Ano ang Zero Trust Architecture at kung paano ito ilalapat

Informatec Digital » Kayamanan » Ano ang Zero Trust Architecture: mga haligi, disenyo at pinakamahusay na kasanayan

Tinatanggal ng Zero Trust ang implicit na tiwala: ang bawat pag-access ay na-verify sa layer 7 na may konteksto.
Ang protection surface (DAAS), ang microperimeter at ang Kipling method ay gumagabay sa patakaran.
IAM, microsegmentation, ZTNA, SIEM at orchestrated AI ang sumusuporta sa diskarte.

Zero Trust Security Architecture

Sa mga nakalipas na taon, ang terminong Zero Trust ay pumasok sa lahat ng mga pag-uusap sa cybersecurity, at hindi lamang para sa palabas: ito ay tumutugon sa isang tunay na pangangailangan upang protektahan ang hybrid at distributed na mga kapaligiran kung saan ang implicit na tiwala ay wala nang lugar. Ang pangunahing ideya ay simpleng sabihin at mahirap ipatupad: "huwag magtiwala, palaging i-verify."

Binabago ng diskarteng ito ang seguridad ng network sa pamamagitan ng ganap na pagbubukod ng paunang tiwala bilang isang pamantayan sa pag-access. Sa halip na ipagpalagay na ligtas ang nasa "loob", kailangan ng Zero Trust na i-verify ang bawat kahilingan, bawat device, at bawat koneksyon. Pinipigilan nito ang paggalaw sa gilid, binabawasan ang ibabaw ng pag-atake, at nagpo-promote ng butil na kontrol sa pag-access sa layer 7 na patuloy na nagsusuri ng trapiko at konteksto.

Ano ang arkitektura ng Zero Trust at bakit ito lumitaw?

Ang Zero Trust ay isang diskarte na naglalagay ng mga kontrol sa seguridad sa paligid ng mga partikular na mapagkukunan sa halip na protektahan ang isang monolitikong perimeter. Pinasikat ni John Kindervag, noon ay nasa Forrester, ang konsepto sa pamamagitan ng pagpapakita na ang implicit trust sa loob ng network ay isang kahinaan. na maaaring pagsamantalahan ng mga umaatake upang ilipat sa gilid at i-exfiltrate ang data.

Binasag ng digital transformation ang tradisyonal na perimeter: ngayon, magkakasamang nabubuhay ang mga data center, pampubliko at pribadong ulap, SaaS, mobility, IoT/OT, at malayuang pag-access para sa mga empleyado at partner. Pinaparami ng mosaic na ito ang mga puwang kung patuloy tayong magtitiwala na ang "internal" ay maaasahan bilang default.dahil ang isang nakompromisong access point ay maaaring magbukas ng pinto sa buong network.

Ipinapalagay ng diskarte sa Zero Trust na ang bawat kahilingan (mula sa isang user, device, o serbisyo) ay posibleng mapanganib. Iyon ang dahilan kung bakit nangangailangan ito ng pagpapatunay, awtorisasyon, at pagtatasa ng konteksto para sa bawat pag-access sa bawat mapagkukunanpag-iwas sa klasikong free rein pagkatapos "tumalon" sa perimeter. At oo, nangangailangan ito ng teknikal at kultural na disiplina.

Proteksiyon na ibabaw, microperimeter at layer 7

Ang pangunahing bahagi ay upang tukuyin ang "ibabaw ng proteksyon": ang pinakamahalagang DAAS (data, asset, aplikasyon, at serbisyo) para sa organisasyon. Sa pamamagitan ng pagtuon sa napapamahalaan at mahusay na tinukoy na lugar na ito, makakamit ang epektibo at masusukat na kontrol. na hindi nagtatangkang takpan ang buong ibabaw ng pag-atake.

Pagkatapos tukuyin ang protektadong lugar, oras na para maunawaan ang mga daloy na nakapaligid dito: sino ang nag-a-access dito, mula sa anong mga device, kung saan dumadaloy ang trapiko, at kung anong mga dependency ang umiiral. Tinutukoy ng mapang ito ang isang micro-perimeter na naglalakbay kasama ang mapagkukunan, saanman ito naroroon., lokal o sa cloud.

Ang microperimeter na ito ay ipinatupad gamit ang isang segmentation gateway (ang classic susunod na henerasyon ng mga firewall, NGFW) o online na proxy na naglalapat ng malalim na inspeksyon. Ang pulitika ay ipinahayag sa layer 7 at sumusunod sa pamamaraang Kipling: sino, ano, kailan, saan, bakit, at paano Access. Ang antas ng detalyeng ito, na nakatuon sa mga aplikasyon at nilalaman, ang ginagawang posible ng Zero Trust.

Kapag na-deploy na ang patakaran, hindi pa tapos ang gawain: kailangang mag-obserba, mag-adjust at mag-evolve. Ang patuloy na pagsubaybay ay nagbubunyag ng mga bagong dependency at nagbibigay-daan para sa fine-tuning na mga panuntunan upang maiwasan ang exfiltration at mabawasan ang mga maling positibonang hindi nagpapabagal sa pagpapatakbo ng negosyo.

Mga pangunahing elemento ng modernong Zero Trust Architecture

Ang isang malakas na ZTA ay hindi lamang isang produkto; ito ay isang kumbinasyon ng mga coordinated na kakayahan. Ito ang mga karaniwang piraso na, kapag maayos na naayos, nagdudulot ng diskarte sa katuparan.:

Naisip mo na ba kung kailan nilikha ang social media? Narito ang sagot

Pamamahala ng Pagkakakilanlan at Pag-access (IAM)

Ang pagkakakilanlan ay ang bagong perimeter. Ang MFA, SSO, at kontrol sa pag-access na nakabatay sa tungkulin o katangian ay mahalaga para sa pag-verify kung sino at kung ano ang magagawa nila. Binabawasan ng pagpapatupad ng MFA ang pang-aabuso sa kredensyal, at pinapahusay ng SSO ang karanasan ng user nang hindi sinasakripisyo ang seguridad..

Segmentation ng network at microsegmentation

Ang paghahati sa network sa mga nakahiwalay na domain ay naglilimita sa paggalaw sa gilid at nagbibigay-daan para sa paggamit ng mga partikular na patakaran ayon sa zone. Ang mga kritikal na segment ay tumatanggap ng mas mahigpit na kontrol, habang ang mga hindi gaanong sensitibong kapaligiran ay nakakakuha ng flexibility. upang maiwasan ang parusa sa pagiging produktibo.

Seguridad ng endpoint

Ang mga laptop, mobile phone, at tablet ay madalas na mga entry point. Mga Kontrol ng EDR/XDRpag-encrypt, pagtatasa ng postura, at patuloy na pag-update Nagbibigay-daan sa iyo ang mga ito na hilingin na ang mga sumusunod na device lang ang mag-access ng mga protektadong mapagkukunan.

Seguridad ng data

Ang pinakalayunin ay ang data: mga kontrol sa pag-access, end-to-end na pag-encrypt at masking, kasama ang mga patakaran ng DLP para maiwasan ang mga pagtagas. Nakakatulong ang mga hakbang na ito na sumunod sa mga regulasyon at palakasin ang kumpiyansa ng mga customer at partner.

SIEM at analytics

Pinagsasama-sama at iniuugnay ng mga system ng SIEM ang mga real-time na kaganapan upang mabilis na matukoy at tumugon. Higit pa rito, tinutukoy ng makasaysayang pagsusuri ang mga pattern at trend upang patuloy na mapabuti ang mga kontrol at punan ang visibility gaps.

AI at automation

Sinusuri ng mga modelo ng AI/ML ang malalaking volume ng mga signal upang makita ang mga anomalya at unahin ang mga insidente. Pinapabilis ng automation ang mga paulit-ulit na tugon at nagbibigay-daan sa mga team na tumuon sa mga kumplikadong banta. na nangangailangan ng paghatol ng tao.

ZTNA o tinukoy na perimeter ng software

Pinapalitan ng Zero Trust Network Access ang malawak na access sa VPN ng mga iniangkop na session sa mga partikular na application. Suriin ang pagkakakilanlan at konteksto sa bawat kahilingan at magtatag ng mga point-to-point na naka-encrypt na tunnel, na may tuluy-tuloy na pag-verify at pagsubaybay.

Paano ipatupad ang Zero Trust nang hindi namamatay sa pagtatangka

Ang Zero Trust ay hindi kailangang maging mahal o traumatiko. Karaniwan itong umaasa sa mga kasalukuyang kakayahan, na inuuna ang mga kaso ng paggamit na may mataas na epekto. at paulit-ulit na pagpapalawak. Ang isang limang-hakbang na pamamaraan ay nakakatulong sa tsart ng kurso:

Tukuyin ang lugar ng proteksyonTukuyin ang kritikal na DAAS na tunay na mahalaga. Magsimula sa "crown jewel" kung saan makakakuha ka ng pinakamaraming halaga.
Kilalanin ang mga daloy ng transaksyonMapa kung sino ang nag-a-access, mula saan, at paano nauugnay ang mga application at data. Ang kaalamang iyon ay napakahalaga para sa pagsulat ng mga epektibong patakaran.
Idisenyo ang arkitekturaMaglagay ng mga gateway at mga kontrol nang mas malapit hangga't maaari sa proteksiyon na ibabaw. Unahin ang layer 7 na inspeksyon at buong visibility.
Lumikha ng patakaran sa Zero TrustUmasa sa pamamaraang Kipling at sa prinsipyo ng hindi bababa sa pribilehiyo. Pahintulutan lamang kung ano ang kinakailangan, para sa tiyak na tagal ng oras, at may malinaw na mga kondisyon.
Sinusubaybayan at patuloy na nagpapabutiAyusin ang mga panuntunan, isama ang mga bagong dependency, patunayan na walang exfiltration o access slack.

Ang cycle na ito ay umuulit: ito ay ginagaya para sa bawat DAAS hanggang sa masakop ang hanay ng mga pangunahing mapagkukunan. Ang incremental na pag-unlad ay binabawasan ang mga panganib nang maaga at iniiwasan ang mga "big bang" na proyekto na hindi natatapos..

Patuloy na operasyon: visibility, pag-log, at pag-encrypt bilang default

Binibigyang-diin ng modelong CISA na ang malalaking organisasyon ay nagtataglay ng implicit trust at legacy system. Ang paglabag sa pattern na iyon ay nangangailangan ng pamumuhunan, mga sponsorship, at higit sa lahat, naaaksyunan na data na gumagabay sa mga desisyon.

Ang patuloy na pagsubaybay, na pinagana ng SIEM at telemetry ng mga endpoint, network, at cloud, ay mahalaga. Ang mga rekord ay dapat na may kamalayan sa konteksto (pagkakakilanlan, aparato, mapagkukunan, oras, at lokasyon) upang payagan ang mga pag-audit at epektibong pagtuklas.

Pagbabahagi ng mga File sa pamamagitan ng Bluetooth sa Windows 11: Isang Kumpletong Gabay

Kumpletuhin ang bilog na may pinakamababang pribilehiyong pag-access at pag-verify ng postura ng device. Ang isang endpoint na wala sa patakaran ay hindi pumapasok, tuldok., pagpapatupad ng kalinisang pangkaligtasan nang walang talakayan.

Zero trust pinakamahusay na kasanayan na nakahanay sa CISA

Ang pagpapatibay ng mga pare-parehong gawi ay nagbibigay-daan sa Zero Trust na mapanatili sa paglipas ng panahon. Ang mga kasanayang ito, na hango sa balangkas ng CISA, ay isang mahusay na checklist ng maturity.:

I-verify at patotohanan sa bawat pag-accessAng pagkakakilanlan, mga karapatan, at kalusugan ng device ay patuloy na pinapatunayan, hindi isang beses sa isang araw.
Microsegment na may ulo: binabawasan ang pag-ilid na paggalaw nang hindi binabad ang network; gumagamit ng SDN, east/west encryption at just-in-time na mga perimeter.
Patuloy na pagsubaybay at pagtuklas: natututo ng normal na pag-uugali at mga alerto sa mga anomalya na may suporta sa AI.
Konteksto at naa-audit na rekord: nakukuha ang sino, ano, kailan at saan; mahalaga para sa pagsunod at forensics.
Pag-encrypt bilang default: pinoprotektahan ang parehong data sa transit at nakaimbak na data; monitor para sa hindi pangkaraniwang pag-access.
Mas kaunting pribilehiyo: nagbibigay lamang ng kung ano ang kinakailangan at binabawi kapag nagbago ang konteksto o natapos ang gawain.
pagiging maaasahan ng device: nangangailangan ng mga kinakailangan sa postura (mga patch, EDR, encryption) at suriin ang mga ito sa bawat session.
Matatag na mga kontrol sa pag-access ng app: lalo na sa SaaS at cloud; mga aplikasyon lamang na may aprubadong paninindigan.
Ang ZTNA ay mas mahusay kaysa sa VPN broadband: napapanahong pag-access sa mga partikular na mapagkukunan na may patuloy na pag-verify; paalam sa "libre-para-sa-lahat" na network.
Pamamahala ng endpointAng pagsunod ay hindi mapag-usapan; walang profile sa seguridad, walang access.
Edukasyon at kulturaIpinapaliwanag nito kung bakit, binabawasan ang alitan, at nakakakuha ng mga kaalyado mula sa negosyo at IT.

Suriin ang mga platform at provider ng Zero Trust

Ang pagpili ng platform ay hindi tungkol sa logo, ito ay tungkol sa kung gaano ito kahusay sa iyong mga panganib at pagpapatakbo. Maipapayo na isaalang-alang ang mga pamantayang ito bago pumirma ng anuman.:

Komprehensibong saklaw ng mga entityAng mga tao, application, cloud, IoT/OT, at mga kasosyo ay dapat isama lahat sa modelo.
Katatagan ng pananalapi ng supplier: katatagan upang mabago nang maayos ang serbisyo.
Napatunayang track record: totoong mga kaso sa iyong sektor at laki na sumusuporta sa pagiging epektibo.
Scalability at pangkalahatang pagganapMababang latency, mataas na availability, at presensya kung saan ka nagpapatakbo.
Katatagan sa harap ng hindi inaasahan: mga peak ng paggamit, mga pagkabigo at mga bagong banta nang walang pagkaantala sa serbisyo.
Pinagsama AI: pagtuklas ng anomalya, aplikasyon ng patakaran, at mas mabilis, mas tumpak na mga desisyon.

Use case at tangible benefits

Sa mga hybrid na kapaligiran sa trabaho, ang secure na pag-access sa mga corporate application ay isang klasiko. Binabawasan ng sentralisadong pagpapatotoo ang pagkakalantad, pinapasimple ang pag-access, at pinapabuti ang kakayahang masubaybayan. kaninong entry at ano.

Tumutulong ang network access control (NAC) na i-verify na natutugunan ng mga device ang mga kinakailangan sa seguridad bago kumonekta. Kung ang kagamitan ay nabigo sa tseke, ito ay nakahiwalay o ang pag-access ay tinanggihan.pinipigilan ang isang mahinang endpoint na ilagay sa panganib ang iba.

Inilalapat ng microsegmentation ang pinakamababang pribilehiyo sa antas ng aplikasyon at data: ang pag-access lamang para sa mga nangangailangan nito at para lamang sa kinakailangang oras. Ang pag-automate sa pagbawi ng mga pahintulot ay binabawasan ang panganib ng panloob na pang-aabuso o mga recycled na kredensyal..

Sa mga online na serbisyong nakaharap sa customer, ang Zero Trust ay isang plus. Pinoprotektahan ng MFA, tuluy-tuloy na pag-verify, at mga kontrol sa konteksto ang mga sensitibong transaksyon nang hindi ginagawang pagsubok ang karanasan.

Ang "pagwawakas sa lahat ng koneksyon" sa pamamagitan ng online na proxy ay nagbibigay-daan para sa real-time na inspeksyon bago maghatid ng trapiko sa destinasyon. Kung magbabago ang konteksto o mag-e-expire ang session timeout, muling mapatunayan ang pagkakakilanlan o wawakasan ang session. upang maiwasan ang mga kidnapping at pagpapanggap.

Ano ang kahinaan sa computer at paano protektahan ang iyong sarili?

Layer 7 politics at ang Kipling method: practice rules

Ang mahika ng Zero Trust ay nangyayari sa layer ng aplikasyon, kung saan nauunawaan ang nilalaman, pagkakakilanlan, at layunin. Doon ay maaaring magtanong at sagutin kung sino, ano, kailan, saan, bakit at paano sa bawat desisyon sa pag-access.

Ang mga mahusay na tinukoy na patakaran ay nagpapagaan sa pasanin sa pagpapatakbo: mas kaunting mga panuntunan batay sa IP at mga port, mas maraming panuntunan na nakatuon sa mga user, device, application, at data. Binabawasan ng pagbabagong paradigm na ito ang pangmatagalang kumplikado at pinapabuti ang kaligtasan dahil nakaayon ito sa kung paano gumagana ang negosyo.

Gastos, pagiging kumplikado at kung paano maiwasan ang mga hadlang sa kalsada

Mayroong isang pang-unawa na ang Zero Trust ay mahal at mahirap. Sa pagsasagawa, maraming organisasyon ang muling gumagamit ng kanilang IAM, NGFW, EDR, SIEM, at mga solusyon sa cloudpagdaragdag ng ZTNA at pagpino ng mga patakaran sa mga yugto.

Upang i-unlock ito, pinakamahusay na magsimula sa maliit (isang kritikal na DAAS), sukatin ang mga resulta, at palawakin. Ang mga maagang tagumpay ay nakumbinsi ang mga sponsor at binabawasan ang pagtutol sa pagbabago, kabilang ang mga user na natatakot sa higit pang alitan.

Mag-ingat na huwag lumampas sa pagpepreno: ang labis na mahigpit na mga kontrol ay nagtutulak sa Shadow IT. Pagbalanse ng seguridad at kakayahang magamit, na may mga kontroladong eksepsiyon at malinaw na komunikasyon, ay susi sa pag-iwas sa mga mapanganib na shortcut.

Pagkakakilanlan at mga kredensyal: ang maselang link

Ang mga pag-atake na nakabatay sa kredensyal ay nananatiling karaniwan; Ang pananaliksik sa merkado ay nagdokumento ng patuloy na hindi lehitimong paggamit kahit na may mga "pinagkakatiwalaang" mga modelo. Ang Zero Trust ay hindi naglalayong gawing "mapagkakatiwalaan" ang systembagkus ay alisin ang implicit trust ng equation.

Ang pag-ikot ng mga lihim, adaptive MFA, pagtuklas ng maanomalyang pag-uugali, at mahigpit na kontrol sa mga privileged na account ay mahalaga. Kung ang pagkakakilanlan ang bagong perimeter, ang kalinisan ng kredensyal ang unang pader nito..

Zero Trust para sa cloud at multicloud uploads

Gumagalaw ang mga workload sa pagitan ng on-premises, pampubliko, pribado, at hybrid na ulap, at ang dynamic na iyon ay nangangailangan ng malalim na visibility. Sinusubaybayan ng mga gateway at sensor ng segmentasyon sa bawat kapaligiran ang trapiko sa hilaga/timog at silangan/kanluran upang pigilan ang mga banta at ipatupad ang minimum na pag-access.

Ang pag-coordinate ng mga patakaran sa mga platform ay umiiwas sa mga gaps at duplication. Consistency ng mga kontrol, saan man naninirahan ang loadPinapasimple nito ang mga pag-audit at pinapabilis ang pag-deploy.

Sa mga pandaigdigang sitwasyon, mahalaga ang performance: mababang latency at mataas na availability para hindi maparusahan ang user. Isang distributed architecture na may presensya na malapit sa punto ng pagkonsumo Ginagawa nito ang pagkakaiba sa pagitan ng magagamit na seguridad at hindi pinansin na seguridad.

Ang Zero Trust ay umaangkop sa pulso ng negosyo, hindi sa kabaligtaran. Ilapat ang tuluy-tuloy na pag-verify, i-segment nang makabuluhan, at magtrabaho kasama ang data. Pinapayagan ka nitong makabuluhang mapabuti ang iyong postura sa kaligtasan nang hindi pinipigilan ang pagiging produktibo.

Kaugnay na artikulo:

Kumpletong gabay sa pinakamahusay na mga firewall: open source, komersyal, at virtual

Talaan ng nilalaman

Ano ang arkitektura ng Zero Trust at bakit ito lumitaw?
Proteksiyon na ibabaw, microperimeter at layer 7
Mga pangunahing elemento ng modernong Zero Trust Architecture
Paano ipatupad ang Zero Trust nang hindi namamatay sa pagtatangka
Patuloy na operasyon: visibility, pag-log, at pag-encrypt bilang default
Zero trust pinakamahusay na kasanayan na nakahanay sa CISA
Suriin ang mga platform at provider ng Zero Trust
Use case at tangible benefits
Layer 7 politics at ang Kipling method: practice rules
Gastos, pagiging kumplikado at kung paano maiwasan ang mga hadlang sa kalsada
Pagkakakilanlan at mga kredensyal: ang maselang link
Zero Trust para sa cloud at multicloud uploads