W ostatnich latach popularność wśród firm zyskuje model Zero Trust. Według danych z 2019 roku 78% zespołów odpowiedzialnych za bezpieczeństwo informacji zaimplementowało ten model lub przynajmniej planuje taki ruch. Czym jest koncepcja Zero Trust i dlaczego jest ona atrakcyjna dla firm?
Brak granic
Ochrona obwodowa to powszechny termin w zabezpieczaniu infrastruktury firmy. Opisuje on przeprowadzanie dokładnych kontroli wszystkich prób łączenia się z zasobami firmy spoza jej infrastruktury. Zasadniczo jest ono granicą między siecią firmową a resztą świata. Wewnątrz obwodu — czyli w sieci firmowej — znajduje się strefa zaufania, w której użytkownicy, urządzenia i aplikacje mają swobodę działania.
Ochrona obwodowa działała, dopóki strefa zaufana ograniczała się do dostępu do sieci lokalnej i podłączonych do niej urządzeń stacjonarnych. Jednak koncepcja „obwodu” rozmyła się wraz ze zwiększeniem się liczby urządzeń mobilnych i usług w chmurze używanych przez pracowników. Dziś przynajmniej część zasobów firmowych znajduje się poza biurem lub nawet za granicą. Próba ukrycia ich za nawet najwyższymi murami jest co najmniej niepraktyczna. W efekcie przedostanie się do strefy zaufanej i swobodne poruszanie się stało się znacznie łatwiejsze.
W 2010 roku John Kindervag, główny analityk ds. badań w firmie Forrester, zaprezentował alternatywę dla ochrony obwodowej — koncepcję Zero Trust. Zaproponował on porzucenie idei podziału na obwód wewnętrzny i świat zewnętrzny na rzecz skupienia się na zasobach. Podejście Zero Trust to w zasadzie brak jakichkolwiek stref zaufania. W modelu tym użytkownicy, urządzenia i aplikacje są poddawane kontroli za każdym razem, gdy żądają dostępu do zasobów firmowych.
Model Zero Trust w praktyce
Nie istnieje ustalony schemat wdrażania systemu bezpieczeństwa opartego na podejściu Zero Trust. Możemy wskazać jednak kilka najważniejszych zasad, które mogą pomóc w zbudowaniu podobnego systemu.
Ochrona powierzchni, a nie powierzchni ataków
Koncepcja Zero Trust zwykle polega na „ochronie powierzchni”, czyli wszystkiego, co organizacja musi chronić przed dostępem nieautoryzowanym, np. poufne dane czy komponenty infrastruktury. Ochrona powierzchni jest znacznie mniejsza niż w przypadku powierzchni ataków, która obejmuje wszystkie podatne na ataki aktywa infrastruktury czy procesy. W ten sposób łatwiej jest zapewnić chronionej infrastrukturze większą ochronę niż zmniejszyć powierzchnię narażoną na ataki do zera.
Mikrosegmentacja
W przeciwieństwie do klasycznego podejścia, które polega na zapewnieniu zewnętrznej ochrony obwodowej, model Zero Trust dzieli firmową infrastrukturę i inne zasoby na mniejsze węzły, które mogą składać się nawet z jednego urządzenia lub aplikacji. W efekcie powstaje wiele mikroskopijnych obwodów, a każdy z nich stosuje własne polityki bezpieczeństwa i uprawnienia dostępowe, co umożliwia elastyczne zarządzanie dostępem i blokowanie rozprzestrzeniania się zagrożenia w sieci.
Zasada najmniejszego uprzywilejowania
Każde mu użytkownikowi nadaje się tylko jedno uprawnienie wymagane do realizacji jego obowiązków. W ten sposób w przypadku zhakowania konta indywidualnego użytkownika udostępniona zostanie jedynie część infrastruktury.
Autoryzacja
Doktryna Zero Trust określa, że wszelkie próby uzyskania dostępu do informacji firmowych należy traktować jako potencjalne zagrożenie, chyba że potrzeba taka zostanie udowodniona. Zatem dla każdej sesji, każdego użytkownika, urządzenia i aplikacji konieczne jest przejście procedury autoryzacji i udowodnienie uprawnień do uzyskania dostępu do danych.
Kontrola totalna
Aby implementacja Zero Trust była skuteczna, zespół ds. IT musi mieć możliwość kontroli każdego firmowego urządzenia i aplikacji. Bardzo duże znaczenie ma także rejestrowanie i analizowanie informacji o każdym zdarzeniu na punktach końcowych i w innych komponentach infrastruktury.
Korzyści, jakie niesie ze sobą podejście Zero Trust
Oprócz wyeliminowania konieczności ochrony obwodu, który coraz bardziej rozmywa się w miarę rozwoju mobilności w firmie, koncepcja Zero Trust rozwiązuje też kilka innych problemów. Z uwagi na to, że każdy inicjator procesu jest sprawdzany na nowo, firmy mogą łatwiej dostosowywać się do zmian, na przykład poprzez cofnięcie pracownikowi odchodzącemu z firmy uprawnień dostępowych lub dostosowanie uprawnień w przypadku osób, których zakres obowiązków uległ zmianie.
Wyzwania związane z implementacją Zero Trust
Dla niektórych organizacji przejście na model Zero Trust może okazać się długie i burzliwe. Jeśli pracownicy używają do pracy zarówno sprzętu biurowego, jak i urządzeń osobistych, cały sprzęt musi zostać spisany; na urządzeniach potrzebnych do pracy należy wdrożyć polityki firmowe; w niektórych przypadkach należy zablokować dostęp do zasobów firmowych. W przypadku dużych firm, posiadających oddziały w wielu miastach i krajach, proces ten może zająć nieco więcej czasu.
Nie wszystkie systemy są w takim samym stopniu przygotowane na przestawienie się na model na Zero Trust. Na przykład jeśli w Twojej firmie infrastruktura jest złożona, mogą znajdować się w niej przestarzałe urządzenia lub oprogramowanie, które nie obsługuje bieżących standardów bezpieczeństwa. Zastąpienie tych systemów będzie wymagać poświęcenia czasu i pieniędzy.
Pracownicy, w tym członkowie zespołu ds. IT i bezpieczeństwa informacji, mogą nie być gotowi na tę zmianę architektury. W końcu to oni będą odpowiedzialni za kontrolę dostępu i zarządzanie infrastrukturą.
Oznacza to, że w wielu przypadkach firmy mogą potrzebować planu stopniowego przechodzenia na system Zero Trust. Na przykład firma Google potrzebowała kilku lat na zbudowanie architektury BeyondCorp opartej na takim podejściu. W przypadku organizacji, które mają mniej oddziałów, czas implementacji może być znacznie krótszy, ale nie należy oczekiwać, że potrwa on kilka tygodni — czy nawet miesięcy.
Zero Trust, ochrona przyszłości
Przejście z tradycyjnej ochrony obwodowej na ochronę powierzchni w architekturze Zero Trust, nawet przy założeniu wykorzystania dostępnej technologii, może być trudne i żmudne, zarówno pod kątem technicznym, jak i mentalnym (zwłaszcza zmiana nastawienia pracowników). Jednak proces taki zapewnia firmie korzyści w postaci niższych wydatków na bezpieczeństwo informacji, a także zmniejszenie liczby incydentów i powiązanych z nimi szkód.