contact us

Пояснення принципів нульової довіри
Коли йдеться про мережі, немає такого поняття як довіра. Тектонічний зсув від локальної ІТ-інфраструктури до хмарних середовищ змінив протоколи безпеки. Оскільки на хмарній платформі практично все віртуально, сувора перевірка всього і всіх тепер дуже важлива.

Learning Center

Пояснення принципів нульової довіри

Модель Zero Trust не звучить образливо у ІТ-ландшафті. Зараз це найважливіший принцип мережевої безпеки, враховуючи, що віддалена робота стала новою нормою, а споживачі віддають перевагу платформам електронної комерції. Зросла і залежність від онлайн-транзакцій, а кіберзлочинність зараз у чотири рази вища, ніж до пандемії.

Тут ми розглянемо, як працює модель нульової довіри та як вона може захистити одну ІТ-мережу.

Що таке безпека з нульовою довірою?

Модель ІТ-безпеки передбачає строгу перевірку особи кожного користувача та пристрою, який намагається отримати доступ до приватної мережі, незалежно від того, чи вони знаходяться в периметрі мережі або за її межами.

Мережевий доступ із нульовою довірою (ZTNA) – це провідна технологія, що лежить в основі архітектури Zero Trust.

Безпека Zero Trust – це цілісний підхід до мережі за допомогою різних технік та принципів. Вона протилежна традиційній ІТ-мережі, яка довіряє всім усередині мережі. Система нульової довіри не довіряє нікому.

Традиційна ІТ-мережа працює за концепцією "замок та рів". Захист замку і рову не дозволяє отримати доступ ззовні мережі, але за замовчуванням довіряє всім, хто знаходиться всередині. Недоліком такого підходу є те, що зловмисник отримує доступ до мережі. Атакуючий отримує свободу дій та доступ до всього всередині мережі.

Вразливість системи безпеки "замок і рови" полягає в тому, що нині дані організацій не зберігаються в одному місці, а розкидані по різних постачальниках хмарних обчислень. Отже, ще складніше забезпечити єдиний контроль за безпекою всієї мережі.

Коли за замовчуванням нікому не довіряють ні всередині, ні за межами мережі, перевірка стає необхідною для всіх, хто намагається отримати доступ до мережевих ресурсів. Саме тут наголошується на важливості безпеки з нульовим рівнем довіри. Додатковий рівень безпеки запобігає будь-яким спробам витоку даних. Згідно зі статистикою, середня вартість одного витоку даних становить понад 3 мільйони доларів. Не дивно, що організації поступово обирають політику Zero Trust Security, враховуючи величезні суми, які спричиняє атака.

Принцип, що лежить у основі Zero Trust Security

Постійний моніторинг та перевірка

Філософія політики нульової довіри – не довіряти нікому – передбачає, що зловмисники можуть бути як усередині мережі, так і поза її межами. Таким чином, жодному пристрою або користувачам не можна довіряти – перевірка особи користувача та його привілеїв, а також особи пристрою для забезпечення безпеки. Логіни та з'єднання періодично виконуються за таймером. Вони встановлюються після того, як користувачі та пристрої відновлюють свої облікові дані.

Найменші привілеї

Доступ із найменшими привілеями – ще один принцип безпеки з нульовою довірою. Він дозволяє користувачам отримувати доступ тільки до того обсягу даних, який їм дозволяє їхня службова роль, і мінімізує їх доступ до конфіденційних даних у мережі.

Реалізація принципу найменших привілеїв для користувачів передбачає обережне надання дозволів. Для цього принципу VPN не підходить, оскільки видача дозволу людині, що входить до VPN, дозволяє отримати доступ до всієї підключеної мережі.

Контроль доступу до пристроїв

Крім контролю доступу користувачів, Zero Trust також здійснює суворий контроль доступу пристроїв. Системи Zero Trust відстежують різні пристрої, які намагаються отримати доступ до мережі, і стежать за тим, щоб кожен пристрій авторизувався. Крім того, система оцінює всі пристрої, щоб переконатися, що вони не скомпрометовані. Це знижує можливість атаки на мережу.

Мікросегментація

Мікросегментація – це процес, у якому периметр безпеки поділяється на невеликі зони для підтримки роздільного доступу для різних частин мережі та розподілу ризику безпеки. У мережі є файли, що живуть в одному центрі обробки даних, який використовує техніку мікросегментації із десятками окремих безпечних зон. Користувач, який має доступ до однієї з таких зон, не зможе отримати доступ до інших зон без додаткової авторизації.

Запобігає боковому переміщенню

Боковим переміщенням у мережі вважається, коли зловмисник переміщається всередину мережі після отримання доступу до неї. Навіть якщо точку входу в мережу виявлено, виявити будь-який бічний рух стає складно. Проблема у тому, що зловмисник переміщається у різні частини мережі, цим компрометуючи їх.

Zero Trust розроблена таким чином, що вона може стримувати зловмисників та запобігати їхньому боковому переміщенню. Сегментація доступу Zero Trust та періодична перевірка гарантує, що зловмисник не зможе перейти до інших мікросегментів мережі.

Якщо виявлено порушення безпеки або аномалії, скомпрометований пристрій або обліковий запис користувача поміщаються в карантин і позбавляються подальшого доступу. Це різко контрастує з моделлю "замок та фортеця". Тут бічне переміщення дозволяє зловмиснику не торкнутися карантину початково скомпрометованого пристрою, оскільки воно вже могло потрапити в інші частини мережі.

Багатофакторна автентифікація (MFA)

MFA є головною цінністю безпеки Zero Trust. Вимога більше одного підтвердження для аутентифікації користувача, наприклад, пароля, недостатньо для отримання доступу. Широко поширеним застосуванням багатофакторної автентифікації є 2FA або двофакторна авторизація, що використовується на онлайн-платформах. Крім введення пароля, користувачі, які вибрали 2FA для цих послуг, повинні також ввести одноразовий код, відправлений на інший пристрій, наприклад, мобільний телефон, для подвійного підтвердження того, що вони є одним і тим самим користувачем.

Встановлення системи безпеки Zero Trust

Zero Trust може здатися складною, але використання цієї моделі безпеки є простим за наявності правильного технологічного партнера, який може використовувати платформу SASE, що поєднує мережеві послуги із вбудованою системою безпеки Zero Trust для доступу користувачів та пристроїв.

Висновок

Безпека Zero Trust була відкрита у 2010 році аналітиком компанії Forrester Research Inc. Концепція була представлена ​​і пізніше компанія Google впровадила систему безпеки Zero Trust у свою мережу. Це призвело до підвищення обізнаності та інтересу серед технологічної спільноти. У 2019 році безпека Zero Trust була включена до списку основних компонентів рішень SASE.