Zero Trust je proaktivní obranná strategie, což je důvod, proč technologie, které ji podporují, v současné době pozorují širší přijetí v reakci na zvýšené obavy o bezpečnost.
To znamená, že důvěra se dostala do centra pozornosti, když se mluví o kybernetické bezpečnosti. Základními prvky kybernetické bezpečnosti jsou „důvěryhodná“ síťová infrastruktura, uživatelé, zařízení nebo koncové body, dodavatelé a další.
Tento přístup bezpochyby hrál klíčovou roli při ochraně podniků, jejich dat a dokonce i jednotlivců. Ale jak se ponoříme do technicky vyspělejšího světa, kyberútočníci tento přístup využívají tak dlouho kvůli:
- Slabý bezpečnostní model nebo koncept „hradu a příkopu“, kde bezpečnostní kontrola probíhá mimo obvod budovy, kde podnik běží. Pokud se hackerovi nebo malwaru podaří tento obvod nějak prolomit a vstoupí do něj, dojde ke škodám.
- Zastaralé řízení přístupu, jako je síťový firewall bez viditelnosti nebo kontroly nad uživatelskými aplikacemi a/nebo službami, které používají. Pokud hackeři naruší síť, mohou k těmto aplikacím snadno přistupovat.
- Technologie VPN jsou skvělé pro zabezpečení datové komunikace a zachování tajemství a soukromí, ale autorizace a autentizace stále nejsou dokonalé.
- Změna pracovních postupů, jako jsou zásady BYOD a vzdálení pracovníci používající svá zařízení. Pokud není implementován správný bezpečnostní systém, dochází k únikům dat.
Všechny tyto bezpečnostní výzvy, kterým organizace čelily, vedly k založení takového systému, který je flexibilní, dynamický, jednoduchý a poskytuje vysokou úroveň zabezpečení shora i mimo něj.
Zero Trust Security je model, o kterém mluvíme.
V tomto článku se dozvíte o Zero Trust Security, jeho principech, jak jej implementovat a pár dalších zajímavostí o něm.
Pojďme prozkoumat!
Table of Contents
Co je nulová důvěra?
Zero Trust je pokročilý přístup k zabezpečení, kdy všichni uživatelé uvnitř i vně sítě organizace musí být autorizováni, autentizováni a průběžně ověřováni jejich bezpečnostní pozice a konfigurace, než jim bude udělen přístup k síti, datům a aplikacím.
Tento přístup využívá špičkové bezpečnostní technologie, včetně vícefaktorové autentizace, zabezpečení koncových bodů nové generace a správy identit a přístupu (IAM) k ověření identity uživatele při zachování přísného zabezpečení.
Kromě toho, že nabízí přísné ověřování identity uživatelů, Zero Trust chrání uživatele a aplikace před sofistikovanými internetovými hrozbami.
Fráze „nulová důvěra“ zpopularizoval John Kindervag ze společnosti Forrester, ale ve skutečnosti ji vytvořil Stephen Paul Marsh v dubnu 1994 po své diplomové práci na University of Stirling o počítačové bezpečnosti.
Ve skutečnosti většina konceptů Zero Trust není nová. Na základě Marshovy studie je důvěra konečná, která přesahuje lidské aspekty, jako je etika, morálka, spravedlnost, soudy a zákonnost. Důvěru lze podle něj ilustrovat jako matematický konstrukt.
Zero Trust si klade za cíl šířit myšlenku, že organizace nesmí standardně důvěřovat zařízením nebo uživatelům, i když jsou připojeny k jejich podnikové LAN nebo byly ověřeny dříve. Spoléhá na jasnou viditelnost atributů uživatele v reálném čase, jako je identita uživatele, verze firmwaru, typ hardwaru koncového bodu, verze OS, zranitelnosti, úrovně oprav, přihlášení uživatelů, nainstalované aplikace, detekce incidentů atd.
Díky svým robustním bezpečnostním schopnostem se Zero Trust stává slavnějším a organizace jej začaly přijímat, včetně společnosti Google se svým projektem BeyondCorp.
Hlavními hnacími silami tohoto přijetí je rostoucí frekvence kybernetických útoků zaměřených na koncové body, místní zařízení, sítě, data, cloudové aplikace a další IT infrastrukturu. Kromě toho pandemie covid-19, která lidi nutí pracovat z domova, dále zvýšila počet online útoků na celém světě.
Proto se bezpečnostní postupy jako Zero Trust zdají být životaschopnou volbou.
A zpráva říká, že se očekává, že velikost globálního trhu zabezpečení Zero Trust poroste o CAGR 17,4 % a do roku 2026 dosáhne 51,6 miliardy USD z 19,6 miliardy USD v roce 2020.
Některé z populárních terminologií Zero Trust Access jsou Zero Trust Application Access (ZTAA), Zero Trust Network Access (ZTNA), Zero Trust Identity Protection (ZTIP) atd.
Jaké jsou základní principy nulové důvěry?
Koncept Zero Trust Security je založen na níže uvedených principech, pomocí kterých pomáhá zabezpečit síť organizace.
Nejméně privilegovaný přístup 🔐
Toto je základní koncept, kdy uživatelům musí být poskytnuta pouze taková úroveň přístupu, kterou potřebují, když je to nutné k práci a plnění jejich role. Snižuje vystavení uživatele citlivým komponentům vaší sítě.
Identifikace uživatele ✔️
Měli byste vědět, komu všem byl udělen přístup k vaší síti, aplikacím, datům a tak dále. Vždy zkontrolujte ověření a autorizaci při každé žádosti o přístup, abyste ve své organizaci udrželi silnější zabezpečení.
Mikrosegmentace 🍱
Je to důležitá praxe, kdy potřebujete rozdělit bezpečnostní perimetr na menší zóny. Tento proces je také známý jako zónování a provádí se, aby bylo zajištěno, že pro různé části vaší sítě je zajištěn samostatný přístup.
Mezi těmito zónami také musíte nepřetržitě spravovat a monitorovat data a nabízí podrobné řízení přístupu k odstranění nadbytečných oprávnění.
Využití pokročilých preventivních technik 🛑
Zero Trust navrhuje, abyste přijali pokročilé preventivní techniky, které mohou zastavit online narušení a snížit škody.
Multi-factor Authentication (MFA) je technika pro potvrzení identity uživatele a posílení zabezpečení sítě. Funguje tak, že uživateli klade bezpečnostní otázky, odesílá potvrzovací zprávy SMS/e-maily nebo hodnotí uživatele pomocí cvičení založených na logice. Čím více ověřovacích bodů začleníte do své sítě, tím silnější bude zabezpečení vaší organizace.
Sledování přístupu k zařízení v reálném čase 👁️
Kromě řízení přístupu uživatelů potřebujete monitorovat a řídit přístup k zařízení v reálném čase s ohledem na to, kolik z nich hledá přístup do vaší sítě. Všechna tato zařízení musí být autorizována, aby se minimalizovala možnost útoků.
Jaké jsou jeho výhody?
Zero Trust vám poskytuje robustní strategii pro zabezpečení organizace a odolnost sítě. Poskytuje vám několik výhod pro vaše podnikání, jako například:
Ochrana před vnějšími i vnitřními hrozbami
Zero Trust nabízí přísné zásady pro zastavení externích hrozeb, ochranu vašeho podnikání a ochranu před škodlivými interními agenty. Ve skutečnosti jsou vnitřní hrozby ještě závažnější a využívají důvěru, kterou v ně máte.
Tento Zpráva společnosti Verizon říká, že přibližně 30 % všech úniků dat se týká interních hráčů.
Zero Trust se proto zaměřuje na tento koncept „nikdy nedůvěřuj, vždy prověřuj“.
A když implementujete rozšířenou a explicitní autentizaci a budete monitorovat a ověřovat každý přístup k vašim datům, zařízením, serverům a aplikacím, žádný zasvěcenec nebude schopen zneužít svá oprávnění.
Ochrana dat
Zero Trust pomáhá zabránit malwaru nebo vašim zaměstnancům v přístupu k větším částem vaší sítě. Omezení jejich přístupu a trvání jejich přístupu tedy pomáhá snížit počet útoků, a i když dojde k narušení, lze dopad omezit, aby se předešlo větším škodám.
V důsledku toho můžete zabezpečit svá firemní data před hackery. A když malware naruší vaši bránu firewall, může přistupovat pouze k určitým částem vašich dat časově omezeným způsobem.
Zero Trust chrání nejen vaše data, ale také vaše duševní vlastnictví a data zákazníků. A když můžete útokům zabránit, zachováte si reputaci své firmy a zachováte důvěru svých zákazníků. Kromě toho se také ušetříte před ztrátou obrovského množství peněz a dalšími finančními dopady.
Lepší viditelnost ve vaší síti
Protože nulová důvěra vám nedovoluje věřit ničemu a nikomu, můžete se rozhodnout, jaké aktivity a zdroje chcete mít na očích. Díky intenzivnímu monitorování v rámci vaší organizace, včetně počítačových zdrojů a dat, můžete získat úplný přehled o tom, jaká zařízení a uživatelé mají povolen přístup k vaší síti.
Budete tedy plně informováni o aplikacích, uživatelích, umístění a čase spojených s každou žádostí o přístup. V případě jakéhokoli neobvyklého chování to vaše bezpečnostní infrastruktura okamžitě označí a bude sledovat veškerou aktivitu v reálném čase pro komplexní zabezpečení.
Zabezpečení vzdálené pracovní síly
Práce na dálku je široce přijímána napříč průmyslovými odvětvími a podniky, zejména po pandemii covid-19. Má také zvýšená kybernetická rizika a zranitelnosti kvůli slabým bezpečnostním postupům na zařízeních a sítích zaměstnanců pracujících z kterékoli části světa. Dokonce i firewally jsou nyní neefektivní a ohrožují data uložená v cloudu.
Využitím nulové důvěry přebírá identifikace a ověřování uživatelů na každé úrovni koncept perimetru nebo přístup hradu a příkopu. Identita se připojí ke každému zařízení, uživateli a aplikaci, která chce vstoupit do sítě.
Tímto způsobem poskytuje Zero Trust robustní ochranu všem vašim zaměstnancům bez ohledu na to, kde na světě se nacházejí nebo kde jsou uložena jejich data.
Usnadňuje správu IT
Zabezpečení Zero Trust spoléhá na nepřetržité monitorování, kontrolu a analýzu; použití automatizace tedy může usnadnit proces vyhodnocování žádostí o přístup. Protože pokud se vše dělá ručně, schválení každého požadavku zabere spoustu času a pracovní postup by se drasticky zpomalil, což by ovlivnilo obchodní cíle a příjmy.
Pokud však používáte automatizaci, jako je správa privilegovaného přístupu (PAM), může posuzovat žádosti o přístup na základě určitých bezpečnostních identifikátorů a udělovat přístup automaticky. Nemusíte tedy nutně zapojit svůj IT tým do schvalování každého požadavku, včetně některých lidských chyb.
A když systém označí požadavek jako podezřelý, administrátoři se mohou ujmout řízení. Tímto způsobem můžete využít sílu automatizace a umožnit svým zaměstnancům, aby se oddávali zlepšování a inovacím, místo aby dělali všední úkoly.
Zajišťuje soulad
Vzhledem k tomu, že každý požadavek na přístup je nejprve vyhodnocen a poté zaprotokolován s podrobnostmi, pomáhá vám nulová důvěryhodnost vždy zůstat v souladu. Systém sleduje čas, aplikace a umístění každého požadavku, aby vytvořil bezchybný auditní záznam, který tvoří řetězec důkazů.
V důsledku toho se nemusíte snažit udržovat nebo produkovat důkazy, díky čemuž je řízení efektivní a rychlejší. Zároveň jste na míle vzdáleni rizikům compliance.
Jak zavést nulovou důvěru?
Každá organizace má jedinečné potřeby a výzvy, ale určité aspekty zůstávají společné pro každou organizaci. To je důvod, proč lze Zero Trust implementovat napříč organizacemi bez ohledu na typ podnikání nebo odvětví.
Zde je návod, jak implementovat zabezpečení Zero Trust ve vaší organizaci.
Identifikujte citlivá data
Když víte, jaký druh citlivých dat máte a kam a jak proudí, pomůže vám to určit nejlepší bezpečnostní strategii.
Kromě toho identifikujte také svá aktiva, služby a aplikace. Musíte také prozkoumat současné sady nástrojů a mezery ve vaší infrastruktuře, které mohou sloužit jako mezera v zabezpečení.
- Poskytněte nejvyšší stupeň ochrany svým nejkritičtějším datům a aktivům, abyste zajistili, že nebudou ohrožena.
- Další věcí, kterou můžete implementovat, je klasifikace dat na: důvěrná, interní a veřejná. Můžete využít mikrosegmentaci nebo zónování. Navíc vytvářejte malé kusy dat pro různé zóny propojené v rámci rozšířeného ekosystému sítí.
Toky mapových dat
Posuďte, jak vaše data proudí po síti, včetně transakčních toků, které mohou být vícesměrné. Pomáhá podporovat optimalizaci toku dat a vytváření mikrosítí.
Nezapomeňte také na umístění citlivých dat a na to, kdo všichni uživatelé mají přístup k povědomí a zaveďte přísnější bezpečnostní postupy.
Vytvořte sítě Zero Trust Micro
Až budete mít informace o tom, jak citlivá data ve vaší síti proudí, vytvořte pro každý datový tok mikrosítě. Vytvořte je tak, aby pro každý případ použití byly použity pouze ty nejlepší vhodné bezpečnostní postupy.
V tomto kroku použijte virtuální a fyzické ovládací prvky zabezpečení, jako například:
- Posílení mikroobvodu, aby se zabránilo neoprávněnému bočnímu pohybu. Svou organizaci můžete segmentovat podle umístění, skupin uživatelů, aplikací atd.
- Zaveďte vícefaktorové ověřování, jako je dvoufaktorové ověřování (2FA) nebo třífaktorové ověřování (3FA). Tyto bezpečnostní kontroly nabízejí další vrstvu zabezpečení a ověření každému uživateli mimo vaši organizaci i uvnitř vaší organizace.
- Iniciujte přístup s nejnižšími oprávněními pro uživatele potřebné k dokončení jejich úkolů a plnění jejich rolí. Musí vycházet z toho, kde jsou vaše citlivá data uložena a jak proudí.
Nepřetržitě sledujte systém Zero Trust
Nepřetržitě sledujte celou síť a mikroobvodové ekosystémy, abyste mohli kontrolovat, zaznamenávat a analyzovat všechna data, provoz a aktivitu. Pomocí těchto podrobností můžete zjistit škodlivé aktivity a jejich zdroj pro posílení zabezpečení.
Poskytne vám širší pohled na to, jak je udržováno zabezpečení a zda ve vaší síti funguje Zero Trust.
Využijte nástroje automatizace a organizační systémy
Automatizujte procesy pomocí automatizačních nástrojů a orchestračních systémů, abyste ze své implementace Zero Trust vytěžili maximum. Pomůže vám ušetřit váš čas a snížit rizika organizačních nedostatků nebo lidských chyb.
Nyní, když máte lepší přehled o nulové důvěře, o tom, jak funguje, jak ji implementovat a jaké jsou její výhody, pojďme se podívat na některé nástroje, které vám mohou implementaci pomoci ještě snadněji.
Jaká jsou některá bezpečnostní řešení s nulovou důvěrou?
Mnoho prodejců nabízí řešení Zero Trust, jako jsou Akamai, Palo Alto, Cisco, Illumio, Okta, Unisys, Symantec, Appgate SDP a další.
Řešení nebo software Zero Trust Networking je řešení pro správu identit a zabezpečení sítě, které vám pomůže implementovat model Zero Trust. Software vám umožňuje nepřetržitě sledovat vaši síťovou aktivitu spolu s chováním uživatelů a ověřuje každý požadavek.
Pokud se uživatel pokusí porušit oprávnění nebo se chová nestandardně, systém jej vyzve, aby provedl další ověření. Software zároveň shromažďuje data z dopravních protokolů, chování uživatelů a přístupových bodů, aby poskytoval podrobné analýzy.
Software může využívat autentizaci založenou na riziku, zejména pro řízení přístupu k síti. Zde jsou některé ze síťového softwaru Zero Trust:
- Okta: Využívá cloud a prosazuje silnější bezpečnostní zásady. Software se integruje se stávajícími systémy identity a adresáři vaší organizace spolu s více než 4000 aplikacemi.
- Obvod 81: Využívá robustní architekturu softwarově definovaného perimetru, který nabízí širší viditelnost sítě, plnou kompatibilitu, bezproblémovou integraci a nabízí 256bitové šifrování na bankovní úrovni.
- Správa identity SecureAuth: Je známá tím, že uživatelům poskytuje flexibilní a bezpečné ověřování a funguje ve všech prostředích.
Dalšími významnými softwarovými řešeními Zero Trust Networking jsou BetterCloud, Centrify Zero Trust Privilege, DuoSecurity, NetMotion a další.
Jaké jsou výzvy při zavádění nulové důvěry?
Existuje mnoho důvodů, proč je implementace Zero Trust náročná pro organizace, které zahrnují:
- Starší systémy: Pro obchodní operace se používá mnoho starších systémů, jako jsou nástroje, aplikace, síťové zdroje a protokoly. Ověření identity nemůže ochránit všechny a jejich přepracování by bylo nesmírně nákladné.
- Omezené ovládací prvky a viditelnost: Většina organizací postrádá komplexní přehled o svých sítích a uživatelích nebo kolem sebe nemohou z jakéhokoli důvodu nastavit přísné protokoly.
- Předpisy: Regulační orgány ještě musí přijmout Zero Trust; organizace proto budou mít potíže při procházení bezpečnostních auditů z hlediska souladu.
PCI-DSS například potřebuje, abyste k ochraně citlivých dat používali segmentaci a firewally. Ale nemáte žádný firewall s modelem Zero Trust, a proto riskujete dodržování předpisů. Máme-li tedy přijmout zabezpečení Zero Trust, musí existovat významné změny v předpisech.
Závěr
I když je Zero Trust v rostoucí fázi, dělá rozruch v bezpečnostním průmyslu. Se stále větším počtem kybernetických útoků po celém světě je potřeba mít robustní systém jako Zero Trust.
Zero Trust poskytuje silnější bezpečnostní architekturu s řízením identity a přístupu k vašim datům a transakcím tím, že ověřuje všechna vaše zařízení a uživatele v každém přístupovém bodu. Může chránit organizace před všemi druhy online hrozeb – lidmi a programy, cizími i domácími ve vaší síti.