"Zero Trust" w ogniu krytyki
Termin „Zero Trust” stał się gorącym tematem w świecie bezpieczeństwa informacji. Ale czy na pewno jest to odpowiednia nazwa? Niektórzy eksperci uważają, że termin ten może być mylący ze względu na negatywną konotację, sugerując użytkownikom, że nie są godni zaufania.
Termin “Zero Trust” może również utrudniać budowanie zaufania w miejscu pracy. Alternatywne i proponowane często w dyskusjach nazwy, które mogłyby lepiej oddawać ideę tego podejścia to „Zero Trust, Full Verification” (Zero zaufania, pełna weryfikacja), „Continuous Verification” (Ciągła weryfikacja) oraz „Adaptive Trust” (Adaptacyjne zaufanie).
Czy te nazwy lepiej oddają potrzebę stałej weryfikacji i monitorowania bez sugerowania braku zaufania do użytkowników? Nie mi to rozsądzać, ale to nie jest też przedmiotem tego wpisu.
Pomimo tych kontrowersji, Zero Trust zyskuje na popularności jako innowacyjne podejście do zabezpieczeń IT, które zakłada brak domyślnego zaufania i wymaga weryfikacji każdego dostępu do zasobów. Podejście „Zero Trust” często wyrażane jest jako „never trust, always verify” (nigdy nie ufaj, zawsze weryfikuj).
Model Zero Trust, zamiast polegać na tradycyjnych metodach ochrony perymetru, wprowadza zasadę ciągłej weryfikacji i monitorowania, niezależnie od lokalizacji użytkownika czy urządzenia.
Oznacza to, że nie należy ufać automatycznie użytkownikowi, urządzeniu czy aplikacji. W podejściu Zero Trust, nawet jeśli pracownik jest w biurze i jest podłączony do sieci firmowej, to i tak konieczna jest weryfikacja, jeśli chce uzyskać dostęp do firmowych zasobów.
W artykule tym przyjrzymy się, dlaczego model Zero Trust tak bardzo zyskuje na popularności, jakie są jego kluczowe zasady, korzyści oraz jak można go skutecznie wdrożyć, aby zapewnić lepszą ochronę danych i zasobów firmowych.
Tylko po co ta weryfikacja?
Można zapytać: ale po co ta weryfikacja? Czy to konieczne? Skąd ten brak zaufania? Ano stąd, że ostatnie kilka lat naprawdę zmieniło sposób, w jaki pracujemy.
Praca zdalna
Ostatnie lata to wzrost liczby pracowników korzystających z pracy zdalnej. Jest to ogromna wygoda, oszczędność czasu, a i – jak dowodzą niektóre badania – wzrost efektywności i zadowolenia pracowników. A co z bezpieczeństwem? Pracownicy muszą łączyć się z firmowymi zasobami z różnych lokalizacji i urządzeń. Czy to zwiększa ryzyko naruszeń bezpieczeństwa?
Chmura
Wiele firm korzysta ze współdzielonych zasobów w chmurze. Przechowuje tam ważne materiały, często wrażliwe dane i tajemnice przedsiębiorstwa. Czy tradycyjne metody ochrony są wystarczające do zabezpieczenia danych w rozproszonym środowisku chmurowym?
IoT
Według badań Gartnera w 2020 roku, podłączonych do sieci urządzeń IoT było ponad 20 miliardów. W 2025 roku ma być ich już około 75 miliardów. Każde z tych urządzeń to potencjalny punkt wejścia dla cyberataków. Czy przypadkiem wzrost liczby urządzań nie wymaga zaawansowanego podejścia do ochrony i bardziej wyrafinowanych strategii zabezpieczeń?
Castle-and-moat
A co z modelem „zamka i fosy”, w którym zakłada się, że wszystko wewnątrz sieci jest bezpieczne (jak za murami zamku i za fosą), a wszelkie niebezpieczeństwa czają się na zewnątrz? Czy mocne zapory ogniowe (firewall) i inne bariery już nie wystarczają, aby nie wpuścić intruza do zasobów firmy?
W obliczu tych wszystkich zmian, tych nowych technologii i zmieniających się modeli pracy tradycyjne metody okazują się niewystraczające. Pracownicy zdalni często się przemieszczają, zasoby trzymamy w chmurze, a granice sieci się zacierają. A przecież tradycyjne metody ochrony zakładają istnienie wyraźnej granicy między tym co bezpieczne – wewnątrz sieci i tym, co jest zagrożeniem zewnętrznym – spoza zaufanej przestrzeni.
Zmiany te wymagają nowoczesnej strategii takiej jak Zero Trust, czy może bardziej „Continuous Verification” (Ciągła weryfikacja) lub „Adaptive Trust” (Adaptacyjne zaufanie).
A jakie są zasady Zero Trust?
Strategia Zero Trust zakłada „never trust, always verify”, co w praktyce przekłada się na brak domyślnego zaufania dla użytkownika, urządzenia czy aplikacji, nawet jeśli znajduje się wewnątrz sieci.
Tradycyjny model bazuje na ludzkim postrzeganiu zaufania. Jeśli każdego dnia w biurze widzę Tomka, który ma identyfikator, to uważam, że jest on pracownikiem i wykonuje swoje obowiązki. W praktyce, nie wiem, czy nie został zwolniony i czy nie próbuje obecnie ukraść firmowych danych.
Alternatywna nazwa, czyli Continuous Verification mówi właśnie o tej ciągłej weryfikacji i monitorowaniu. Jest to jak widać zgoła inne podejście od „ufaj wszystkim i wszystkiemu co jest w sieci”, a wszystko to odbywa się wg określonych zasad.
Ciągłe monitorowanie
Niezależnie od lokalizacji użytkownika, urządzenia czy aplikacji, każda próba dostępu do zasobów musi być weryfikowana. Proces weryfikacji jest konieczny.
Najmniejsze uprawnienia (Least privilege)
Użytkownik otrzymuje dostępy tylko do tych zasobów, które są absolutnie niezbędne do wykonania jego zadań. Nic mniej, nic więcej. Odpowiednie ograniczenie uprawnień zminimalizuje ryzyko naruszenia bezpieczeństwa.
Kontrola urządzeń
Nie tylko użytkownicy, ale też urządzenia muszą przejść weryfikację. Każde urządzenie musi być monitorowane i autoryzowane.
Mikrosegmentacja sieci i zapobieganie ruchowi bocznemu.
Podział sieci na mniejsze, odizolowane segmenty ogranicza intruzowi poruszanie się po całej sieci. Dostęp do jednego obszaru, nie oznacza dostępu do wszystkich zasobów.
Multi-factor authentication (MFA)
Wieloskładnikowe uwierzytelnianie to dodatkowa warstwa zabezpieczeń. Skradzione hasło już nie otwiera na oścież dostępu do zasobów.
Weryfikacja kontekstu
Kontekst każdej interakcji, monitorowanie i adaptacyjne podejmowanie decyzji to filary Zero Trust. Konieczna jest weryfikacja lokalizacji, typu urządzanie czy zachowania użytkownika
Ale czy to się opłaca?
Wg mnie Zero Trust w organizacji to must have. Przynosi masę korzyści – skutecznie zabezpiecza zasoby firmy i minimalizuje ryzyko naruszeń bezpieczeństwa.
A co konkretnie?
- Redukuje powierzchnie ataku. Dzięki Least privilege i mikrosegmentacji intruz będzie miał ograniczone pole rażenia i nie będzie miał pełnego wglądu w zasoby firmy.
- Podnosi poziom bezpieczeństwa pracy zdalnej. Zero Trust pasuje tutaj idealnie. Niezależnie skąd loguje się pracownik i z jakiego urządzenia, każde połączenie jest weryfikowane i monitorowane, tym samym podnosząc poziom bezpieczeństwa zasobów.
- Upraszcza architekturę bezpieczeństwa. Weryfikacja każdego dostępu i monitorowanie aktywności eliminują potrzebę utrzymywania skomplikowanych struktur perymetru i firewalli.
- Chroni dane w chmurze. Dostęp do danych w chmurze zyskuje dodatkową warstwę ochrony. Dostęp ten jest kontrolowany i monitorowany, niezależnie od tego kto i skąd się łączy.
- Buduje zaufanie. Transparentność procedur bezpieczeństwa ukazuje firmę jako godną zaufania i dbającą o ochronę danych i zasobów.
Podsumujmy
Zero Trust, mimo kontrowersji związanej z nazwą, ukazuje się jako strategia, która zdecydowanie podnosi poziom bezpieczeństwa i poprawia transparentność. Celowo nazywam to strategią, dlatego że nie jest to nowa technologia, produkt czy usługa, którą po prostu można kupić, a podejście i szereg zasad, które firma musi wdrożyć.
Przy tak dużej różnorodności użytkowników i maszyn mających dostęp do sieci, przy zasobach, które znajdują się zarówno wewnątrz jak i na zewnątrz sieci, zdecydowanie bezpieczniej jest przyjąć założenie, że żaden użytkownik i żadne urządzenie nie jest godne zaufania domyślnie.
Poleganie na tym, że wszystkie luki zostały załatane, może być niewystarczające i sprawić sporo problemów. A zdecydowanie lepiej i taniej jest zapobiegać niż leczyć.