Zero zaufania przed weryfikacją to zasada, o której można usłyszeć na przestrzeni wieków nie tylko na dworach królewskich czy wywiadach państwowych ale i codziennym życiu. Tym bardziej jako władcy biorąc przykład z wielu dziedzin życia nie powinniśmy wierzyć wszystkim i taka sama powinna być sieć, którą zarządzamy.
Czym jest model bezpieczeństwa Zero Trust?
Model bezpieczeństwa zero trust zakłada, że każdy użytkownik, urządzenie lub aplikacja może być atakującym (hakerem) niezależnie od miejsca, z którego dokonywane jest połączenie. Zasady zero trust obejmują kilka koncepcji, które trzeba wcielić w życie.
Fundament Zero Trust – brak domniemanego zaufania
Pierwsza koncepcja to brak domniemanego zaufania, czyli system operuje w ciągłym przekonaniu, że sieć jest skażona. Dlatego dostęp do jakiegokolwiek zasobu musi być minimalny i uzasadniony oraz wymaga uwierzytelniania i autoryzacji tożsamości w celu ciągłej weryfikacji stanu bezpieczeństwa, aby zminimalizować rozprzestrzenianie skażenia.
Uwierzytelnianie to proces, w którym potwierdzamy, że dany podmiot taki jak osoba, urządzenie lub aplikacja jest tym, za kogo się podaje. Najpierw podmiot ujawnia swoją tożsamość, zazwyczaj jest to nazwa użytkownika. Następnie podawana jest informacja niejawna, potwierdzająca tożsamość. Zwykle jest to hasło. Często używane są alternatywne sposoby potwierdzania, takie jak certyfikat, klucz U2F lub cecha biometryczna.
Autoryzacja to proces sprawdzania, do czego dany podmiot ma prawo lub dostęp, po pomyślnym potwierdzeniu jego tożsamości (uwierzytelnienie). Istnieje kilka popularnych sposobów, w jaki systemy realizują autoryzację: RBAC (Role-Based Access Control, gdzie kontrola dostępu oparta jest na przyznawanych rolach na przykład administrator) lub ABAC (Attribute-Based Access Control, gdzie kontrola dostępu oparta jest na przyznawanych atrybutach na przykład edycja postów).
Drugi filar Zero Trust – minimalny dostęp
Druga koncepcja to podejście minimalnego dostępu, która ma bezpośrednie podstawy w zaleceniach projektowych bezpieczeństwa opisanych w NIST SP 800-160, które wskazują, że system ma ograniczać uprawnienia do absolutnie koniecznego minimum. W praktyce oznacza to, że jeśli na przykład pracownik biurowy zajmujący się księgowością nie potrzebuje dostępu do środowiska zajmującego się obsługą maszyn, w żadnym wypadku nie powinien mieć do niego jakichkolwiek uprawnień.
Ciągłe monitorowanie i analiza ryzyka
Trzecia koncepcja to ciągłe monitorowanie sieci w celu bieżącej oceny ryzyka oraz stanu bezpieczeństwa. Skupia się to na analizie dostępnych informacji w systemie, na przykład lokalizacja logowania, stan techniczny urządzenia, zachowania odbiegające od normy takie jak próby dostępu do nietypowych zasobów. Na tej podstawie system dynamicznie podejmuje decyzje. Może zezwolić na dostęp, ograniczyć zakres lub wymusić dodatkową weryfikację.
Może to być trudne do spełnienia w małej firmie, która niekoniecznie może dysponować środkami na tworzenie własnego centrum bezpieczeństwa danych (SOC, Security Operations Center) lub implementację platformy do zbierania i analizowania logów (SIEM, Security Information and Event Management). Samo wykupienie od zewnętrznego dostawcy również może być kosztowne.
Weryfikacja każdej akcji – czwarta zasada Zero Trust
Czwarta koncepcja dotyczy lokalizacji a dokładniej wymaga sprawdzenia każdej konkretnej akcji, jak logowanie czy pobranie pliku. Nieważne, skąd łączy się użytkownik liczy się tylko to, czy jego bieżąca operacja jest bezpieczna. Dzięki temu zasoby pozostają ukryte i dostępne dopiero po pozytywnej weryfikacji każdej transakcji.
Zero Trust Networking, Zero Trust Architecture i ZTNA
Zero Trust Networking jest nieformalnym terminem, który oznacza zastosowanie zasad Zero Trust tylko w sieci, ale nie jest formalną architekturą. Do tego odnosi się odrębna nazwa Zero Trust Architecture. Tak określana jest strategia projektowania i wdrażania systemów informatycznych zgodna z modelem zerowego zaufania.
Zero Trust Network Access zazwyczaj stanowi kategorię rozwiązań lub typ narzędzi, często oferowanych przez dostawców chmury, które mogą zastępować klasyczny VPN.
Realizuje ideę dostępu „mniej niż minimalnego”. Dzięki temu między innymi użytkownik łączy się nie z siecią, ale bezpośrednio z wybraną aplikacją.
Może pojawić się pytanie jakie elementy powinna zawierać architektura Zero Trust. Opierając się na zaleceniach z NSC 800-207 architektura powinna składać się z logicznych komponentów i modeli wdrożeniowych, które mają zapewnić spójność wymagań technicznych i organizacyjnych. Są trzy najważniejsze komponenty logiczne. Policy Engine, który podejmuje decyzję o przyznaniu lub odmowie dostępu. Policy Administrator, który wdraża decyzje na przykład konfiguracja firewalli, tuneli, tokenów. Ostatni komponent, czyli Policy Enforcement Point, fizycznie egzekwuje zasady na przykład proxy, brama, router.
Zanim zostaną opisane praktyczne wskazówki i rekomendacje techniczne warte podkreślenia jest, że nie istnieje jedno, kompletne rozwiązanie rynkowe, które w pełni realizuje Zero Trust Architecture. Jest ono uzyskiwane przez zastosowanie odpowiedniej kombinacji rozwiązań i procesów.
Istotnym aspektem komunikacji w architekturze Zero Trust jest właściwe rozdzielenie ruchu zarządczego od ruchu aplikacyjnego. Administratorzy powinni zatem zwrócić szczególną uwagę na implementację odrębnych płaszczyzn sterowania i danych, co w praktyce minimalizuje ryzyko przejęcia kontroli nad infrastrukturą.
W tej architekturze nie można dopuścić do bezpośredniego dostęp do zasobów. Oznacza to obowiązek centralizacji kontroli dostępu oraz eliminację możliwości obchodzenia zabezpieczeń przez dostęp bezpośredni, na przykład poprzez publiczne adresowanie usług.Warto by organizacje umożliwiały pracownikom korzystanie z własnych urządzeń, takich jak laptopy czy telefony (BYOD Bring your own device). Dlatego powinno się wdrożyć segmentację sieci, narzędzia do oceny stanu urządzeń oraz mechanizmy pozwalające na dynamiczne ograniczanie ich uprawnień.
Fundamentem bezpieczeństwa w architekturze sieci jest wspomniane wcześniej pełne zabezpieczenie komunikacji niezależnie od lokalizacji. Wymusza to stosowanie certyfikatów, wzmacnianych protokołów i jednolitych zasad szyfrowania, które nie pozwalają na tworzenie wyjątków dla systemów wewnętrznych.
Kolejnym omawianym wcześniej filarem jest ciągła, kontekstowa autoryzacja. W praktyce oznacza to, że administrator powinien wdrożyć mechanizmy reagujące na zmiany kontekstu takie jak nietypowe godziny logowania, nowe środowisko sieciowe czy anomalne zachowanie użytkownika. Dobrze by było aby firma wspierały pracowników zdalnych i usługi chmurowe. Dlatego kluczowym elementem staje się bezpośredni, bezpieczny dostęp do usług poprzez PEP (Policy Enforcement Point), a nie tunelowanie użytkownika do sieci LAN.
Wdrożenie architektury wymaga także odpowiedniej skalowalności infrastruktury. Administratorzy powinni zatem zadbać o redundancję, równoważenie obciążenia i wysoką dostępność komponentów uczestniczących w procesie autoryzacji.W fazie początkowej wdrożenia pojawić się mogą nieprawidłowości wynikające z błędnie skonfigurowanych zasad. Trzeba zatem zaplanować okres strojenia i testowania polityk, aby ograniczyć niepożądane przerwy w dostępie i zachować równowagę między bezpieczeństwem a ciągłością działania.
Podsumowanie – Na czym opiera się Zero Trust?
Podsumowując, gdy jako władca tworzymy sieć z zerowym zaufaniem, opieramy ją na zasadach braku domniemanego zaufania, ciągłej weryfikacji, minimalnym dostępie, silnym zarządzaniu tożsamością, ciągłym monitorowaniu i adaptacyjnej architekturze.
Polskie Narodowe Standardy Cyberbezpieczeństwa (NSC 800-207, NSC 800-137) stanowią oficjalne, rządowe źródła, które mapują podejście NIST na polski kontekst prawny i organizacyjny.
Zostaw komentarz
Musisz się zalogować lub zarejestrować aby dodać nowy komentarz.