Wat is zero-trust?
Zero-trust is een beveiligingsmodel dat 'uitgaat van een lek', gemaakt voor architecten van cyberbeveiligingsoplossingen, systeemintegrators en DevOps-teams om essentiële cyberbeveiligingsopties te integreren in een alomtegenwoordige IT-omgeving die cyberbeveiligingsplanning en besluitvorming mogelijk maakt.
Vroeger: vertrouw iedereen binnen de netwerkperimeter
Historisch gezien gebruikten organisaties een 'kasteel en gracht'-model om de netwerkbeveiliging te regelen. Alle gebruikers en apparatuur binnen de netwerkperimeter werden standaard vertrouwd, wat betekende dat ze niet hoefden te worden geauthenticeerd voordat ze toegang hadden tot bedrijfsmiddelen. Alleen gebruikers en apparaten buiten de netwerkperimeter moesten zich authenticeren. Dit was een logisch kader toen vrijwel alle werknemers en apparatuur zich binnen de grenzen van een kantoorgebouw bevonden - en er daarmee een duidelijk afgebakende netwerkperimeter was.
Nog voor de coronapandemie knaagden cloudcomputing en mobiliteit al aan het concept van een 'netwerkperimeter'. En na de lockdowns werd dit concept volledig verwoest. Om alle nieuwe externe werknemers toegang te geven, werden organisaties gedwongen om hun digitale transformatieplannen met maanden of jaren te versnellen. Bedrijven migreerden snel naar cloudgebaseerde omgevingen (vooral multi-clouds of hybride omgevingen), zodat hun werknemers vanaf elke locatie toegang hadden tot bedrijfsbronnen. Dit betekende dat het aantal eindpunten, websites, systemen, databases en apps waarvoor authenticatie en end-to-end-versleuteling nodig was, exponentieel vermenigvuldigde.
IT-beheerders probeerden om verschillende oplossingen gebouwd voor homogene, on-prem infrastructuren in te passen in heterogene, cloudgebaseerde omgevingen, maar het bleek onmogelijk om uitgebreid inzicht, gedegen beveiliging en controle over netwerken en eindpunten te krijgen. Het kasteel-en-gracht-model brokkelde af, en cyberaanvallen namen in aantal toe terwijl cybercriminelen profiteerden van onvoldoende beveiligingsverdediging van organisaties.
Vandaag: vertrouw niemand
In tegenstelling tot het kasteel-en-gracht-model, vertrouwt zero-trust geen menselijke gebruikers of apparaten, ongeacht hun locatie. In een zero-trust omgeving moeten alle gebruikers en apparaten worden geauthentiseerd voordat ze toegang krijgen tot bedrijfsmiddelen. In plaats van vertrouwen op waar gebruikers zijn, laat zero-trust ze bewijzen wie ze zijn.
Bij een juiste implementatie biedt zero-trust netwerktoegang IT-beheerders volledig inzicht in alle gebruikers, systemen en apparaten. Mensen, apps en services kunnen veilig communiceren, zelfs tussen netwerken. Het maakt niet uit of gebruikers verbinding maken vanuit huizen, hotels, cafés of luchthavens, of zelfs of ze gebruikmaken van hun eigen apparaten. Beheerders kunnen precies zien wie verbinding maakt met het netwerk, waarvandaan en waar ze toegang tot krijgen - en gebruikers krijgen pas toegang als ze uitdrukkelijk hebben bewezen dat ze zijn die ze beweren te zijn.
Drie leidende principes vormen de kern van zero-trust beveiliging:
Ga uit van een lek.
Alle mensen en apparaten kunnen in potentie worden gecompromitteerd, zelfs als ze verbinding maken vanuit het kantoor, de reden waarom het tweede leidende principe is…
Verifieer expliciet.
Alle mensen en machines moeten bewijzen dat ze zijn wie ze zeggen dat ze zijn voordat ze toegang krijgen tot netwerkbronnen. En dat is nog niet alles…
Zorg voor minimale privileges.
Zelfs als een gebruiker expliciet is geverifieerd, moet deze alleen minimale netwerktoegang krijgen die nodig is om het werk te doen, maar verder niks.
De 6 zuilen van zero-trust beveiliging.
Microsoft raadt het plannen van uw zero-trust implementatie rondom de volgende zes zuilen aan, die allemaal moeten worden beoordeeld, vervolgens bijgewerkt en navenant vervangen.3
Identiteit
In een zero-trust model moeten alle gebruikers, zowel mensen als machines, een unieke digitale identiteit hebben. Wanneer deze identiteit toegang vraagt tot een bron, moet het systeem dit verifiëren met sterke authenticatie, met als back-up gedragsanalyses om te waarborgen dat het toegangsverzoek niet afwijkend is voor die gebruiker. Zodra de identiteit is gecontroleerd, moet de netwerktoegang de principes van minimale toegang volgen.
Zorg ervoor om dit te bereiken dat al uw gebruikers sterke, unieke wachtwoorden gebruiken voor elk account en multi-factor-authenticatie (MFA) inschakelen wanneer dit wordt ondersteund. Gebruik daarnaast real-time detectie, geautomatiseerde reacties en verbonden intelligentie-oplossingen om te monitoren op het compromitteren van accounts en te reageren op mogelijke problemen.
Eindpunten
Alleen apps en apparaten die naleving waarborgen en worden vertrouwd moeten worden toegestaan om toegang te krijgen tot gegevens. Voordat werknemers toestemming krijgen om bedrijfsapps op mobiele apparaten te gebruiken, moet u ze verplichten om hun apparaten te onderwerpen aan Mobile Device Management (MDM) en ze laten valideren voor algehele gezondheid en naleving van de bedrijfsbeveiligingsbeleidsregels. MDM-oplossingen geven beheerders ook inzicht in apparaatgezondheid en naleving om beleidsregels en beveiligingscontroles af te dwingen, zoals het blokkeren van kopiëren/plakken of downloaden/overdragen.
Bronnen_htimzt_0032
Gegevens
Bronnen_htimzt_0032
Applicaties
Toegang tot en privileges in apps moeten net zo rigoureus worden gecontroleerd en beperkt als data. Leid toegang tot apps, monitor appgebruik op afwijkend gedrag en gebruik op rollen gebaseerde toegangscontrole (RBAC, Role-Based Access Control) om ervoor te zorgen dat de in-app machtigingen van gebruikers passend zijn en de principes van minimale privileges volgen.
Infrastructuur
Het beheer van machtigingen voor zowel infrastructuur op locatie als cloudgebaseerde kluizen kan een uitdaging zijn. Automatiseer zo veel mogelijk processen. Gebruik Just-in-Time (JIT)-toegang om de verdediging te versterken, zet beveiligingsanalyses in om afwijkingen en aanvallen te detecteren, en blokkeer en markeer automatisch riskant gedrag voor verder onderzoek en het verhelpen van problemen.
Netwerk
Segmenteer netwerken om te voorkomen dat bedreigende factoren zich lateraal kunnen bewegen en toegang krijgen tot vertrouwelijke bronnen. Gebruik 'in-pipe' netwerkbeveiligingscontroles om meer inzicht te krijgen, inclusief tools voor realtime bescherming tegen bedreigingen, end-to-end versleuteling, monitoring en analyses.
Best practices voor het opzetten van een zero-trust architectuur
Een van de grootste uitdagingen bij het implementeren van zero-trust is weten waar je moet beginnen. Zero-trust heeft veel bewegende delen en er zijn geen universele standaarden voor de 'implementie van zero-trust'.
Realiseer u dat zero-trust een verbintenis is voor de lange termijn, geen eenmalige oplossing.
Technologie, werkstromen en de bedreigde omgeving veranderen en verschuiven steeds, en daarmee ook uw zero-trust architectuur.
Zorg ervoor dat u de steun hebt van het bestuur.
Zero-trust vereist een 'alles of niks' mindset en een sterke commitment op alle bestuursniveaus en binnen alle teams. Steun van het bestuur was gemeengoed onder de 'kampioenen' van de implementatie ervan - terwijl een gebrek aan steun het grootste struikelblok vormde van organisaties die nog steeds worstelen met de implementatie van zero-trust.4
Begin klein.
Om bedrijfsverstoringen te vermijden, raadt NIST aan om de implementatie van zero-trust te beginnen door eerst de minst risicovolle bedrijfsbronnen te migreren, om vervolgens over te gaan tot de belangrijkere nadat uw team meer ervaring heeft opgedaan met zero-trust. 5
Richt u bij twijfel vooral op IAM.
Bij de 'kampioenen' was Identity and Access Management (IAM) de vaakst geïmplementeerde component van zero-trust, waarbij 86% zero-trust strategieën heeft toegepast op de IAM-processen en controles.6
Best practices voor het kiezen van zero-trust oplossingen
Sommigen noemen zero-trust een paradigma, terwijl anderen het een filosofie, een kader, een model of zelfs een beweging noemen. Hoe je het ook noemt, het belangrijkst om te onthouden is dat het einddoel van zero-trust niet het inzetten van bepaalde producten is, maar de gewenste uitkomsten bereiken. Wat dit betreft is zero-trust voor cyberbeveiliging wat DevOps is voor software-ontwikkeling: een fundamentele verschuiving in hoe organisaties beveiliging benaderen.
Er zijn veel zero-trust-compatibele oplossingen op de markt, maar die zijn niet allemaal geschikt voor uw specifieke data-omgeving en bedrijfsbehoeften. NIST7 raadt aan om het volgende in overweging te nemen bij het kiezen van zero-trust tools:
Moeten er onderdelen worden geïnstalleerd op de client-hulpmiddelen voor de oplossing?
Oplossingen aan de client-kant kunnen bedrijfsprocessen belemmeren en de productiviteit negatief beïnvloeden. Ze creëren ook extra administratieve overhead voor uw IT-team.
Werkt de oplossing in gevallen waarbij bedrijfsbronnen op locatie zijn?
Sommige oplossingen gaan ervan uit dat de gevraagde bronnen zich in de cloud bevinden (zogenaamd noord-zuid-verkeer) en niet binnen een ondernemingsperimeter (oost-west-verkeer). Dit vormt een probleem in hybride cloudomgevingen, waarbij oude bedrijfsapps die kritieke functies uitoefenen mogelijk op locatie worden uitgevoerd omdat migratie ervan naar de cloud niet haalbaar is.
Biedt de oplossing een manier om interacties voor analyse vast te leggen?
Zero-trust toegangsbesluiten zijn zwaar afhankelijk van de verzameling en het gebruik van data gerelateerd aan processtromen - in het bijzonder bij geprivilegieerde toegangsaccounts.
Biedt de oplossing brede ondersteuning voor verschillende apps, services en protocollen?
Sommige oplossingen ondersteunen mogelijk een gevarieerd aantal protocollen (SSH, web, etc.) en transportopties (IPv4 en IPv6), maar andere werken mogelijk alleen met web of e-mail.
Moet het gedrag worden aangepast voor de oplossing?
Voor sommige oplossingen zijn mogelijk extra stappen nodig om een bepaalde werkstroom uit te voeren, waardoor uw organisatie mogelijk wijzigingen moet aanbrengen in uw bestaande werkstromen.
Hoe Keeper uw organisatie kan helpen om zero-trust te omarmen
Keeper’s zero-trust, zero-knowledge cyberbeveiligingssuite stelt organisaties in staat om zero-trust externe toegang te realiseren voor de verspreide werknemers, met sterke authenticatie en gegranuleerd overzicht en controle. Door wachtwoordbeheer voor grote ondernemingen (EPM, Enterprise Password Management), geheimenbeheer (SM, Secrets Management) en geprivilegieerd verbindingsbeheer (PCM, Privileged Connection Management) te combineren, verstrekt Keeper IT-beheerders en beveiligingsteams een enkele, diepgaande mogelijkheid om elke gebruiker op elk apparaat vanaf elke locatie te volgen, loggen, monitoren en beveiligen, terwijl zij interactief zijn met alle toegestane locaties, systemen en apps.
- Keeper’s wachtwoordbeheer voor grote ondernemingen (EPM)-platform biedt organisaties volledig inzicht in en controle over de wachtwoordpraktijken van werknemers die ze nodig hebben om met succes een zero-trust beveiligingsmodel te implementeren. IT-beheerders kunnen wachtwoordgebruik in de hele organisatie monitoren en controleren, en beveiligingsbeleid en -controles afdwingen, zoals MFA, RBAC en toegang met minimale privileges.
- Keeper Secrets Manager biedt DevOps, IT-beveiligings- en software-ontwikkelingsteams een cloudgebaseerd platform voor het managen van al uw infrastructuurgeheimen, van SSH- en API-sleutels tot databasewachtwoorden en RDP-aanmeldingsgegevens. Alle servers, CI/CD-pijplijnen, ontwikkelaarsomgevingen en broncode halen geheimen uit een veilig API-eindpunt. Elk geheim wordt versleuteld met een 256-bits AES-sleutel, en vervolgens opnieuw versleuteld door nog een AES-256-appsleutel. Het clientapparaat haalt versleutelde coderingstekst op van de Keeper-cloud, en geheimen worden lokaal op het apparaat ontcijferd - niet op de server.
- Keeper Connection Manager is een agentloze extern bureaublad-gateway die DevOps en IT-teams probleemloze zero-trust netwerktoegang (ZTNA, Zero-Trust Network Access) verleent tot RDP, SSH, databases en Kubernetes-eindpunten via een browser. Alle gebruikers en apparaten worden uitgebreid geauthenticeerd voordat ze toegang krijgen tot organisatorische bronnen.