„V prípade ZTA neplatí celá koncepcia dôveryhodných a nedôveryhodných zón. Najúčinnejšia stratégia je holistický prístup, ktorý zabezpečuje viditeľnosť a kontrolu tým, že sa zameriava na tri kľúčové oblasti: kto je v sieti, čo je v sieti a čo sa deje so spravovanými zariadeniami, keď sieť opustia,“ hovorí Ondřej Šťáhlavský, st. regionálny riaditeľ CEE spoločnosti Fortinet.

Najbezpečnejšia sieť je taká, ktorá nemá žiadne pripojenie. Táto myšlienka je nielen nepraktická, ale popiera samotný účel siete. Ako sa podniky stále viac digitalizujú, siete sa nevyhnutne stávajú zložitejšie a rozptýlenejšie. Dnešné siete majú veľa „okrajov“ a je tak ťažšie než kedykoľvek predtým vytvoriť jedinú obranyschopnú hranicu. Tvárou v tvár týmto zmenám sa tradičné ohraničenie siete rozpadá a je výrazne náročnejšie určiť, komu a čomu možme dôverovať.

V reakcii na rastúci počet hrozieb sa dnes pri prístupe k sieti využíva postoj v štýle „never nikomu, never ničomu“. Ochrana siete pomocou prístupu nulovej dôvery (Zero Trust Access, ZTA) znamená, že všetci používatelia, všetky zariadenia a všetky webové aplikácie z cloudu musia byť dôveryhodné, overené a musia mať správne množstvo prístupových oprávnení (a nie viac).

Pri zabezpečení založenom na perimetri má voľný prístup všetko, čo dokáže obísť hraničné kontrolné body zabezpečenia. V prípade ZTA sa však predpokladá, že každé zariadenie v sieti je potenciálne infikované a každý používateľ je schopný ohroziť kritické zdroje.

Model prístupu Zero Trust nie je nová koncepcia. Manažéri informačnej bezpečnosti (CISO), ktorí ju plánujú zaviesť, si môžu vybrať zo širokej ponuky technológií, ktoré sú navrhnuté tak, aby spĺňali požiadavky architektúry Zero Trust Národného inštitútu pre štandardy a technológie (NIST). Zabezpečiť však, aby všetky tieto často izolované technológie spolupracovali a zabránilo sa tak chybám v zabezpečení, môže byť náročné.

Zameranie na tri kľúčové oblasti prístupu Zero Trust Access

„V prípade ZTA neplatí celá koncepcia dôveryhodných a nedôveryhodných zón. Najúčinnejšia stratégia je holistický prístup, ktorý zabezpečuje viditeľnosť a kontrolu tým, že sa zameriava na tri kľúčové oblasti: kto je v sieti, čo je v sieti a čo sa deje so spravovanými zariadeniami, keď sieť opustia,“ hovorí Ondřej Šťáhlavský, st. regionálny riaditeľ CEE spoločnosti Fortinet.

1.Kto je v sieti

Každý digitálny podnik má rad používateľov. K sieti pristupujú tradične zamestnanci, ale často môžu potrebovať prístup k dátam a aplikáciám umiestneným v lokálnom prostredí alebo v cloude aj dodávatelia, partneri dodávateľského reťazca a dokonca aj zákazníci.

Aby bola stratégia ZTA efektívna, je zásadné určiť, kto je každý užívateľ a akú rolu v organizácii hrá. Model Zero Trust sa zameriava na „zásadu najmenšieho prístupu“, ktorá užívateľovi poskytuje prístup iba k zdrojom, ktoré sú na jeho úlohu alebo prácu nevyhnutné. Po identifikácii užívateľa je prístup k akýmkoľvek ďalším zdrojom poskytnutý v závislosti od konkrétneho prípadu.

Táto stratégia sa začína tým, že CISO nariadi identifikáciu a autentifikáciu odolnú proti narušeniu. Identitu používateľov možno ohroziť buď hrubou silou pri prelomení slabých hesiel, alebo pomocou taktiky sociálneho inžinierstva, ako je napríklad phishing. V záujme zvýšenia bezpečnosti pridáva veľa podnikov do svojich prihlasovacích procesov viacúrovňovú autentizáciu (MFA). MFA zahŕňa niečo, čo užívateľ pozná, napríklad meno užívateľa a heslo, spolu s niečím, čo užívateľ má, napríklad zariadenie s tokenom, ktoré generuje jednorazový kód, alebo softvérový generátor tokenov.

Hneď ako je identita užívateľa overená prostredníctvom prihlásenia, viacúrovňového vstupu alebo certifikátu, je následne prepojená so systémom prístupových práv založených na roliach (RBAC), ktorý overenému používateľovi priradí konkrétne prístupové práva a služby.

CISO musí zaistiť, aby bezpečnostné procesy neboli príliš komplikované, pretože by obmedzovali produktivitu používateľov alebo sťažovali používanie. Riešenia ZTA, ktoré sú rýchle a podporujú jednotné prihlasovanie (SSO), môžu pomôcť zlepšiť dodržiavanie predpisov a prijatia.

2.Čo je v sieti

Vzhľadom na masívny nárast aplikácií a zariadení sa perimeter siete rozširuje a v súčasnosti je potrebné udržiavať a chrániť potenciálne miliardy okrajov. Na efektívnu stratégiu ZTA musí CISO zvládnuť mimoriadny nárast počtu zariadení, ktorý je následkom rozšírenia internetu vecí (IoT) a stratégie „prines si vlastné zariadenie“ (BYOD, bring-your-own-devices). Týmito zariadeniami môže byť čokoľvek od telefónov a notebookov koncových používateľov až po servery, tlačiarne a zariadenia IoT, ako sú ovládače výpočtových, ventilačných a klimatizačných systémov.

Aby bolo možné pochopiť, aké zariadenia sú v danom momente v sieti, musí CISO zaviesť aj nástroje na riadenie prístupu k sieti (NAC), ktoré dokážu automaticky identifikovať a profilovať každé zariadenie, keď žiada o prístup k sieti, a navyše zistiť ich zraniteľnosť. Aby bolo možné minimalizovať riziko ohrozenia zariadení, musia byť procesy NAC overené počas niekoľkých sekúnd a zabezpečiť tak konzistentnú prevádzku v drôtových i bezdrôtových sieťach.

Je veľmi dôležité zabezpečiť riadenie prístupu pre všetky zariadenia, obzvlášť náročné je to však pre zariadenia IoT, pretože zvyčajne ide o zariadenia s malým výkonom a malou veľkosťou (SFF) bez pamäte alebo procesora, ktoré by podporovali bezpečnostné procesy a ktoré taktiež často nie sú kompatibilné s nástrojmi na zabezpečenie koncových bodov. 

Riadenie prístupu prostredníctvom siete zahŕňa nevyhnutnú mikrosegmentáciu siete pomocou firewallov novej generácie (NGFW) a zoskupenie podobných zariadení IoT, aby bola zaistená väčšia odolnosť siete. Tento prístup rozbíja laterálnu (východo-západnú) cestu siete, takže je pre hackerov náročnejšie získať prístup k pripojeným zariadeniam. Znižuje sa tak riziko, že hacker môže infikované zariadenie použiť ako vektor útoku na zvyšok siete.

3.Čo sa stane so spravovanými zariadeniami, keď opustia sieť

Vzhľadom na to, že ľudia používajú zariadenia BYOD ako na osobné, tak na pracovné potreby, je tretím kľúčom k účinnej stratégii ZTA pochopenie toho, čo sa stane, keď také zariadenie opustí sieť. Keď používatelia nie sú prihlásení k sieti, môžu prechádzať internet, komunikovať s ostatnými na sociálnych sieťach a prijímať osobné e-maily. Po tom, čo sú opäť online, môžu títo používatelia neúmyselne vystaviť svoje zariadenia a firemné zdroje hrozbám, ktorými sa mohli „nakaziť“, ako sú vírusy a malvér.

Kontrolovať spravované zariadenie po odpojení od siete je náročné. Vďaka cloudovým službám môžu ľudia odpojiť svoje zariadenia od siete na jednom mieste a znovu ho pripojiť na inom. Alebo môžu začať pracovať na jednom zariadení a pokračovať na inom.

Aby bolo možné vyrovnať sa s týmito problémami, musí byť súčasťou každého riešenia ZTA zabezpečenie koncových bodov. Malo by poskytovať kontrolu hygieny mimo siete vrátane kontroly zraniteľnosti, filtrovanie webu a zásad opráv. Ďalej by malo poskytovať aj bezpečné a flexibilné možnosti pripojenia k virtuálnej privátnej sieti (VPN).

„Rovnako ako nástroje na správu identity by malo zabezpečenie koncových bodov podporovať SSO. Keď je koncový bod pripojený k sieti, malo by riešenie poskytovať informácie o stave zariadenia ostatným sieťovým a bezpečnostným komponentom, aby bolo možné určiť riziko a priradiť zodpovedajúcu úroveň prístupu,“ dopĺňa Ondřej Šťáhlavský, st. regionálny riaditeľ CEE spoločnosti Fortinet.

Nedôverujte nikomu a využívajte efektívnu stratégiu Zero Trust Access

Čím viac ľudí a zariadení sa k sieti pripája, tým menej bezpečný je tradičný prístup založený na perimetri ochrany. CISO musí zmeniť základnú paradigmu otvorenej siete postavenú na prirodzenej dôvere na model nulovej dôvery s prísnymi kontrolami prístupov v sieti, ktoré sa vzťahujú na celú distribučnú sieť.

Výberom integrovaných a automatizovaných nástrojov môže CISO prekonať kľúčové problémy prístupu Zero Trust: vedieť, kto a čo je v sieti, kontrolovať ich prístup k zdrojom a zmierňovať riziká tohto prístupu.