Zabezpečení s nulovou důvěrou přidává potřebné složky

Dnešní prostředí hrozeb se skládá z kvalifikovaných, organizovaných a dobře financovaných špatných herců. Mají mnoho cílů, včetně exfiltrace citlivých údajů pro politické nebo ekonomické motivy. Aby bylo možné bojovat proti těmto mnohonásobným hrozbám, musí se trh s kybernetickou bezpečností rozšířit ještě rychleji.

IT vůdci musí vyvinout svůj bezpečnostní rámec, pokud chtějí zůstat před kybernetickými hrozbami. Vývoj v oblasti bezpečnosti, kterého jsme svědky, má sklon k modelu Zero-Trust a softwarově definovaný obvod (SDP), nazývaný také „Black Cloud“. Princip jeho konstrukce je založen na modelu, který je třeba znát.

Model Zero-Trust říká, že každý, kdo se pokouší získat přístup ke zdroji, musí být nejprve ověřen a autorizován. Uživatelé se nemohou připojit k ničemu, protože neautorizované zdroje jsou neviditelné a zůstávají ve tmě. Pro další ochranu lze model Zero-Trust kombinovat se strojovým učením (ML), aby se zjistilo rizikové chování uživatelů. Kromě toho lze použít pro podmíněný přístup.

Segmentace typu Zero-Trust v zásadě zajišťuje přístup s nejmenšími oprávněními a redukuje plochu útoku na absolutní minimum. Zabraňuje jakýmkoli postranním pohybům v síti, čímž eliminuje mnoho známých útoků založených na síti, včetně skenování serveru, odmítnutí služby, injekce SQL, operačního systému, zneužití zranitelnosti aplikací a zprostředkování několika jmenovaných uživatelů. . Individuální segmentace není jen IP adresa na IP adresu, ale také služby (porty) a aplikace.

Boční pohyb je běžnou technikou, kterou špatní herci používají k navigaci mezi segmenty nebo uvnitř segmentů s cílem ohrozit cenné jmění. Pohybují se opatrně a často zůstávají bez povšimnutí měsíce, ne-li roky. Hacker by objevil, identitu a poté zacílil na zařízení v síti. Hacker by obvykle zacílil a snadno ohrozil zařízení (neopravené servery) a pak udělal cestu k cennějším aktivům. Zatímco „přední dveře“ serveru mohou být zabezpečeny, existuje mnoho zadních dveří, které musí být zajištěny také z hlediska správy, protokolování a dalších provozních využití.

Když prozkoumáme naši minulost, zjistíme, že jsme učinili významné kroky ve vývoji našeho myšlení týkajícího se bezpečnosti. Například jsme se přesunuli z jednofaktorové autentizace k dvoufaktorové autentizaci a nyní k vícefaktorové autentizaci. Také jsme se přesunuli z nekódujícího provozu v pohybu k šifrování provozu v pohybu, což má za následek, že vysoké procento aplikací je šifrováno pomocí zabezpečení transportní vrstvy (TLS).. 

Zero-Trust je další velký megatrend, který nám umožňuje bránit se před interními a externími kybernetickými zločinci. Technologický trh se neustále rozvíjí. Pokud prozkoumáte předchozí bezpečnostní architektury, můžete říci, že nemáme jinou možnost, než se sem dostat. Obchodní cíle musí splňovat bezpečnostní řešení a to, že máte kladivo, neznamená, že je všechno hřebík. Obecně se předpokládá, že mnoho porušení má interní vektor, kde uživatel nebo malware umožňuje přístup externímu účastníkovi.

Předchozí zastaralé architektury

Tradiční architektury s přístupem k řízení přístupu do sítě (NAC) a virtuální privátní sítě (VPN) jsou založeny na předpokladu, že vnější svět je zlý a vnitřek je dobrý; bez hrozeb.

Skutečností je, že došlo k rychlému nárůstu úspěšných útoků, které mají škodlivou součást, ať už jde o uživatele uvnitř nebo o ohrožené zařízení. Takže již nemáme důvěryhodnou síť a jasné demarkační body. Je docela nešťastné a smutné, když říkáme, že uživatelé uvnitř sítě nejsou důvěryhodnější než uživatelé mimo síť. 

Obvod, který stále existuje, je plynulejší, než tomu bylo v minulosti. Předpoklad tradiční architektury měl mít pevný obvod. Obvod by se stal plynulejším, a to nejen se zavedením nových technologií, ale s pokrokem nových obchodních modelů, jako například s řadou API různých dodavatelů. Vymezovací body podnikání a jejich řešení se staly mnohem moudřejší než v minulosti.

Zero-Trust je realita, nejen prezentace PowerPoint. Existují skutečné produkty, jako je SDP, což je pracovní skupina a navrhovaná architektura, která přináší na trh Zero-Trust.

Softwarově definovaný obvod (SDP)

Skupina SDP prosazuje zabezpečení Zero-Trust. Jejich cílem je vyvinout řešení, které zabrání síťovým útokům na aplikaci. Zpočátku se jednalo o práci prováděnou v Agentuře pro obranu informačních systémů (DISA) v rámci iniciativy Black Core Network Global Information Grid (GIG) v roce 2007..

Jejich počáteční koncepce se spoléhaly na překryvnou síť a softwarového klienta, který zásadně neintegroval Identity and Access Management (IAM) do základní IP sítě. Obhajují však mnoho principů, které se používají v modelu Zero-Trust.

Komerční produkt obsahuje řadu komponent, jako je klient SDP, řadič a brána.

Klient SDP pracuje s celou řadou funkcí, které se liší od ověřování totožnosti zařízení a uživatele, přes směrování místních aplikací povolených na povolenou vzdálenou aplikaci. Je nakonfigurován v reálném čase, aby se zajistilo, že se vzájemná TLS VPN založená na certifikátu připojí pouze ke službám, na které má uživatel oprávnění.

Řadič SDP funguje jako zprostředkovatel důvěry mezi klientem a ovládací prvky backend zabezpečení. Řadič nese certifikační autoritu (CA) a poskytovatel identity (IP) nese funkce. Po ověření klienta řadič nastaví oba; klient SDP a brána v reálném čase k vytvoření vzájemného připojení TLS.

Ukončení na řadiči je podobné jako u signalizace v hlasových sítích. Dnes v telefonních sítích zpočátku dostáváme signál a je zahájeno volání, než povolíme média projít.

To je ekvivalentní s relací protokolu iniciace relace (SIP) a relací protokolu řízení přenosu (TCP). Provádíme signalizaci, abychom se ujistili, že jsme ověřeni a autorizováni. Teprve potom můžeme komunikovat se vzdáleným koncem.

Pak máme bránu SDP. Doporučujeme, aby byla brána SDP nasazena topologicky, blíže k chráněné aplikaci.

Architektura SDP poskytuje několik cenných bezpečnostních vlastností, pokud jsou kombinovány dohromady:

  • Informační skrývání: U sítí VPN používáte název DNS serveru VPN, ale u SDP se nikdy neuvidíte název DNS koncového bodu, protože řadič SDP sedí uprostřed a jedná jako zprostředkovatel tunelu..
  • Přístupnost: Nejsou dostupné žádné informace DNS ani viditelné porty chráněné aplikace. V zásadě jsou aktiva chráněná SDP považována za „tmavá“, což znamená, že nemohou být detekována.
  • Předběžná autentizace: SDP předběžně ověřuje a ověřuje připojení. Identita zařízení je ověřena před poskytnutím připojení. To lze zjistit pomocí tokenu MFA vloženého do nastavení připojení TCP nebo TLS.
  • Předběžná autorizace: Uživatelé mají přístup pouze k aplikacím, které jsou vhodné pro jejich roli, zatímco jsou synchronizovány s přiřazením zásad.
  • Přístup k aplikační vrstvě: Jedná se o osobní spojení mezi uživateli a zdroji. Uživatelé mají přístup pouze v aplikační vrstvě a ne do celé sítě, kterou leží pod ní.
  • Rozšiřitelnost: SDP je postaven na osvědčených komponentech založených na standardech, jako jsou vzájemné certifikáty TLS, SAML a X.509. Technologie založená na standardech zajišťuje snadnou integraci s dalšími bezpečnostními systémy, jako je šifrování dat.

Pro společnost Zero-Trust přicházejí další případy skutečného použití ve formě segmentu prodejních míst a umožňují třetím stranám přístup k vaší síťové infrastruktuře..

Případ použití: segmentace prodejního místa

Dnešní technologie segmentace sítě jsou omezeny kvůli jejich závislostem na vrstvách 2 a 3 vrstvy otevřených systémů (OSI). VxLAN je volba segmentace v datovém centru. Virtuální sítě LAN (VLAN) jsou tedy v kancelářích a virtuální směrování a přeposílání (VRF) po rozsáhlé síti (WAN). Problém s těmito mechanismy segmentace vrstev 2 a 3 je však v tom, že pro tvorbu politik používají pouze adresu pro řízení přístupu k médiím (MAC) nebo IP adresy, a nikoli inteligentnější proměnné..

Dnes je například problémem se segmentací VLAN to, že segmentujete pouze na konkrétní zařízení. Pokud však máte server v odvětví platebních karet (PCI), možná budete chtít udržet provoz PCI odděleně od ostatních přenosů, například adresáře nebo Office 356, ZT vám v zásadě umožňuje budoucí segmentový provoz v zařízení na úrovni služeb / aplikací..

ZT je individuální segmentace uživatelského zařízení a služby / aplikace. Vybere zařízení a provede individuální mapování služby, nikoli aplikace. Může segmentovat síťový provoz nejen na základě MAC nebo IP adresy zařízení, ale je také schopen segmentovat provoz na základě uživatelských služeb a aplikací.

Případ použití: přístup třetích stran

Řekněme například, že máme technickou podporu pro třetí stranu. Banka může mít databázi Oracle, ve které jsou spuštěny klíčové aplikace, se kterými mají potíže. Proto je pro přístup k situaci zapotřebí externí partner. Jak to provedete tak, že externí podpůrný člen v datovém centru nevidí ani nic jiného neudělá?

S modelem Zero-Trust má tato osoba přístup k serveru v určitém čase se specifickým MFA a konkrétním číslem problémové letenky. Pokud se tedy vrátí do 4 hodin, není jim povolen přístup.

To je ve srovnání s dnešním běžným přístupem třetích stran. Jakmile budete mít přístup k síti VPN prostřednictvím sítě VPN, můžete vidět a jít na všechno ostatní. Zero-Trust umožňuje izolovat až jeden konkrétní server s jednou IP adresou a číslem portu od konkrétního zdrojového portu a IP adresy.

Kromě toho existuje tolik dalších proměnných, které může vzít v úvahu. Zero-Trust je více proměnná, která je dynamická a není statická. Poskytuje uživatelům jednorázový přístup k požadované aplikaci, zatímco všechny ostatní zdroje jsou maskovány bez udělení přístupu do celé sítě.

Projekt BeyondCorp společnosti Google

Iniciativa společnosti BeyondCorp od společnosti Google přechází k modelu, který upouští od privilegované firemní sítě. Místo toho závisí přístup výhradně na pověření zařízení a uživatele, bez ohledu na umístění uživatele v síti.

Veškerý přístup k podnikovým prostředkům je plně ověřen, autorizován a
šifrované, na základě stavu zařízení a uživatelských údajů. Výsledkem je, že všichni zaměstnanci mohou pracovat z libovolné sítě a bez nutnosti tradičního připojení VPN.

Přechod na nulovou důvěru má tři hlavní výhody. Prvním je odstranění hranic veřejné a soukromé sítě a nakládání se všemi privátními a veřejnými IP sítěmi se stejnou zásadou Zero-Trust. To je svět, ve kterém dnes žijeme, a proto musíme jednat podle toho.

Druhým je oddělení bezpečnosti od základní IP sítě a přidání inteligence OSI vrstvy 5 na samý okraj sítí. Tato architektura je krokem správným směrem k boji proti počítačovým zločincům. Vyžaduje však, abychom přehodnotili, jak bychom dnes mohli implementovat zabezpečení. Stejně jako NG-Firewally se pohybují dále nahoru, stejně jako směrovače nové generace musí udělat totéž.

Realisticky, VPN již nejsou v módě. Uživatelé nechtějí trávit čas jejich nastavením, správci zabezpečení se navíc přesouvají na model Zero-Trust. Google například umožnil všem svým zaměstnancům pracovat odkudkoli bez nutnosti VPN. Tuto funkci přístupnosti mají již několik let a byla velmi úspěšná při zajišťování vysoké úrovně zabezpečení a zároveň umožňuje uživatelům pracovat odkudkoli.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.