Zero Trust (ZT) to infrastrukturalne podejście i cel bezpieczeństwa sieci zakładający, że żadna transakcja, jednostka i tożsamość nie są godne zaufania, dopóki nie zostaną zweryfikowane i jeśli ten stan nie będzie się utrzymywał. Strategie ZT kontrastują z wcześniej stosowanym poglądem, według którego sieć jest bezpieczna, chyba że systemy zabezpieczające zidentyfikują naruszenie zabezpieczeń.
Zabezpieczenia wykraczające poza sieć obwodową
Cyfryzacja przedsiębiorstw znacznie przyspieszyła w ostatniej dekadzie. Teraz korzystają one z architektury chmurowej, kolejnych modeli pracy zdalnej, z rozwiązań jako usług i innych nowości. Zespoły ds. bezpieczeństwa odpowiednio skalowały zabezpieczenia sieci, często wzmacniając ochronę poprzez jej podział na mniejsze strefy.
Ta strategia stworzyła jednak więcej okazji dla atakujących. Gdy uzyskają oni dostęp do danych logowania użytkownika, mogą penetrować sieć i rozprzestrzeniać ransomware, dodając uprawnienia.
Uwierzytelnianie wieloskładnikowe (MFA) podniosło efektywność poświadczeń, ale dodało tylko jedną warstwę uwierzytelniania. Gdy hakerzy dostaną się do systemu, mają stały dostęp, dopóki ich on nie wyloguje lub jeśli nie wylogują się sami.
Nowe modele pracy, w tym możliwość przynoszenia własnych urządzeń (BYOD), praca zdalna i architektura chmurowa, wprowadziły nowy zestaw luk w zabezpieczeniach. Jednak nawet nowe, silniejsze zabezpieczenia cybernetyczne zapewniające większą widoczność na obwodzie sieci przedsiębiorstwa poza nim stają się ślepe.
Model zabezpieczeń Zero Trust
Podejście ZT do cyberbezpieczeństwa odwraca stary model o 180 stopni. Cyberbezpieczeństwo nie jest już definiowane przez segmenty sieci ani w granicach sieci przedsiębiorstwa. Zaufania nie zapewnia przynależność połączenia lub zasobu do przedsiębiorstwa lub użytkownika. Nie zdobywa się go też na podstawie lokalizacji fizycznej czy sieciowej – w Internecie lub sieci LAN.
Zamiast tego ZT skupia się na poszczególnych zasobach, użytkownikach i aktywach, przy czym nie ma znaczenia, do kogo należą ani gdzie się znajdują. Uwierzytelnianie jest wykonywane indywidualnie dla zasobu przedsiębiorstwa, zanim użytkownik uzyska dostęp.
Ostatecznym celem jest zerowe zaufanie dla dowolnego elementu sieciowego do chwili, gdy zostanie zweryfikowany.
Standardy Zero Trust
Odpowiedź na pytanie o certyfikaty i standardy Zero Trust zawiera się w krótkim stwierdzeniu – nie ma żadnych. National Institute of Standards and Technology (NIST) założony w 1901 r. i będący obecnie częścią Departamentu Handlu Stanów Zjednoczonych zapewnia informacje na temat technologii, miar i standardów w USA. Jego celem jest zwiększenie konkurencyjności technologii.
NIST tworzy standardy praktyk telekomunikacyjnych, technologicznych i cyberbezpieczeństwa. Grupa nie opracowała jeszcze standardów ani certyfikatów na potrzeby Zero Trust, ale przygotowała specjalną publikację , w której omówiono cele architektury ZT.
Jej streszczenie zawiera następujący opis Zero Trust: „Zero Trust to termin określający ewoluujący zestaw modeli zabezpieczeń, które przenoszą ochronę ze statycznych obwodów sieci na użytkowników, zasoby i aktywa”. Podejście Zero Trust zostało dokładnie opisane w dalszej części dokumentu.
Problemy z Zero Trust
W świecie zabezpieczeń cybernetycznych występują pewne problemy związane z definicją ZT. Niektórzy dostawcy wykorzystują to zamieszanie, aby sprzedawać produkty z oznaczeniem ZT. Osoby niedoinformowane mogą to źle zrozumieć i myśleć, że ZT zależy od konkretnych produktów.
ZT nie wiąże się z konkretnymi produktami, chociaż nowe i starsze produkty mogą stać się elementami konstrukcyjnymi architektury ZT. ZT to rewolucyjne podejście do cyberbezpieczeństwa. Jest częścią tego, w jaki sposób organizacje i pracownicy obecnie łączą się oraz współpracują ze sobą.
Kierunek Zero Trust
Jeśli przedsiębiorstwo buduje infrastrukturę od podstaw, zidentyfikowanie podstawowych procesów i komponentów oraz tworzenie czystej architektury ZT jest możliwe, a może nawet prostsze. W miarę zmian w firmie i infrastrukturze rozwój nadal może być długoterminowo zgodny z zasadami ZT.
W praktyce większość implementacji ZT będzie procesem długotrwałym. Organizacje będą przez pewien czas utrzymywać równowagę między ZT a zabezpieczeniami obwodowymi, stopniowo wprowadzając inicjatywy modernizacyjne.
Ustanowienie pełnej infrastruktury ZT prawdopodobnie zajmie kilka lat i będzie się wiązało z wieloma osobnymi projektami, które będą musiały zostać zrealizowane, zanim uda się osiągnąć poziom Zero Trust. W ZT nie ma nic nagłego. Chodzi tu o ciągłe implementowanie i egzekwowanie strategii ZT w czasie z uwzględnieniem przyszłych zmian biznesowych i infrastrukturalnych.
Opracowanie planu przed podjęciem działań może rozbić proces na mniejsze części, a z czasem pomóc w wykazaniu pozytywnych wyników. Rozpoczęcie od gruntownego skatalogowania obiektów zmian, procesów biznesowych, kierunków ruchu i map zależności przygotowuje do obsługi docelowych obiektów, aktywów i procesów biznesowych.
Kierunek Zero Trust
Jeśli przedsiębiorstwo buduje infrastrukturę od podstaw, zidentyfikowanie podstawowych procesów i komponentów oraz tworzenie czystej architektury ZT jest możliwe, a może nawet prostsze. W miarę zmian w firmie i infrastrukturze rozwój nadal może być długoterminowo zgodny z zasadami ZT.
W praktyce większość implementacji ZT będzie procesem długotrwałym. Organizacje będą przez pewien czas utrzymywać równowagę między ZT a zabezpieczeniami obwodowymi, stopniowo wprowadzając inicjatywy modernizacyjne.
Ustanowienie pełnej infrastruktury ZT prawdopodobnie zajmie kilka lat i będzie się wiązało z wieloma osobnymi projektami, które będą musiały zostać zrealizowane, zanim uda się osiągnąć poziom Zero Trust. W ZT nie ma nic nagłego. Chodzi tu o ciągłe implementowanie i egzekwowanie strategii ZT w czasie z uwzględnieniem przyszłych zmian biznesowych i infrastrukturalnych.
Opracowanie planu przed podjęciem działań może rozbić proces na mniejsze części, a z czasem pomóc w wykazaniu pozytywnych wyników. Rozpoczęcie od gruntownego skatalogowania obiektów zmian, procesów biznesowych, kierunków ruchu i map zależności przygotowuje do obsługi docelowych obiektów, aktywów i procesów biznesowych.
Architektura ZT to cel i podejście, których wdrożenie wymaga czasu i uwagi. Nie jest to jednorazowa instalacja, którą można przeprowadzić, aby zaraz potem przejść do następnej. To filozofia bezpieczeństwa cybernetycznego opierająca się na czterech głównych zasadach. Dana zasada może zależeć od konkretnej techniki zabezpieczeń, np. MFA w przypadku tożsamości, ale technika może się z czasem zmienić.
U podstaw podejścia ZT leżą trzy podstawowe funkcje.
ZT należy wdrażać progresywnie i stale egzekwować. Nie jest to całkowita wymiana ani jednorazowe wdrożenie, które będzie funkcjonować przez cały okres eksploatacji sieci. To wieloletni i obejmujący liczne projekty proces przyrostowy, który wiąże się z wieloma aspektami sieci i będzie wymagał ciągłej oceny, ponieważ sposoby pracy, technologie i zagrożenia się zmieniają.
Sposób wdrożenia podejścia ZT przez daną organizację zależy od jej działalności operacyjnej. Warto zacząć od aktywów o najwyższej wartości.
Droga do ZT obejmuje cztery komponenty: