1 Sep 2021

Zero Trust: современный подход к кибербезопасности

Zero Trust – это подход к кибербезопасности, который реагирует на изменения, вызванные оцифровкой. Все дело в том, что в прошлом предполагалось, что атаки в основном будут исходить извне. Однако, сегодня само собой разумеется, что больше нет этого строгого разделения между «внутренним» и «внешним» источниками атак. В данной статье ESKA, мы рассмотрим, как изменился образ мышления в области ИТ-безопасности в результате того, что появилась концепция zero trust, и как этот подход может быть реализован в создании Zero trust network.

Кибербезопасность и оцифровка

Вряд ли какой-либо другой термин так сильно повлиял на информационные технологии в последние годы, как «цифровизация». Она и принуждает современные организации к улучшению своих стратегий кибербезопасности.

Кибербезопасность охватывает множество областей и аспектов, связанных с безопасностью, которые характерны для современного ИТ-ландшафта, и сегодня являются ключевой проблемой для ИТ-отделов.

Помимо технических аспектов, существуют также различные нетехнические аспекты, такие как повышение осведомленности среди персонала, а также процессы и руководства по этому вопросу. В рамках обучения и инструкций по поведению компании регулируют, как сотрудники должны поступать, например, с неизвестными отправителями электронной почты, предположительно подлинными фишинговыми сообщениями или отправленными ссылками. Кстати, в арсенале у ESKA есть продукт, ориентированный на проверку сотрудников на предмет осведомленности о кибербезопасности – Cymulate, подробнее с которым вы можете ознакомиться на этой странице.

Ранее установленные принципы теперь становятся риском

В прошлом компании и государственные учреждения предполагали, что основные угрозы исходят извне. Таким образом, основным кредо было защитить так называемый «трафик данных с севера на юг»: трафик данных с севера на юг обычно считается трафиком, пересекающим границы компании (например, внутренний доступ в Интернет, доступ к внутренним серверам и приложениям из Интернета и т. д.).

Если использовать защиту города стенами в средние века в качестве метафоры, это означает: все, что происходит внутри стен, известно и заслуживает доверия, а то, что исходит извне, рассматривается как потенциальная опасность. Ведь только ограниченное количество посетителей может пройти через городскую стену через несколько городских ворот. Но нынешние реалии с множественными источниками угроз диктуют новые условия.

Традиционный подход ИТ-менеджеров предполагал, что доступ к серверам, базам данных, приложениям и данным возможен только внутренним пользователями, из интра сетей и с таких же устройств. По тем временам, VPN-шлюзы и межсетевые экраны уровня 4 или 7 считались достаточной защитой.

Изменения безопасности в результате оцифровки

В эпоху цифровых технологий важно продвигать использование перспективных онлайн-решений и беспрепятственно их интегрировать. Безопасность – это не просто еще один аспект, а одна из фундаментальных основ при разработке и внедрении современных ИТ-решений и приложений в эпоху оцифровки.

Недавнее прошлое показало, что нельзя недооценивать фактор сотрудника или внутренние компоненты при рассмотрении потенциальных опасностей и рисков. Например, фишинговые атаки редко могут быть обнаружены классическими компонентами сетевого мониторинга.

Современные концепции оцифровки бизнес-процессов также предоставляют все более сложные ИТ-решения. В отличие от требований к преимущественно закрытым системам, они должны получать доступ к данным из разных сетей, систем и приложений с разными уровнями безопасности. Это означает, что (старые) хорошо известные решения безопасности больше не актуальны.

Также сложно перенести/интегрировать устоявшиеся и известные решения в новые условия и технологии. Сложность многократно возросла, и конца развитию не видно, т.е., смена парадигмы в информационной безопасности имеет важное значение в подходе к кибербезопасности.

Принцип недоверия ни одному пользователю, устройству или приложению без проверки определяется как нулевое доверие или Zero trust security подход к ИТ-безопасности.

Новая основа ИТ-безопасности с нулевым доверием

При использовании модели безопасности нулевого доверия (ZTNA) каждый доступ к системам классифицируется как потенциальная опасность и проверяется следующим образом:

Аутентификация: она состоит из компонентов «знание» = имя пользователя/пароль, «наличие» = другой фактор, такой как мобильное или другое устройство, «подтверждение» = биометрические характеристики, такие как отпечатки пальцев, сканирование радужной оболочки глаза, и т.Д. То есть, аутентификация, это проверка того, что человек является тем, кто может иметь доступ к этой сети или системе. Именно благодаря столь строгой аутентификации Zero trust security model является рабочей моделью безопасности.

Авторизация: предоставление доступа к сеансу. Авторизация = строгому набору прав. Доступ в сеть или Zero trust Network access основан на принципах «наименьших привилегий» и привилегий «точно в срок»: ведь предоставляются только необходимые, связанные с сеансом авторизации для нужного ресурса в требуемое время для запрашивающей личности права. Лучше всего ее можно реализовать с помощью сильной, детализированной системы управления идентификацией и доступом.

Кроме того, в Zero trust model запрашивающая система проверяется, чтобы определить, соблюдаются ли все указанные рекомендации (такие как антивирусный сканер, статус исправления, операционная система, местоположение и время) и находится ли она в надежной сетевой среде.

Могут быть определены дополнительные правила и ограничения, например:

Можно ли использовать запрошенные данные?
Есть ли ограничения (например, дается право на копирование информации)?
Требуется ли дополнительная аутентификация (например, еще один фактор в дополнение к многофакторной аутентификации)?

Таким образом, тот факт, что доступ из внутренней сети был осуществлен зарегистрированным пользователем, больше не является основанием для доверия. Если все, один или только некоторые из тестовых факторов не соблюдаются, правила должны ограничивать или даже запрещать доступ. Если проверка прошла успешно, доступ предоставляется.

Модель безопасности Zero Trust вкратце с технической точки зрения

Таким образом, основными принципами модели нулевого доверия Zero Trust являются:

Строгое управление идентификацией и доступом
Принцип, что все, откуда угодно, представляет собой потенциальную опасность
Безопасность при хранении и транспортировке данных
Концепции разработки, основанные на принципах DevSecOps

Однако, вы не должны рассматривать эти столпы данной технологии по отдельности. Конечно, это может быть очень сложно и требует глубокого понимания существующих компонентов и определенных требований, особенно во время интеграции, но благо, что существуют решения, позволяющие с легкостью воплотить концепцию Zero trust.

К таким решениям относятся продукты, предлагаемые компанией Palo Alto Networks.

Palo Alto Zero trust и их технологии нулевого доверия

Palo Alto Networks расширила свой портфель продуктов для обеспечения безопасности продуктами, предназначенными для пользователей корпоративных сетей, которые хотят перейти к среде с нулевым доверием и воплотить в своей среде zero trust Palo alto.

Новые возможности сосредоточены на ряде механизмов нулевого доверия, включая SaaS, облако и DNS, которые будут доступны в июне. В Palo alto ztna сделали ставку на нулевое доверие с помощью интегрированного брокера безопасности облачного доступа (CASB) для защиты приложений SaaS, а также Cloud Identity Engine, который вместе позволяет клиентам аутентифицировать и авторизовать своих пользователей в корпоративных сетях, облаках и т. д. и приложениях.

ZeroTrust как основа для кибербезопасного будущего

Если вы рассматриваете модель Zero Trust как вариант, отвечающий сегодняшним повышенным требованиям безопасности, то, конечно, необходимо принять во внимание дополнительные усилия:

Существующее приобретенное или арендованное программное обеспечение необходимо проверить на совместимость с нулевым доверием и, при необходимости, обменять, перенастроить или заменить (например, в отношении аутентификации, многофакторной аутентификации и т. д.).
Сетевой трафик с нулевым доверием должен быть проанализирован, а используемые компоненты и общий дизайн должны быть проверены.
И последнее, но не менее важное: вы должны обеспечивать и контролировать взаимодействие всех необходимых компонентов с помощью сложной оркестровки.

Нулевое доверие следует рассматривать как необходимость в условиях нынешних реалий, и для его достижения необходимо постоянно работать над его внедрением и улучшением.

Хоть и реализация принципа zero trust может быть очень сложной и длительной, существующие системы должны быть профессионально интегрированы, возможна необходимость корректировки архитектуры отдельных приложений, а интеграция новых систем и технологий неизбежна. В частности, аспект полной и постоянной интеграции ИТ-безопасности от начала до конца цикла разработки и далее должен быть реализован в организационном и процедурном плане. Мы с радостью поможем вам в интеграции решений, которые помогут вашей организации внедрить принцип нулевого доверия.