Kiedyś radykalny pomysł, w tej chwili dominujący paradygmat w bezpieczeństwie organizacji (nie tylko tym cyfrowym) – Zero Trust w dużej mierze wyparł starszy model obrony obwodowej. A ponieważ dostawcy cyberbezpieczeństwa przechodzą na skonsolidowane platformy, które łączą niegdyś oddzielne rozwiązania punktowe, Zero Trust wyłonił się jako fundament, na którym opierają się nowoczesne narzędzia obronne.
Model bezpieczeństwa Zero Trust zaczyna się od założenia, iż sieć została już skompromitowana. W rezultacie wymaga od użytkowników uwierzytelnienia się podczas przechodzenia z jednej części sieci do drugiej lub w chwili proszenia o dostęp do dokumentów czy plików wymagających wysokiego poziomu bezpieczeństwa.
Żaden użytkownik, czy to człowiek, proces czy urządzenie, nigdy nie jest w pełni zaufany. Wszyscy są monitorowani, śledzeni i weryfikowani podczas uzyskiwania dostępu do różnych części sieci. Żaden użytkownik nie otrzymuje większych uprawnień systemowych, niż jest to potrzebne do wykonywania jego zadań, a nadane nadmierne uprawnienia są cofane. Dostęp opiera się na tożsamości użytkownika, a nie na lokalizacji sieciowej.
Jak Zero Trust stał się tzw. must-have?
Przechodzenie na model Zero Trust przyspieszyło podczas gwałtownego rozwoju chmury obliczeniowej pod koniec lat 2010 i zostało wywindowane na najwyższy poziom przez pandemię COVID-19 w latach 2020–2022, czyli masowe przejście na pracę zdalną. Zero Trust jest po prostu bardziej odpowiednie niż model obrony obwodowej w miejscach pracy, gdzie wielu pracowników pracuje zdalnie, a także w organizacjach, w których wiele zasobów znajduje się w chmurze.
Zero Trust działa również dobrze z lokalnymi sieciami i zasobami, które wiele firm przez cały czas zachowuje, więc nie ma długoterminowych wad przejścia na nowy paradygmat.
Ponieważ Zero Trust opiera dostęp na tożsamości, a nie lokalizacji sieciowej, dobrze radzi sobie z urządzeniami zdalnymi i trybem „Bring Your Own Device”.
W modelu obrony obwodowej telefon pracownika, który dołącza do sieci bezprzewodowej firmy, może być w stanie dotrzeć do wszystkich systemów, do których może dotrzeć laptop należący do firmy, a Zero Trust ogranicza dostęp tego telefonu. Podobnie komputer należący do pracownika będzie adekwatnie zarządzany przez Zero Trust, jeżeli dołączy do sieci, niezależnie od tego, gdzie fizycznie się znajduje.
Aviv Abramovich, szef produktów security w firmie CheckPoint przedstawia trzy filary koncepcji zerowego zaufania:
- Zasada najmniejszych uprawnień, czyli żaden użytkownik nie otrzymuje więcej uprawnień systemowych ani sieciowych niż to konieczne.
- Żaden użytkownik nie jest domyślnie zaufany, a wszyscy są stale ponownie weryfikowani.
- Wszyscy użytkownicy są monitorowani i śledzeni, a żaden nie ma wolnej ręki w całej sieci.
„To, iż zaufałem ci dwie minuty temu, nie oznacza, iż ufam ci teraz”, mówi Abramovich. „Może coś się zmieniło. Może ty, w ciągu tych dwóch minut, zdołałeś umieścić złośliwe oprogramowanie na swoim laptopie lub gdziekolwiek, gdzie uzyskujesz dostęp, i teraz muszę odebrać ci to zaufanie”.
Jak nowoczesne platformy realizują Zero Trust?
Tożsamość to nowy główny element, a solidna polityka IAM leży u podstaw modelu bezpieczeństwa Zero Trust. W ramach Zero Trust administratorzy sieci lub domeny Active Directory/Entra ID muszą znać tożsamość każdego urządzenia lub użytkownika oraz dokładnie wiedzieć, jakich poziomów dostępu te osoby lub maszyny potrzebują, aby wykonywać swoje zadania.
Ma to szerokie implikacje dla wielu aspektów cyberbezpieczeństwa. Ochrona punktów końcowych jest wzmacniana przez ograniczenia, na podstawie których inne systemy mogą uzyskiwać dostęp do punktów końcowych i odwrotnie. Bezpieczeństwo sieci jest wzmacniane przez kontrole uwierzytelniania na granicach segmentów, a bezpieczeństwo w chmurze jest wspomagane przez ograniczenia Zero Trust w zakresie dostępu.
Logi, systemy SIEM i platformy SOAR mają dostęp do licznych danych tożsamości, które Zero Trust zapewnia, umożliwiając szybsze i lepsze reagowanie na incydenty.
Jednak powoduje to również potrzebę większej automatyzacji. Monitorowanie, śledzenie, weryfikowanie i zbieranie danych o użytkownikach i ich zachowaniu gwałtownie przytłoczy ludzkie zasoby. Skonsolidowane platformy bezpieczeństwa są natomiast w dużym stopniu zautomatyzowane, co sprawia, iż to, co ludziom może wydawać się żmudną pracą, zostanie automatycznie i bezboleśnie przetworzone.
Automatyzacja i centralizacja oznaczają również, iż pracownicy mogą skupić się na swoich głównych zadaniach zamiast uczyć się pobocznych procedur, z których będą korzystać rzadko.
Ogromna proliferacja dostawców zabezpieczeń i wyspecjalizowanych rozwiązań punktowych w ciągu ostatniej dekady spowodowała, iż średnie i duże organizacje wdrażają dziesiątki narzędzi i utrzymują relacje z tak samo wieloma dostawcami. Naturalnie prowadzi to do nieefektywności i przekroczenia kosztów oraz przytłacza pracowników ds. bezpieczeństwa, którzy muszą monitorować i używać różnych środowisk, platform i rozwiązań. Wiele organizacji zastępuje oddzielne rozwiązania punktowe skonsolidowanymi platformami bezpieczeństwa, które łączą wiele różnych narzędzi i funkcji w jednym interfejsie. Dzięki temu mogą usprawnić operacje, zmniejszyć przeciążenie alertami i obniżyć koszty.
Wdrożenie nowoczesnej skonsolidowanej platformy bezpieczeństwa pomoże również w drodze do zerowego zaufania. Nie będzie to kompletne rozwiązanie – żaden dostawca nie oferuje jeszcze kompletnego pakietu zerowego zaufania – ale zapewni wiele elementów, których można użyć do wdrożenia wewnętrznej implementacji modelu Zero Trust.