Spis treści
Geneza koncepcji zero trust
Dyskusje branżowe często wprowadzają do powszechnego użycia nowe pojęcia. Część z
tych określeń niekoniecznie jest adekwatna do rzeczywistego znaczenia, a część już kiedyś
została opracowana. Przykładem koncepcji, która została opracowana wiele lat temu, a
teraz przeżywa swój renesans jest zero trust. Aktualne pojęcie zerowego zaufania zostało
spopularyzowane przez Johna Kindervaga, który pełnił rolę analityka w firmie Forrester.
Natomiast początki modelu pochodzą z 1994 roku od Stephena Paula Marsha, który
opisał pomysł w ramach swojej pracy doktorskiej na temat bezpieczeństwa obliczeniowego
na Uniwersytecie w Stirling. Przez lata badacze i organizacje inaczej pojmowały model zero
trust, co wymusiło stworzenie ustandaryzowanego podejścia.
Jak współcześnie należy rozumieć zero trust
Próbę zdefiniowania zero trust podjęło grono eksperckie z NIST oraz NCCoE publikując
poradnik związany z implementacją architektury zerowego zaufania przy założeniu różnych
scenariuszy1. Zdefiniowali oni tę architekturę jako zestaw zasad cyberbezpieczeństwa
używanych do tworzenia strategii, która koncentruje się na zasobach przedsiębiorstwa
(tj. urządzeniach, komponentach infrastruktury, aplikacjach, komponentach wirtualnych i
chmurowych). Alternatywne, ale komplementarne podejście zostało zaproponowane przez
NCSC (National Cyber Security Centre), które zidentyfikowało kluczowe zasady budowania
architektury ZTA:
Kluczowe zasady budowania architektury ZTA:
1. Jedno silne źródło tożsamości użytkownika,
2. Uwierzytelnianie użytkownika,
3. Uwierzytelnianie sprzętu,
4. Dodatkowy kontekst, taki jak zgodność z zasadami i stan urządzenia,
5. Zasady dostępu do aplikacji.
Na gruncie rekomendacji krajowych można wskazać tę pochodzącą z Narodowych
Standarów Cyberbezpieczeństwa 2 oznaczoną sygnaturą NSC 800-207. Dokument zawiera
następującą definicję ZTA: „kompleksowe podejście do bezpieczeństwa zasobów podmiotu
i danych, które obejmuje tożsamość (osób fizycznych i podmiotów niebędących osobami
fizycznymi), dane uwierzytelniające, zarządzanie dostępem, operacje, punkty końcowe,
środowiska hostingowe i infrastrukturę łączącą”. A zatem można odnieść wrażenie, że ostatnia definicja jest hybrydą tego co zostało wcześniej zaproponowane, a teraz stanowi
najbardziej adekwatne podejście do tematu ZTA.
Zero trust - jak zrealizować założenia idei?
Praktyka administracyjna specjalistów IT pokazuje, że elementy zero trust były
wprowadzane w polityki konfiguracyjne. Dobrym przykładem jest zasada minimalnych
uprawnień, czyli przyznawania jedynie tych funkcji, które będą wykorzystywane. W
realizacji założeń zero trust organizacje wspiera technologia. Przy rozbudowanych
mechanizmach analizy zachowania (behavioral analytics) można zidentyfikować nietypowe
dla użytkownika reakcje, np. logowanie w niestandardowych godzinach, z innej lokalizacji
oraz wykorzystanie innych urządzeń. Narzędzie analityczne przyznają takiej aktywności
dodatkowe negatywne punkty mające zwrócić uwagę administratora poprzez alert albo
autonomicznie podejmują decyzję o wstrzymaniu kolejnych etapów procesu
uwierzytelniania. Należy wspomnieć, że tego typu rozwiązania są wspomagane sztuczną
inteligencją (AI) co zwiększa szanse na wykrycie prób oszustwa. Gotowe zestawy polityk
często ułatwiają przygotowanie organizacji do wdrożenia w życie założeń architektury zero
trust. Warto pamiętać, że urządzenia również warto monitorować w kontekście ich
wiarygodności oraz zgodności z wytycznymi. Kiedyś tego typu mechanizmy były
stosowane przez rozwiązania klasy NAC (Network Access Control), gdzie weryfikowano czy
dane urządzenie może trafić do danej podsieci. Współcześnie te mechanizmy są
realizowane przez platformy do zarządzania zero trust – CASB (cloud access security
broker) oraz UEM (unified endpoint management).
Dodatkową wartością wynikającą z platformy zero trust jest to, że uwierzytelnianie nie jest
tylko jednorazowe przy inicjalnej komunikacji, ale odbywa się w trybie ciągłym i w
odpowiednim kontekście sytuacyjnym. Dotyczy to zarówno tożsamości jak i urządzenia.
A zatem czy warto?
Zdecydowanie warto! Zero trust to nie tylko pozycja na liście projektów IT, którą chce się
odznaczyć. To przede wszystkim zbudowanie ustandaryzowanego podejścia do
zarządzania bezpieczeństwem IT w organizacji w oparciu o ruch sieciowy, aktywność
użytkowników oraz zastosowanie wytycznych wobec uwierzytelniania ludzi i urządzeń.
Ideą stojącą za wdrożeniem modelu zero trust jest zapewnienie bezpiecznego sposobu
dostępu do zasobów w celu wymuszenia ścisłej realizacji zdefiniowanych polityk i
monitorowania ruchu sieciowego. Platforma do zarządzania zero trust jest szansą na
integrację wielu źródeł danych (AV, EDR, MTD, UEBA, DLP) tworząc kompletny obraz
bezpieczeństwa IT organizacji.