Mis on nullusaldusarhitektuur: sambad, disain ja parimad tavad

Informatec Digital » Ressursid » Mis on nullusaldusarhitektuur: sambad, disain ja parimad tavad

Viimastel aastatel on termin „nullusaldus” hiilinud kõikidesse küberturvalisuse aruteludesse ja mitte ainult näitamiseks: see vastab reaalsele vajadusele kaitsta hübriid- ja hajutatud keskkondi, kus kaudsel usaldusel pole enam kohta. Põhiidee on lihtne öelda, kuid keeruline ellu viia: "ära kunagi usalda, kontrolli alati".

See lähenemisviis muudab võrgu turvalisust, välistades täielikult eelneva usalduse kui juurdepääsukriteeriumi. Selle asemel, et eeldada, et see, mis on "sees", on turvaline, nõuab nullusaldus iga päringu, iga seadme ja iga ühenduse kontrollimist. See hoiab ära külgliikumise, vähendab rünnakupinda ja soodustab detailset juurdepääsukontrolli 7. kihil. mis pidevalt liiklust ja konteksti kontrollib.

Mis on nullusalduse arhitektuur ja miks see tekkis?

Nullusaldus on strateegia, mis koondab turvakontrollid konkreetsete ressursside ümber, selle asemel et kaitsta monoliitse perimeetrit. John Kindervag, kes töötas tol ajal Forresteris, populariseeris kontseptsiooni, näidates, et võrgusisene kaudne usaldus on haavatavus. mida ründajad saaksid ära kasutada külgsuunas liikumiseks ja andmete väljafiltreerimiseks.

Digitaalne transformatsioon on purustanud traditsioonilise piiri: tänapäeval eksisteerivad koos andmekeskused, avalikud ja privaatsed pilved, SaaS, mobiilsus, IoT/OT ning töötajate ja partnerite kaugjuurdepääs. See mosaiik mitmekordistab lünki, kui me jätkuvalt usume, et "sisemine" on vaikimisi usaldusväärne.sest üksainus ohustatud pääsupunkt võib avada ukse kogu võrgule.

Nullusalduspõhimõte eeldab, et iga päring (kasutajalt, seadmelt või teenuselt) on potentsiaalselt riskantne. Seetõttu nõuab see iga ressursi ligipääsu puhul autentimist, autoriseerimist ja konteksti hindamist.vältides klassikalist vaba voli pärast perimeetri "hüppamist". Ja jah, see nõuab tehnilist ja kultuurilist distsipliini.

Kaitsepind, mikroperimeeter ja kiht 7

Põhiline on tuvastada "kaitsepind": organisatsiooni jaoks kõige väärtuslikum DAAS (andmed, varad, rakendused ja teenused). Keskendudes sellele hallatavale ja täpselt määratletud valdkonnale, saavutatakse tõhus ja mõõdetav kontroll. mis ei püüa katta kogu rünnakupinda.

Pärast kaitstud ala määratlemist on aeg mõista seda ümbritsevaid vooge: kes sellele juurde pääseb, millistest seadmetest, kuhu liiklus liigub ja millised sõltuvused eksisteerivad. See kaart määratleb mikroperimeetri, mis liigub koos ressursiga, kus iganes see ka ei asuks., lokaalselt või pilves.

See mikroperimeeter on rakendatud segmenteerimislüüsi abil (klassikaline järgmise põlvkonna tulemüürid, NGFW) või veebipõhine puhverserver, mis rakendab süvakontrolli. Poliitika väljendub seitsmendas kihis ja järgib Kiplingi meetodit: kes, mis, millal, kus, miks ja kuidas Juurdepääs. See rakendustele ja sisule keskendunud detailsuse tase teebki nullusaldusliku lahenduse võimalikuks.

Kui poliitika on rakendatud, pole ülesanne veel läbi: vaja on jälgida, kohandada ja areneda. Pidev jälgimine avastab uusi sõltuvusi ja võimaldab täpsustada reegleid, et vältida väljavoolu ja minimeerida valepositiivseid tulemusi.ilma äritegevust aeglustamata.

Kaasaegse nullusaldusarhitektuuri põhielemendid

Tugev ZTA ei ole lihtsalt toode; see on koordineeritud võimete kombinatsioon. Need on tavalised palad, mis hästi orkestreerituna strateegia ellu viivad.:

Identiteedi- ja juurdepääsuhaldus (IAM)

Identiteet on uus piir. Mitmekordne autentimine (MFA), ühekordne sisselogimine (SSO) ja rolli- või atribuutipõhine juurdepääsukontroll on olulised selleks, et kontrollida, kes on kes ja mida nad saavad teha. MFA rakendamine vähendab volituste kuritarvitamist ja SSO parandab kasutajakogemust turvalisust ohverdamata..

Võrgu segmenteerimine ja mikrosegmenteerimine

Võrgu jagamine isoleeritud domeenideks piirab külgmist liikumist ja võimaldab rakendada tsoonipõhiseid spetsiifilisi poliitikaid. Kriitiliste segmentide suhtes kohaldatakse rangemat kontrolli, samas kui vähem tundlike keskkondade puhul on saavutatud paindlikkus. tootlikkuse karistamise vältimiseks.

Lõpp-punkti turvalisus

Sülearvutid, mobiiltelefonid ja tahvelarvutid on sagedased sisenemispunktid. EDR/XDR juhtnupudkrüptimine, seisundi hindamine ja pidevad uuendused Need võimaldavad teil nõuda, et kaitstud ressurssidele pääseksid juurde ainult ühilduvad seadmed.

Andmete turvalisus

Lõppeesmärk on andmed: juurdepääsu kontroll, otsast lõpuni krüptimine ja maskeerimine, lisaks DLP-poliitikad lekete vältimiseks. Need meetmed aitavad järgida eeskirju ning tugevdavad klientide ja partnerite usaldust..

SIEM ja analüütika

SIEM-süsteemid koondavad ja korreleerivad reaalajas sündmusi, et neid kiiresti tuvastada ja reageerida. Lisaks tuvastab ajalooline analüüs mustreid ja trende, et pidevalt täiustada kontrollimehhanisme. ja täida nähtavuse lüngad.

Tehisintellekt ja automatiseerimine

Tehisintellekti/masinaõppe mudelid analüüsivad suuri signaalmahte, et tuvastada anomaaliaid ja seada tähtsuse järjekorda intsidente. Automatiseerimine kiirendab korduvaid reageeringuid ja võimaldab meeskondadel keskenduda keerukatele ohtudele. mis nõuavad inimlikku otsustusvõimet.

ZTNA või tarkvaraliselt määratletud perimeeter

Nullusaldusväärne võrguühendus asendab laia VPN-juurdepääsu kohandatud seanssidega konkreetsetele rakendustele. Hinnake iga päringu identiteeti ja konteksti ning looge punkt-punkti krüpteeritud tunnelid, pideva kontrollimise ja jälgimisega.

Kuidas rakendada nullusalduspõhimõtet ilma katses suremata

Nullusaldus ei pea olema kulukas ega traumeeriv. Tavaliselt tugineb see olemasolevatele võimalustele, seades esikohale suure mõjuga kasutusjuhtumid. ja iteratiivselt laienedes. Viieastmeline metoodika aitab kursust planeerida:

1. Määrake kaitsealaTuvastage kriitilise tähtsusega DAAS-id, mis on tõeliselt olulised. Alustage "kroonijuveelist", kust saate kõige rohkem väärtust.

2. Tehinguvoogude tuvastamineKaardistage, kes pääseb ligi, kust ja kuidas rakendused ja andmed on omavahel seotud. See teadmine on hindamatu väärtusega tõhusate poliitikate kirjutamiseks.

3. Kujundage arhitektuurAsetage väravad ja juhtseadised kaitsvale pinnale võimalikult lähedale. Eelistage 7. kihi kontrolli ja täielikku nähtavust.

4. Loo nullusalduspoliitikaTugine Kiplingi meetodile ja vähima privileegi põhimõttele. Volita ainult seda, mis on hädavajalik, täpseks ajaks ja selgete tingimustega.

5. Jälgib ja täiustab pidevaltKohanda reegleid, lisa uusi sõltuvusi, kontrolli, et puudub väljavool või juurdepääsu lüng.

See tsükkel on iteratiivne: seda korratakse iga DAAS-i jaoks, kuni võtmeressursside komplekt on kaetud. Järkjärguline edasiminek vähendab riske varakult ja väldib "suure pauguga" projekte, mis ei lõpe kunagi..

Pidev töö: nähtavus, logimine ja krüptimine vaikimisi

CISA mudel rõhutab, et suured organisatsioonid kannavad endas kaudset usaldust ja pärandsüsteeme. Selle mustri murdmiseks on vaja investeeringuid, sponsorlust ja ennekõike tegutsemisvõimelisi andmeid. mis suunavad otsuseid.

Pidev jälgimine, mida võimaldavad SIEM ja lõpp-punktide, võrkude ja pilvede telemeetria, on hädavajalik. Dokumendid peavad olema kontekstipõhised (identiteet, seade, ressurss, aeg ja asukoht) et võimaldada auditeid ja tõhusat avastamist.

Vähimate õiguste juurdepääs ja seadme asendi kontrollimine täiendavad ringi. Lõpp-punkt, mis pole poliitikas, lihtsalt ei pääse sisse, punkt., ohutushügieeni jõustamine ilma aruteluta.

CISA-ga kooskõlas olevad nullusalduse parimad tavad

Järjepidevate harjumuste omaksvõtmine võimaldab nullusalduspõhimõtet aja jooksul säilitada. Need CISA raamistikust inspireeritud tavad on hea küpsuse kontrollnimekiri.:

• Kinnitage ja autentige iga juurdepääsu korralIdentiteeti, õigusi ja seadme tervist kontrollitakse pidevalt, mitte üks kord päevas.

• Mikrosegment peagavähendab külgliikumist võrku ülekoormamata; kasutab SDN-i, ida/lääne suunalist krüpteerimist ja just-in-time perimeetreid.

• Pidev jälgimine ja tuvastamine: õpib tehisintellekti toel normaalset käitumist ja annab anomaaliatest märku.

• Kontekstuaalne ja auditeeritav kirje: jäädvustab kes, mida, millal ja kust; oluline vastavuse ja kohtuekspertiisi jaoks.

• Vaikimisi krüptimine: kaitseb nii edastatavaid kui ka salvestatud andmeid; jälgib ebatavalist juurdepääsu.

• Vähem privileege: annab ainult vajaliku ja tühistatakse konteksti muutumisel või ülesande lõppemisel.

• Seadme töökindlus: nõuab poosinõudeid (paigad, EDR, krüpteerimine) ja kontrollige neid igas seansis.

• Tugevad rakenduste juurdepääsu kontrollideriti SaaS-is ja pilves; ainult kinnitatud staatusega rakendused.

• ZTNA on parem kui VPN-lairibaühendus: õigeaegne juurdepääs konkreetsetele ressurssidele pideva kontrollimisega; hüvasti "kõigile tasuta" võrgustikuga.

• Lõpp-punktide haldusVastavus ei ole läbiräägitav; ilma turvaprofiilita puudub juurdepääs.

• Haridus ja kultuurSee selgitab, miks, vähendab hõõrdumist ja toob liitlasi äri- ja IT-valdkonnast.

Hinnake nullusaldusplatvorme ja pakkujaid

Platvormi valimisel ei ole oluline logo, vaid see, kui hästi see sobib teie riskide ja tegevusega. Enne millelegi allakirjutamist on soovitatav neid kriteeriume kaaluda.:

• Üksuste põhjalik käsitlemineMudelisse tuleb kaasata nii inimesed, rakendused, pilved, asjade internet/ot ja partnerid.

• Tarnija finantsstabiilsusstabiilsus teenuse sujuvaks arendamiseks.

• Tõestatud kogemusedreaalsed juhtumid teie sektoris ja suuruses, mis toetavad tõhusust.

• Skaleeritavus ja üldine jõudlusMadal latentsus, kõrge kättesaadavus ja kohalolek teie tegutsemiskohas.

• Vastupidavus ootamatustele olukordadele: kasutuspiigid, tõrked ja uued ohud ilma teenuse katkestusteta.

• Integreeritud tehisintellektanomaaliate tuvastamine, poliitika rakendamine ning kiiremad ja täpsemad otsused.

Kasutusjuhud ja käegakatsutavad eelised

Hübriidsetes töökeskkondades on turvaline juurdepääs ettevõtte rakendustele klassikaline. Autentimise tsentraliseerimine vähendab kokkupuudet, lihtsustab juurdepääsu ja parandab jälgitavust. kelle sisenemine ja mis.

Võrguühenduse kontroll (NAC) aitab enne ühenduse loomist kontrollida, kas seadmed vastavad turvanõuetele. Kui seade kontrolli ei läbi, isoleeritakse see või juurdepääs keelatakse.takistades haavataval lõpp-punktil ülejäänuid ohtu seadmast.

Mikrosegmenteerimine rakendab rakenduse ja andmete tasandil minimaalseid õigusi: juurdepääs ainult neile, kes seda vajavad, ja ainult vajalikuks ajaks. Õiguste tühistamise automatiseerimine vähendab sisemise kuritarvitamise või volituste taaskasutamise ohtu..

Veebipõhistes klienditeenustes on nullusaldus eeliseks. MFA, pidev kontrollimine ja kontekstipõhised kontrollid kaitsevad tundlikke tehinguid ilma et see kogemus katsumuseks muutuks.

"Kõikide ühenduste katkestamine" veebipõhise puhverserveri kaudu võimaldab enne liikluse sihtkohta edastamist reaalajas kontrolli. Kui kontekst muutub või seansi ajalõpp aegub, siis identiteet valideeritakse uuesti või seanss lõpetatakse. inimröövide ja kellegi teisena esinemiste ärahoidmiseks.

7. kihi poliitika ja Kiplingi meetod: harjutusreeglid

Nullusalduslikkuse võlujõud materialiseerub rakenduskihis, kus mõistetakse sisu, identiteeti ja kavatsust. Seal on võimalik küsida ja vastata küsimustele kes, mida, millal, kus, miks ja kuidas. iga juurdepääsuotsuse puhul.

Hästi määratletud poliitikad leevendavad tegevuskoormust: vähem IP-l ja portidel põhinevaid reegleid, rohkem kasutajatele, seadmetele, rakendustele ja andmetele keskenduvaid reegleid. See paradigma muutus vähendab pikaajalist keerukust ja parandab ohutust sest see on kooskõlas ettevõtte toimimisega.

Maksumus, keerukus ja kuidas takistusi vältida

On levinud arvamus, et nullusaldus on kulukas ja tülikas. Praktikas kasutavad paljud organisatsioonid oma IAM-, NGFW-, EDR-, SIEM- ja pilvelahendusi uuesti.ZTNA lisamine ja poliitikate täiustamine etappide kaupa.

Selle avamiseks on kõige parem alustada väikesest (kriitilise tähtsusega DAAS), mõõta tulemusi ja laiendada. Varased edusammud veenavad sponsoreid ja vähendavad vastupanu muutustele, sealhulgas kasutajad, kes kardavad suuremat hõõrdumist.

Olge ettevaatlik ja ärge pidurdage üle: liiga jäigad juhtnupud suruvad Shadow IT-d peale. Turvalisuse ja kasutatavuse tasakaalustamine kontrollitud erandite ja selge suhtlusega, on ohtlike otseteede vältimise võti.

Identiteet ja volitused: õrn lüli

Volitustel põhinevad rünnakud on endiselt tavalised; turu-uuringud on dokumenteerinud püsivat ebaseaduslikku kasutamist isegi „usaldusväärsete” mudelite puhul. Nullusaldus ei ole suunatud süsteemi "usaldusväärseks" muutmisele.vaid pigem kõrvaldada kaudne usaldus võrrandist.

Saladuste rotatsioon, adaptiivne MFA, anomaalse käitumise tuvastamine ja privilegeeritud kontode range kontroll on üliolulised. Kui identiteet on uus piir, siis volituste hügieen on selle esimene sein..

Null usaldus pilve- ja mitme pilve üleslaadimiste jaoks

Töökoormused liiguvad kohapealsete, avalike, privaatsete ja hübriidpilvede vahel ning see dünaamilisus nõuab sügavat nähtavust. Igas keskkonnas olevad segmenteerimisväravad ja andurid jälgivad põhja/lõuna ja ida/lääne liiklust ohtude ohjeldamiseks ja minimaalse juurdepääsu tagamiseks.

Poliitikate koordineerimine platvormide vahel väldib lünki ja dubleerimist. Juhtimismeetmete järjepidevus olenemata koorma asukohastSee lihtsustab auditeid ja kiirendab juurutamist.

Globaalsetes stsenaariumides on jõudlus oluline: madal latentsusaeg ja kõrge käideldavus, et mitte kasutajat karistada. Hajutatud arhitektuur, mis asub tarbimiskoha lähedal See teeb vahet kasutatava turvalisuse ja ignoreeritud turvalisuse vahel.

Nullusaldus kohandub ettevõtte pulsiga, mitte vastupidi. Rakenda pidevat kontrollimist, segmenteeri mõtestatult ja tööta andmetega. See võimaldab teil märkimisväärselt parandada oma ohutusseisundit ilma tootlikkust lämmatama.

Seotud artikkel:

Parimate tulemüüride täielik juhend: avatud lähtekoodiga, ärilised ja virtuaalsed tulemüürid