Passwordless

Що таке безпека нульової довіри? Успішне впровадження Zero Trust

Архітектура Zero Trust зазнала стрімкого зростання за останні пару років, і вона стала вибором для багатьох організацій, які шукають надійну систему безпеки. Незважаючи на популярність серед великих і малих компаній,...

·8 min read· Oleg NaumenkoWritten by Oleg Naumenko
What is Zero Trust Security? Successful Zero Trust Implementation

Zero trust security implementation

Що таке нульова довіра?

Архітектура Zero Trust зазнала стрімкого зростання за останні пару років, і вона стала вибором для багатьох організацій, які шукають надійну систему безпеки. Ця модель була вперше представлена ​​в 2010 році, але привернула широку увагу через кілька років, коли Google оголосила, що впровадила цю концепцію безпеки у свій бізнес. Незважаючи на набуття популярності серед великих і малих компаній, модель Zero Trust залишається відносно невідомою серед пересічних користувачів Інтернету. Ось чому, перш ніж ми глибше заглибимося в його модель безпеки та реалізацію цієї системи безпеки, ми повинні зрозуміти, що таке Zero Trust.

По-перше, давайте поглянемо на історію мережевої безпеки. Це навчило нас, що системи безпеки, такі як Zero Trust, забезпечують надійну безпеку незалежно від розміру компанії. Масові злами на початку цього десятиліття довели, що існуючі системи безпеки периметра застаріли та не здатні забезпечити максимальний захист як для користувачів, так і для компаній.

Отже, що таке нульова довіра? Простіше кажучи, мережева архітектура Zero Trust — це модель, яка дозволяє користувачеві ідентифікувати конкретну «захисну поверхню». Ця поверхня може містити певні аспекти найважливіших даних, додатків або послуг мережі. Це стратегія, яка усуває концепцію довіри зі структури безпеки компанії. Базуючись на принципі «завжди сумнівайтеся», Zero Trust створено таким чином, щоб захистити сучасні цифрові мережі без шкоди для взаємодії з користувачем і контролю.

Що таке модель безпеки?

Модель безпеки Zero Trust базується на трьох основних цінностях:

  • Легкий доступ до всіх пристроїв, незважаючи на їх розташування
  • Найменш привілейована стратегія «знизу вгору» та суворий контроль
  • Строгий моніторинг екосистеми

Виходячи з цих трьох основних значень безпеки Zero Trust, ми можемо сказати, що цей метод безпеки не потребує змін у існуючих заходах безпеки. Натомість він базується на звичній моделі безпеки, на якій працює більшість політик безпеки. І якщо ми дивимося на це з визначення моделі безпеки, це має досконалий сенс: «Модель безпеки — це будь-яка комп’ютерна модель, яка використовується для визначення та застосування методів безпеки. Це основа, на якій розробляється конкретна політика компанії». Хоча це визначення було створено за багато років до безпеки Zero Trust, воно все ще застосовується до цієї системи безпеки, що робить Zero Trust найуспішнішим прикладом моделі безпеки мережі на сьогодні.

Технології, що лежать в основі Zero Trust

Основна філософія безпеки Zero Trust полягає в тому, щоб припустити, що мережа вразлива для зловмисників як зсередини, так і ззовні. Відповідно до цього принцип продуктів Zero полягає в тому, що жоден користувач або пристрій не повинні автоматично довірятися. Після цього безпека Zero Trust застосовує так звану модель доступу з «найменшими привілеями». Це означає, що користувач отримує лише мінімальний рівень доступу, який йому необхідний. Цей принцип «необхідності знати» зводить до мінімуму потенційний вплив користувача на частини мережі, які містять конфіденційну інформацію. Окрім обмеження доступу для користувачів, Zero Trust робить те саме, коли справа стосується пристроїв. Модель Zero Trust має відстежувати, скільки різних пристроїв намагається отримати доступ до системи, і переконатися, що кожен пристрій авторизовано, незалежно від попередньої активності користувача.

Іншим важливим аспектом нульової довіри є багатофакторна автентифікація. Ми торкнулися цієї теми кілька тижнів тому, коли говорили про всі переваги MFA для своїх користувачів. Підсумовуючи це кількома короткими реченнями, MFA вимагає від користувача вводити кілька елементів ідентифікації під час входу в мережу.Найпопулярнішими прикладами цього є такі платформи, як Google і Facebook, які вимагають від користувача ввести пароль і код, надіслані на інший пристрій, зазвичай на певний номер мобільного телефону

Спосіб роботи Zero Trust означає, що він не залежить від конкретного місця. Він має позитивні і негативні сторони. Позитивні сторони полягають у тому, що користувачі можуть отримати доступ до даних з будь-якого місця: на роботі, вдома, в кафе чи навіть за кордоном, якщо вони підтвердять свою особу під час входу в систему. Негативний аспект цього лягає на компанію, і він полягає в тому, що що метод нульової довіри має бути поширений на все мережеве середовище компанії. Усе це також означає, що робочі навантаження дуже динамічні та можуть переміщуватися між кількома центрами обробки даних, незалежно від того, чи є вони публічними, приватними чи гібридними.

Чи справді компанії з нульовою довірою нікому не довіряють?

Хоча безпека Zero Trust виявилася дуже успішною моделлю захисту мережі, багато експертів із безпеки припускають, що вона може працювати дещо іншим способом. Замість того, щоб відхиляти всі сайти, експерти пропонують додати Zero Trust до білого списку надійних і відомих веб-сайтів. Однак наразі малоймовірно, що це станеться, в основному через дві причини – створення такої системи не зменшить навантаження на компанію суттєво. Крім того, це підвищить потенційний ризик проникнення через законні сайти, оскільки зловмисна реклама чи зловмисне програмне забезпечення можуть заразити навіть перевірені сайти.

Правда полягає в тому, що обмеження доступу до користувачів і пристроїв іноді створює перешкоди для користувачів, а також вимагає додаткової роботи та ресурсів від компанії, яка впроваджує таку систему. З одного боку, користувачі повинні постійно запитувати доступ, а з іншого боку, ІТ-персонал компанії повинен переключити свою увагу з інших важливих питань мережі, щоб відстежувати та досліджувати запити користувачів. Але як би там не було, веб-сайти, які прагнуть максимальної безпеки мережі, не повинні довіряти жодному веб-сайту чи користувачеві. Немає способу підтримувати 100% ефективну систему безпеки, але впровадження такої системи є найближчим до її наявності.

 

Нульова довіра до Інтернету

Як ми зазначали на початку цієї сторінки, Google була першою великою компанією, яка запровадила перевірку Zero Trust. Це значно допомогло Zero Trust отримати популярність в онлайн-світі. Оскільки Google здебільшого покладається на свою хмарну технологію, потенційна ймовірність злому продовжує зростати, оскільки кількість співробітників Google продовжує зростати протягом багатьох років. Google запровадив систему Zero Trust із чотирма окремими рівнями – ненадійним, базовим доступом, привілейованим доступом і високопривілейованим доступом. Залежно від того, який рівень доступу має пристрій або користувач, Google надає відповідну кількість доступної інформації.

Інші компанії, які використовують нульову довіру

Після Google багато інших великих компаній почали впроваджувати цей захід безпеки. З-поміж багатьох великих імен, які використовують безпеку Zero Trust у своїх мережах, ми візьмемо дві дуже різні, але впливові компанії у своїй галузі – Siemens і Kayak. Почнемо з останнього. Kayak є провідною в галузі пошуковою системою подорожей, щороку містить кілька мільярдів пошукових запитів, пов’язаних із подорожами. Структура компанії зі співробітниками по всьому світу також сприяє ризику хакерських атак та інших зловмисних дій. Завдяки цьому Kayak використовує систему безпеки Zero Trust, яка обмежує потенційні ризики безпеці як для їхніх співробітників, так і для відвідувачів.

З іншого боку, Siemens не працює в тому ж бізнесі, що й Kayak. Digitalization Network компанії є одним із найбільших виробників цифрових додатків. З огляду на це, досвід користувача, надійність і безпека їхньої платформи є одними з найважливіших аспектів їхніх продуктів.Зважаючи на величезний масштаб їхнього бізнесу, Zero Trust був найкращим варіантом для Siemens, оскільки він дозволяв їм робити саме те, про що ми згадували раніше в статті Компанія збільшила масштаби та розділила свій хмарний бізнес на кілька систем безпеки моделі, що забезпечують максимальний захист даних, які цього потребують.

Hideez також використовує підхід Zero Trust у наших продуктах. Якщо ви хочете дізнатися більше, як ми можемо зробити ваш бізнес більш безпечним.

Реалізація нульової довіри

З усією інформацією, що оточує архітектуру Zero Trust, ця модель безпеки може виглядати приголомшливою та дуже важкою для впровадження. Але, це зовсім не так. Оскільки Zero Trust не вимагає жодних спеціальних продуктів для роботи, його не так складно та дорого розгорнути. Він вбудований у вашу існуючу архітектуру безпеки, і вам не потрібно замінювати існуючі пристрої новими високотехнологічними продуктами. Ось швидкий п’ятиетапний процес впровадження безпеки Zero Trust:

  1. Визначте поверхню, яку ви хочете захистити
  2. Відобразити мережевий потік
  3. Створіть модель нульової довіри
  4. Створіть політику безпеки Zero Trust
  5. Моніторинг і підтримка середовища

Успішно реалізована модель безпеки Zero Trust може допомогти вам ефективніше ідентифікувати дані, користувачів, потоки інформації та потенційні ризики. Додавання інших методів безпеки, таких як двофакторна автентифікація, на нанесених на карту поверхнях додатково захищає вашу мережу та дозволяє ще точніше перевіряти інформацію.

Для правильного визначення всіх необхідних кроків потрібно багато працювати. По-перше, вам потрібно визначити поверхню, що само по собі є складним завданням. Після цього ви повинні спостерігати та розуміти, як користувачі використовують вашу мережу та послуги. Це важливий крок у визначенні вашої політики нульової довіри. Після того, як ви пройдете всі ці кроки, єдине, що залишиться, це контролювати та контролювати поверхню в режимі реального часу. Зробивши це, ви зможете перевірити функції та механізми, які потребують доопрацювання, і покращити свою політику, коли ви продовжите роботу.

Реалізація мікросегментації

Поки ми розглядаємо тему впровадження Zero Trust, ще один аспект, на який варто звернути увагу, – це мікросегментація. Це безпечний метод створення спеціальних зон безпеки в дата-центрах. Впроваджуючи мікросегментацію, компанії можуть ізолювати конкретні робочі навантаження та захищати їх окремо. Основна мета полягає в тому, щоб зробити безпеку мережі більш детальною та захистити різні частини розгорнутих даних окремо.

Звичайно, як і будь-яка інша модель безпеки, мікросегментація має свої переваги та недоліки. Основна перевага мікросегментації полягає в тому, що вона дозволяє компаніям зменшити загальну поверхню загроз. Це означає, що навіть якщо один центр обробки даних буде зламано, ризик злому інших робочих навантажень або програм значно зменшиться. Ще однією очевидною перевагою мікросегментації є операційна ефективність, яку вона забезпечує. Коли все чітко розподілено, співробітники компанії можуть набагато ефективніше контролювати, отримувати доступ і контролювати всі наявні дані та системи безпеки.

З іншого боку, найбільшим недоліком такої системи є сама консолідація. Компанії, які роками працювали без консолідації своїх даних у певних сегментах, матимуть багато роботи, коли вирішать запровадити мікросегментацію. З огляду на це, мікросегментація разом із безпекою Zero Trust може значно допомогти у захисті бізнесу та допомогти мінімізувати потенційну загрозу для даних компанії.