Что такое архитектура с нулевым доверием "Zero trust"

Zero Trust стало одним из последних модных словечек в области кибербезопасности. Крайне важно понимать, что такое Zero Trust, а что не является ей.

Zero Trust - это стратегическая инициатива, которая помогает предотвратить успешные утечки данных за счет исключения концепции доверия из сетевой архитектуры организации. Основанный на принципе «никогда не доверяй, всегда проверяй», Zero Trust разработан для защиты современных цифровых сред за счет использования сегментации сети, предотвращения бокового смещения, обеспечения предотвращения угроз уровня 7 и упрощения детального контроля доступа пользователей.

---

Zero Trust или "Нулевое доверие" было создано Джоном Киндервагом, когда он был вице-президентом и главным аналитиком Forrester Research, на основе осознания того, что традиционные модели безопасности основываются на предположении о том, что всем и всему в корпоративной сети организации следует доверять. В рамках этих моделей нарушенного доверия предполагается, что личность пользователя не будет скомпрометирована и все пользователи в сети не имеют "плохих" умыслов использования информации, а значит им можно доверять. Модель нулевого доверия признает, что доверие - это уязвимость. Попав в сеть, пользователи, в том числе злоумышленники, могут свободно перемещаться по сторонам и получать доступ к любым данным, которые можно просмпатривать, копировать и так далее. Помните, что точка проникновения атаки довольно часто не является целевой локацией.

Согласно The Forrester Wave ™: Privileged Identity Management, Q4 2018, эта модель доверия по-прежнему злоупотребляет учетными данными. Нулевое доверие не связано с тем, чтобы сделать систему надежной, а с тем, чтобы устранить доверие.

Что это Архитектура нулевого доверия

В Zero Trust вы определяете «защитную поверхность». Поверхность защиты состоит из наиболее важных и ценных данных, активов, приложений и сервисов сети - сокращенно DAAS. Поверхности Protect уникальны для каждой организации. Поскольку она содержит только то, что наиболее важно для деятельности организации, поверхность защиты на несколько порядков меньше, чем поверхность атаки, и ее всегда можно узнать.

Определив вашу защищенную поверхность, вы можете определить, как трафик движется по организации относительно защищенной поверхности. Понимание того, кто такие пользователи, какие приложения они используют и как они подключаются, - единственный способ определить и применить политику, обеспечивающую безопасный доступ к вашим данным. Как только вы поймете взаимозависимости между DAAS, инфраструктурой, сервисами и пользователями, вы должны разместить элементы управления как можно ближе к защищаемой поверхности, создавая вокруг нее микропериметр. Этот микропериметр перемещается вместе с защищаемой поверхностью, куда бы он ни шел. Вы можете создать микропериметр, развернув шлюз сегментации, более известный ,как межсетевой экран следующего поколения, чтобы гарантировать, что только известный, разрешенный трафик или законные приложения имеют доступ к защищаемой поверхности.

Шлюз сегментации обеспечивает детальную видимость трафика и обеспечивает дополнительные уровни проверки и контроля доступа с помощью детализированной политики уровня 7 на основе метода Киплинга, который определяет политику нулевого доверия на основе того, кто, что, когда, где, почему и как. Политика нулевого доверия определяет, кто может проходить через микропериметр в любой момент времени, предотвращая доступ к вашей защищаемой поверхности неавторизованными пользователями и предотвращая кражу конфиденциальных данных. Нулевое доверие возможно только на уровне 7.

После того, как вы построили свою политику нулевого доверия вокруг своей поверхности защиты, вы продолжаете отслеживать и поддерживать ее в режиме реального времени, ища такие вещи, как то, что должно быть включено в поверхность защиты, взаимозависимости, которые еще не учтены, и способы улучшения политики.

Нулевое доверие: столь же динамично, как и ваше предприятие

Zero Trust не зависит от местоположения. Пользователи, устройства и рабочие нагрузки приложений теперь повсюду, поэтому вы не можете обеспечить нулевое доверие в одном месте - его необходимо распространить на всю вашу среду. Правильные пользователи должны иметь доступ к нужным приложениям и данным.

Пользователи также получают доступ к критически важным приложениям и рабочим нагрузкам из любого места: дома, в кафе, офисах и небольших филиалах. Zero Trust требует постоянной видимости, обеспечения соблюдения и контроля, которые могут осуществляться непосредственно на устройстве или через облако. Программно определяемый периметр обеспечивает безопасный доступ пользователей и предотвращает потерю данных независимо от того, где находятся пользователи, какие устройства используются или где размещены ваши рабочие нагрузки и данные (например, центры обработки данных, общедоступные облака или приложения SaaS).

Рабочие нагрузки очень динамичны и перемещаются между несколькими центрами обработки данных и общедоступными, частными и гибридными облаками. С Zero Trust вы должны иметь глубокую видимость активности и взаимозависимостей между пользователями, устройствами, сетями, приложениями и данными. Шлюзы сегментации отслеживают трафик, предотвращают угрозы и обеспечивают детальный доступ через трафик север-юг и восток-запад в вашем локальном центре обработки данных и в многооблачных средах.

Развертывание нулевого доверия

Достижение нулевого доверия часто считается дорогостоящим и сложным. Однако Zero Trust основан на вашей существующей архитектуре и не требует от вас копировать и заменять существующие технологии. Нет продуктов Zero Trust. Есть продукты, которые хорошо работают в средах Zero Trust, и те, которые не работают. Zero Trust также довольно просто развернуть, внедрить и поддерживать с помощью простой пятиступенчатой ​​методологии. Этот управляемый процесс помогает определить, где вы находитесь и куда идти дальше:

1. Определите защищаемую поверхность

2. Сопоставьте потоки транзакций

3. Постройте архитектуру с нулевым доверием

4. Создать политику нулевого доверия

5. Контролировать и поддерживать

Создание среды с нулевым доверием, состоящей из защищенной поверхности, содержащей один элемент DAAS, защищенного микропериметром, применяемым на уровне 7 с политикой метода Киплинга с помощью шлюза сегментации, - это простой и повторяющийся процесс, который вы можете повторить для одной защитной поверхности / элемента DAAS в время.

Чтобы узнать больше о нулевом доверии и его внедрении в вашей организации, прочтите официальный документ «Упростите внедрение нулевого доверия с помощью пятиэтапной методологии».

Как достичь архитектуры нулевого доверия

Используйте Zero Trust, чтобы получить видимость и контекст для всего трафика - для пользователей, устройств, местоположений и приложений - плюс возможности зонирования для видимости внутреннего трафика. Чтобы получить видимость и контекст трафика, он должен пройти через межсетевой экран нового поколения с возможностями дешифрования. Межсетевой экран нового поколения обеспечивает микросегментацию периметров и выполняет функции пограничного контроля в вашей организации. Хотя необходимо защитить внешнюю границу периметра, еще более важно получить видимость для проверки трафика, когда он пересекает различные функции в сети. Добавление двухфакторной аутентификации и других методов проверки повысит вашу способность правильно проверять пользователей. Используйте подход нулевого доверия для идентификации ваших бизнес-процессов, пользователей, данных, потоков данных и связанных рисков, а также установите правила политики, которые могут автоматически обновляться с учетом связанных рисков при каждой итерации.

Чтобы узнать больше о Zero Trust и реализации сетей Zero Trust, прочтите технический документ «5 шагов к нулевому доверию» или просмотрите веб-семинар «Как включить Zero Trust Security для вашего центра обработки данных».

Вы также можете просмотреть следующие страницы веб-сайта Palo Alto Networks для получения дополнительной информации:

1. Сегментация сети / нулевое доверие

2. Межсетевой экран нового поколения

3. Виртуализированный межсетевой экран нового поколения серии VM

4. ID пользователя

5. App-ID