Czym jest architektura typu „Zero Trust”?
- Słownik IAM
- Czym jest architektura typu „Zero Trust”?
Architektura typu „zero-trust” to struktura zabezpieczeń, która eliminuje domyślne zaufanie, wymaga, aby wszyscy użytkownicy i urządzenia byli stale i jednoznacznie weryfikowani, a także ogranicza dostęp do systemów sieciowych i danych. Zamiast skupiać się na tym, skąd użytkownicy się logują, architektura typu „zero-trust” koncentruje się na tym, kim są.
Jakie są podstawowe zasady architektury typu „zero-trust”?
Architektura typu „zero-trust” jest oparta na trzech podstawowych zasadach:
Założenie naruszenia. Pomimo najlepszych zabezpieczeń naruszenia w końcu się zdarzą. Każdy użytkownik w Twojej sieci (człowiek lub urządzenie) może zostać narażony na niebezpieczeństwo właśnie teraz. Podejmij działania mające na celu zminimalizowanie „promienia rażenia”, takie jak segmentacja sieci, zapewnienie pełnego szyfrowania i wykorzystanie inteligentnej analityki do identyfikacji potencjalnych zagrożeń.
Jednoznaczna weryfikacja. Wszyscy ludzie i urządzenia muszą udowodnić, że są tym, za kogo się podają, zanim uzyskają dostęp do sieci organizacji i wszystkich znajdujących się w niej systemów, aplikacji i danych.
Zapewnienie najmniejszych uprawnień. Po zalogowaniu się do sieci użytkownicy powinni mieć minimalny dostęp do sieci, jaki jest im potrzebny do wykonywania pracy, i nie więcej. Wdrożenie typu „zero-trust” zawsze obejmuje kontrolę dostępu opartą na rolach (RBAC) z dostępem o najmniejszych uprawnieniach.
Jak działają zabezpieczenia typu „zero-trust”?
Architektura typu „zero-trust” działa poprzez eliminację domyślnego zaufania. Historycznie, modele bezpieczeństwa sieciowego domyślnie ufały wszystkim użytkownikom i urządzeniom znajdującym się wewnątrz sieci. Działało to dobrze, gdy komponenty sieciowe i użytkownicy znajdowali się prawie wyłącznie w siedzibie firmy. Jednak w wyniku powszechnego wdrożenia chmury obliczeniowej i – ostatnio – pracy zdalnej, granica sieci już nie istnieje. Przeważająca większość organizacji korzysta obecnie z hybrydowych środowisk danych złożonych zarówno z chmur prywatnych w siedzibie, jak i przynajmniej jednej chmury publicznej, a użytkownicy łączą się z zasobami organizacyjnymi z dowolnego miejsca i w dowolnym czasie.
Nawet po uwierzytelnieniu i dopuszczeniu użytkowników do sieci nie mają oni pełnej swobody, ponieważ zabezpieczenia każdego użytkownika mogą zostać złamane. Weryfikacja tożsamości i urządzeń odbywa się w trakcie poruszania się użytkownika po sieci, a każdy użytkownik ma dostęp tylko do zasobów, które są mu niezbędne do wykonywania pracy.
W modelu zabezpieczeń typu „zero-trust” dostęp na zasadzie najmniejszych uprawnień i kontrola RBAC są uzupełniane przez segmentację sieci, w tym „mikrosegmentację” szczególnie wrażliwych zasobów danych. Idea polega na tym, że podczas gdy sieć jako całość nie ma granicy, powinna być podzielona na mniejsze segmenty dla określonych obciążeń i danych, z każdym segmentem posiadającym własną kontrolę wejścia i wyjścia. Powszechnym przypadkiem zastosowania mikrosegmentacji typu „zero-trust” jest oddzielenie danych podlegających regulacjom prawnym, takich jak dane podatkowe pracowników i chronione informacje zdrowotne, od danych niepodlegających regulacjom prawnym.
Ograniczając poziomy dostępu do sieci, segmentując i mikrosegmentując sieci oraz ściśle kontrolując liczbę uprzywilejowanych użytkowników, architektura typu „zero-trust” ogranicza zdolność osób atakujących do narażania wrażliwych systemów i danych.
Jakie są zalety architektury typu „zero-trust”?
Architektura typu „zero-trust” zapewnia wiele korzyści, dlatego tak wiele organizacji ją przyjmuje.
- Administratorzy IT i zabezpieczeń uzyskują wgląd we wszystkich użytkowników, systemy i urządzenia w całym środowisku danych. Mogą zobaczyć, kto i skąd łączy się z siecią oraz do czego uzyskuje dostęp.
- Ponieważ architektura typu „zero-trust” umożliwia ludziom, aplikacjom i usługom bezpieczną komunikację, nawet w różnych sieciach, użytkownicy zyskują większą swobodę i elastyczność. Mogą bezpiecznie łączyć się z domu lub innych odległych miejsc, nawet jeśli korzystają z własnych urządzeń.
- Poprzez jednoznaczną weryfikację użytkowników i urządzeń, architektura typu „zero-trust” znacznie zmniejsza ryzyko cyberataków związanych z hasłami. Kontrola dostępu oparta na rolach i zarządzanie dostępem uprzywilejowanym minimalizują ryzyko eskalacji uprawnień, jeśli dojdzie do naruszenia.
- Mechanizmy uwierzytelniania typu „zero-trust”, kontrola dostępu oparta na rolach oraz segmentacja/mikrosegmentacja sieci wspierają inicjatywy związane z zachowaniem zgodności i skutkują mniejszą liczbą ustaleń podczas audytów zgodności.
Jak są implementowane zabezpieczenia typu „zero-trust”?
Jednym z największych wyzwań związanych z wdrażaniem strategii bezpieczeństwa typu „zero-trust” jest brak uniwersalnych standardów implementacji. Wiele organizacji zwraca się ku siedmioetapowemu procesowi przedstawionemu w specjalnej publikacji NIST 800-207:
1. Identyfikacja użytkowników
Obejmuje to zarówno użytkowników ludzkich, jak i tożsamości niebędące ludźmi, takie jak konta usług. NIST zauważa, że użytkownicy uprzywilejowani, w tym administratorzy IT i programiści, wymagają szczególnej kontroli, ponieważ mogą mieć nieograniczony dostęp do zasobów cyfrowych. W architekturze typu „zero-trust” nawet konta uprzywilejowane powinny mieć najmniejsze uprawnienia, a aktywność kont musi być monitorowana i rejestrowana.
2. Identyfikacja wszystkich zasobów łączących się z siecią i zarządzanie nimi
Identyfikacja wszystkich zasobów łączących się z siecią organizacji i zarządzanie nimi jest kluczem do pomyślnego wdrożenia architektury typu „zero-trust”. Obejmuje to:
- Laptopy, urządzenia mobilne, urządzenia IoT i inne komponenty sprzętowe.
- Artefakty cyfrowe, takie jak aplikacje i certyfikaty cyfrowe.
- Urządzenia, które nie są własnością organizacji, ale które mogą łączyć się z jej infrastrukturą sieciową lub uzyskiwać dostęp do zasobów sieciowych.
NIST przyznaje, że kompleksowa inwentaryzacja zasobów może nie być możliwa, więc organizacje powinny również zapewnić, że mogą „szybko zidentyfikować, skategoryzować i ocenić nowo odkryte zasoby, które znajdują się w infrastrukturze należącej do przedsiębiorstwa”.
Oprócz katalogowania zasobów, krok ten obejmuje zarządzanie konfiguracją i monitorowanie, ponieważ zdolność do obserwowania aktualnego stanu zasobów jest częścią procesu uwierzytelniania typu „zero-trust”.
3. Identyfikacja kluczowych procesów, ocena ich zagrożeń i identyfikacja kandydatów do zabezpieczeń typu „zero-trust”
Zidentyfikuj, uszereguj i oceń zagrożenia związane z procesami biznesowymi i przepływami danych Twojej organizacji, w tym ich znaczenie dla misji organizacji. Pomoże to określić, które procesy są dobrymi początkowymi kandydatami do wdrożenia zabezpieczeń typu „zero-trust”. NIST zaleca rozpoczęcie od procesów, które zależą od zasobów opartych na chmurze i/lub są wykorzystywane przez pracowników zdalnych, ponieważ najszybciej zapewnią one poprawę bezpieczeństwa.
4. Określenie zasad zabezpieczeń typu „zero-trust” dla kandydatów
Jest to kontynuacja kroku 3. Po zidentyfikowaniu zasobu lub przepływu pracy, który ma zostać zmigrowany do architektury typu „zero-trust”, należy zidentyfikować wszystkie zasoby przychodzące i wychodzące, z których korzysta lub na które wpływa dany zasób lub przepływ pracy. Pomaga to sfinalizować wstępnych kandydatów do migracji do zabezpieczeń typu „zero-trust” i zapewnia, że najmniejsze uprawnienia i inne zasady zastosowane do nich zapewnią maksymalne bezpieczeństwo bez utrudniania przepływu pracy.
5. Identyfikacja i wybór rozwiązań/zestawów narzędzi
Na rynku istnieje wiele rozwiązań zgodnych z architekturą typu „zero-trust”, ale nie wszystkie z nich są odpowiednie dla konkretnego środowiska danych i potrzeb biznesowych. NIST zaleca, aby przy wyborze narzędzi typu „zero-trust” wziąć pod uwagę następujące kwestie:
Czy rozwiązanie wymaga, aby komponenty były instalowane na zasobach klienta? Może to ograniczyć procesy biznesowe.
Czy rozwiązanie sprawdza się w przypadkach, gdy zasoby procesów biznesowych istnieją w siedzibie firmy? Niektóre rozwiązania zakładają, że żądane zasoby znajdują się w chmurze (tzw. ruch północ-południe), a nie w obrębie przedsiębiorstwa (ruch wschód-zachód). Stanowi to problem w środowiskach chmury hybrydowej, gdzie starsze aplikacje biznesowe, które wykonują krytyczne funkcje, mogą być uruchamiane w siedzibie firmy, ponieważ migracja do chmury jest niewykonalna.
Czy rozwiązanie zapewnia możliwość rejestrowania interakcji do analizy? Decyzje o dostępie typu „zero-trust” zależą w dużej mierze od gromadzenia i wykorzystywania danych związanych z przepływem procesów.
Czy rozwiązanie zapewnia szerokie wsparcie dla różnych aplikacji, usług i protokołów? Niektóre rozwiązania mogą obsługiwać szeroki zakres protokołów (SSH, internetowe itp.) i transportów (IPv4 i IPv6), ale inne mogą działać tylko z Internetem lub pocztą elektroniczną.
Czy rozwiązanie wymaga zmian w istniejących przepływach pracy? Niektóre rozwiązania mogą wymagać dodatkowych kroków do wykonania danego przepływu pracy, co może wymagać od organizacji wprowadzenia zmian w przepływie pracy.
6. Rozpoczęcie wstępnego wdrażania i monitorowania
NIST zaleca, aby przedsiębiorstwa rozważyły początkowe wdrożenie architektury typu „zero-trust” w trybie monitorowania, aby zespoły IT i bezpieczeństwa mogły upewnić się, że zasady i procesy są skuteczne i wykonalne. Ponadto, po ustaleniu podstawowej aktywności użytkowników i sieci, zespoły bezpieczeństwa będą mogły lepiej identyfikować anomalie w przyszłości.
7. Rozszerzenie architektury typu „zero-trust”
Po początkowym wdrożeniu architektury typu „zero-trust” nadchodzi czas na migrację kolejnego zestawu kandydatów. Ten etap ma charakter ciągły; za każdym razem, gdy zachodzą zmiany w środowisku danych organizacji lub przepływach pracy, architektura typu „zero-trust” musi zostać ponownie oceniona i odpowiednio dostosowana.
Jak są implementowane zabezpieczenia typu „zero-trust”?
„Zero-trust” i „zero-knowledge” to całkiem różne, ale uzupełniające się koncepcje. Jeśli motto architektury typu „zero-trust” brzmi: „Nie ufaj nikomu”, to motto architektury typu „zero-knowledge” to: „Nie mamy wiedzy o twoich danych, bo nie mamy do nich dostępu”.
Architektura typu „zero-trust” zapewnia, że tylko uwierzytelnieni użytkownicy mogą uzyskać dostęp do zasobów sieciowych i danych poprzez ciągłe monitorowanie i sprawdzanie, czy użytkownicy i urządzenia mają odpowiednie atrybuty i uprawnienia.
Architektura typu „zero-knowledge” wykorzystuje unikatowe środowisko szyfrowania i segregacji danych, które uniemożliwia dostawcom usług IT posiadanie jakiejkolwiek wiedzy na temat tego, co jest przechowywane na ich serwerach. Keeper jest dostawcą zabezpieczeń typu „zero-knowledge”, a wszystkie nasze produkty są zbudowane przy użyciu architektury typu „zero-knowledge”. Oznacza to, że:
- Dane klientów są szyfrowane i odszyfrowywane na poziomie urządzenia (nie na serwerze).
- Aplikacja nigdy nie przechowuje danych w formacie zwykłego tekstu (możliwych do odczytania przez człowieka).
- Serwery firmy Keeper nigdy nie otrzymują ani nie przechowują danych w postaci zwykłego tekstu.
- Klucze służące do szyfrowania i deszyfrowania danych wywodzą się z hasła głównego użytkownika.
- Wielowarstwowe szyfrowanie zapewnia kontrolę dostępu na poziomie użytkownika, grupy i administratora.
- Udostępnianie danych wykorzystuje kryptografię klucza publicznego do bezpiecznej dystrybucji kluczy.
- Dane są szyfrowane na urządzeniu użytkownika przed ich przesłaniem i przechowywane w cyfrowym sejfie Keeper. Gdy dane są synchronizowane z innym urządzeniem, pozostają zaszyfrowane, dopóki nie zostaną odszyfrowane na drugim urządzeniu.
Architektura typu „zero-knowledge” wspiera zabezpieczenia typu „zero-trust”, ograniczając „promień rażenia” zdalnego naruszenia danych. W wysoce nieprawdopodobnym przypadku, gdyby zabezpieczenia firmy Keeper zostałyby kiedykolwiek naruszone, osoby atakujące byłyby całkowicie niezdolne do uzyskania dostępu do zawartości sejfów naszych klientów – ponieważ nawet my nie możemy tego zrobić!