чрез последователна проверка на потребителите и валидиране на устройства, преди да предостави достъп до чувствителни ресурси. За външни потребители услугите са скрити в публичния интернет, защитавайки ги от нападатели, и достъпът ще бъде осигурен само след одобрение от техния доверителен брокер. Според Gartner , до 2022 г. 80% от новите цифрови бизнес приложения ще бъдат достъпни чрез ZTNA. Специална публикация на Националния институт за стандарти и технологии на САЩ (NIST). NIST SP 800-207 предоставя подробни неутрални спрямо продавача насоки и препоръки за публични и частни организации, които искат да прилагат принципите на ZTA.

Как работи архитектурата с нулево доверие?
ZTA работи, като обединява различни съвременни технологии, които допринасят по един или друг начин за изпълнение на философията на нулево доверие „никога не вярвай, винаги проверявай“. Технологиите включват управление на идентичността и достъпа (IAM) , базирано на риска многофакторно удостоверяване, сигурност на крайната точка от следващо поколение , защитна стена от следващо поколение (NGFW) , криптиране от край до край и технологии, които проверяват изправността на активи и крайни точки, преди да се свържат с приложения, наред с други.
ZTA приема, че всеки потребител, актив или ресурс е ненадежден и трябва да бъде проверяван и непрекъснато оценяван за всяка сесия и дейност, преди да бъде предоставен достъп. Това е пълно отклонение от традиционния модел за мрежова сигурност, който разчита на принципа „доверявай, но проверявай“. Конвенционалният подход автоматично доверява потребителите и крайните точки в рамките на периметъра на организацията, излагайки организацията на риск от вътрешни заплахи, позволявайки неоторизирани и компрометирани акаунти неограничен достъп в рамките на корпоративната мрежа. Този модел остаря с навлизането на облачните изчисления и ускоряването на разпределената работна среда.
В ZTA всеки опит на потребител или устройство да получи достъп до мрежови ресурси трябва да бъде подложен на стриктна проверка на самоличността. И това надхвърля използването на потребителско име и парола и ID токен за удостоверяване. Трябва също така да включва параметрите кой, какво, къде, кога, защо и как. Това означава, че потребителят, използваното устройство, местоположението, часът от деня, целта на достъпа и привилегиите за достъп трябва да бъдат валидирани. Достъпът може да бъде отхвърлен, ако се установи, че някой от тези атрибути попада извън границите на допустимата употреба.
Можете да мислите за ZTA като за прилагане на физически контрол на достъпа за защита на достъпа до критични зони и места в комплекс от сгради. Така че вместо да имате едно устройство за контрол на достъпа, което удостоверява потребителите на главната врата или рецепцията, приемете, че никой не заслужава доверие и ги инсталирайте на входа на офис, заседателна зала, сървърна стая, библиотека и други критични места в сградата за налагане на строг контрол на достъпа. Това накратко обяснява как работи ZTA.
Какви са основните принципи на ZTA?
ZTA възприема определени основни принципи, за да попречи на нападател да се движи през или в мрежата, след като получи достъп до тази мрежа. ZTA, който прилага тези техники, може лесно да ограничи страничното движение на злонамерени участници. Освен това, компрометираното устройство или потребителски акаунт могат да бъдат поставени под карантина и отрязани от по-нататъшен достъп, след като бъде открито присъствието на нападателя.
Основни принципи на ZTA
- Многофакторно удостоверяване (MFA): MFA е техника за сигурност, при която на потребител се предоставя достъп до система или мрежа само след успешно представяне на две или повече доказателства (фактор за удостоверяване) на механизъм за удостоверяване. ZTA използва тази техника, за да намали случаите на кражба на самоличност.
- Достъп с най-малко привилегии: Това е концепция за сигурност, при която на потребителя се дава само минималният достъп или разрешения, необходими за изпълнение на работните му функции. ZTA използва тази техника, за да ограничи „радиуса на потребителския взрив“ и излагането на чувствителни части от мрежата.
- Контрол на достъпа на устройството: ZTA също изисква строги правила за достъп до устройството. Той прави това, като следи броя на устройствата, които се опитват да получат достъп до мрежата, като гарантира, че всяко устройство е оторизирано и отговаря на необходимите условия за изправност. Освен това ZTA използва тази техника, за да ограничи „радиуса на взрив на устройството“ и излагането на чувствителни части от мрежата. Това допълнително минимизира повърхността за атака на мрежата.
- Микросегментация: Тази техника за сигурност позволява разделянето на периметрите за сигурност на отделни сегменти за сигурност до индивидуалното ниво на натоварване и след това дефиниране на контроли за сигурност и предоставяне на услуги за всеки уникален сегмент. ZTA използва тази техника, за да гарантира, че лице или програма с достъп до един от тези сегменти няма да получи достъп до никой от другите сегменти без отделно разрешение.
- Непрекъснато наблюдение и проверка: Това означава, че на нито един потребител или устройство (вътрешно или външно) не трябва да се вярва автоматично. ZTA проверява самоличността и привилегиите на устройството и потребителя и гарантира, че установените сесии изтичат периодично, принуждавайки устройствата и потребителите да бъдат непрекъснато проверявани повторно. За да работи това ефективно, базираният на риска условен достъп гарантира, че работният процес се прекъсва само когато трябва да има промяна на нивата на риск. Това осигурява непрекъсната проверка, без да се жертва потребителското изживяване.
Кога трябва да обмислите ZTA за вашия бизнес?
Знаете, че вашият бизнес е узрял за модел на нулево доверие, ако следните сценарии се прилагат за вашата организация:
- Вашата организация има централен щаб и множество отдалечени офиси и служители, които не са свързани чрез физическа мрежова връзка, притежавана от предприятието. И тъй като тези офиси и служители са отдалечени, вашите организации използват облачни ресурси и приложения за свързване на екипи.
- Вашата организация наема външна помощ или предоставя на изпълнители, партньори и клиенти на трети страни известно ниво на достъп до корпоративни ресурси, вътрешни приложения, чувствителни бази данни, услуги или други защитени активи.
- Вашата организация разполага с IoT-базирани системи с огромно количество данни, постоянно събирани от източници на данни като свързани автомобили, превозни средства, кораби, производствени цехове, пътища, земеделски земи, железопътни линии и т.н., и предавани към вашата облачна мрежа.
- Вашата организация използва множество облачни доставчици. Има локална мрежа, но използва два или повече доставчици на облачни услуги за хостване на приложения/услуги и данни. И от вас се изисква да защитите мрежова инфраструктура, която включва връзки с множество облаци и облак към облак, хибридни, с множество идентичности, неуправляеми устройства, наследени системи, SaaS приложения.
- Вашата организация трябва да се справи с нарастваща среда на заплахи, която включва заплахи от злонамерени вътрешни лица, ransomware , атаки по веригата на доставки , между другото.
Ако вашата организация е на този кръстопът, това може да е отличен момент да разгледате ZTA във вашата мрежа. Способността на ZTA да ускорява осведомеността, предотвратява, открива и реагира на събития, свързани със сигурността, с минимално забавяне, го прави идеалната стратегия за сигурност за справяне с тези сценарии.
Как изпълнявате ZTA за вашия бизнес?
И така, как организациите трябва да се справят с прилагането на ZTA концепциите, за да се справят със своята съвременна мрежова реалност? TheNIST SP 800-207 рамка на ZTAпрепоръчва на организациите да се стремят постепенно да прилагат принципи на нулево доверие и технологични решения, които защитават техните най-ценни активи от данни, вместо директно да заменят инфраструктура или процеси в движение. Миграцията към ZTA може да не се случи в един цикъл на опресняване на технологията. Вместо това трябва да се разглежда като пътуване. „Повечето предприятия ще продължат да работят в хибриден режим на нулево доверие/базиран на периметър за определен период, като същевременно ще продължат да инвестират в текущи инициативи за модернизация на ИТ“.
Според рамката на NIST ZTA, „преди да предприемете усилие за въвеждане на ZTA във вашата организация, трябва да има проучване на активи, субекти, потоци от данни и работни процеси. Това осъзнаване формира основополагащото състояние, което трябва да бъде достигнато, преди да стане възможно внедряването на ZTA. Следното е методология в пет стъпки за внедряване на ZTA във вашата организация. Това ще ви помогне да разберете къде се намирате във вашия процес на внедряване и накъде да продължите по-нататък по начин, който е рентабилен и без прекъсване.
Методология от пет стъпки за внедряване на ZTA във вашата организация
- Определете защитената повърхност: Първата стъпка е да определите вашата защитена повърхност, като разберете какви данни са ценни. С нулево доверие вие не се фокусирате върху вашата повърхност за атака, а само върху критичните данни, приложения, активи и услуги, които са най-ценни за вашата организация (защитена повърхност). Веднъж дефинирани, можете да преместите вашите контроли възможно най-близо до тази защитена повърхност, за да създадете микропериметър.
- Карта на транзакционните потоци: Начинът, по който трафикът се движи в мрежата, определя как тя трябва да бъде защитена. Едно предприятие не може да определи какви нови процеси или системи трябва да бъдат въведени, ако няма информация за текущото състояние на операциите. Така че следващата стъпка е да се определи къде отиват данните, за какво се използват и какво правят. Вие правите това, като картографирате потоците от трафик на вашите данни във вашите мрежи чрез вашите бизнес приложения. След като приключите, можете да приложите ZTA, за да не допускате всичко останало.
- Проектирайте своя ZTA : След като сте дефинирали защитената повърхност и сте картографирали потока от данни, за да знаете какво трябва да бъде разрешено, след това можете да проектирате ZTA, който налага микропериметрите на вашата мрежа. Няма единен универсален дизайн за ZTA. Вашият ZTA е уникален за вашия бизнес и е изграден около защитената повърхност. Примери за технологии, които трябва да се вземат предвид на този етап, включват виртуализация, защитна стена от следващо поколение (NGFW) , Софтуерно дефиниран периметър (SDP) , между другото.
- Създайте своя ZTA политика: След като ZTA е проектирана, следващата стъпка е да създадете вашите ZTA политики за определяне на достъпа. Например можете да възприемете концепцията кой, какво, къде, кога, защо и как, за да разберете кои са вашите потребители, до какви приложения трябва да имат достъп, защо имат нужда от достъп и как са склонни да се свързват с вашите приложения. С това ниво на подробно прилагане на правилата можете да сте сигурни, че ще бъде разрешен само легитимен трафик.
- Наблюдавайте и поддържайте своя ZTA: След като вашата мрежа и политики с нулево доверие са въведени, трябва да наблюдавате всичко в името на непрекъснатото подобряване. Единственият начин да разберете дали има проблем е като наблюдавате трафика в цялата инфраструктура. Това изисква видимост в мрежата. Проверката и регистрирането на целия трафик ще предостави ценна информация за това как да се подобри мрежата с течение на времето.
Избор на правилното ZTA решение за вашия бизнес
ZTA не е единичен готов продукт и със сигурност не е услуга. Както можете да заключите от тази статия, това означава точно това, което се казва, нулево доверие – „никога не вярвайте, винаги проверявайте“. Но има различни доставчици на ZTA и доставчици на решения, така че изборът на най-подходящия за вашия бизнес и бюджет може да бъде предизвикателство.
Трябва да имате предвид различни фактори: Решението ZTA изисква ли да бъде инсталиран агент за крайна точка? Доверителният брокер интегрира ли се с вашия съществуващ доставчик на самоличност? Съвместим ли е доставчикът с NIST 800-207? Предлага ли се поддръжка от доставчици във вашия регион и до каква степен? Колко географски разнообразни са крайните местоположения на доставчика по света? Каква е общата цена на притежание? За да ви помогнем да преодолеете шума, вижте нашия материал на седем най-добри ZTA решения за вашия бизнес . Надяваме се, че това ще ви насочи в процеса на избор на най-подходящия за вашия бизнес.