Zero Trust Networking (ZTN) nic nevěří

John Kindervag, bývalý analytik Forrester Research, jako první představil model Zero-Trust již v roce 2010. Zaměřil se tedy více na aplikační vrstvu. Jakmile jsem však uslyšel, že Sorell Slaymaker z Techvision Research tlačil téma na úrovni sítě, nemohl jsem odolat výzvě, aby mu zavolal, aby diskutoval o generálech na Zero Trust Networking (ZTN). Během rozhovoru osvětlil četná známá a neznámá fakta o Zero Trust Networking, která by mohla být pro kohokoli užitečná. 

Tradiční svět sítí začal se statickými doménami. Klasický model sítě rozdělil klienty a uživatele do dvou skupin - důvěryhodné a nedůvěryhodné. Důvěryhodní jsou ti uvnitř interní sítě, nedůvěryhodní jsou externí k síti, což mohou být mobilní uživatelé nebo partnerské sítě. K přepracování nedůvěryhodných, aby se stali důvěryhodnými, by k přístupu do vnitřní sítě bylo obvykle používáno virtuální privátní sítě (VPN).

Vnitřní síť by pak byla rozdělena do několika segmentů. Typický dopravní tok by vstupoval do demilitarizované zóny (DMZ) za účelem inspekce a odtud mohl být získán přístup k interním zdrojům. Uživatelé mají přístup k prezentační vrstvě. Prezentační vrstva by pak komunikovala s aplikační vrstvou, která by zase přistupovala k databázové vrstvě. Nakonec tato architektura vykazovala hodně provozu ze severu na jih, což znamená, že většina provozu by vstoupila a opustila datové centrum.

Zrození virtualizace změnilo mnoho věcí, protože to mělo pozoruhodný dopad na dopravní toky. V datovém centru bylo nyní velké množství aplikací, které vyžadovaly křížovou komunikaci. To vyvolalo nový tok provozu, známý jako východ na západ. Výzva pro tradiční model spočívá v tom, že neposkytuje žádnou ochranu pro toky z východu na západ.

Tradiční sítě jsou rozděleny do různých segmentů, které jsou obvykle považovány za zóny. Běžnou praxí bylo seskupování podobných typů serverů do zón bez bezpečnostních ovládacích prvků pro filtrování interního provozu. V rámci dané zóny servery obvykle mohou mezi sebou volně mluvit a sdílet společnou doménu vysílání.

Pokud špatný účastník zjistí chybu zabezpečení na jednom ze svých databázových serverů v této zóně, mohl by se špatný herec snadno pohybovat a pokusit se ohrozit ostatní databázové servery. Takto vznikl síťový a bezpečnostní model. Bohužel se stále používá běžná podniková architektura. Je zastaralý a není bezpečný, přesto se stále nejvíce přijímá. V tomto dni a věku musíte být na pravé straně bezpečnosti.

Špatní herci budou vždy lovit nejslabší článek a jakmile dojde ke kompromitaci, budou se bez povšimnutí pohybovat při hledání vyšších cílových prostředků. Odtud potřebujete nejen chránit dopravu ze severu na jih, ale také ji chránit z východu na západ. Pro překlenutí mezery jsme prošli několika fázemi.

Mikrosegmentace

Současnou nejlepší a nejvýhodnější praxí na ochranu dopravy z východu na západ je mikrosegmentace. Mikrosegmentace je mechanismus, pomocí kterého segmentujete virtualizovaný výpočet od uživatelů. Dále snižuje povrch útoku snížením počtu zařízení a uživatelů v daném segmentu. Pokud špatný účastník získá přístup k jednomu segmentu v datové zóně, je omezen v ohrožení ostatních serverů v této zóně.

Podívejme se na to z jiné perspektivy. Představte si, že internet je jako náš silniční systém a všechny domy a byty jsou počítače a zařízení na silnici. V tomto scénáři mikrosegmentace definuje sousedství a počet lidí žijících v sousedství. Každý v sousedství má schopnost navigovat ke svým dveřím a pokusit se získat přístup k vašemu domu. Zde musíme předpokládat, že čím méně lidí v okolí, tím méně bude váš dům okraden.

Podobně jsme v případě mikrosegmentace nejen rozdělili naše aplikace a služby, ale také jsme začali segmentovat uživatele. Rozděluje různé uživatele pomocí různých sítí do různých segmentů. Byl to krok správným směrem, protože dnes řídí jak pohyb dopravy ze severu na jih, tak z východu na západ, což dále izoluje velikost vysílacích domén..

Přichází také s některými nevýhodami. Jednou z největších nedostatků je to, že je to IP adresa zaměřená na klienty VPN nebo NAC, která není kompatibilní s internetem věcí a spoléhá se na binární pravidla. Využíváme binární rozhodovací proces; buď povolit nebo popřít. ACL to moc nedělá. Můžete povolit nebo zakázat číslo IP nebo portu, ale je to do značné míry statický binární proces.

Ve skutečnosti pro dnešní aplikace musíme použít inteligentnější systémy, pomocí kterých lze spolu s povolením nebo zamítnutím použít další kritéria. Ve srovnání s tím mohou brány firewall NextGen dělat inteligentnější rozhodnutí. Skládají se z pravidel, která například umožňují zdrojovému a cílovému páru komunikovat pouze během určitých pracovních hodin a z určitých segmentů sítě. Jsou podrobnější a mohou se také zaregistrovat, pokud uživatel prošel procesem vícefaktorové autentizace (MFA).

Vrstva relace

Kde probíhá veškerá inteligentní práce? Vrstva relace! Vrstva relací poskytuje mechanismus pro otevírání, zavírání a správu relace mezi koncovými uživateli a aplikacemi. Relace jsou stavové a koncové.

Je to relační vrstva, pomocí níž je kontrolovaný stav a zabezpečení. Důvodem, proč máme brány firewall, je to, že směrovače nespravují stav. Middleboxes jsou přidány pro správu stavu, to je na úrovni státu, kde všechny vaše bezpečnostní kontroly opouští, jako je šifrování, autentizace, segmentace, správa identity a detekce anomálií, abychom jmenovali alespoň některé.

Aby byla zajištěna vysoce bezpečná síť Zero-Trust, musí být síť chytřejší, aby si mohla spravovat stav a bezpečnost, musí si uvědomit vrstvu 5. Protože se jedná o síť specifickou, měli byste mít stále vyšší úroveň zabezpečení v zásobníku.

V některých fázích, namísto vyžadování šroubování na všech těchto „prostředních boxech“, musí síťové směrovače poskytovat tyto funkce nativně v příští generaci softwarově definovaných sítí (SDN), které oddělují datovou rovinu od řídicí roviny..

Dnes jsme na trhu SD-WAN svědky velké pozornosti. SD-WAN však používá tunely a překryvy, jako je IPsec a virtuální rozšiřitelná LAN (VXLAN), které postrádají end-to-end výkon aplikací a bezpečnostní kontroly.

V SD-WAN nemáte mnoho ovládacích prvků zabezpečení. Tunely jsou point-to-point, nikoli end-to-end. Všechny relace procházejí jediným tunelem a tunelem; pro tento provoz nemáte žádné ovládací prvky zabezpečení.

Přestože se dosahuje pokroku a my se ubíráme správným směrem, nestačí to. Musíme začít přemýšlet o další fázi - Zero Trust Networking. Musíme si uvědomit, že ve světě ZTN je veškerý síťový provoz nedůvěryhodný.

Představujeme síť Zero Trust Networking

Cílem aplikace Zero Trust Networking je zastavit škodlivý provoz na okraji sítě dříve, než bude povoleno objevovat, identifikovat a cílit na jiná síťová zařízení..

Zero-Trust ve své nejjednodušší podobě vylepšila segmentaci na model jeden na jednoho. Trvá segmentace až k absolutním koncovým bodům každého uživatele, zařízení, služby a aplikace v síti.

V rámci tohoto modelu mohou být chráněnými prvky buď uživatelé, „věci“, služby nebo aplikace. Skutečná definice je taková, že žádná relace uživatelského datagramového protokolu (UDP) nebo protokolu řízení přenosu (TCP) není povolena bez předchozího ověření a autorizace..

Děláme segmentaci až po koncový bod. Ve světě Zero-Trust je prvním pravidlem popřít všechny. Doslova nedůvěřujete ničemu a pak začnete otevírat whitelist, který může být tak dynamický a zrnitý, jak potřebujete.

Moje první reakce na Zero Trust Networking spočívala v tom, že tento typ individuálního modelu musí do sítě přidat určitou váhu, tj. Zpomalit ji, přidat latenci atd. Ve skutečnosti tomu tak ale není, stačí pouze schopnost ovládat první sadu paketů. Musíte pouze povolit navázání relace. Ve světě TCP je to proces TCP SYN a SYN-ACK. Po zbytek relace můžete zůstat mimo datovou cestu.

Správce sítě musí trávit čas skutečným pochopením uživatelů, věcí, služeb, aplikací a dat ve své síti. Kromě toho musí manažer zjistit, kdo má k čemu přístup. Dobrou zprávou je, že mnoho těchto informací již existuje v adresářích IAM, které je třeba pouze mapovat do směrované sítě..

Jak měříte bezpečnost?

Bylo by dobré se zeptat sami sebe. Jak mohu měřit svou chybu zabezpečení? Pokud to nemůžete změřit, jak to zvládnete? Musíme být schopni vypočítat povrch útoku.

Se ZTN nyní máme vzorec, který v podstatě počítá povrch útoku na síť. Toto je jeden efektivní způsob měření rizik zabezpečení přístupu k síti. Čím nižší je plocha útoku, tím bezpečnější jsou síťová aktiva.

Před nulovou důvěrou byla jednou z proměnných povrchu útoku doména vysílání. Byl to koncový hostitel, který mohl vyslat protokol rozlišení adres všesměrového vysílání (ARP), aby zjistil, zda je v síti něco jiného. To byla podstatná útočná plocha.

Útočná plocha v podstatě definuje, jak otevřená je síť vůči útoku. Pokud nainstalujete například sledovací kameru IoT, měla by mít kamera možnost otevřít relaci zabezpečení transportní vrstvy (TLS) pouze na vybrané sadě serverů. Podle tohoto modelu je útočná plocha 1. Při automatickém šíření malwaru s miliony nezabezpečených zařízení IoT je v dnešní době nezbytností..

Nejlepší číslo útočné plochy je samozřejmě 1, ale počet špatně navržených sítí může být výrazně vyšší. Například při přidávání sledovací kamery IoT do LAN LAN ve skladu, která má 50 dalších připojených zařízení a kamera má 40 otevřených portů, ale není šifrována a neexistují žádná pravidla o tom, kdo je oprávněn zahájit relaci. Výsledkem je až 200 000 krát útočná plocha, což je obrovská mezera v útočné ploše. Tato mezera je úroveň vystavení riziku.

Obvod se rozpouští

Obvod rozpustil vaše uživatele, věci, služby, aplikace a data jsou všude. Jak se svět přesouvá do cloudu, mobilu a internetu věcí, je možnost ovládání a zabezpečení všeho v síti k dispozici.

Tradiční ovládací prvky zabezpečení, jako je NAC (Network Access Control), brány firewall, ochrana proti narušení a virtuální privátní sítě (VPN), jsou založeny na předpokladu, že existuje bezpečný obvod. Jakmile získáte přístup k síti LAN, předpokládá se, že je vše automaticky důvěryhodné. Tento model také předpokládá, že ve všech koncových bodech běží stejný klient VPN nebo NAC, což je v tomto distribuovaném digitálním světě obtížné vynutit.

Zero-Trust tvrdí opak. Všechno, ať už uvnitř nebo vně, je mimo doménu důvěry. V podstatě nic v síti není důvěryhodné. Každá relace, kterou uživatel vytvoří s ostatními uživateli nebo aplikacemi, musí být ověřena, autorizována a zaúčtována na okraji sítě, kde je síťová relace vytvořena..

Dnes může každý opustit svůj dům, cestovat do svého domu a klepat na dveře. I když nemusí mít klíče k otevření dveří, ale mohou čekat na zranitelnost, jako je otevřené okno.

Naopak ZTN říká, že nikdo nesmí opustit svůj dům a klepat na vaše dveře bez řádného ověření a oprávnění. Začíná to předpokladem, že škodlivý provoz by měl být zastaven na svém počátku, ne poté, co pronikl do sítě a pokoušel se získat přístup k koncovému bodu nebo aplikaci.

souhrn

Definování pozice zabezpečení sítě s výchozím nastavením odepření veškerého přístupu k síti a vytvoření seznamů povolených uživatelů nakonec sníží riziko útoků DDoS, infekcí škodlivého softwaru a narušení dat..

Pokud se špatný herec nemůže dostat ani k „předním dveřím“ díla, nebude mít možnost přejít k dalšímu kroku a pokusit se jej porušit! Staré dny „plug & modlit se“ nefungují v dnešní době. Sítě proto musí být dostatečně inteligentní, aby umožňovaly pouze autentizované a autorizované zdroje. V digitálním světě by se nemělo věřit ničemu.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.