Co to znaczy Zero Trust?
Sam termin „Zero Trust” tłumaczy się po prostu jako „zerowe zaufanie” – to nazwa, która bardzo skutecznie oddaje kluczowe założenia tego podejścia do cyberbezpieczeństwa. Jego podstawowym aspektem jest bowiem całkowite ograniczenie zaufania do wszystkich urządzeń: należy traktować każdy ruch sieciowy tak, jakby pochodził z otwartego, niezabezpieczonego Internetu. To podejście, które zyskało szczególne znaczenie wraz ze wzrostem popularności usług cloud oraz rozproszonej infrastruktury.
Czytaj również: Czym są ataki socjotechniczne i jak chronić przed nimi pracowników?
Jak współcześnie rozumieć tę koncepcję?
Warto zacząć od określenia nieco starszego podejścia do cyberbezpieczeństwa. Tradycyjne koncepcje zakładają istnienie określonej granicy sieci firmowej – w tym miejscu należy zaimplementować solidny firewall, który filtruje ruch pochodzący z zewnątrz. Obecnie jednak takie rozwiązania nie są już wystarczające. W większości firm, szczególnie dużych organizacji, infrastruktura staje się coraz bardziej rozproszona: do lokalnej, biurowej infrastruktury dochodzą serwery cloud, które realizują usługi takie jak przechowywanie zdjęć w chmurze i backup w chmurze dla firm. Do tego dochodzi także sama charakterystyka pracy zdalnej: urządzenia końcowe pracowników znajdują się w różnych lokalizacjach, nie tylko w samym biurze. W takiej sytuacji wyznaczenie granicy sieci jest niezwykle trudne, co oznacza, że technologie w modelu Zero Trust są w zasadzie niezbędne. Współcześnie podstawowe zasady modelu Zero Trust, opracowane na przełomie lat 90. i pierwszej dekady XXI wieku, pozostają bez zmian: cały ruch sieciowy jest traktowany tak, jakby pochodził z otwartego Internetu. Obecnie jednak można dostrzec postępującą ewolucję tego modelu, który rozszerza się na kolejne elementy firmowej architektury. Typowe rozwiązanie ZT powinno opierać się na trzech fundamentach:
- korzystaniu z zarządzania tożsamością użytkowników oraz kontroli dostępu do zasobów na podstawie ściśle określonych polityk;
- mikrosegmentacji, czyli przygotowywaniu jak najmniejszych segmentów w ramach firmowej infrastruktury, zwłaszcza w kontekście usług cloud dostępnych w ramach Data Center;
- definiowaniu granic segmentów na poziomie oprogramowania zamiast fizycznych firewalli.
Do tego dochodzi także stała analityka zagrożeń i aktualnych działań firmy oraz szyfrowanie wszystkich danych przesyłanych w ramach działań firmy. Warto postawić także na uwierzytelnianie wieloskładnikowe, by rozdzielić proces logowania na więcej niż jedno urządzenie – na przykład laptop i telefon pracownika. Aby zapobiec sytuacjom takim jak wyciek danych, konieczne będzie także bieżące dbanie o scoring systemów bezpieczeństwa.
Główne zasady polityki Zero Trust
Dokładne reguły zabezpieczeń Zero Trust mogą się nieco różnić w zależności od definicji. Często stosowanym punktem odniesienia jest dokument SP 800-207 opublikowany przez Narodowy Instytut Norm i Techniki (NIST) Stanów Zjednoczonych, który opisuje model Zero Trust Network na poziomie wirtualnym – bez odniesień do konkretnych implementacji, czy to sprzętowych, czy też software’owych. Z tego względu jest to dobre źródło, by przygotować uniwersalne rozwiązanie, które zwiększy poziom bezpieczeństwa w firmie. Oto trzy filary modelu Zero Trust według NIST SP 800-207:
1. Ciągła weryfikacja. Każdy dostęp, do wszystkich zasobów, z dowolnych urządzeń, powinien być stale monitorowany.
2. Ograniczenie „promienia rażenia” – należy zadbać, by ewentualne skutki zarówno wewnętrznego, jak i zewnętrznego naruszenia zabezpieczeń dotyczyły, jak najmniejszej grupy urządzeń lub innych zasobów.
3. Wykorzystanie automatycznie zbieranych danych. Dotyczy to szczególnie informacji dotyczących zachowań użytkowników – warto monitorować je w czasie rzeczywistym i adekwatnie dostosowywać swoją strategię Zero Trust.
Jak zrealizować założenia idei Zero Trust?
Warto mieć na uwadze, że podstawowe założenia można realizować bez względu na technologie wykorzystywane w ramach firmy. Weryfikacja, monitoring, kontrola dostępu i analityka mogą być przeprowadzane zarówno w lokalnej sieci, jak i przy używaniu usług cloud. Ważne będzie jednak dokładne zbadanie sytuacji danego przedsiębiorstwa: należy zacząć od określenia powierzchni ewentualnego ataku, a następnie zweryfikować dostęp do wszystkich zasobów. Na etapie właściwej implementacji sprawdzą się rozwiązania takie jak uwierzytelnianie wieloskładnikowe, biznesowy VPN, czy nawet dedykowane łącze transmisji danych dla firmy.
Czy warto się do tego stosować?
Budowanie solidnego modelu Zero Trust może być czasochłonne i wiązać się z pewnymi wydatkami, jednak w niemal każdej sytuacji przełoży się na wyższy poziom bezpieczeństwa dla przedsiębiorstwa. To szczególnie istotne w przypadku korzystania z usług takich jak chmura dla firm, które utrudniają wyznaczenie granicy biznesowej sieci w tradycyjnym podejściu. Należy jednak mieć na uwadze, że obsługa poszczególnych procesów może być w efekcie bardziej skomplikowana, co przełoży się na wyższe koszty operacyjne. Te jednak mogą się od razu zwrócić w razie ewentualnego ataku – przy skutecznej implementacji Zero Trust zagrożone będą tylko niewielkie części firmowej infrastruktury informatycznej.
Oprócz wprowadzenia modelu Zero Trust należy postawić także na inne metody zabezpieczeń towarzyszące działaniom w chmurze. Skutecznie zabezpieczone centrum przetwarzania danych pozwoli zrealizować usługi takie jak przechowywanie danych w chmurze, jednak to tylko jedna z wielu korzyści. To również idealny sposób, by zadbać o backup danych dla firm zgodny z tzw. złotą regułą kopii zapasowych, czyli zasadą „3–2–1”:
- trzy różne kopie;
- dwa różne nośniki lub technologie;
- jedna kopia poza siedzibą firmy – to właśnie ten punkt staje się znacznie łatwiejszy z rozwiązaniami takimi jak backup w chmurze dla firm.
Ponadto dostawcy takich usług mogą oferować również dodatkowe zabezpieczenia. Jednym z przykładów jest ochrona anty-DDoS – funkcję wraz ze wszystkimi innymi korzyściami chmury zapewnia między innymi poznański dostawca Internetu dla użytkowników prywatnych i firm – INEA.