Czym jest Zero Trust Networking?

Zasadniczo podejście zero trust (ZT) do korzystania z sieci polega na tym, że żadne urządzenie ani żaden użytkownik czy zasób łączący się z siecią w jakikolwiek sposób nie jest z natury bezpieczny. Żadne połączenie nie jest godne zaufania, dopóki nie zostanie sprawdzone. Ze względów cyberbezpieczeństwa w podejściu do korzystania z sieci opartym na braku zaufania (Zero Trust (ZT) Networking) brany jest pod uwagę aktualny sposób działania przedsiębiorstw, który obejmuje przynoszenie do firmy własnych urządzeń (BYOD), pracę zdalną, elementy chmurowe i rozwiązania usługowe, a także konieczność monitorowania i autoryzacji każdej próby dostępu.

Bezpieczeństwo obwodowe

W tradycyjnym podejściu do cyberbezpieczeństwa budowany jest mur zabezpieczeń wokół sieci zapewniających dostęp do niezbędnych zasobów biznesowych, aby atakujący nie mogli się włamać i wprowadzić złośliwego oprogramowania ani ransomware. Często nazywa się to bezpieczeństwem obwodowym. Takie podejście ma jednak swoje wady. Nieważne, jak bezpieczna jest brama sieciowa, jeśli jej zabezpieczenia zostaną złamane, haker będzie miał swobodny dostęp do wszystkiego, co znajduje się za zaporą. Oprócz tego, pojęcie obwodu sieci w ostatnich latach nieco się rozmyło, wykraczając poza tradycyjny obwód przedsiębiorstwa w związku z pracą zdalną i aplikacjami SaaS.

Strategie, takie jak uwierzytelnianie wieloskładnikowe (MFA), wzmocniły zabezpieczenia bramy sieciowej, ale nie usunęły zagrożeń w sieciach zróżnicowanych. Przełamanie zabezpieczeń może wymagać więcej czasu, ale gdy już się to uda, hakerzy mogą poruszać się dosłownie po całej sieci i wprowadzać ransomware lub kraść informacje.

Albert Einstein powiedział, że „Problemów nie da się rozwiązać, stosując takie samo nastawienie, jak to, które spowodowało ich powstanie”. ZT to inne podejście do bezpieczeństwa.

Bezpieczeństwo obwodowe zakłada, że połączenie lub użytkownik są godni zaufania, dopóki systemy zabezpieczające nie zgłoszą naruszenia. ZT w swojej najczystszej postaci zakłada, że atakujący zawsze czyhają w pobliżu i że każda próba połączenia, nieważne czy wykonana w granicach przedsiębiorstwa, czy spoza niego, nie jest bezpieczna, dopóki nie zostanie zweryfikowana.

Migracja do Zero Trust

ZT to podejście do cyberbezpieczeństwa, a nie zdarzenie czy zestaw usług lub produktów. Migracja do zabezpieczenia sieci typu ZT jest procesem. W trakcie wprowadzania zmian prawdopodobnie nadal będziesz używać tych samych produktów i usług, z których korzystasz już teraz, ale w inny sposób. Większość sieci będzie sieciami hybrydowymi w czasie wdrażania projektów modernizacyjnych przez centrum bezpieczeństwa (SOC). Jedyną siecią w pełni opartą na podejściu ZT jest taka, którą od podstaw budowano na zasadach braku zaufania.  

W związku z powyższym plan migracji do ZT jest ważnym punktem początkowym. Zaczyna się on od identyfikacji wszystkich zasobów, obiektów zmian, procesów biznesowych, kierunków ruchu i zależności w infrastrukturze przedsiębiorstwa. Etapowa budowa sieci pomaga kontrolować postępy i monitorować powodzenie realizacji projektu.

Plan powinien obejmować wszystkie zasoby przedsiębiorstwa:

  • urządzenia,
  • komponenty infrastrukturalne,
  • aplikacje,
  • komponenty wirtualne,
  • komponenty chmurowe.

Powinien też obejmować wszystkie obiekty:

  • użytkowników końcowych,
  • aplikacje,
  • żądające informacji jednostki niebędące ludźmi.

Elementy Zero Trust Networking

Przyjęcie podejścia Zero Trust wymaga rozważenia wielu kwestii podczas migracji sieci. W poniższych sekcjach przedstawiono kilka kroków, które można podjąć, aby zbliżyć swoją infrastrukturę do platformy ZT.

Wdrożenie mikrosegmentacji

Jedną z podstawowych zasad podejścia Zero Trust Networking jest mikrosegmentacja. To praktyka izolacji obciążeń i osobnego zabezpieczania ich w celu ograniczenia dostępu. W przypadku zabezpieczeń obwodowych złamanie ich daje hakerom dostęp do całej sieci. Mikrosegmentacja ogranicza zakres ataku i szkód po pojedynczym naruszeniu bezpieczeństwa.

Izolacja technologii z lukami w zabezpieczeniach

Często urządzenia informatyczne i telekomunikacyjne (ICT), takie jak telefony komórkowe, komputery osobiste, urządzenia do obsługi poczty e-mail czy telewizory mają niezmienne systemy operacyjne, których luk w zabezpieczeniach nie można wyeliminować poprzez zastosowanie poprawek. Podobny problem dotyczy urządzeń technologii operacyjnej (OT), takich jak roboty przemysłowe czy sprzęt medyczny. Coraz częściej jednak integruje się je z procesami przedsiębiorstw. Aby zmniejszyć ryzyko naruszenia bezpieczeństwa, muszą być one izolowane przy użyciu ścisłych zasad.

Bezpieczne podsieci

Podsieci to osobne części większej sieci. Mogą podnieść jej bezpieczeństwo, wydajność i odporność. Również one muszą być częścią strategii ZT mającej na celu powstrzymanie złośliwego oprogramowania i innych złośliwych narzędzi. Upewnij się, że alerty i dzienniki podsieci trafiają do skonsolidowanej konsoli w celu badania i eliminacji problemów.

Bezpieczny dostęp zdalny

Przed ZT techniki ochrony połączeń zdalnych były uznawane za godne zaufania, dopóki nie zostały zgłoszone, jako niebezpieczne. Problemy z bezpieczeństwem najpopularniejszych technik stawały się jednak coraz bardziej oczywiste. Sieci były w coraz szerszym zakresie definiowane programowo, zwiększyła się też mobilność, szczególnie w trakcie pandemii COVID-19. Skutkiem tego są niezarządzane punkty końcowe, niezatwierdzone oprogramowanie SaaS i niezabezpieczone sieci SD-WAN.

  • Wirtualna sieć prywatna (VPN) – zabezpieczenia połączeń VPN zatrzymywały się na brzegu sieci, ale zapewniały użytkownikowi dostęp do całej sieci. Stwarzały iluzję tego, że urządzenie jest godne zaufania. Sieci VPN nie łączyły się też zbyt dobrze z coraz częściej używanymi sieciami definiowanymi programowo.
  • Cloud Access Security Broker – głównym problemem z CASB był niezmienny charakter jego zabezpieczeń. O ile sieci definiowane programowo stawały się coraz bardziej elastyczne, a pracownicy – coraz bardziej mobilni, o tyle zabezpieczenia nie nadążały za tymi zmianami.
  • Bezpieczna brama sieciowa (Secure Web Gateway – SWG) – bramy SWG stwarzały problemy w przypadku pracowników zdalnych.

 

Rozwiązania do połączeń zdalnych stale ewoluują, a teraz dostępne są opcje z rozwiązaniami z zakresu cyberbezpieczeństwa zgodnymi ze sposobami pracy mobilnej i podejściem ZT.

  • Secure Access Service Edge (SASE) – SASE wchodzi w zakres rozwiązań ZT i wyszczególnia zasady ZT dotyczące konkretnych sekcji przedsiębiorstwa. Tym terminem posługuje się firma analityczna Gartner. Komponenty rozwiązań SASE mogą być różne, ale zwykle są nimi technologie CASB, SWG, ZTNA i SD-WAN, które zapewniają dostęp zarówno do prywatnych (znajdujących się w korporacyjnym centrum danych lub IaaS) lub publicznych aplikacji SaaS.
  • Zero Trust Edge (ZTE) – to inna nazwa SASE. Z tego terminu korzysta firma analityczna Forrester.
  • Zero Trust Network Access (ZTNA) – ZTNA zawiera się w definicji SASE lub ZTE. To chmurowe rozwiązanie zabezpieczające ZT, które zapewnia dostęp do aplikacji tylko autoryzowanym użytkownikom. Zgodnie z podejściem ZT ogranicza szkody w razie naruszenia bezpieczeństwa. Tak jak w przypadku sieci VPN metoda ZTNA umożliwia szyfrowanie danych w celu ochrony, ale zapewnia użytkownikom znacznie wyższą jakość obsługi i jest znacznie bardziej elastyczna.

Powiązane badania

Powiązane artykuły