Czy rozwiązanie wymaga, aby komponenty były instalowane na zasobach klienta?
Rozwiązania po stronie klienta mogą ograniczać procesy biznesowe i opóźniać produktywność. Tworzą one również dodatkowe obciążenie administracyjne dla Twojego zespołu IT.
Czym jest architektura typu „Zero Trust”?
Zero trust to model bezpieczeństwa „zakładający naruszenie”, stworzony dla architektów rozwiązań cyberbezpieczeństwa, integratorów systemów i zespołów DevOps w celu zintegrowania podstawowych możliwości cyberbezpieczeństwa z wszechobecnym środowiskiem IT, które umożliwia planowanie i podejmowanie decyzji w zakresie cyberbezpieczeństwa.
Model zero trust nie ufa żadnym użytkownikom ani urządzeniom, niezależnie od tego, gdzie się znajdują. W środowisku zero trust wszyscy użytkownicy i urządzenia muszą zostać uwierzytelnieni, zanim uzyskają dostęp do zasobów organizacyjnych. Zamiast polegać na tym, gdzie znajdują się użytkownicy, model zero trust zmusza ich do udowodnienia, kim są.
Prawidłowo wdrożony dostęp do sieci typu zero trust zapewnia administratorom IT pełny wgląd we wszystkich użytkowników, systemy i urządzenia. Użytkownicy, aplikacje i usługi mogą komunikować się bezpiecznie, nawet w różnych środowiskach sieciowych. Nie ma znaczenia, czy użytkownicy łączą się z domu, hotelu, kawiarni czy lotniska, a nawet czy korzystają z własnych urządzeń. Administratorzy widzą dokładnie, kto łączy się z siecią, gdzie się znajduje i do czego uzyskuje dostęp.
Trzy zasady bezpieczeństwa zero trust
Trzy przewodnie zasady tworzą rdzeń bezpieczeństwa zero trust.
Założenie naruszenia bezpieczeństwa
Każdemu człowiekowi lub urządzeniu grozi potencjalnie niebezpieczeństwo, nawet jeśli łączy się z biura.
Jednoznaczna weryfikacja
Wszyscy ludzie i urządzenia muszą udowodnić, że są tym, za kogo się podają, zanim uzyskają dostęp do zasobów sieciowych.
Zapewnienie najmniejszych uprawnień
Nawet po jednoznacznym zweryfikowaniu użytkownika powinien on mieć tylko minimalny poziom dostępu do sieci potrzebny do wykonywania swoich zadań – i nie więcej.
Jak wybrać rozwiązanie zero trust
Na rynku dostępnych jest wiele rozwiązań cyberbezpieczeństwa zgodnych z zasadą zero trust, ale nie wszystkie z nich są odpowiednie dla Twojego konkretnego środowiska danych i potrzeb biznesowych. Wybierając rozwiązanie zero trust, zadaj sobie następujące pytania:
Czy rozwiązanie działa w przypadkach, gdy zasoby procesów biznesowych istnieją lokalnie?
Niektóre rozwiązania zakładają, że żądane zasoby znajdują się w chmurze (tzw. ruch północ-południe), a nie w obrębie przedsiębiorstwa (ruch wschód-zachód). Stanowi to problem w środowiskach chmury hybrydowej, gdzie starsze aplikacje biznesowe, które wykonują krytyczne funkcje, mogą być uruchamiane w siedzibie firmy, ponieważ migracja do chmury jest niewykonalna.
Czy rozwiązanie zapewnia możliwość rejestrowania interakcji do analizy?
Decyzje dotyczące dostępu zero trust zależą w dużej mierze od gromadzenia i wykorzystywania danych związanych z przepływem procesów – szczególnie w przypadku kont uprzywilejowanych.
Czy rozwiązanie zapewnia szerokie wsparcie dla różnych aplikacji, usług i protokołów?
Niektóre rozwiązania mogą obsługiwać szeroki zakres protokołów (SSH, Internet itp.) i transportów (IPv4 i IPv6), ale inne mogą działać tylko z Internetem lub pocztą e-mail.
Czy rozwiązanie wymaga zmian w istniejących przepływach pracy?
Niektóre rozwiązania mogą wymagać dodatkowych kroków do wykonania danego przepływu pracy, co może wymagać od Twojej organizacji wprowadzenia zmian w istniejących przepływach pracy.
Filary bezpieczeństwa zero trust
Po wybraniu rozwiązania zero trust należy zaplanować wdrożenie modelu zero trust w oparciu o sześć następujących filarów, z których wszystkie muszą zostać ocenione, a następnie odpowiednio zaktualizowane lub zastąpione.
Tożsamość
W modelu zero trust każdy użytkownik – zarówno człowiek, jak i komputer – musi mieć unikatową tożsamość cyfrową. Za każdym razem, gdy ta tożsamość żąda dostępu do zasobu, system musi zweryfikować ją za pomocą silnego uwierzytelniania, popartego analizą behawioralną, aby upewnić się, że żądanie dostępu nie jest anomalne dla tego użytkownika. Po uwierzytelnieniu tożsamości dostęp użytkownika do sieci musi być zgodny z zasadami najmniejszych uprawnień.
Można to osiągnąć poprzez zapewnienie użytkownikom silnych, unikatowych haseł dla każdego konta i włączenie uwierzytelniania wieloskładnikowego (MFA) wszędzie tam, gdzie jest one obsługiwane. Dodatkowo organizacje powinny wdrożyć wykrywanie w czasie rzeczywistym, zautomatyzowane środki zaradcze i połączone rozwiązania analityczne, aby zarówno monitorować naruszenia bezpieczeństwa kont, jak i reagować na potencjalne problemy.
Dane
W dzisiejszych środowiskach opartych na chmurze dane znajdują się wszędzie i wszędzie muszą być zarządzane. Wiąże się to ze ścisłą kontrolą i ograniczeniem dostępu do danych zgodnie z zasadami najmniejszych uprawnień oraz zapewnieniem, że dane są szyfrowane zarówno w stanie spoczynku, jak i w trakcie przesyłania.
Sieć
Sieci należy podzielić na segmenty, aby uniemożliwić osobom atakującym przemieszczanie się na boki i uzyskiwanie dostępu do wrażliwych zasobów. Korzystaj z kontroli bezpieczeństwa sieci „w potoku” w celu zwiększenia widoczności, w tym narzędzi do ochrony przed zagrożeniami w czasie rzeczywistym, pełnego szyfrowania, monitorowania i analizy.
Aplikacje
Dostęp do aplikacji i uprawnienia muszą być kontrolowane i ograniczane równie rygorystycznie jak w przypadku danych. Należy blokować dostęp do aplikacji, monitorować ich użycie pod kątem anomalii i stosować kontrolę dostępu opartą na rolach (RBAC), aby upewnić się, że uprawnienia użytkowników w aplikacji są odpowiednie i zgodne z zasadami najmniejszych uprawnień.
Punkty końcowe
Dostęp do danych powinny mieć tylko zgodne i zaufane aplikacje i urządzenia. Zanim zezwolisz pracownikom na dostęp do firmowych aplikacji na urządzeniach mobilnych, wymagaj od nich, aby zapisali swoje urządzenia w systemie zarządzania urządzeniami mobilnymi (MDM) i poddali je weryfikacji pod kątem ogólnej kondycji i zgodności z firmowymi zasadami bezpieczeństwa. Rozwiązania MDM dają również administratorom wgląd w stan urządzeń i ich zgodność oraz możliwość egzekwowania zasad i kontroli bezpieczeństwa, takich jak blokowanie kopiowania/wklejania lub pobierania/transferu.
Infrastruktura
Zarządzanie uprawnieniami zarówno dla infrastruktury lokalnej, jak i chmurowych maszyn wirtualnych, kontenerów i mikroserwisów może być wyzwaniem. Zautomatyzuj jak najwięcej procesów. Korzystaj z dostępu just-in-time (JIT), aby wzmocnić obronę, a także wdróż analizy bezpieczeństwa, aby wykrywać anomalie i ataki oraz automatycznie blokować i oznaczać ryzykowne zachowanie w celu dalszego zbadania i naprawy.
Najlepsze praktyki wdrażania architektury typu „zero-trust”
Jednym z największych wyzwań związanych z wdrażaniem architektury typu „zero-trust” jest wiedza, od czego zacząć. Taka architektura ma wiele ruchomych części i nie ma uniwersalnych standardów jej wdrożenia. Poniżej przedstawiamy kilka najlepszych praktyk dotyczących planowania drogi do architektury typu „zero-trust” w Twojej organizacji.
-
Uświadom sobie, że środowisko typu „zero-trust” to długoterminowe zobowiązanie, a nie jednorazowa poprawka.
Wraz z rozwojem technologii, przepływów pracy i środowiska zagrożeń, zmianie ulega również architektura typu „zero-trust”.
Upewnij się, że masz zgodę kierownictwa wyższego szczebla.
Środowisko typu zero trust wymaga nastawienia typu „wszystko albo nic” i zdecydowanego zaangażowania wszystkich szczebli kierownictwa i zespołów. Wsparcie ze strony kierownictwa wyższego szczebla było często wymieniane przez specjalistów CRA, podczas gdy brak wsparcia był główną przeszkodą podawaną przez organizacje, które nadal zmagają się z przyjęciem architektury typu zero trust.
Zacznij od małych rzeczy.
Aby uniknąć zakłóceń działalności firmy, rozpocznij wdrażanie modelu zero trust, najpierw migrując zasoby biznesowe o niskim ryzyku, a następnie przejdź do bardziej krytycznych zasobów, gdy zespół będzie miał większe doświadczenie z tym modelem.
W razie wątpliwości skup się na zarządzaniu tożsamością i dostępem.
Zarządzanie tożsamością i dostępem (IAM) jest najczęściej wdrażanym komponentem zero trust, a 95% organizacji ma wdrożone rozwiązanie IAM.
Jak Keeper może pomóc Twojej organizacji w przyjęciu architektury typu „zero-trust”
Pakiet cyberzabezpieczeń Keeper typu zero trust i zero knowledge umożliwia organizacjom przyjęcie zdalnego dostępu typu zero trust dla ich rozproszonych pracowników, z silnym uwierzytelnianiem oraz szczegółową widocznością i kontrolą. KeeperPAM® – rozwiązanie Keeper nowej generacji do zarządzania dostępem uprzywilejowanym – unifikuje narzędzia Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) i Keeper Connection Manager (KCM).
Dzięki unifikacji EPM, KSM i KCM Keeper zapewnia administratorom IT wszechobecny, pojedynczy panel do śledzenia, rejestrowania, monitorowania i zabezpieczania każdego użytkownika na każdym urządzeniu z każdej lokalizacji, podczas gdy prowadzą oni interakcję ze wszystkimi dozwolonymi witrynami, systemami i aplikacjami.
