Bezpieczeństwo IT - metody ochrony, Główna, Rozwiązania bezpieczeństwa IT

Zero-Trust dla wszystkich: Praktyczny przewodnik

Czas czytania: 6 min

Jak efektywnie wykorzystywać architekturę Zero-Trust we współczesnych, nowoczesnych infrastrukturach zależnych od platformy chmurowej?

Chociaż architektura Zero-Trust stała się ostatnio modną frazą, istnieje wiele sprzecznych informacji, co do tego, czym właściwie ona jest. Czy to koncepcja? Standard? Zestaw platform technologicznych? Według ekspertów ds. bezpieczeństwa najlepiej opisać to jako świeże podejście do cyberbezpieczeństwa, a firmy każdej wielkości powinny zacząć go wdrażać.

Zero Trust jest paradygmatem bezpieczeństwa. Architektura zapewnia, że ludzie i podmioty próbujące połączyć się z zasobami firmy są tym, za kogo się podają. Wymaga to wyraźnego pozwolenia na każde działanie i ciągłe monitorowanie użytkownika w celu wykrycia oznak problemów. Wykracza to poza podstawowe uwierzytelnianie i zarządzanie dostępem. Podejście to zakłada, że użytkownicy są zagrożeniem, niezależnie od ich tożsamości, lokalizacji lub sposobu, w jaki łączą się z siecią. (czy to „wewnątrz” sieci firmowej, czy zdalnie).

Według Jima Fultona, starszego dyrektora ds. rozwiązań SASE/zero-trust w Forcepoint. Wdrożenie architektury zero-trust ma szczególne znaczenie dla rozproszonego charakteru bezpieczeństwa w chmurze.

W końcu do chmury można uzyskać dostęp na wiele sposobów, a jej infrastruktura nie jest z natury bezpieczna.

„Zasady zerowego zaufania mają kluczowe znaczenie dla cloud security. Zwłaszcza w przypadku aplikacji w chmurze, do których potencjalnie można uzyskać dostęp z dowolnego miejsca w Internecie”. Wyjaśnił. „Zero Trust zaczyna się od silnego uwierzytelnienia. Wszystko po to, aby upewnić się, że osoby, które próbują uzyskać dostęp do ważnych zasobów lub korzystać z nich, są wiarygodnie identyfikowane. Następnie podejście zerowego zaufania sprawdza, czy zidentyfikowana osoba ma wyraźne uprawnienia za każdym razem, gdy udaje się uzyskać dostęp do zasobu lub korzystać z niego. To znacznie utrudnia hakerom włamanie się do aplikacji w chmurze i swobodne poruszanie się po sieci”.

Jak wygląda Zero Trust w chmurze?

Ochrona chmury z zerowym zaufaniem może składać się z kilku różnych elementów, zauważył Fulton. Może to oznaczać ukrywanie zasobów przed ogólnym dostępem, tak aby ludzie mogli uzyskać do nich dostęp tylko poprzez określone kontrole, wymagające silnego uwierzytelniania. Dzięki uwierzytelnieniu możliwe jest wykonanie tylko określonych czynności, do których użytkownik posiada uprawnienia. Walidacja zakresu działań oraz monitorowanie ruchu w celu wykrycia włamań i innych zagrożeń – to również funkcje architektury Zero Trust.

Aby to osiągnąć, „wrażliwe aplikacje coraz częściej wymagają określonych sposobów uzyskiwania do nich dostępu. Takich jak przechodzenie przez brokera zabezpieczeń dostępu do chmury (CASB), zamiast przychodzenia bezpośrednio z dowolnego miejsca w Internecie” – wyjaśnił Fulton. „Wtedy tylko określone osoby, które mogą się zalogować za pomocą odpowiednich danych uwierzytelniających (nazwy użytkownika, hasła i inne), mogą nawet rozpocząć dostęp do chmury firmy. Aby wzmocnić ten krok, wiele systemów wymaga obecnie metod uwierzytelniania wieloskładnikowego. Wykorzystują one dodatkowe informacje poza hasłami, takie jak kod wysyłany na zaufane urządzenie lub pytania sprawdzające, które prawdopodobnie znałby tylko zaufany użytkownik”.

Należy zauważyć, że Zero Trust to ewolucja, a nie rewolucja. „Podstawowe idee zerowego zaufania istnieją już od jakiegoś czasu. Kontrola dostępu do sieci (NAC) wymagała, aby urządzenia podłączone do sieci przechodziły kontrolę przed uzyskaniem dostępu. Zarządzanie dostępem uprzywilejowanym wymagało pozytywnego sprawdzenia tożsamości osób przed uzyskaniem dostępu do poufnych procesów lub informacji” – wyjaśnił William Malik, wiceprezes ds. strategii infrastruktury w Trend Micro. „Zero zaufania łączy te koncepcje w kompleksową, architektoniczną ramę, a nie zestaw produktów punktowych, z których każdy odnosi się do jednej konkretnej luki”.

Beyond the Broad Strokes

Ogólnie ujmując, architektura Zero-Trust ma na uwadze dwa cele: zmniejszenie powierzchni ataku i zwiększenie widoczności. Aby to zademonstrować, należy rozważyć (powszechny) scenariusz, w którym gang oprogramowania ransomware kupuje początkowy dostęp do chmury firmy za pośrednictwem podziemnego brokera dostępu początkowego, a następnie próbuje przeprowadzić atak.

“Jeśli chodzi o widoczność, Zero-Trust powinno powstrzymać ten atak lub sprawić, że zostanie on wykryty znacznie wcześniej” — powiedział Greg Young, wiceprezes ds. cyberbezpieczeństwa w Trend Micro. „Jeśli firmy znają stan swoich tożsamości, aplikacji, obciążeń w chmurze, źródeł danych i kontenerów znajdujących się w chmurze, powinno to niezwykle utrudnić działanie atakującym. Wiedza o tym, co nie jest załatane, co jest niezaufanym ruchem bocznym i ciągłe monitorowanie postawy tożsamości naprawdę ogranicza dostępną dla nich powierzchnię ataku”.

Jeśli chodzi o powierzchnię ataku, Malik zauważył, że jeśli gang użył luki zero-day w celu uzyskania dostępu, Zero-Trust zastawi na napastników pułapkę.

“Po pierwsze, w pewnym momencie napastnicy spowodują, że zaufany użytkownik lub proces zacznie zachowywać się nieprawidłowo” – wyjaśnia. “Takie anomalne zachowanie spowoduje uruchomienie alarmu i doprowadzi do zablokowania działań danej osoby lub procesu. Po drugie, w pewnym momencie atak będzie wymagał zaszyfrowania (zmiany) lub eksfiltracji (kradzieży) danych. To wymaga podwyższonych uprawnień”.

Próba przekroczenia oczekiwanego zakresu uprawnień spowodowałaby albo odmowę dostępu dla atakujących, albo wymusiłaby złożenie wniosku o podwyższone uprawnienia w ramach procesu zatwierdzania. To spowodowałoby oznaczenie i poddanie anomalii kwarantannie.

Realne scenariusze

Inny typowy scenariusz, w którym zero-trust ma na celu zwiększenie widoczności i zmniejszenie powierzchni ataku, dotyczy pracowników zdalnych korzystających z narzędzi “shadow IT”. Takich jak: odwiedzanie z sieci domowych niezatwierdzonych aplikacji chmurowych typu software-as-a-service (SaaS). Jest to aż nazbyt częsta sytuacja, która może wprowadzać ryzyko lub podatność na ataki do środowisk korporacyjnych. (Na przykład poprzez niezabezpieczone odtwarzacze wideo lub podatne na ataki usługi udostępniania plików).

“Jeśli mam agenta na punkcie końcowym, mogę poznać postawę używanego laptopa” – wyjaśnia Young. “Dzięki dostępowi do API i/lub CASB mogę zobaczyć aplikację w chmurze i uzyskać informacje, czy jest ona obłożona sankcjami, czy nie. Oraz czy tożsamość i postawa tożsamości oraz laptopa pozwala na dostęp do niej”.

Stamtąd “mogę zbudować połączenie Zero Trust Network Access (ZTNA), które jest tak bliskie end-to-end, jak to tylko możliwe. Mogę stale oceniać zaufanie i postawy, tak że jeśli w dowolnym momencie ryzyko przekroczy poziom, do którego mam zaufanie, połączenie może zostać przerwane, a dostęp zablokowany. Przez cały czas oceniam informacje o zagrożeniach i stan wszystkich aktywów firmy, w tym tożsamości i rzeczy.”

Zasady wdrażania

Zaimplementowanie architektury Zero-Trust z praktycznego punktu widzenia wymaga wdrożenia wielu różnych elementów i warstw. Dlatego jej wdrożenie powinno być postrzegane jako projekt długoterminowy. Uwierzytelnianie dwuskładnikowe. Nowoczesna technologia weryfikacji tożsamości. Kod bezpieczeństwa umożliwiający dostęp do danych finansowych online.

To może być zniechęcające, zwłaszcza dla organizacji średniej wielkości i mniejszych firm z mniejszymi zasobami. W rzeczywistości, jak podkreślają eksperci, istnieje wiele możliwości wejścia na ścieżkę zerowego zaufania, niezależnie od wielkości firmy. “Średniej wielkości firmy mogą najwięcej zyskać, jeśli chodzi o Zero Trust. Ale mogą szybko zejść z drogi do sukcesu, jeśli będą próbowały zastosować podejście korporacyjne” – ostrzega Young. Zamiast tego firmy powinny zacząć od niewielkiego elementu zerowego zaufania i budować od tego momentu – radził – np. wdrażając uwierzytelnianie wieloczynnikowe, zastępując sieci VPN sieciami ZTNA lub wprowadzając zaawansowane zarządzanie tożsamością.

“Wybierz ten, który jest najłatwiejszy do wdrożenia, lub który jest gotowy do wymiany i przyniesie największe korzyści”.

Technologia SASE

Inną dobrą opcją dla firm są technologie Secure Access Service Edge (SASE). Rozwiązania łączą w jednej platformie kilka fundamentów zerowego zaufania. – Zauważają badacze. SASE może zapewnić funkcje CASB, ZTNA i bezpiecznej bramy internetowej, których potrzebują małe i średnie firmy.

Niezależnie od tego, w jaki sposób firmy rozpoczynają swoją działalność, nadszedł czas, aby zacząć podążać ścieżką Zero Trust. Zaznacza Deepen Desai, CISO i wiceprezes ds. badań nad bezpieczeństwem i operacji w firmie Zscaler.

“Branża mówi o zerowym zaufaniu już od dekady. Firmy, które do tej pory stosowały półśrodki, będą musiały poważnie zastanowić się, co tak naprawdę oznacza Zero Trust” – powiedział. Podobnie, amerykańskie agencje federalne są zobowiązane do przyjęcia i stosowania zasady “zero zaufania” na najwyższych szczeblach. W obliczu nasilających się ataków oraz pracowników, aplikacji i urządzeń znajdujących się w każdym zakątku świata, naprawdę nie jest to już dłużej opcjonalne.

 

https://threatpost.com/zero-trust-guide/179377/  





Dodaj komentarz