Zero Trust – na czym polega ten model i dlaczego warto go wdrożyć w firmie?
Dlaczego model Zero Trust jest tak przydatny? Rosnące zagrożenie występowania ataków cybernetycznych, powstawanie coraz rozleglejszych i bardziej rozproszonych sieci oraz powszechne wykorzystanie chmury do celów biznesowych, to tylko część wyzwań, z jakimi mierzy się dziś biznes. To najwyższa pora na porzucenie dawnego podejścia do bezpieczeństwa organizacji i przyjęcie modelu Zero Trust, zakładającego domyślny brak zaufania do zasobów i innych użytkowników.
Na czym polega model Zero Trust?
Ostatnie lata przyniosły nam zdecydowany wzrost cyberprzestępczości. Wpływ miały na to: wybuch pandemii COVID-19, eskalacja rosyjskiej agresji na Ukrainę, czy kryzys na wschodniej granicy naszego kraju. Co gorsza, coraz większy udział w ogólnej sumie incydentów bezpieczeństwa mają ataki o podłożu politycznym, wymierzone w krytyczną infrastrukturę: szpitale, banki, elektrownie czy witryny rządowe. Sprawy nie ułatwia także duża popularność pracy zdalnej i możliwość wykorzystywania prywatnych urządzeń do celów służbowych (BYOD), którą dopuszcza coraz więcej firm. Zmiana podejścia w kwestii cyberbezpieczeństwa jest w tych okolicznościach konieczna – tym bardziej, że istnieją nowocześniejsze alternatywy dla przestarzałych modeli niedostosowanych do powszechnych dziś rozległych sieci.
Jedną ze wspomnianych alternatyw jest koncepcja Zero Trust. Zero Trust ma bardzo proste założenie: nic i nikt nie jest godny zaufania, dopóki nie udowodni, że jest inaczej. Zero Trust security stoi w opozycji do stosowanego dotychczas powszechnie modelu obwodowego, zwanego też modelem „zamku i fosy”. Model ten nadaje automatyczny dostęp do zasobów podmiotom, które znajdują się w obrębie sieci i skupiają się głównie na ochronie jej brzegów. Takie podejście jest już dziś jednak niewystarczające.
Termin Zero Trust został użyty po raz pierwszy w 2010 roku przez analityka Johna Kindervaga z Forrester Research. Opisywał on wówczas bardziej rygorystyczne, niż powszechnie stosowane w tamtym czasie, podejście do kontroli dostępu w sieciach korporacyjnych.
Na kolejne kroki w upowszechnieniu tej koncepcji przyszło nam jednak czekać aż do 2018 roku, kiedy badacze amerykańskich organizacji NIST oraz NCCoE przygotowali publikację dotyczącą architektury Zero Trust, dzieląc się z szerszą publicznością zbiorem porad i pomysłów na organizację tego rodzaju architektury. Rok później brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) wydało rekomendacje dla architektów sieci, namawiającą do stosowania nowego podejścia – szczególnie w przypadku wykorzystania chmury.
Mimo to, do tej pory nie istnieje oficjalna certyfikacja i normy dotyczące wprowadzania podejścia Zero Trust w organizacji, choć wiele firm analitycznych, jak Gartner, Forester czy wspomniana wcześniej organizacja NIST, wydały własne rekomendacje.
Najważniejsze zasady Zero Trust
Choć Zero Trust to model rewolucyjny, bazuje na prostych, twardych zasadach bezpieczeństwa. Najważniejsze z nich to:
- Brak zaufanych użytkowników i urządzeń. Przydzielenie dostępu do danych zasobów musi być każdorazowo poprzedzone uwierzytelnianiem i autoryzacją. Procesy te biorą pod uwagę wiele czynników, m.in.: tożsamość, reputację urządzenia, geolokalizację, nietypowe zachowania (np. próba uzyskania dostępu z dwóch odległych geograficznie lokalizacji w krótkim czasie).
- Dostęp udzielany jest w najmniejszym potrzebnym do wykonania zadania zakresie i na ograniczony czas tzw. Just In Time/Just-Enough-Access (JIT/JEA).
- Zero Trust odrzuca możliwość, że wszystko za zaporą firmową jest bezpieczne. Każde żądanie dostępu jest traktowane jako pochodzące z niezaufanego źródła, a systemy bezpieczeństwa są cały czas przygotowane na wystąpienie incydentu.
- Stosowanie mikrosegmentacji architektury, która uniemożliwia dostęp do całości zasobów użytkownikom.
Dlaczego warto wdrożyć model Zero Trust?
Stosowany do tej pory model obwodowy, czy też model „zamku i fosy”, sprawdzał się wiele lat temu, gdy firmowe sieci były niemal odseparowanymi od zewnętrznego świata sieciami lokalnymi. Dziś, w dobie chmury publicznej, korzystania ze współdzielonych zasobów, rozwiązań typu SaaS i przy powszechnym dostępie do aplikacji w dowolnej chwili, z dowolnego miejsca, konieczne jest dużo bardziej restrykcyjne podejście do ochrony zasobów. Przy tak dużym zróżnicowaniu architektury stworzenie „zamku” ze szczelnie chronionym dostępem jest wręcz niemożliwe, a firewall i UTM są tylko jednymi ze składowych całego systemu zabezpieczeń, a nie jego głównymi filarami.
Model Zero Trust jest rekomendowany dla organizacji przetwarzających wrażliwe informacje i dane osobowe, jak banki, e-commerce, firmy produkcyjne i usługowe oraz wiele innych.
Jak wdrożyć Zero Trust w firmie?
Należy zrozumieć, że Zero Trust to rozumiany szeroko sposób myślenia o bezpieczeństwie, którego efektem jest stosowanie różnych rozwiązań i projektowanie sieci z myślą o jak najwyższym poziomie ochrony. Na zbudowanie tego modelu składają się m.in.:
- Zidentyfikowanie danych wrażliwych i cennych zasobów.
- Wprowadzenie środków technicznych zajmujących się autoryzacją i uwierzytelnianiem z uwzględnieniem najważniejszych czynników (np. wspomniana wcześniej geolokalizacja).
- Przeprowadzenie mikrosegmentacji architektury, dzięki czemu, w przypadku gdy jeden z segmentów zawiedzie, niemożliwa będzie eskalacja na kolejne segmenty bez ponownego uzyskania dostępu.
Netia, jako integrator rozwiązań ICT posiada w swojej ofercie usługi z zakresu zero trust. We wprowadzeniu tego podejścia w Twojej firmie pomogą specjaliści SOC (Security Operations Center), którzy dodatkowo będą monitorować ruch wewnątrz sieci, wychwytując nieautoryzowane próby uzyskania dostępu i wykrywając wszelkie anomalie, mogące wskazywać na atak z zewnątrz lub wewnątrz.
Może Cię również zainteresować...
English