Современные модели с нулевым доверием

При переходе к современной модели безопасности с нулевым доверием необходимо реализовать пять основных принципов.

Сотрудники требуют, чтобы работодатели обеспечивали гибкий стиль работы. Приложения переходят в облако. Набор устройств и приложений компании становится все более разнородным. Все эти факторы разрушают периметр безопасности предприятия, делают традиционные подходы к безопасности устаревшими и прокладывают путь к подходам с нулевым доверием.

Традиционные методы безопасности широко классифицируют все (пользователей, устройства и приложения) внутри корпоративной сети как заслуживающие доверия. В этих моделях используются устаревшие технологии, такие как виртуальные частные сети (VPN) и управление доступом к сети (NAC), для проверки учетных данных пользователей вне сети перед предоставлением доступа. Поэтому основное внимание уделяется укреплению периметра сети, а затем предоставлению полного доступа к корпоративным данным после успешной проверки учетных данных. Это иногда называют подходом «замок и ров», в котором замок относится к предприятию, содержащему ценные данные и приложения, в то время как ров относится к уровням защиты, направленным на предотвращение потенциальных угроз.

Однако в сегодняшнем сложном мире ИТ, в котором пользователи получают доступ ко всем типам приложений (программное обеспечение как услуга, локальное, виртуальное) с любых типов устройств (мобильные, настольные, интернет-вещания) и из многих Как внутри, так и за пределами корпоративной сети, организациям нужна модель безопасности, которая была бы динамичной, гибкой и простой. Возможно, наиболее заметной из появляющихся моделей безопасности является нулевое доверие.

Нулевое доверие Джона

«Нулевое доверие» — это фраза, впервые введенная Джоном Киндервагом из Forrester в 2010 году, для описания необходимости отвести лидеров безопасности от неудачного подхода, ориентированного на периметр, и привести их к модели, которая опирается на постоянную проверку доверия на каждом устройстве, пользователя и приложение. Это достигается путем перехода от подхода «доверяй, но проверяй» к подходу «никогда не доверяй / всегда проверяй». На практике эта модель рассматривает все ресурсы как внешние и постоянно проверяет доверие перед предоставлением только необходимого доступа.

Это все имеет смысл в теории, но как выглядит реализация нулевого доверия на практике? Говоря с клиентами о шагах, которые они могут предпринять для построения архитектуры безопасности с нулевым доверием, я сосредоточусь на пяти основных столпах — доверие устройств, доверие пользователей, доверие к транспорту / сеансу, доверие приложений и доверие к данным.

схема "нулевой безопасности"

Источник изображения https://media.threatpost.com/wp-content/uploads/sites/103/2020/01/15154711/vmware-zero-trust-2.png

Давайте подробнее рассмотрим каждый из этих столпов и основополагающую технологию, необходимую для установления доверия к каждому из них.

 

Доверие к устройству.

Для нулевого доверия, как ИТ-администратору, вам необходимо знать свои устройства, прежде чем вы сможете доверять им. У вас должен быть инвентарь, в котором указано, какие устройства принадлежат вашей компании и, следовательно, находятся под ее контролем. У вас должно быть решение, которое отслеживает, управляет и контролирует эти устройства. Поняв положение устройства, вы можете определить, можно ли доверять устройству и соответствует ли оно заявленным требованим, на основе предварительно определенных политик безопасности. Решение унифицированного управления конечными точками (UEM) позволяет ИТ-командам управлять, контролировать и управлять всеми устройствами как — мобильные, настольные, защищенные и IoT — на всех платформах с единой консоли. Кроме того, интеграция технологии обнаружения и реагирования на конечные точки (EDR) может еще больше улучшить состояние безопасности устройства, дополнительно позволяя обнаруживать возможные вредоносные действия конечных точек.

Доверие пользователей.

Время от времени аутентификация пользователей на основе паролей оказывается без результативной и неэффективной. Поэтому в рамках нулевого доверия, организации должны использовать более безопасные методы аутентификации пользователей. Например, сильный механизм условного доступа может принимать решения, используя динамические и контекстные данные. Технологические строительные блоки для обеспечения мощного механизма условного доступа включают проверку подлинности без пароля (например, биометрические данные, сертификаты), многофакторную проверку подлинности (MFA), политики условного доступа и динамический анализ рисков.

Доверие транспорта / сеанса.

Другим ключевым компонентом нулевого доверия является концепция доступа с наименьшими привилегиями. Идея состоит в том, что пользователь или система должны иметь доступ только к тем ресурсам, которые конкретно необходимы для выполнения поставленной задачи. Не больше, не меньше. Используя принцип доступа к ресурсам с наименьшими привилегиями, мы ограничиваем доступ пользователей и предоставляем минимальные разрешения, необходимые для выполнения их работы. Технологические строительные блоки, помогающие реализовать доступ с наименьшими привилегиями, включают микросегментацию, транспортное шифрование и защиту сеансов. Туннель для каждого приложения, как конкретный пример, позволяет определенным приложениям получать доступ к внутренним ресурсам для каждого приложения. Это ограничение означает, что вы можете разрешить некоторым приложениям доступ к внутренним ресурсам, в то время как другие не смогут обмениваться данными с вашими внутренними системами.

Доверие к приложениям.

Предоставление сотрудникам безопасного и беспрепятственного доступа к любому приложению, включая традиционные приложения Windows, с любого устройства является ключом к созданию цифрового рабочего пространства и обеспечению нулевого доверия. Благодаря модернизации аутентификации пользователей, обеспечивающей приложениям единый вход (SSO), мы получаем как безопасность, так и улучшенный пользовательский интерфейс. Для традиционных приложений, которые не предназначены для нулевого доверия, мы добавляем защиту в форме изоляции. Чтобы изолировать и модернизировать традиционные приложения, можно использовать виртуальный рабочий стол или среду приложений для создания моста между традиционной архитектурой и будущим на основе нулевого доверия.

Доверие к данным.

В конце концов, именно данные имеют первостепенное значение, и именно поэтому нам нужн  а надежная защита. Мы должны защитить от  взлома данных и любых утечек, дабы убедиться, что это правильные, неизмененные данные, с которыми взаимодействуют наши пользователи. Такие технологии, как предотвращение потери данных (DLP), обеспечивают нежелательную фильтрацию или уничтожение конфиденциальных данных. Хотя классификация и целостность данных по большей части обрабатываются самим приложением, мы должны повышать уровень доверия везде, где можем, при создании архитектуры с нулевым доверием.

Как только доверие установлено во всех пяти столпах, могут быть приняты обоснованные решения о предоставлении или отказе в доступе. После того как решение о предоставлении доступа принято, крайне важно постоянно перепроверять. Если уровень доверия меняется, организации должны быть в состоянии немедленно действовать. Кроме того, установив доверие во всех пяти столпах, мы получаем наглядность и можем собирать аналитические данные в среде цифрового рабочего пространства. А благодаря наглядности и аналитике мы можем создавать автоматизацию и настройку.

Источник изображения: https://media.threatpost.com/wp-content/uploads/sites/103/2020/01/15154658/vmware-zerotrust.png

 

Вы можете увидеть выше, как все пять из этих столпов могут объединиться, чтобы предоставить организациям безопасности целостный основанный на платформе подход, который объединяет богатый контекст пользователей, устройств, приложений и многого другого с политиками условного доступа. Хотя есть несколько необходимых технологических блоков, достижение нулевого доверия — это нелинейное путешествие. Это путешествие, которое не является трудным и невозможным, но требует от ИТ-специалистов и специалистов по информационным технологиям разработки и развития, с тем чтобы охватить все различные векторы атак в цифровом рабочем пространстве.

Автор:Тони Куех — вице-президент по управлению продуктами для конечных пользователей, VMware.
Перевела: Анна М.