Джонатан Нгуен-Дуй, вице-президент Global Field CISO Team компании Fortinet, обсуждает на портале eWeek пять моментов, о которых необходимо знать организациям для эффективного внедрения концепции «нулевого доверия» (Zero Trust) для организации доступа в своих сетях.
Концепция Zero Trust была предложена более десяти лет назад на том основании, что традиционные модели безопасности периметра не могут обеспечить адекватную защиту, поскольку идея о доверенной внутренней сети и недоверенной внешней сети по своей сути несовершенна. Решение заключается в изменении модели доверия, чтобы ни один пользователь не пользовался доверием автоматически.
Сегодня доступ с нулевым доверием (Zero Trust Access, ZTA) стал модным в отрасли словечком, и свои решения ZTA предлагают многие поставщики. Но хотя этот термин, казалось бы, звучит повсюду, внедрение ZTA продолжает отставать. Причиной во многом является то, что до сих пор существует много путаницы и неясности относительно ZTA — что это на самом деле означает и как с этим начать работу?
Ниже представлены пять моментов, о которых необходимо знать организациям для эффективного внедрения ZTA в своих сетях.
1. ZTA отменяет полное доверие
ZTA означает знание и контроль над тем, кто и что находятся в вашей сети. CISO могут снизить риск, исходящий от сотрудников, и более эффективно управлять сетью организации, отказавшись от системы, которая работает на основе полного доверия.
Ограничение доступа пользователей к сети, а также широкая аутентификация личности позволяют устранить точки уязвимости, чтобы только легитимные пользователи имели доступ к данным и системам, имеющим отношение к их должности — по сути, повсеместный доступ по необходимости.
2. ZTA — это не то же самое, что ZTNA
ZTA учитывает не только тех, кто находится в сети, но и то, что находится в сети. Среди растущего количества подключенные к сети устройств могут быть IoT-устройства — от принтеров до устройств отопления и вентиляции и систем доступа к дверям. Эти «безголовые» («headless») устройства не имеют имени и пароля для идентификации себя и своей роли. Для их обнаружения и контроля можно использовать решения контроля сетевого доступа (NAC). Используя политики NAC, к этим IoT-устройствам можно применить принципы нулевого доверия с наименьшим доступом, предоставляя сетевой доступ, достаточный для выполнения их роли, но не более того.
Zero Trust Network Access (ZTNA) — это элемент ZTA, который контролирует доступ к приложениям независимо от того, где находится пользователь или приложение. Пользователь может находиться в корпоративной сети, работать дома или в другом месте. Приложение может находиться в корпоративном дата-центре, в частном облаке или в общедоступном Интернете. ZTNA расширяет модель Zero Trust за пределы сети и уменьшает площадь атаки, скрывая приложения от Интернета.
3. NAC является отправной точкой для ZTA
Чтобы начать работу с ZTA, необходимо провести инвентаризацию всех устройств в сети. Решение NAC точно обнаруживает и идентифицирует каждое устройство в сети или ищущее доступ к ней, сканирует его, чтобы убедиться, что оно еще не скомпрометировано, и профилирует его, чтобы определить его роль и функции.
NAC регистрирует все, начиная с телефонов и ноутбуков конечных пользователей и заканчивая сетевыми серверами, принтерами и «безголовыми» IoT-устройствами, такими как контроллеры HVAC или считыватели пропусков безопасности.
4. Микросегментация — ключевой момент
После того как вы узнаете, что находится в сети, вы можете использовать динамическую микросегментацию NAC для назначения каждому устройству соответствующей зоны сети. Определение правильной зоны основывается на ряде факторов, включая тип устройства, его функция и назначение в сети.
NAC также может поддерживать сегментацию на основе намерений, которая обеспечивается платформами межсетевых экранов нового поколения для интеллектуального сегментирования устройств. Сегментация может быть основана на конкретных бизнес-целях, например, на соответствии нормативным требованиям (комплаенс), таким как законы о конфиденциальности типа GDPR или защита транзакций PCI-DSS. Благодаря сегментации, основанной на намерениях, устройства помечаются комплаенс-метками, которые применяются независимо от их местоположения в сети, что помогает сократить время и затраты на обеспечения комплаенса.
5. ZTA нуждается в ПО для конечных точек
Чтобы решить проблему доступа устройств вне сети к клиентским и облачным решениям, необходимо ПО, работающее на конечной точке. Оно должно обеспечивать непрерывную защиту и поведенческое обнаружение на конечной точке для предотвращения компрометации устройства, независимо от того, находится ли его пользователь в сети или вне ее.
Такое ПО также обеспечивает безопасный удаленный доступ к сетевым ресурсам с помощью VPN-соединений, сканирования трафика, фильтрации URL-адресов и «песочницы». Обмен информацией о статусе безопасности конечной точки является частью процесса аутентификации и авторизации, который включает телеметрию ОС устройства и приложений, известных уязвимостей и патчей, а также статуса безопасности для уточнения правил доступа, применяемых к устройству.
ZTA — это не просто модно, это критически важно
В наше время удаленной работы и многочисленных устройств сотрудников ZTA стал важнейшим аспектом кибербезопасности. У организаций есть возможность перейти на систему доступа с нулевым доверием, которая идентифицирует, сегментирует и постоянно контролирует все устройства. ZTA помогает обеспечить безопасность внутренних ресурсов, а также сохранность данных, приложений и интеллектуальной собственности.
Помимо упрощения общего управления сетью и безопасностью, применение подхода Zero Trust также повышает видимость и контроль в организации, включая устройства, находящиеся вне сети. ZTA должен быть основополагающим элементом любой эффективной стратегии безопасности. При правильном внедрении он позволяет только нужным лицам или структурам иметь немедленный доступ к ресурсам, необходимым для выполнения их работы, устраняя при этом риски и простои, которые могут возникнуть в результате несанкционированного доступа.
