Rząd federalny Stanów Zjednoczonych dąży do wdrożenia architektury cyberbezpieczeństwa zero-trust we wszystkich agencjach rządowych. W 2021 r. Biały Dom wydał rozporządzenie wykonawcze (EO) 14028, nakazujące agencjom federalnym przyjęcie architektur sieci zero-trust. Kilka miesięcy później Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) przedstawiła projekt modelu dojrzałości zero-trust. Na początku 2022 r. Biuro Zarządzania i Budżetu (OMB) opublikowało memorandum M-22-09, w którym wymaga się od agencji spełnienia określonych standardów zero-trust oraz osiągnięcia konkretnych celów do końca roku podatkowego 2024. Jeszcze w tym samym roku Departament Obrony (DoD) opublikował własną strategię i plan zero-trust.
To wiele zmian w krótkim czasie, zwłaszcza biorąc pod uwagę, że decyzje rządowe zwykle podejmowane są bardzo powoli. Jednak pomimo presji ze strony najwyższych szczebli, osoby decyzyjne w agencjach rządowych pozostają niechętne w kwestii przyjęcia technologii opartej na chmurze, która umożliwiłaby osiągnięcie celów zero-trust: rozwiązań oprogramowania jako usługi (SaaS). Istnieje wiele błędnych przekonań na temat podstaw tej technologii. W szczególności utrzymuje się pogląd, że „SaaS” oznacza przechowywanie danych użytkowników w chmurze, do której mogą uzyskać dostęp cyberprzestępcy.
Ten wpis wyjaśni, co naprawdę oznacza SaaS, i rozwieje te obawy.
Co to jest SaaS?
SaaS to metoda dostarczania oprogramowania, w której zewnętrzny dostawca hostuje i utrzymuje serwery, bazy danych oraz kod, który tworzy aplikację. Klienci mają dostęp do aplikacji SaaS za pośrednictwem Internetu, zazwyczaj za pomocą przeglądarki internetowej. Niektóre aplikacje SaaS oferują również aplikacje komputerowe, mobilne lub rozszerzenia przeglądarki.
Niemal wszyscy codziennie korzystamy z produktów SaaS, nie zdając sobie z tego sprawy. Przykłady produktów SaaS obejmują Gmail, Salesforce, a nawet aplikacje społecznościowe, takie jak Instagram.
Czy SaaS to to samo, co przetwarzanie w chmurze?
Nie. SaaS nie jest synonimem przetwarzania w chmurze.
„Przetwarzanie w chmurze” to ogólne pojęcie, które odnosi się do każdego rozwiązania hostowanego zdalnie i dostarczanego klientom za pośrednictwem Internetu. „SaaS” oznacza jedynie, że aplikacja jest hostowana w chmurze i dostarczana za jej pośrednictwem. Nie oznacza to jednak, że aplikacja nie wykorzystuje żadnych lokalnych komponentów ani że dane zostaną rozpowszechnione w cyberprzestrzeni, gdzie każdy może je wykorzystać.
Platformy SaaS często obejmują zarówno lokalne elementy, jak i te oparte na chmurze. Co ważniejsze, jeśli dostawca SaaS wykorzystuje architekturę zabezpieczeń zero-knowledge, dane nigdy nie są przechowywane w chmurze „w sposób przejrzysty”. Są przechowywane lokalnie na urządzeniu użytkownika, co sprawia, że nawet dostawca SaaS nie może uzyskać do nich dostępu, nie mówiąc już o innych podmiotach.
Co oznacza zero-trust?
Zero-trust to nowoczesny model bezpieczeństwa, który zapobiega nieautoryzowanemu dostępowi do danych i usług, ponieważ wymaga od użytkowników weryfikacji tożsamości przed uzyskaniem dostępu do sieci. Ponadto nawet po uwierzytelnieniu użytkownika i zalogowaniu do sieci otrzymuje on dostęp jedynie do systemów i danych potrzebnych do wykonywania swojej pracy.
Zero-trust zapewnia administratorom IT pełen wgląd w dane dotyczące wszystkich użytkowników, wszystkie systemy i urządzenia. Umożliwia użytkownikom, aplikacjom i usługom bezpieczną komunikację, nawet w środowiskach sieciowych. Nie ma znaczenia, czy użytkownicy nawiązują połączenie ze swoich domów, hoteli, kawiarni czy lotnisk, a nawet czy korzystają z własnych urządzeń. Administratorzy mogą zobaczyć, kto łączy się z siecią, skąd i do czego uzyskuje dostęp, a użytkownicy nie mogą uzyskać dostępu do sieci, dopóki nie zostaną uwierzytelnieni.
Co to jest zero-knowledge?
Zero-knowledge to architektura zabezpieczeń, która nie wpisuje się w tradycyjny model „przetwarzania w chmurze”, gdzie dane istnieją wyłącznie w chmurze. W zamian zapewnia ona najwyższy poziom bezpieczeństwa danych i prywatności dzięki stosowaniu poniższych zasad:
dane są szyfrowane i odszyfrowywane na poziomie urządzenia (nie na serwerze);
aplikacja nigdy nie przechowuje danych w postaci zwykłego tekstu (czytelnego dla człowieka) w chmurze;
serwer nigdy nie otrzymuje danych w postaci zwykłego tekstu;
nikt poza użytkownikiem nie ma dostępu do jego danych;
udostępnianie danych wykorzystuje kryptografię klucza publicznego w celu bezpiecznej dystrybucji klucza;
gdy dane są synchronizowane z innym urządzeniem, pozostają zaszyfrowane do momentu ich odszyfrowania na innym urządzeniu.
Świetnie. Co to wszystko oznacza w prostych słowach?
Zrozumienie poprzedniego paragrafu może sprawić trudność wielu osobom. Zero-knowledge to zawiła koncepcja, nawet dla osób ze znajomością zagadnień technicznych. Oto przenośnia wyjaśniająca zero-knowledge w prosty sposób:
Wyobraź sobie magiczne pudełko z magicznym kluczem. Po umieszczeniu czegoś w pudełku i zamknięciu go tym kluczem zawartość obraca się w pył. Tylko magiczny klucz może odtworzyć zawartość, więc nawet jeśli ktoś włamie się do pudełka, znajdzie jedynie pył.
Oto jak wygląda to w przypadku dostawcy rozwiązań SaaS z wykorzystaniem architektury zero-knowledge:
umieszczasz przedmiot w magicznym pudełku, a następnie zamykasz go za pomocą magicznego klucza;
przekazujesz magiczne pudełko dostawcy SaaS, ale zachowujesz magiczny klucz;
gdy chcesz odzyskać przedmiot, dostawca SaaS oddaje Ci zamknięte pudełko;
magicznym kluczem, który pozostawał przez cały czas w Twojej kieszeni, otwierasz pudełko, a następnie wyjmujesz przedmiot.
W tym przypadku „magiczne pudełko” zawiera zaszyfrowane dane (które są równie przydatne, jak pył), a magiczny klucz to Twój klucz odszyfrowujący, do którego jedynie Ty masz dostęp, ponieważ jest on przechowywany na Twoim urządzeniu, a nie w chmurze.
Ponadto ten magiczny klucz nie leży gdzieś, gdzie mógłby zostać skradziony. Jest on pozyskiwany z hasła użytkownika, więc nawet nie istnieje do momentu wprowadzenia hasła i drugiego składnika uwierzytelniania, takiego jak klucz sprzętowy lub karta CAC. Po wylogowaniu lub przekroczeniu limitu czasu klucz znika i zostaje utworzony ponownie dopiero przy kolejnym uwierzytelnianiu.
Jakie są główne korzyści związane z wykorzystaniem architektury zero-knowledge w SaaS?
Rozwiązania wykorzystujące architekturę zero-knowledge w SaaS zapewniają organizacjom wszystkie korzyści płynące z przetwarzania w chmurze przy zachowaniu najwyższego poziomu bezpieczeństwa, prywatności i całkowitej kontroli nad danymi. Korzyści te obejmują:
Niższe koszty: solidne platformy SaaS integrują się z praktycznie każdym zestawem technologii, bez wymogu dodatkowego oprogramowania lub sprzętu. Dostawca SaaS jest odpowiedzialny za wszelkie konserwacje i aktualizacje.
Prosta integracja ze scentralizowanymi systemami tożsamości: strategia zero-trust rządu federalnego przedstawiona w rozporządzeniu wykonawczym 14028 i memorandum M-22-0-9 kładzie duży nacisk na silną tożsamość przedsiębiorstwa i kontrolę dostępu, w tym uwierzytelnianie wieloskładnikowe (MFA). Platformy SaaS wykorzystujące architekturę zero-knowledge są łatwiejsze do zintegrowania z nowoczesnymi systemami zarządzania tożsamością niż tradycyjne rozwiązania lokalne.
Zwiększone bezpieczeństwo: rozporządzenie wykonawcze 14028 nakazuje szyfrowanie wszystkich przesyłanych danych, co jest standardową procedurą w przypadku rozwiązań zero-knowledge.
Szybka instalacja i wdrożenie: bez konieczności konfiguracji sprzętu lub pobierania oprogramowania na komputer każdego użytkownika z osobna rozwiązania SaaS są znacznie łatwiejsze do zainstalowania i konfiguracji niż rozwiązania lokalne.
Skalowalność i elastyczność: produkty SaaS można skalować według potrzeb organizacji dowolnej wielkości, a ponieważ są sprzedawane na zasadzie subskrypcji, klienci mogą z łatwością dostosować swoje licencje do zmieniających się potrzeb firmy.
Nie ma powodu, aby decydenci rządowi obawiali się produktów SaaS, pod warunkiem że wybiorą rozwiązanie zero-knowledge i oczywiście autoryzowane przez federalny program zarządzania ryzykiem i autoryzacją (FedRAMP). Autoryzowane przez FedRAMP rozwiązania SaaS wykorzystujące architekturę zero-knowledge zapewniają większe bezpieczeństwo przy niższych kosztach niż w przypadku tradycyjnego oprogramowania lokalnego, jednocześnie umożliwiając agencjom federalnym poprawę usług świadczonych na rzecz obywateli amerykańskich i zwiększenie efektywności pracy.
Keeper Security
Keeper Security zmienia sposób, w jaki ludzie i organizacje na całym świecie chronią swoje hasła, dane i poufne informacje. Łatwa w użyciu platforma cyberbezpieczeństwa Keeper została zbudowana z myślą o zabezpieczeniach typu zero-trust i zero-knowledge, aby chronić każdego użytkownika na każdym urządzeniu. Keeper cieszy się zaufaniem milionów osób i tysięcy organizacji, a także jest liderem w zakresie zarządzania hasłami, zarządzania danymi poufnymi, dostępu uprzywilejowanego, bezpiecznego dostępu zdalnego i szyfrowania wiadomości.
Otrzymuj najnowsze wiadomości i aktualizacje dotyczące cyberbezpieczeństwa prosto do swojej skrzynki odbiorczej
Udostępnij ten blog
Mogą też Ci się spodobać
Czym jest szyfrogram?
Szyfrogram odnosi się do danych, które zostały zaszyfrowane i nie można ich odczytać. Jedynym sposobem na odczytanie zaszyfrowanych danych jest odszyfrowanie ich za pomocą klucza szyfrowania. Ponieważ szyfrogramów nie można odczytać bez zastosowania klucza szyfrowania, jest to...