Różnorodne koncepcje wdrożeniowe „Zero Trust Network”
W pewnym momencie zdano sobie sprawę, że dotychczasowe podejście do bezpieczeństwa zakładające pewien „brzeg” sieci – podział na „my” i „oni” – nie działa. Ponadto, że użytkownicy, systemy lub usługi działające wewnątrz naszej sieci nie powinny być automatycznie zaufane.
Stało się tak z dwóch powodów:
- Dochodziło do rozległych naruszeń bezpieczeństwa danych, gdy hakerzy, którzy przeszli przez brzegowe zapory ogniowe, byli w stanie przejść przez systemy wewnętrzne bez większego oporu.
- Sam „brzeg” – rozumiany jako granica, nie jest już jasno zdefiniowany. Aplikacje i magazyny danych znajdują się lokalnie i w chmurze, a użytkownicy uzyskują do nich dostęp z wielu urządzeń i lokalizacji. Nierzadko z pominięciem centralnego punktu bezpieczeństwa.
Terminy Zero Trust, Zero Trust Network lub Zero Trust Architecture, wymyślone przez analityka ds. bezpieczeństwa z firmy Forrester Research, odnoszą się do koncepcji bezpieczeństwa sieciowego opartego o 3 reguły:
- Nigdy nie ufaj.
- Zawsze weryfikuj.
- Ciągle monitoruj.
Zakłada, że należy weryfikować wszystkich i wszystko nawiązujące próbę połączenia do Twoich systemów przed udzieleniem dostępu. Istnieje kilka głównych sposobów implementacji podejścia zero-trust w sieci firmowej, by umożliwić dostęp do usług i aplikacji dla wewnętrznych i zewnętrznych użytkowników – z zachowaniem kilku warstw bezpieczeństwa.
Tak przy okazji… znowu defense-in-depth.
Tradycyjne VPN
– pozostają złudzeniem podejścia zero-trust, ale zapewniają tylko jeden poziom dostępu –uwierzytelniają – użytkownik może uzyskać dostęp czy nie? Brak im niezbędnych poziomów autoryzacji. Starsze sieci VPN mogą również powodować problemy ze skalowalnością i przepustowością w przypadku zbyt dużej liczby użytkowników mobilnych. Zawsze aktywne – always-on-VPN, które wymagają uwierzytelniania urządzenia i użytkownika, zapewniają wyniki zbliżone do ZTNAUdostępnianie aplikacji internetowych za pośrednictwem Web Application Firewall (WAF)
– zapory warstwy aplikacji opartej o reverse-proxy. WAF pozwala zastosować różne poziomy weryfikacji użytkownika w zależności od rodzaju aplikacji i poziomu dostępu. Dodatkowo zapewnia ochronę protokołu API i wsparcie aktualizowanej na bieżąco bazy exploitów. Ponieważ chronione usługi są nadal widoczne dla atakujących w publicznym Internecie – poziom bezpieczeństwa równy jest poziomowi skuteczności WAF.Virtual Desktop Infrastructure (VDI)
– zapewnienie użytkownikom na niezarządzanych urządzeniach dostępu do wybranego zestawu aplikacji. Udostępniając projekcję służbowego pulpitu, „rzutujemy” firmową politykę dotyczącą komputerów stacjonarnych na wszystkich. Obecnie lokalnie hostowany VDI ustępuje miejsca Desktop-as-a-Service,który jest oferowany przez dużych dostawców chmury takich jak Amazon Web Services (AWS) i Microsoft Azure. Zapewniają one zestaw mechanizmów bezpieczeństwa dla aplikacji i danych przechowywanych wewnątrz.Remote Browser Isolation (RBI)
– izolacja przeglądarki pozwala zyskać warstwę bezpieczeństwa dla dostępu do aplikacji przez Internet. W tym przypadku sama sesja przeglądarki jest renderowana z urządzenia użytkownika końcowego i z usługi chmurowej zapewniając izolację po obu stronach. Użytkownik widzi projekcję aplikacji i strony, a wszelkie ryzyko ataku na urządzenie końcowe jest neutralizowane na poziomie przeglądarki w usłudze chmurowej.DMZ – Demilitarized Zones
– eksponowanie cyfrowych aplikacji biznesowych w tradycyjnych strefach zdemilitaryzowanych pozostaje alternatywą. Kluczową zaletą jest konieczność „wyjścia” z DMZ po zainfekowaniu aplikacji. Jednak strefy zdemilitaryzowane zapewniają ograniczoną izolację przed współczesnymi atakami – zwykle również tak skuteczną jak poziom ochraniającego ją WAF-a. Ponadto strefy DMZ nadal pozostawiają aplikację wykrywalną dla wszystkich atakujących.Content Delivery Network (CDN)
– to kolejna namiastka ZT. CDN mogą absorbować ataki DDoS, zmniejszać szum i zagrożenia związane z atakami botów oraz chronić wykasowaniem witryny. Zwykle mają w sobie również wbudowany WAF. Jednak nie zapewniają one odpowiedniej ochrony na poziomie aplikacji ani anonimowości.API Gateway
–Aplikacje, które nie wymagają pełnej, interaktywnej łączności z Internetem, ale zamiast tego udostępniają tylko interfejsy API do publicznego Internetu, mogą być chronione przez bramę API. Bramy API wymuszają uwierzytelnianie, weryfikują autoryzację i pośredniczą w prawidłowym korzystaniu z interfejsów API aplikacji. Jest to szczególnie przydatne, jeśli aplikacja nie posiada mechanizmów zapewniających bezpieczeństwo API. Większość bram API udostępnia również dzienniki całej aktywności za pośrednictwem natywnego narzędzia do monitorowania lub integracji z popularnymi narzędziami do zarządzania informacjami o bezpieczeństwie i zdarzeniami (SIEM). Najlepsze API Gateway to te integrujące się z usługami katalogowymi i rozwiązaniami typu Single Sign On.
Zaczynaliśmy od autentykacji użytkownika – potwierdzał on swoją tożsamość w jednym miejscu i miał dostęp do wszystkich zasobów. Później dodano autoryzację – użytkownik miał możliwość dostępu do wyznaczonych zasobów. Zero Trust to wezwanie do wykorzystania mikrosegmentacji i wewnętrznego uwierzytelniania i autoryzacji w oparciu o role użytkowników, ich lokalizacje i inne dane celem odpowiedzi na jedno pytanie.
