Zero Trust Turvalisus Selgitatud: Mis See On, Miks See On Tahtis, ja Kuidas Alustada

Kui keegi paluks teil Zero Trust uhe lausega selgitada, siis siin on luhike versioon: loobuge eeldamast, et keegi teie vorgus on turvaline. Kogu mottekoht on selles. Aga sinna joudmine nouab rohkem kui uht lauset, nii et laheme labi.

Aastakumneid tootas kybervarustus lihtsal ideel: ehitage kindlus. Paksud seinad, suur vallikraav, valvurid tousul. Kes labi värava sai? Uskusdav. Vaba saalides uitama, uksi avama, dokumente lugema.

Mudel eeldas uht asja: et piiriloik peab vastu. Ei pidanud.

Kaasaegsed ründajad harva tormavad peakorvust. Nad phishivad tootaja volitused kohvikus. Ohustavad tarnija VPN ligipasu. Aravad ara unustatud API, mida keegi ei parandanud. Ja kui seest? Lossimudel annab neile koikide votmed katte.

Zero Trust poorab selle tielikult umber. Kujutage ette hoonet, kus igal toal on oma lukk. Iga inimene, isegi tegevjuht, passib igas ukse juures igal korral. Keegi ei saa uldligipasu lihtsalt seetottu, et ta fuajeed labi kondis.

Zero Trust on kybervarustuse mudel, mis on ules ehitatud pohimottele never trust, always verify. Selle asemel, et eeldada, et kasutajad voi seadmed vorgus on turvalised, nouab Zero Trust iga ligipasutaotluse pidevat kontrollimist, olenemata sellest, kust see parineb voi kes seda esitab.

Kontseptsioon ei ole uus. Forrester Researchi analuutik John Kindervag leidis termini 2010. aastal valja. Aga kasutuselevott plahvatas parast 2020. aastat, kui kaugtoo havitas jaanud osa ettevotte piiriloigust. NIST formaliseeris arhitektuuri SP 800-207-s ja USA valitsus tugevdas muutust Executive Order 14028-ga, mis kohustas föderaalseid agentuure Zero Trust arhitektuuri kasutusele votma. Tana on Zero Trust turvaturg kasvanud globaalselt umbes 48 miljardi dollarini ja enamik tosisemaid turvastrateegiaid kasitleb lahenemist alusena, mitte pyrgimuseks.

Miks siis vana mudel katki labis? Mida teevad pohimotted? Ja kuidas saab suvalise suurusega ettevote alustada ilma pankrotti minemata?

Piiriloigu turvamudel, lossi-ja-kraavi lahenemine, oli disainitud maailma jaoks, mida enam ei ole. Tootajad istusid kontorites, andmed elasid kohalikel serveritel ja vorgul oli selged piiripunktid. Siin on see, mis muutus.

Piiriloik kadus

Teie tootajad tootavad kodukontoritest, lennujaama ootesaalidest ja hotellitubadest. Teie andmed asuvad kahe voi kolme pilveteenuse osutaja, kae killu SaaS-i tooriistade ja ehk unustatud on-premise serveri peal, mida keegi ei taha puutuda. Ei ole enam sees, vahemalt mitte mottlikult.

VPN-id loovad ohtliku illusiooni

VPN paneb kaugkasutaja vorgu sisse ja usaldab siis teda tielikult. Kui ründaja varastab ihe VPN-i volituse phishingu voi dark webi turu kaudu, saab ta liikuda terve keskkonna laiuses kulgliikumisena, hupates susteemilt susteemile ilma taiendavate kontrollideta. Ründaja ei muri seina labi. Ta kondib labi legitiimse tunneli. Seetottu asendavad paljud organisatsioonid VPN-id Zero Trust Network Access (ZTNA) lahenduste ja Software-Defined Perimeters (SDP)-ga, mis annavad ligipasu rakenduse kaupa, mitte vorgu kaupa.

Siseohud ei ole ainult pahade mangijate kohta

Kui inimesed kuulevad siseoht, kujutavad nad ette pahaseadlikku tootajat, kes varastab andmeid. Tegelikkus on segasem: keegi, kes klikkis phishingu lingil, kasutas oma Netflixi parooli toos voi jatas sülearvuti lahti konverentsil. Lossimudel usaldab neid koiki voriselt.

Pilve- ja hübriidkeskkonnad murdsid mudeli ara

Kui teie rakendused, andmed ja kasutajad on koikjal laiali, ei saa piiriloigul pohinev strateegia katta koiki sisenemispunkte. Te lisate lappi lapi jarel, kuni arhitektuur muutub raskemaks kaitsta, kui see, millega te alustasite.

Vastavuse eeskirjad ootavad seda nud

Reguleerivad ramistikud nagu GDPR, HIPAA ja PCI DSS ootavad uha enam selliseid kontrolle, mida Zero Trust pakub: detailset ligipasuhaldust, pidevat jalgimist ja dokumenteeritud turvapoliitikate rakendamist.

Kontseptsioon kuulab abstraktne, kuni te selle kolmeks ideeks jagatate. Need pohimotted parinevad otse NIST SP 800-207 Zero Trust Architecture raamistikust, aga neil on mote ka ilma tehnilise taustata.

1. Never Trust, Always Verify

Iga ligipasutaotlus kaideldakse nii, nagu see tuleks ebausaldusvaarsest vorgust. Istute kontoris ettevotte WiFi-s? Ei loe. Logisite viis minutit tagasi sisse? Irrelevantne. Susteem kontrollib teie isikut, seadme seisundit, asukohta ja konkreetset ressurssi, mida taotate, iga kord.

Mitmikautentimine (MFA), seadme seisundi kontrollid ja kaitumisanaluus tootavad siin koos. Eesmark on pidev kohanduv usaldus, mitte uks kontrollpunkt ukse ees.

Motlege sellele nagu lennujaama turvalisusele. Isegi kui lendate iga nadal, labite sama skanneri iga kord. Teie sage reisija kaart ei luba metallidetektorist möoda minna.

2. Least-Privilege Access

Kasutajad ja seadmed saavad ligipasu tapselt sellele, mida nad hetkel oma ulesande jaoks vajavad. Mitte rohkem. Turundusjuht ei vaja ligipasu tootmisandmebaasile. Uhe projeksi jaoks toodud alltöövoija ei tohiks naha kolme muu projekti faile.

See on vaikseimate privileegide pohimotte rakendamine IAM ja PAM tooriistade kaudu. See vahendab rünnakupinda. Isegi kui iks konto on ohustatud, jaab kahju teie keskkonna kitsa viilu sisse.

Motlege sellele nagu hotelli votmekaartidele. Teie kaart avab teie toa ja treeningsaali. See ei ava igat tuba korrusel lihtsalt seetottu, et olete registreeritud kilaline.

3. Assume Breach

See on see ebamugav. Te eeldad, et ründaja on juba teie vorgus. Mitte et ta saaks sisse. Et ta on juba seal.

See eeldus muudab koike selles, kuidas te turvalisust disainite. Te segmenteerite vorku mikrosegmenteerimise kaudu. Te kontrollite ja logite iga tegevust. Te disainite nii, et ihe segmendi ohustamine ei leviks teistele.

Motlege sellele nagu veekindlad vaheseinad laeval. Kui iks sektsioon ujutatakse ule, jaavad teised kuivaks. Laev vajub aeglasemalt ja teil on aega reageerida.

Pohimotted on kasulikud. Aga kuidas Zero Trust tegelikult tundub teisipaeva hommikul?

9:00. Sarah, tootejuht, avab oma sülearvuti kodus. Tema seade logib ettevotte isikutuvastuse osutajaga sisse. Susteem kontrollib: Kas see on Sarah registreeritud seade? Kas operatsioonisusteem on parandatud? Kas endpoint kaitse tootab?

9:05. Sarah avab projektihalduse toorista. Poliitika mootor kontrollib tema rolli ja annab ligipasu ainult tema meeskonna tahvlitele. Ta ei saa naha inseneride juurutamise armatuurlauda. Tema ei vaja seda.

10:30. Sarah proovib klientide andmebaasile ligi paasda kvartaalse aruande jaoks. Susteem margib selle tema rolli jaoks ebatavalisena, kaivitab taiendava MFA kusimuse ja logib taotluse ulevaatamiseks.

14:00. Tema meeskonna alltöövoija logib sisse uuest sülearvutist. Ligipaas on blokeeritud, kuni seade labib tervisekontrolli ja alltöövoija juht kinnitab selle.

Draamat pole. Aga kulisside taga tootasid viis kihti:

• Isikutuvastuse osutaja. Kes te olete? Tõestage.
• Seadme usaldus. Kas teie masin on turvaline uhendamiseks?
• Poliitika mootor tingimusliku ligipasupoliitikaga. Kas teil on lubatud seda konkreetset asja praegu siin teha?
• Mikrosegmenteerimine. Isegi ligipasuga saate ulatuda ainult teile maaratud alale.
• Pidev jalgimine. Iga tegevus logitakse, mitte ainult sisselogimissündmus.

Sarah paev ei ole katkestatud. Aga ettevotte andmed on iga sammu juures kaitstud.

Ja see pole ainult tootajad. IoT seadmed, printerid, nutikad hoonesusteemid ja konverentsiruumi seadmed uhendavad ka teie vorguga. Zero Trust subleb iga uhendatud seadmega vaikimisi ebausaldusvaarsena. Koik labivad sama kontrolli enne igasuguse ligipasu saamist.

Me aitame ettevotetel sellist arhitektuuri ules ehitada turvalise tarkvaraarenduse kaudu, kus turvalisus laheb vundamendi sisse selle asemel, et hiljem külge panna.

Rakendamine ei ole nadalavahetuse projekt. Aga see ei ole ka nii ulevaldav, kui müüjad seda korigivad. Siin on praktiline teekaart.

Samm 1. Kaardistage oma varad ja andmevoogud

Enne kui midagi kaitsta, teadke, mis teil on. Inventeerige iga kasutaja, seade, rakendus ja andmeladu. Enamik ettevotteid on ullatunud selle ule, mis ilmub: vari-IT, unustatud integratsioonid, kolmandate osapoolte tooriistad liigsete volitustega. CSPM tooriistad saavad pilvekeskkondade jaoks suure osa sellest avastamisest automatiseerida.

Samm 2. Tuvastage oma kaitsmispinnad

Te ei pea esimesel paevast koike sama intensiivsusega kaitsma. Tuvastage oma kroonijuveelid: kliendiandmed, finantssusteemid, intellektuaalomand, vastavustundlikud kirjed. Need kaitsmispinnad on kohad, kus rikkumine pohjustaks koige suuremat kahju.

Samm 3. Rakendage tugev isiku- ja ligipasuhaldus

See on vundament. MFA koikjal, eranditult. RBAC, mis rakendab vaikseimaid privilege. SSO tingimuslike ligipasupoliitikatega, mis kohanevad konteksti pohjal. Ilma tugeva isikuta on ulejaanud teater.

Isik on ka koht, kus AI agendid automatiseeritud jalgimiseks hakkavad mangima reaalselt rolli. Nad saavad tuvastada anomaalseid ligipasumustreid kiiremini kui ukski inimanaluutik.

Samm 4. Segmenteerige oma vork

Jagage oma vork tsoonideks mikrosegmenteerimise kaudu. Kui ründaja ohustab turundusmeeskonna e-posti, ei tohiks ta saada tootmisandmebaasile poorata. Igal segmendil on oma ligipasureeglid ja jalgimine. NAC ja DLP tooriistad toetavad seda kihti. EDR lahendused tabavad ohud seadme tasemel enne nende levimist.

Samm 5. Jalgige, logige, automatiseerige

Pidev jalgimine iga ligipasusündmuse jaoks. Automatiseeritud reageerimised anomaaliatele: blokeerige konto, nouake taasautentimist, hoiatage meeskonda. Ukski inimene ei saa seda koike kaesitsi jalgida. SIEM, SOAR ja XDR tooriistad automatiseerivad ohtude tuvastamise ja reageerimise.

Me oleme nainud ettevotteid komistamas Zero Trusti kasutuselevotmisel ettenahtaval viisil. Siin on viis, mis ilmnevad koige sagedamini.

1. Kaitlemine selle kui tooteostu, mitte strateegiana

See pole kast, mille ostad ja paigaldad. See on turvafilosoofia, mis puudutab arhitektuuri, poliitikaid ja kultuuri. Iga müüja, kes ütleb osta meie toode ja teil on Zero Trust, lihtsustab tehingu sulgemiseks. Strateegia esimesena. Tööriistad toetavad strateegiat, mitte vastupidi.

2. Proovimine koike korraga teha

Terve organisatsiooni ulatuslik uuendamine korraga viib eelarve uletamise ja projekti vaimuvalmiseni. Alustage ihe kaitsmispinnaga. Tõestage, et mudel tootab. Seejarel laienege.

3. Kasutajakogemuse unustamine

Kui uus turvamudel muudab tootamise valulikuks (pidevad kusimused, blokeeritud ligipaas, aeglased sisselogimised), leiavad inimesed moodusid. Vari-IT õitseb, kui turvalisus on tootlikkusele vaenulik. Parimad rakendused on loppkasutajate jaoks peaaegu nahaumatud.

4. Pärandisusteemide ignoreerimine

Paljudel organisatsioonidel on pärandirakendusi, mis ei toeta kaasaegset autentimist. teeselda, et neid pole, loob turvaau. Teil on vaja plaani: API puhverserverid, autentimise ümbrised voi järkjärguline asendamine. Nende ignoreerimine ei ole plaan.

5. Juhtkonna heakskiidu puudumine

Zero Trust puudutab iga osakonda. Ilma juhtkonna toetuseta jaab see IT-meeskonna tasemele. Raamige see äririski haldusena, sest see ongi, ja saage heakskiide ülevalt enne inimeste toopanuste muutmist.

Hajutatud tööjõudude jaoks need vead korduvad. Hajutatud meeskondade turvalise haldamise valjakutsed lisavad keerukust, mis nouab juhtkonna tahelepanu.

Lühike vastus: jah. Aga see naeb valja teistmoodi kui ettevõtte juhtumiuuringutes ja see on okei.

Te ei vaja miljonidollarilist SIEMi juurutamist voi 24/7 turvoperatsioonide keskust Zero Trusti praktiseerimiseks. Teil on vaja põhitõdesid ja põhitõed annavad umbes 80 protsenti turvavaartusest.

Siit alustada:

• MFA koigel. Enamik isikutuvastuse osutajaid (Google Workspace, Microsoft 365) sisaldab seda. Lülitage sisse. Jõustage. Erandeid tegevjuhi jaoks ei ole.

• Vaikseimate privileegide ligipasu ülevaade. Istuge maha ja vaadake, kellel on ligipaas millele. Enamik VKE-sid ei ole seda harjutust kunagi teinud ja tulemused on alati avastusi täis. 2023. aasta praktikantil on ikka veel teie CRM-i admin ligipaas? Parandage see.

• Endpoint haldus. Isegi põhilised mobiiliseadme halduslahendused (MDM) ettevotte seadmetele teevad vahet. Teadke, mis teie susteemidega uhendub.

• Pilvepõhised turvarakendused. Enamik SaaS platvorme sisaldab sisseehitatud Zero Trusti funktsioone: tingimuslik ligipaas, seansside kontrollid, auditi logid. Te tõenäoliselt maksate juba nende eest. Kasutage neid.

Vaikeettevotetele on suurim oht mitte hind. See on tegevusviis, sest kontseptsioon kõlab nagu Fortune 500 asi. Põhitõed on taskukohased ja need vahendavad teie rünnakupinda märkimisväärselt.

Cloudflare'i Zero Trusti ulevaade ja Microsofti Zero Trusti mudeli dokumentatsioon pakuvad molemad tasuta ressursse, mis on kohandatud erineva küpsustasemega organisatsioonidele.

Kui ehitate uut tarkvara ja soovite, et turvalisus oleks sees alates esimesest päevast selle asemel, et hiljem peale panna, on see midagi, millega meie meeskond tegeleb turvalise tarkvaraarenduse kaudu. Ja kui te ei ole kindel, kus teie suurimad lüngad asuvad, on IT-turvanoustamise kaudu turvastrateegia hindamine kiireim viis selle teada saamiseks.