Что такое нулевое доверие?

• Глоссарий IAM
• Что такое нулевое доверие?

Нулевое доверие — это современная концепция безопасности, в которой устраняется неявное доверие, требуется постоянная и явная проверка всех пользователей и устройств и строго ограничивается доступ к сетевым системам и данным. Вместо того, чтобы сосредотачиваться на том, откуда пользователи входят в систему, нулевое доверие концентрируется на том, кто они такие.

Каковы основные принципы нулевого доверия?

Нулевое доверие основано на трех основных принципах:

1. Предполагать взлом. Несмотря на лучшие меры безопасности, взломы рано или поздно происходят. Любой пользователь в вашей сети (человек или устройство) может быть скомпрометирован прямо сейчас. Примите меры для минимизации «радиуса поражения», например сегментируйте сети, обеспечьте сквозное шифрование и используйте интеллектуальную аналитику для выявления потенциальных угроз.

2. Проверять явно. Все люди и машины должны доказать, что они являются теми, за кого себя выдают, прежде чем они смогут получить доступ к сети вашей организации и ко всем системам, приложениям и данным в ней.

3. Предоставлять минимальные права. После входа в сеть пользователи должны иметь минимальный доступ к сети, необходимый им для выполнения своей работы, и не более того. Развертывание системы с нулевым доверием всегда включает управление доступом на основе ролей (RBAC) с доступом с наименьшими привилегиями.

Как работает система безопасности с нулевым доверием?

Нулевое доверие работает, устраняя неявное доверие. Исторически сложилось так, что модели сетевой безопасности неявно доверяли всем пользователям и устройствам внутри сетевого периметра. Это было адекватно, когда сетевые компоненты и пользователи почти всегда находились локально. Однако из-за широкого внедрения облачных вычислений и — в последнее время — удаленной работы, «сетевого периметра» больше не существует. Подавляющее большинство организаций в настоящее время используют гибридные среды данных, состоящие как из локальных «частных» облаков, так и, по крайней мере, из одного общедоступного облака, а пользователи подключаются к ресурсам организации из любого места и в любое время.

Даже после того, как пользователи аутентифицированы и получили доступ к сети, им не предоставляется полная свобода действий, поскольку любой пользователь может быть скомпрометирован. Идентификация и проверка устройства выполняются по мере перемещения пользователя по сети, и каждый пользователь может получить доступ только к тем ресурсам, которые ему необходимы для выполнения своей работы.

В модели безопасности с нулевым доверием доступ с наименьшими привилегиями и RBAC дополняются сегментацией сети, включая «микросегментацию» особо важных данных. Идея состоит в том, что, хотя сеть в целом не имеет периметра, ее следует разделить на более мелкие сегменты для определенных рабочих нагрузок и данных, при этом каждый сегмент должен иметь свои собственные элементы управления входом и выходом. Распространенным сценарием использования микросегментации с нулевым доверием является отделение регламентированных данных, таких как налоговые данные сотрудников и защищенная медицинская информация, от нерегламентированных данных.

Ограничивая уровни доступа к сети, сегментируя и микросегментируя сети и строго контролируя количество привилегированных пользователей, нулевое доверие ограничивает возможности злоумышленников по компрометации конфиденциальных систем и данных.

Каковы преимущества нулевого доверия?

Нулевое доверие имеет множество преимуществ, и именно поэтому так много организаций используют эту концепцию.

• ИТ-администраторы и администраторы по безопасности получают возможность наблюдать за всеми пользователями, системами и устройствами в среде данных. Они могут видеть, кто подключается к сети, откуда и к чему он обращается.
• Поскольку нулевое доверие позволяет людям, приложениям и службам безопасно взаимодействовать даже через разные сети, пользователи получают больше свободы и гибкости. Они могут безопасно подключаться из своих домов или других удаленных мест, даже если они используют свои собственные устройства.
• Благодаря явной проверке пользователей и устройств концепция нулевого доверия значительно снижает риск кибератак, связанных с паролями. Управление доступом на основе ролей и управление привилегированным доступом сводят к минимуму риск повышения привилегий в случае взлома.
• Механизмы аутентификации с нулевым доверием, управление доступом на основе ролей и сегментация/микросегментация сети поддерживают инициативы по соблюдению требований и приводят к меньшему количеству выявленных отклонений в ходе аудиторских проверок.

Как реализуется безопасность с нулевым доверием?

Одна из самых больших проблем при реализации стратегии безопасности с нулевым доверием заключается в отсутствии универсальных стандартов реализации. Многие организации обращаются к процессу из семи шагов, изложенному в специальной публикации NIST 800-207:

1. Идентифицируйте пользователей

   Эта идентификация относится к любым пользователям, будь то люди или учетные записи служб. NIST отмечает, что привилегированные пользователи, включая ИТ-администраторов и разработчиков, нуждаются в особом контроле, поскольку эти пользователи могут иметь неограниченный доступ к цифровым ресурсам. В среде с нулевым доверием даже привилегированные учетные записи должны иметь наименьшие привилегии, а действия учетных записей должны отслеживаться и регистрироваться.

2. Идентифицируйте все активы, подключенные к сети, и управляйте ими

   Идентификация и управление всеми активами, подключенными к организационной сети, является ключом к успешному развертыванию решения с нулевым доверием. Это включает в себя:

   • Ноутбуки, мобильные устройства, устройства IoT и другие аппаратные компоненты.
   • Цифровые артефакты, такие как приложения и цифровые сертификаты.
   • Устройства, которые не принадлежат организации, но могут подключаться к ее сетевой инфраструктуре или получать доступ к сетевым ресурсам.

   NIST допускает, что всеобъемлющая инвентаризация активов может быть невозможна, поэтому организации также должны быть в состоянии «быстро идентифицировать, классифицировать и оценивать недавно обнаруженные активы, которые находятся в корпоративной инфраструктуре».

   В дополнение к каталогизации активов, этот шаг включает в себя управление конфигурацией и мониторинг, поскольку возможность наблюдать за текущим состоянием активов является частью процесса аутентификации с нулевым доверием.

3. Определите ключевые процессы, оцените их риски и определите «кандидатов» для нулевого доверия

   Определите, ранжируйте и оцените риски бизнес-процессов и потоков данных своей организации, включая их важность для миссии вашей организации. Это поможет определить, какие процессы являются хорошими первоначальными кандидатами для развертывания с нулевым доверием. NIST рекомендует начинать с процессов, которые зависят от облачных ресурсов и/или используются удаленными сотрудниками, поскольку они приведут к самым непосредственным улучшениям безопасности.

4. Сформулируйте политики нулевого доверия для «кандидатов»

   Продолжение шага 3. После определения актива или рабочего процесса для перехода к нулевому доверию определите все вышестоящие и нижестоящие ресурсы, которые этот актив или рабочий процесс использует или на которые он влияет. Это помогает окончательно определить первоначальных «кандидатов» на миграцию с нулевым доверием и гарантирует, что наименьшие привилегии и другие применяемые к ним политики обеспечивают максимальную безопасность, не препятствуя рабочему процессу.

5. Определите и выберите наборы инструментов/решения

   На рынке существует множество решений, отвечающих концепции нулевого доверия, но не все из них подходят для вашей конкретной среды данных и бизнес-потребностей. NIST рекомендует учитывать следующее при выборе инструментов с нулевым доверием:

   • Требуется ли для решения, чтобы компоненты были установлены на клиентском устройстве? Это может ограничить бизнес-процессы.

   • Работает ли решение в тех случаях, когда ресурсы бизнес-процессов размещены локально? В некоторых решениях предполагается, что запрошенные ресурсы находятся в облаке (так называемый трафик "север-юг"), а не в пределах периметра организации (трафик "восток-запад"). Это создает проблему в гибридных облачных средах, где устаревшие бизнес-приложения, выполняющие критически важные функции, могут выполняться локально, поскольку их перенос в облако невозможен.

   • Предоставляет ли решение средства регистрации взаимодействий для анализа? Решения о доступе с нулевым доверием в значительной степени зависят от сбора и использования данных, связанных с потоком процессов.

   • Обеспечивает ли решение широкую поддержку различных приложений, служб и протоколов? Некоторые решения могут поддерживать широкий спектр протоколов прикладного уровня (SSH, веб и т. д.) и транспортных протоколов (IPv4 и IPv6), а другие могут работать только с веб или электронной почтой.

   • Требует ли решение изменений в существующих рабочих процессах? В рамках некоторых решений могут потребоваться дополнительные шаги для выполнения конкретного рабочего процесса, что может потребовать от организации внесения изменений в рабочий процесс.

6. Приступите к первоначальному развертыванию и мониторингу

   NIST рекомендует рассмотреть возможность первоначальной реализации нулевого доверия в «режиме мониторинга», чтобы ИТ-специалисты и специалисты по безопасности могли обеспечить эффективность и выполнимость политик и процессов. Кроме того, как только базовый уровень активности пользователей и сети будет установлен, сотрудники по безопасности смогут лучше выявлять аномальное поведение в будущем.

7. Расширяйте свою архитектуру с нулевым доверием

   После первоначального внедрения нулевого доверия наступает время перенести следующий набор кандидатов. Этот этап является непрерывным; всякий раз, когда происходят изменения в среде обработки данных или рабочих процессах организации, архитектура нулевого доверия должна быть пересмотрена и соответствующим образом скорректирована.

Как реализуется безопасность с нулевым доверием?

Нулевое доверие и нулевое разглашение — совершенно разные, но дополняющие друг друга концепции. Если девиз нулевого доверия — «Никому не доверяй», то девиз нулевого разглашения — «Мы ничего не знаем о ваших данных, потому что у нас нет доступа к ним».

Нулевое доверие гарантирует, что только аутентифицированные пользователи могут получить доступ к сетевым ресурсам и данным; это достигается путем постоянного мониторинга и проверки того, что пользователи и устройства имеют правильные атрибуты и привилегии.

В концепции нулевого разглашения используется уникальная структура шифрования и разделения данных, которая не позволяет поставщикам ИТ-услуг знать, что хранится на их серверах. Keeper — поставщик средств защиты с нулевым разглашением, и все наши продукты построены с использованием архитектуры с нулевым разглашением. Это означает, что:

• Данные клиентов шифруются и расшифровываются на уровне устройства (не на сервере).
• Приложение никогда не хранит данные в виде обычного текста (читаемого человеком).
• Серверы Keeper никогда не получают и не хранят данные в виде обычного текста.
• Ключи для дешифрования и шифрования данных получаются из мастер-пароля пользователя.
• Многоуровневое шифрование обеспечивает контроль доступа на уровне пользователя, группы и администратора.
• При предоставлении данных используется криптография с открытым ключом для безопасного распределения ключей.
• Данные шифруются на устройстве пользователя перед их передачей и сохранением в цифровом хранилище Keeper. Когда данные синхронизируются с другим устройством, данные остаются зашифрованными до тех пор, пока они не будут расшифрованы на другом устройстве.

Нулевое разглашение поддерживает нулевое доверие, ограничивая «радиус поражения» при удаленной утечке данных. В крайне маловероятном случае взлома Keeper злоумышленники не смогут получить доступ к содержимому хранилищ наших клиентов, потому что даже мы не можем этого сделать!