fbpx

Zero trust – teoria czy praktyka?

Spis treści

Geneza koncepcji zero trust

Dyskusje branżowe często wprowadzają do powszechnego użycia nowe pojęcia. Część z tych określeń niekoniecznie jest adekwatna do rzeczywistego znaczenia, a część już kiedyś została opracowana. Przykładem koncepcji, która została opracowana wiele lat temu, a teraz przeżywa swój renesans jest zero trust. Aktualne pojęcie zerowego zaufania zostało spopularyzowane przez Johna Kindervaga, który pełnił rolę analityka w firmie Forrester. Natomiast początki modelu pochodzą z 1994 roku od Stephena Paula Marsha, który opisał pomysł w ramach swojej pracy doktorskiej na temat bezpieczeństwa obliczeniowego na Uniwersytecie w Stirling. Przez lata badacze i organizacje inaczej pojmowały model zero trust, co wymusiło stworzenie ustandaryzowanego podejścia.

Jak współcześnie należy rozumieć zero trust

Próbę zdefiniowania zero trust podjęło grono eksperckie z NIST oraz NCCoE publikując poradnik związany z implementacją architektury zerowego zaufania przy założeniu różnych scenariuszy1. Zdefiniowali oni tę architekturę jako zestaw zasad cyberbezpieczeństwa używanych do tworzenia strategii, która koncentruje się na zasobach przedsiębiorstwa (tj. urządzeniach, komponentach infrastruktury, aplikacjach, komponentach wirtualnych i chmurowych). Alternatywne, ale komplementarne podejście zostało zaproponowane przez NCSC (National Cyber Security Centre), które zidentyfikowało kluczowe zasady budowania architektury ZTA:
zero trust

Kluczowe zasady budowania
architektury ZTA:

1. Jedno silne źródło tożsamości użytkownika,
2. Uwierzytelnianie użytkownika,
3. Uwierzytelnianie sprzętu,
4. Dodatkowy kontekst, taki jak zgodność z zasadami i stan urządzenia,
5. Zasady dostępu do aplikacji.

vida-logo-biale
Na gruncie rekomendacji krajowych można wskazać tę pochodzącą z Narodowych Standarów Cyberbezpieczeństwa 2 oznaczoną sygnaturą NSC 800-207. Dokument zawiera następującą definicję ZTA: „kompleksowe podejście do bezpieczeństwa zasobów podmiotu i danych, które obejmuje tożsamość (osób fizycznych i podmiotów niebędących osobami fizycznymi), dane uwierzytelniające, zarządzanie dostępem, operacje, punkty końcowe, środowiska hostingowe i infrastrukturę łączącą”. A zatem można odnieść wrażenie, że ostatnia definicja jest hybrydą tego co zostało wcześniej zaproponowane, a teraz stanowi najbardziej adekwatne podejście do tematu ZTA.

Zero trust - jak zrealizować założenia idei?

Praktyka administracyjna specjalistów IT pokazuje, że elementy zero trust były wprowadzane w polityki konfiguracyjne. Dobrym przykładem jest zasada minimalnych uprawnień, czyli przyznawania jedynie tych funkcji, które będą wykorzystywane. W realizacji założeń zero trust organizacje wspiera technologia. Przy rozbudowanych mechanizmach analizy zachowania (behavioral analytics) można zidentyfikować nietypowe dla użytkownika reakcje, np. logowanie w niestandardowych godzinach, z innej lokalizacji oraz wykorzystanie innych urządzeń. Narzędzie analityczne przyznają takiej aktywności dodatkowe negatywne punkty mające zwrócić uwagę administratora poprzez alert albo autonomicznie podejmują decyzję o wstrzymaniu kolejnych etapów procesu uwierzytelniania. Należy wspomnieć, że tego typu rozwiązania są wspomagane sztuczną inteligencją (AI) co zwiększa szanse na wykrycie prób oszustwa. Gotowe zestawy polityk często ułatwiają przygotowanie organizacji do wdrożenia w życie założeń architektury zero trust. Warto pamiętać, że urządzenia również warto monitorować w kontekście ich wiarygodności oraz zgodności z wytycznymi. Kiedyś tego typu mechanizmy były stosowane przez rozwiązania klasy NAC (Network Access Control), gdzie weryfikowano czy dane urządzenie może trafić do danej podsieci. Współcześnie te mechanizmy są realizowane przez platformy do zarządzania zero trust – CASB (cloud access security broker) oraz UEM (unified endpoint management). Dodatkową wartością wynikającą z platformy zero trust jest to, że uwierzytelnianie nie jest tylko jednorazowe przy inicjalnej komunikacji, ale odbywa się w trybie ciągłym i w odpowiednim kontekście sytuacyjnym. Dotyczy to zarówno tożsamości jak i urządzenia.

A zatem czy warto?

Zdecydowanie warto! Zero trust to nie tylko pozycja na liście projektów IT, którą chce się odznaczyć. To przede wszystkim zbudowanie ustandaryzowanego podejścia do zarządzania bezpieczeństwem IT w organizacji w oparciu o ruch sieciowy, aktywność użytkowników oraz zastosowanie wytycznych wobec uwierzytelniania ludzi i urządzeń. Ideą stojącą za wdrożeniem modelu zero trust jest zapewnienie bezpiecznego sposobu dostępu do zasobów w celu wymuszenia ścisłej realizacji zdefiniowanych polityk i monitorowania ruchu sieciowego. Platforma do zarządzania zero trust jest szansą na integrację wielu źródeł danych (AV, EDR, MTD, UEBA, DLP) tworząc kompletny obraz bezpieczeństwa IT organizacji.

Wydarzenia: