en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Zero Trust Architecture: A brief Introduction

Zero Trust Architecture (ZTA) har laget mye støy i cybersikkerhetsverdenen, hovedsakelig på grunn av en nylig utøvende rekkefølge utstedt av USAs president Joseph Biden. I denne rekkefølgen er Zero Trust Architecture nevnt som en av de beste metodene for å modernisere føderal regjerings cybersikkerhet.

Core Zero Trust logiske komponenter
Core Zero Trust logiske komponenter. Kilde: NIST spesialpublikasjon 800-207 (Zero Trust Architecture)

Hva er Zero Trust Architecture?

Så hva er "Zero Trust Architecture" eller ZTA? Kort sagt, det er en metode for å designe cybersikkerhetsinfrastrukturen til en organisasjons nettverk basert på sikkerhetsmodellen Zero Trust. I sin kjerne jobber Zero Trust ut fra prinsippet om at det ikke er gitt noen implisitt tillit til noen del av et nettverk. Eller i lekmannsbetingelser, bør en organisasjon ikke stole på noen forespørsel uten verifisering, uavhengig av om forespørselen kommer fra innsiden eller utenfor dens omkrets. Zero Trust-modellen ble utviklet i et forsøk på å redusere den potensielle trusselen om angrep på et nettverk og øke sikkerhetsstillingen.

Nettverkssikkerhet generelt handler om tilgang. Å få tilgang til en ressurs krever at enhver bruker skal bevise sin identitet ved å vise legitimasjon, og dermed få tillit til nettverket. Den tradisjonelle "borg og vollgrav" -tilnærmingen til sikkerhet er avhengig av å sette opp perimeterforsvar der disse legitimasjonene blir sjekket og en gang validert, gis tilgang. Imidlertid skaper denne praksisen potensielle sikkerhetstrusler. For eksempel kan et enkelt kompromisspunkt, for eksempel en server med utdatert, eldre programvare, være en bakdør for hele nettverket. Som beskrevet i SSL.coms nylige innlegg, Forebygge Ransomware-angrep med digitale sertifikater, dette er ganske nøyaktig hva som skjedde i det nylige Darkside-angrepet på Colonial Pipeline:

Administrerende direktør i selskapet har avslørt at [angrepet] skjedde på grunn av et tilsyn. Han fortalte en senatskomité at hackere fikk tilgang gjennom et gammelt virtuelt privat nettverk som selskapet mente var ute av kommisjon. EN CNN artikkel fra 4. juni 2021 avslører at et enkelt kompromittert passord var alt som var nødvendig for å få tilgang til dette nettverket.

Når en ondsinnet skuespiller har trengt inn i perimeterforsvaret, er de fri til å bevege seg inne i nettverket, uansett hva de vil. Videre har godkjenning av legitimasjon bare ved nettverkets omkrets liten eller ingen effekt på interne angrep fra ondsinnede brukere eller kompromittert utstyr fra legitime brukere.

I Zero Trust-modellen bør hver nettverksforespørsel behandles som om nettverket allerede er kompromittert, og til og med enkle forespørsler bør betraktes som en potensiell trussel. Multifaktorautentisering og autorisasjon kreves før en sesjonsstart eller tilgang er gitt. Videre, når en autentisert bruker ber om tilgang til en ny ressurs, må legitimasjonen deres sjekkes på nytt. Denne tilnærmingen bidrar til å begrense sidebevegelse når en trussel er inne i nettverket, og hjelper til rask oppdagelse, identifikasjon og nøytralisering av trusler, enten de kommer fra utsiden eller inne i nettverket.

Dette skiftet i forsvarsstrategi er et svar på moderne trender for nettverksdesign og sikkerhetskrav som inkluderer eksterne brukere, ta med din egen enhet (BYOD) og skybaserte tjenester og enheter, for eksempel Internet of Things (IOT). Alle disse ressursene ligger innenfor grensene til et nettverk, så det er ikke lenger effektivt å sette et perimeterforsvar. Nylige ransomware-angrep fremheve behovet for å revurdere sikkerhetsarkitekturen til de fleste organisasjoner.

Mange av konseptene er ikke nye: for eksempel var tillit som et beregningskonsept først myntet i 1994. Opprinnelig fikk den ikke bred oppmerksomhet - hovedsakelig på grunn av at nettverk og sikkerhet var i en relativt primitiv tilstand på den tiden sammenlignet med i dag. Etter hvert som teknologien utviklet seg og datanettverk ble eksponensielt mer komplisert, viste det seg å være en stadig mer utfordrende oppgave å definere omkretsene til organisasjonens IT-systemer. Dette førte til alternative sikkerhetsmodeller, som Zero Trust, som fikk grep og popularitet i bransjen.

NISTs Zero Trust Roadmap

Fra slutten av 2018 gjennomførte National Institute of Standards and Technology (NIST) sammen med National Cyber ​​Security Center of Excellence (NCCoE) arbeid som førte til NIST Spesialpublikasjon 800-207, Zero Trust-arkitektur. Denne publikasjonen gir en abstrakt definisjon av ZTA, sammen med en veikart for å designe systemer basert på prinsippene til Zero Trust:

  1. Alle datakilder og databehandlingstjenester regnes som ressurser.
  2. All kommunikasjon er sikret uansett nettverksplassering.
  3. Tilgang til individuelle organisasjonsressurser gis per økt.
  4. Tilgang til ressurser bestemmes av dynamisk policy - inkludert den observerbare tilstanden til klientidentitet, applikasjon / tjeneste og den anmodende eiendelen - og kan omfatte andre atferdsmessige og miljømessige egenskaper.
  5. Organisasjonen overvåker og måler integriteten og sikkerhetsstillingen til alle eide og tilknyttede eiendeler.
  6. All ressursgodkjenning og autorisasjon er dynamisk og håndheves strengt før tilgang er tillatt.
  7. Organisasjonen samler så mye informasjon som mulig om den nåværende tilstanden til eiendeler, nettverksinfrastruktur og kommunikasjon og bruker den til å forbedre sikkerhetsstillingen.

Disse prinsippene forsøker å være teknologiske agnostikere og tar sikte på å forbedre en organisasjons sikkerhetsstilling. I et ideelt scenario blir alle disse prinsippene tatt i betraktning når vi utformer sikkerheten til et system. Forretningsbehovene varierer imidlertid mellom organisasjoner, og den nøyaktige implementeringen av Zero Trust Architecture bør oppfylle disse kravene. Modellutformingen skal tilpasses verdiene til organisasjonens ressurser så vel som risikovilligheten.

Det overordnede målet er å forhindre uautorisert tilgang til data og tjenester, kombinert med å gjøre adgangskontrollhåndhevelse så detaljert som mulig, mens du holder overhead på et minimum. Det er flere måter å oppnå dette på, men i utgangspunktet er Zero Trust Architecture avhengig av grundige og omfattende autorisasjons- og autentiseringsmekanismer, strategisk plassert ved viktige sikkerhetsgrenser i hele systemet. På denne måten gis tilgang bare til de ressursene som er helt nødvendige for at oppgaven skal utføres, og bare til brukere med legitim myndighet til å utføre dem. Videre blir ethvert avvik fra normal oppførsel tatt i betraktning når du gir tilgang. For eksempel kan tilgang på ressurser utenfor arbeidstid betraktes som en potensiell grunn til å nekte tilgang, avhengig av organisasjonens modus operandi.

Flytter mot null tillitsarkitektur

Total transformasjon av organisasjonens IT-systemer for å implementere Zero Trust Architecture er en komplisert prosess. I stedet bør organisasjoner bestrebe seg på kontinuerlig forbedring av sikkerhetsstillingen i små enkle trinn. Videre er det generelt dyrere å migrere eksisterende tjenester til den nye arkitekturen enn å designe nye tjenester fra bunnen av. Som sådan kan en god strategi være å implementere nye tjenester, spesielt skybaserte, i samsvar med prinsippene til Zero Trust (f.eks. Bruk alltid sterke autentiseringsmetoder, som f.eks. gjensidig TLS.)

Zero Trust er en datasentrisk tilnærming, i den forstand at den fokuserer på å beskytte nettets eiendeler i stedet for segmenter av nettverket selv. En kritisk faktor for implementeringen av ZTA bør være å identifisere ressursene som krever beskyttelse og den beste metoden for å beskytte dem. Data må beskyttes når de er i ro og under transport, og dermed gjør kryptering, spesielt ved bruk PKI, en hjørnestein i implementeringen av ZTA. Å samle inn data om effektiviteten til håndhevede retningslinjer og brukeratferd er også avgjørende for å skape et dynamisk system som er i stand til å tilpasse seg det stadig skiftende miljøet som er cybersikkerhet.

konklusjonen

Zero Trust Architecture er en moderne tilnærming til cybersikkerhet - et svar på de nyeste trendene og behovene i IT-økosystemet slik det i økende grad er definert av skybaserte tjenester. Selv om implementeringen av ZTA ikke vil skje over natten, er det verktøy og løsninger tilgjengelig for øyeblikket som kan hjelpe med overgangen. Organisasjoner som ønsker å forbedre sin generelle sikkerhetsstilling, kan dra nytte av eksisterende teknologi og designmønstre for å revurdere sikkerhetsmodellen og gå mot de nyeste bransjens beste praksis, for eksempel ZTA.

SSL.com kan hjelpe bedrifter og andre organisasjoner med å implementere Zero Trust Architecture gjennom PKI-basert autentisering og kryptering.

  • For mer informasjon om bruk av digitale sertifikater som en sikker, motstandsdyktig motstandsdyktig autentiseringsfaktor for brukere og enheter, vennligst les Autentisering av brukere og IoT-enheter med gjensidig TLS.
  • Hosted PKI og spesialutstedte CA-er fra SSL.com tilbyr bedrifter muligheten til å utstede og administrere offentlige eller privat pålitelige digitale sertifikater uten å investere i PKI infrastruktur og ekspertbemanning. Våre anlegg og prosesser gjennomgår årlige eksterne eksterne revisjoner for å opprettholde våre WebTrust-sertifiseringer og din sjelefred. For mer informasjon, vennligst les Vert Enterprise PKI og Underordnede CAer og hvorfor du kanskje trenger en.
  • For å snakke direkte med en SSL.com-representant om hvordan vi kan hjelpe organisasjonen din med å bevege seg mot Zero Trust, vennligst send en e-post Sales@SSL.com eller send kontaktskjemaet for Enterprise Sales nedenfor.

Kontakt SSL.com Enterprise Sales

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com