Zero trust: nowa norma cyfrowego bezpieczeństwa

Izabela Myszkowska
Izabela Myszkowska - Redaktor Brandsit
6 min

Zero trust staje się nową normą myślenia o bezpieczeństwie, przejmując rolę, którą kiedyś pełniła bariera ogniowa. Zdaniem Christiana Putza, eksperta ds. cyberbezpieczeństwa w Vectra AI, podejście zakładające bardziej kontekstową ocenę ryzyka – dla wszystkich wniosków o dostęp – spełnia wszystkie podstawowe kryteria nowoczesnej technologii bezpieczeństwa.

Sieci VPN nie są już wystarczające

COVID-19 niejako wymusił przyjęcie zasad zero trust, co wynikało z potrzeby modernizacji sposobu działania systemów bezpieczeństwa informacji. Firmowa sieć przestała być gwarantem bezpiecznego i kontrolowanego środowiska. Uświadomiono sobie, że tradycyjny model bezpieczeństwa, oparty na punktowej kontroli dostępu na obrzeżu sieci firmowej, nie jest kompatybilny ze sposobem w jaki działają nowoczesne przedsiębiorstwa.

W sytuacji, gdy istotna część danych jest przetwarzana w zewnętrznych aplikacjach i systemach, a jedocześnie rośnie liczba pracowników i partnerów, którzy potrzebują do nich dostępu spoza firmy, organizacje coraz bardziej skłaniają się ku zero trust.

– Dostęp do sieci oparty na zasadach zero trust zasadniczo zastępuje tradycyjne metody dostępu i VPN. Choć nie da się z dnia na dzień przejść z VPN na zero trust, to po przeanalizowaniu kosztów utrzymania starszych systemów i ich działania w nowym modelu oraz uwzględnieniu dodatkowych kosztów skalowania sieci VPN, wiele firm próbuje znaleźć lepsze rozwiązaniemówi Christian Putz, Country Manager w Vectra AI.

- Advertisement -

Skuteczne wdrożenie zero trust wymaga jednak czasu, zaangażowania i zmian kulturowych. Konieczne jest przyjrzenie się środowisku firmy i zlokalizowanie największych zagrożeń, by stworzyć plan przeciwdziałania kryzysom, dobrać odpowiednie narzędzia i przeprowadzić wdrożenie. Odpowiednia kultura pozwala monitorować te działania, aby sprawdzić, czy są skuteczne i ewentualnie przygotować się na następne kroki.

Przyjęcie modelu zero trust jest nieuniknione

Jak wynika z raportu firmy Okta, opartego o dane zebrane jeszcze przed pandemią, liczba organizacji północnoamerykańskich, które oświadczyły, że wprowadziły lub planują wprowadzić inicjatywę zerowego zaufania w ciągu najbliższych 12-18 miesięcy wzrosła o 275% rok do roku. Aż 60% organizacji deklarowało, że podejmuje inicjatywy zero trust. W przypadku Australii i Nowej Zelandii zainteresowanie to wynosiło 50%. Nieco mniej entuzjastyczna jest na razie Europa i Bliski Wschód z 18%.

Na pewno sposób w jaki uzyskuje się dostęp do danych i miejsce ich przechowywania są za sobą ściśle powiązane. Ku polityce zerowego zaufania bardziej skłaniają się branże, które wiążą się z koniecznością przechowywania dużej ilości poufnych danych – finanse czy opieka zdrowotna. Firmy świadczące profesjonalne usługi rzadziej rozpoznają swoje poziomy ryzyka.

Podejścia do bezpieczeństwa oparte na danych i użytkownikach znajdujących się za zaporą sieciową nie są jednak w stanie sprostać potrzebom dzisiejszych organizacji, które zwykle nie przechowują już danych samodzielnie. Firmy korzystają z różnych platform i usług, które znajdują się zarówno w siedzibie, jak i poza nią. Tradycyjne modele bezpieczeństwa zwykle traktują wszystkie elementy „wewnątrz” konkretnej sieci jako zaufane. Modele bezpieczeństwa typu zero-trust zakładają, że domyślnie nie można ufać żadnemu użytkownikowi sieci – wewnętrznemu ani zewnętrznemu – dostęp użytkowników jest uwarunkowany na podstawie ich tożsamości, poświadczeń, autoryzacji, lokalizacji i urządzenia. To nowa granica bezpieczeństwa.

– Model zero trust pozwala organizacji na przypisanie dokładniejszego kontekstu zarówno użytkownikom, jak i zasobom próbującym połączyć się z aplikacją lub bazą danych. Ten kontekst jest potrzebny nie tylko ze względu na pracę zdalną, ale także dlatego, że złożone środowiska IT mogą teraz obsługiwać urządzenia niezarządzane, np. z Internetu rzeczymówi przedstawiciel Vectra AI.

Polityka zero trust umożliwia znacznie bardziej elastyczny i sprawny sposób pracy oraz dostęp do zasobów korporacyjnych dla użytkowników. Ułatwia operacje związane z migracją do chmury i przebudowę firmowego szkieletu IT.

Już nie jakość sieci, a jakość urządzenia jest najważniejsza

Do tej pory to sieć była używana do ustanowienia kontekstu dostępu do zasobów. Jeśli urządzenie lub użytkownik był w sieci, dostęp został przyznany. Zero trust zakłada, że najważniejszym czynnikiem decydującym o dostępie jest urządzenie.

Kondycja urządzenia pozwala organizacji mieć większą pewność co do stanu urządzeń końcowych. Sam fakt, że pracownik korzysta z laptopa, który jest częścią zinwentaryzowanej floty firmowych urządzeń, nie oznacza, że należy przyznawać mu niekwestionowany dostęp do sieci. Największym zagrożeniem są złośliwe programy przechwytujące naciśnięcia klawiszy i próbujące wprowadzić oprogramowanie ransomware lub przejąć sesję logowania.

Uwierzytelnienie użytkownika niesie za sobą określony poziom zaufania i musi choć częściowo opierać na kondycji urządzenia użytkownika. Organizacje potrzebują więc możliwości wykrywania zagrożeń zarówno w konfiguracji, jak i zachowaniu urządzeń firmy.

Rosnące wykorzystanie API

Na początku istnienia mikroserwisów dostęp miał każdy, a interfejsy API były jawne. W zero trust, każda interakcja z interfejsem API powinna zostać zweryfikowana i tak jak w przypadku każdego zasobu przedsiębiorstwa, dostęp do interfejsów API powinien być kontrolowany.

Zdolność do podejmowania decyzji i automatycznego interweniowania w sytuacji potencjalnej słabości lub wprowadzania zmian w kontroli dostępu jest podstawową funkcjonalnością zerowego zaufania, która jest potrzebna do obsługi automatyzacji i orkiestracji.  Jako że ich działanie zależy od interfejsów API, jedynym sposobem włączenia automatyzacji i orkiestracji w stosie zabezpieczeń jest możliwość integracji różnych technologii za pomocą interfejsów API.

Tworząc organizację opartą na w pełni wdrożonej polityce zero trust należy jednak zwrócić uwagę na to, by nie tworzyć zbyt wielu reguł własności, co skutkuje odgórną kontrolą i spowolnieniem przepływów pracy. Według Christiana Putza transparentność zapewnia tworzenie odizolowanych działów bezpieczeństwa i centrów danych. Wciąż jest to jednak wyzwaniem dla firm, tym bardziej, że organizacje, bez względu na wielkość, wciąż starają się zaoszczędzić i korzystają z outsourcingu zabezpieczeń.

Udostępnij
- REKLAMA -