Удаленная работа во время пандемии коронавируса приобрела массовый характер, и вместе с этим участились хакерские атаки. Как от них защититься? Лучшая форма безопасности — концепция нулевого доверия (Zero Trust), привязанная к идентификации пользователя, а не к системным ресурсам, потому что обеспечивает большую видимость, выполняя анализ рисков при каждой попытке доступа к ресурсу, а не на уровне сегмента сети, пишет на портале eWeek технический директор и соучредитель Silverfort Ярон Касснер.
ИБ-специалисты часто рассматривают модель Zero Trust как панацею почти от всех типов проблем. По данным Okta, количество организаций, использующих инициативы Zero Trust, увеличилось более чем в три раза — с 16% три года назад до 60% в
Более совершенная форма безопасности предполагает связать ту же концепцию Zero Trust — никогда не доверять тому, за кого себя выдает пользователь — с личностью пользователя, а не с системными ресурсами. Давайте рассмотрим этот вопрос подробнее.
Модель Zero Trust
Модель Zero Trust обычно реализуется на сетевом уровне, чтобы предотвратить использование хакером взломанной учетной записи для перемещения в среде или распространения вредоносного ПО. Она работает путем разбиения сети на более мелкие сегменты и аутентификации пользователей путем проверки их личности и привилегий доступа перед входом в каждый из них.
Преимущества такого сетевого подхода для безопасности очевидны, однако он требует большой работы над сетевой инфраструктурой, чтобы установить контроль доступа для каждого сегмента. Чтобы добиться сегментации, при первоначальном внедрении Zero Trust необходимо перестроить всю сетевую инфраструктуру. Поскольку большинство предприятий имеют сложную информационную инфраструктуру, включающую локальные и облачные ресурсы, развертывание сетевой безопасности Zero Trust требует проведения большого объема работ.
Работа Zero Trust на сетевом уровне строится на предпосылке недопущения хакеров в сегмент сети, но если им удастся обойти средства контроля безопасности конкретного сегмента, они смогут легко скомпрометировать или получить контроль над другим в той же сети. Подход, обеспечивающий безопасность каждого отдельного ресурса, а не только шлюза сегмента, лучше соответствует концепции углубленной защиты и будет гораздо лучшим выбором.
Zero Trust на основе идентификации
А теперь рассмотрим Zero Trust на основе идентификации, которая выводит безопасность не на сетевой уровень, а на уровень идентификации. В этой архитектуре аутентификация применяется к самой личности пользователя, а не к его подключению, как в сетевой Zero Trust. Согласно руководству NIST, Zero Trust на основе идентификации — это хороший подход для предприятий, использующих облачные приложения и услуги, которые не позволяют клиентам использовать собственные средства безопасности.
Например, в сетевой Zero Trust аутентифицированный VPN-пользователь является доверенным и по своей природе имеет право доступа к таким ресурсам, как файловые серверы или базы данных в среде. При подходе на основе идентификации аутентифицированный VPN-пользователь не является автоматически «доверенным лицом» и должен проходить аутентификацию каждый раз, когда он пытается получить доступ к ресурсу. Это похоже на то, как бармен проверяет удостоверение личности каждый раз, когда клиент заказывает напиток, даже несмотря на то, что он уже предъявил его, чтобы попасть в клуб.
Zero Trust на основе идентификации постоянно отслеживает все запросы на доступ всех пользователей к любому ресурсу в системе, будь то локальная или облачная система, и создает тщательный аудиторский след для обеспечения соответствия и применения политик. Каждый раз, когда отдельный пользователь — человек или машина — пытается получить доступ к ресурсу, проводится анализ рисков на основе поведения пользователя во время сессии и других контекстных параметров.
На основе этой оценки архитектура Zero Trust, основанная на идентификации, обеспечивает соблюдение политики доступа организации в режиме реального времени, требуя либо дополнительной многофакторной аутентификации перед разрешением доступа, либо просто отказывает пользователю в доступе. Например, если пользователь пытается получить доступ к приложению SaaS, он обычно проверяется системой управления идентификацией и доступом (IAM) облачного провайдера и получает доступ ко всем приложениям SaaS компании. Zero Trust на основе идентификации проверяет пользователей каждый раз, когда они пытаются получить доступ к новому приложению в этом облаке, продолжая собирать аудиторскую информацию.
Zero Trust на основе идентификации обеспечивает ряд преимуществ, которые облегчают внедрение и управление, а также повышают безопасность. Эта модель не требует перестройки и замены каких-либо частей инфраструктуры системы, что означает отсутствие простоев и снижение затрат. После развертывания она обеспечивает бóльшую видимость, выполняя анализ рисков при каждой попытке доступа к ресурсу, а не на уровне сегмента сети. И что самое важное, благодаря аудиту безопасности при каждом доступе к ресурсу улучшается обнаружение аномалий и угроз, что повышает уровень безопасности организации.
Нужно понимать, что частичное внедрение — это не про Zero Trust. Чтобы обеспечить эффективную защиту, архитектура Zero Trust должна охватывать все ресурсы, как локальные, так и облачные, а также все запросы на доступ со стороны машинных и человеческих учетных записей. Применение Zero Trust к идентификационным данным делает это возможным.
