Kot je bil splet pred časom preplavljen z besednimi zvezami "umetna inteligenca" in "machine learning," se podobno dogaja z ničelnim zaupanjem oz. "Zero Trust" pojmom. Z vsem tem hrupom, ki se dogaja okoli tega pojma na marketu pa je potrebno razumeti kaj Zero Trust je in kaj ni.
Zero Trust je strateška pobuda, ki pomaga preprečevati kršitve podatkov z odpravljanjem koncepta zaupanja iz mrežne arhitekture podjetja. Po načelu "nikoli ne zaupaj, vedno preveri," je Zero Trust zasnovan za zaščito modernih digitalnih okolij s povečevanjem segmentacije omrežja, preprečevanjem stranskih premikov, zagotavljanjem zaščite Layer 7 in poenostavljanjem natančnega nadzora dostopa uporabnikov.
Zero Trust je ustvaril John Kindervag med svojo kariero pri Forrester Research, kjer je bil podpredsednik in glavni analitik. Temelji na zavedanju, da tradicionalni varnostni modeli delujejo na zastareli predpostavki, da je potrebno zaupati vsemu v mreži podjetja oz. organizacije. Ta model je predpostavljal, da identiteta uporabnika ni ogrožena, da vsi uporabniki ravnajo odgovorno in da se jim lahko zaupa. Zero Trust pa je prepoznal to zaupanje kot ranljivost.
Ko se priklopijo na omrežje, se uporabniki, vključno z akterji groženj in zlonamernimi notranjimi uporabniki, lahko prosto premikajo po omrežju in dostopajo do vseh podatkov in jih razkrivajo. Pomembno pa je, da točka infiltracije napada ni nujno tudi ciljna lokacija.
Ta model zaupanja se še naprej zlorablja, vsaj 80% kršitev podatkov povzroča zloraba priviligiranih poverilnic.
Zero Trust deluje ravno obratno. Ne deluje na zaupanju, temveč odpravlja zaupanje.
Zero Trust arhitektura
Z Zero Trust prepoznate zaščitno površino. Zaščitno površino sestavljajo najbolj kritični in dragoceni podatki, sredstva, aplikacije in storitve omrežja - DAAS (Data As A Service), te površine pa so unikatne pri vsaki organizaciji. Ker vsebujejo samo tisto, kar je najpomembnejše za delovanje organizacije, je zaščitna površina po velikosti navadno manjša od površine napada.
Če poznate zaščitno površino, potem lahko spremljate, kako se podatki, v relaciji s to površino, premikajo po podjetju. Razumevanje, kdo so uporabniki, katere aplikacije uporabljajo in kako so povezani v omrežje, je edinin način za določitev in uveljavljanje pravilnika, ki omogoča varen dostop do podatkov.
Ko enkrat razumete soodvisnost DAAS, infrastrukture, storitev in uporabnikov, postavite krmilje čim bližje zaščitni površini in okoli nje ustvarite mikroperimeter (mikro obod), ki se bo premikal skupaj z njo. Mikroperimeter lahko ustvarite z nameščanjem prehoda segmentacije, bolj znanim kot požarni zid naslednje genarcije (NGFW), da zagotovite dostop do zaščitne površine le znanim in dovoljenim aplikacijam.
NGFW zagotavlja natančno vidnost prometa, uveljavlja dodatne plasti pregledovanja in nadzira dostop z natančno usmerjenim Layer 7 na podlagi metode Kipling (5 why, 1 how), ki definira pravila Zero Trust glede na kdo, kaj, kdaj, kje, zakaj in kako. Pravila Zero Trust določajo, kdo lahko dostopa čez mikroperimeter kadarkoli, preprečuje pa dostop do zaščitne površine nepooblaščenim uporabnikom, ter s tem prepreči izčrpavanje občutljivih podatkov. Zero Trust je možen le v Layer 7.
Ko so pravila Zero Trust zgrajena okoli zaščitne površine, lahko v realnem času nadaljujemo z nadzorom in vzdrževanjem, ter iščemo stvari, ki bi morale biti vključene v zaščitno površino, soodvisnosti, ki še niso bile upoštevane in načine, ki bi izboljšali pravila.
Zero Trust, dinamičen kot podjetje
Zero Trust ni odvisen od lokacije. Uporabniki, naprave in obremenitve aplikacij so povsod, zato ne moremo uveljavljati Zero Trust na eni lokaciji - razširiti ga je potrebno v celotnem okolju. Pravi uporabniki morajo imeti dostop do pravih lokacij in podatkov.
Uporabniki dostopajo tudi do kritičnih aplikacij in delovnih obremenitev od kjerkoli: dom, kavarne, pisarne in podružnice. Zero Trust zahteva dosledno vidnost, uveljavitev in nadzor, ki se lhako prikaže neposredno v napravi ali skozi oblak. Programsko določen perimeter (obod) zagotavlja varen dostop uporabnikom in preprečuje izgubo podatkov, ne glede na to, kje so uporabniki, katere naprave se uporabljajo ali kje so delovne obremenitve in podatki (podatkovni centri, javni oblaki, aplikacije SaaS).
Delovne obremenitve so zelo dinamične in se gibljejo skozi več podatkovnih centrov in skozi javne, zasebne in hibridne oblake. Z Zero Trust je potrebno videti globoko v aktivnosti in soodvisnosti med uporabniki, napravami, omrežji, aplikacijami in podatki. Segmentacijski prehodi spremljajo promet, ustavljajo grožnje in uveljavljajo natančen dostop prometa po vsej širini in dolžini znotraj lokalnega podatkovnega centra in okoljih z več oblaki.
Uvajanje Zero Trust
Doseganje Zero Trust se pogosto dojema kot drago in zapleteno. Vendar je Zero Trust zasnovan na vaši obstoječi arhitekturi in ne potrebuje menjave obstoječe tehnologije.
Zero Trust torej ni izdelek, obstajajo pa izdelki, ki dobro delujejo v okoljih Zero Trust. Je precej preprost za uvajanje, izvajanje in vzdrževanje z uporabo petstopenjske metodologije, ki pomaga ugotoviti kje ste in kam naprej:
1. Prepoznavanje zaščitne površine;
2. Prikaz transakcijskih tokov;
3. Izgradnja Zero Trust arhitekture;
4. Kreiranje Zero Trust pravil;
5. Spremljanje in vzdrževanje.
NGFW omogoča mikrosegmentacijo oboda in deluje kot mejni nadzor. Čeprav je potrebno zaščititi zunanjo mejo, je še toliko bolj pomembno povečati vidljivost za preverjanje prometa, ko ta prečka različne funkcije v omrežju. Če se temu dodajo še dvofaktorsko preverjanje in ostale metode preverjanja, se bo sposobnost pravilnega preverjanja uporabnikov povečala. Z uporabo Zero Trust pristopa se lahko prepoznajo poslovni procesi, uporabniki, podatki, tokovi podatkov in z njimi povezana tveganja.
Že razmišljate o uporabi Zero Trust pristopa?