Безопасность Zero Trust: полное руководство
«Zero Trust — это совокупность концепций и идей, предназначенных для минимизации неопределенности в обеспечении точных решений о предоставлении доступа с наименьшими привилегиями по каждому запросу в информационных системах и службах в условиях сети, которая считается скомпрометированной».
Представьте себе мир без киберугроз.Никаких хакеров, злоумышленников внутри компании или утечек данных — в общем, никаких поводов для беспокойства. Возможно, у вас даже нет как таковой команды по обеспечению безопасности.
Тем не менее такой мир не соответствует реалиям даже сегодняшнего дня, когда существует множество векторов угроз, поверхность атаки расширяется, конфиденциальные данные становятся объектом атак и вот-вот может произойти следующая утечка данных.
Но есть и хорошая новость: безопасный доступ вполне реален. Внедрив принципы концепции Zero Trust, вы сможете уверенно защищать свои корпоративные ресурсы и сокращать препятствия, возникающие в современной, быстро меняющейся бизнес-среде.
Читайте дальше, чтобы узнать, почему концепция Zero Trust так важна, каковы ее преимущества в контексте корпоративной безопасности и как ваша организация может успешно перейти на архитектуру Zero Trust.
Что такое Zero Trust?
Бывший аналитик Forrester Джон Киндерваг разработал концепцию безопасности Zero Trust в 2010 году. По его определению, это модель безопасности, которая предполагает, что каждое подключение, устройство и пользователь являются потенциальной угрозой и должны расцениваться соответственно.
В отличие от большинства других стратегий кибербезопасности, она исключает неявные отношения доверия и требует, чтобы все пользователи как внутри, так и за пределами организации постоянно проходили аутентификацию, прежде чем им будет предоставлен доступ к сети. Проще говоря, Zero Trust — это политика безопасности, в соответствии с которой никто (независимо от роли или сферы ответственности) по своей сути не считается надежным.
Кроме того, модель Zero Trust отвергает предположение о границе сети. В современной среде традиционный периметр превратился в ряд микропериметров. Сети, к примеру, могут быть локальными, облачными или смешанными. Кроме того, с появлением удаленного доступа почти невозможно определить, где находится ресурс.
Таким образом, подход Zero Trust специально разработан для решения современных проблем безопасности данных. Он обеспечивает безопасный доступ к критически важным активам в любое время и в любом месте. В широком смысле сеть Zero Trust будет выполнять следующие задачи:
- регистрация и проверка всего трафика для выявления подозрительной активности и потенциальных векторов угроз;
- ограничение и контроль доступа пользователей, авторизация запросов только после подтверждения личности пользователя;
- проверка и защита корпоративных ресурсов для предотвращения несанкционированного доступа и раскрытия.
Почему важна концепция Zero Trust
Предприятия сталкиваются с беспрецедентным количеством киберугроз, как внутренних, так и внешних. Киберпреступники значительно активизировали свою деятельность и теперь твердо нацелились на конфиденциальные данные.
Фактически к концу 2023 года еженедельно на одну организацию в среднем приходилось более 1000 атак. В 2023 году каждая десятая организация в мире подверглась попыткам атак с использованием программ-шантажистов, что на 33 % больше, чем в предыдущем году.
Неудивительно, что киберпреступники ничуть не сдали свои позиции. Согласно данным PwC, 43 % руководителей считают снижение киберрисков вторым по значимости приоритетом после уменьшения цифровых и технологических рисков.
Ситуация осложняется тем, что в последние годы организации быстро внедрили политику удаленной и гибридной работы. Это привело к тому, что огромное количество личных неуправляемых устройств начали подключаться к корпоративной сети, тем самым увеличивая поверхность атаки предприятия.
Без возможности защиты или мониторинга конфиденциальных данных, которые хранят эти конечные точки и к которым они предоставляют доступ, организации подвергаются большему риску утечки данных, чем когда-либо. Это особенно важно, учитывая ошеломительную цену, которую придется заплатить в случае плохой защиты от угроз. Как сообщает IBM, средняя стоимость одной утечки данных составляет 4,5 млн долл. США. В то же время те, кто внедряет модель безопасности Zero Trust, экономят более 1 млн долл. за инцидент.
Предприятия также должны учитывать риски, связанные с цифровой трансформацией. Поскольку компании все больше полагаются на удаленные облачные приложения, они должны внедрять новые, сложные стратегии контроля доступа и соблюдения политики безопасности.
Чем Zero Trust отличается от традиционной концепции кибербезопасности?
Традиционные стратегии основаны на подходе «доверяй, но проверяй». Другими словами, все, что стоит за корпоративным брандмауэром, по своей сути считается безопасным и надежным.
А концепция безопасности Zero Trust (нулевое доверие), как следует из ее названия, действует абсолютно противоположным образом. Она применяет к политикам доступа подход «Никогда не доверяй, всегда проверяй». Независимо от того, откуда исходит запрос или на использование какого ресурса он нацелен, среды Zero Trust будут выполнять полную аутентификацию, авторизацию и шифрование перед предоставлением доступа к сети, но ни в коем случае не после этого.
Поэтому корпоративные ресурсы по умолчанию недоступны. Ваши сотрудники могут использовать их только в соответствующих обстоятельствах, определяемых рядом ситуативных факторов. Они могут включать в себя идентификационные данные пользователя, роль в организации, степень конфиденциальности запрашиваемого ресурса, используемое устройство и т. д.
Ключевые компоненты концепции Zero Trust
Как указывает Национальный институт стандартов и технологий (NIST) в своей специальной публикации 800-207, подход с Zero Trust основан на нескольких базовых принципах. По сути, существует три принципа Zero Trust, являющихся неотъемлемой частью этой уникальной политики безопасности.
- Непрерывная аутентификация. Под этим подразумеваются средства предоставления безопасного доступа на основе приемлемых уровней риска. В соответствии с подходом Zero Trust необходимо выполнять авторизацию пользователей на основе идентификационных данных, данных о местоположении, устройстве и службе, рабочей нагрузке, классификации данных и т. д. После этого контекстного анализа пользователю может быть просто разрешено или предложено предоставить дополнительную информацию посредством еще одного запроса аутентификации. Если риск очень высок, пользователь блокируется.
- Учет возможности утечки. Организации всегда должны учитывать возможность утечки данных. То есть они должны постоянно разделять сеть на мелкие сегменты для уменьшения или ограничения поверхности атаки, проверять сквозной трафик и максимизировать видимость активности пользователей и устройств. Это дает возможность обнаруживать угрозы, выявлять аномалии и постоянно улучшать защиту.
- Доступ по принципу наименьших привилегий. Доступ должен быть ограничен на основе политик контроля доступа по принципам just-in-time (предоставление привилегированного доступа строго на определенное время) и just-enough (предоставление минимальных необходимых прав). Другими словами, пользователи и (или) устройства должны иметь разрешение на использование только тех ресурсов, которые необходимы им для выполнения своих обязанностей и критически важных задач.
Пять компонентов или областей риска Zero Trust
В 2021 году Агентство по кибербезопасности и защите инфраструктуры (CISA) создало план внедрения Zero Trust с указаниями для федеральных агентств. Этот документ известен под названием Модель зрелости Zero Trust. Организации могут использовать его как один из многих способов разработки и внедрения собственного метода Zero Trust в указанных ниже областях риска.
- Идентификация. Эта область сосредоточена на проверке и авторизации пользователей и устройств перед предоставлением доступа к сети. К ней может относиться внедрение решения для управления доступом и идентификационными данными (IAM) или многофакторная аутентификация (MFA).
- Устройства. Все устройства (от устройств интернета вещей до персональных мобильных устройств), подключенные к корпоративной сети, могут быть использованы для компрометации конфиденциальных данных. Этот компонент включает в себя создание списка всех подключений и мониторинг их целостности для быстрого обнаружения угроз.
- Сети. Сеть с Zero Trust защищает весь трафик, независимо от местоположения или ресурса, и разбивается на сегменты, чтобы ограничить боковое смещение.
- Приложения и рабочие нагрузки. Этот компонент включает защиту локальных и облачных рабочих нагрузок с помощью политик доступа на уровне приложений и других механизмов.
- Данные. Все хранящиеся, используемые и перемещаемые данные шифруются, отслеживаются и защищаются для предотвращения несанкционированного раскрытия.
Важно отметить, что не существует такого решения Zero Trust или поставщика, которые можно установить и забыть о них. Zero Trust охватывает не только технологии, но и изменение культуры и образа мышления. Что касается технологий, то для создания архитектуры Zero Trust предприятиям понадобится множество инструментов, часто многоуровневых.
В общих чертах некоторые из этих технологий включают перечисленные далее компоненты.
- Поведенческая биометрия.
- Адаптивная аутентификация на основе рисков.
- Микросегментация.
- Контекстуальная осведомленность.
- Единый вход (SSO).
- Беспарольный вход.
Преимущества архитектуры Zero Trust
Хотя термин Zero Trust существует уже довольно давно, реальная сфера реализации этой концепции все еще довольно новая. Тем не менее многие организации готовятся с головой окунуться в ее принципы. Так, согласно данным исследования состояния концепции Zero Trust и шифрования в 2024 году, 61 % организаций, опрошенных институтом Ponemon, начали собственный путь к реализации концепции Zero Trust. Кроме того, Gartner прогнозирует, что к 2026 году не менее 10 % крупных предприятий будут иметь зрелую и измеримую архитектуру Zero Trust.
И рассмотрев ее преимущества, вы поймете, почему это так. Надежная политика безопасности Zero Trust дает вам возможность:
- снизить риск для организации, сведя к минимуму неявные отношения доверия и выходя за рамки традиционной безопасности сети;
- обеспечить соблюдение требований путем защиты конфиденциальных данных и сокращения векторов угроз;
- защитить многокомпонентные и гибридные облачные развертывания с помощью контроля доступа на уровне приложений;
- заменить или дополнить виртуальную защищенную сеть (VPN) для повышения безопасности удаленного доступа и шифрования;
- быстро и уверенно адаптировать сотрудников и масштабировать бизнес, зная, что поверхность атаки хорошо защищена.
Как внедряется Zero Trust?
В целом процесс внедрения можно разбить на несколько основных этапов, которые описаны далее.
- Определение поверхности защиты. Другими словами, необходимо оценить все критические ресурсы, включая конечные точки, пользователей, приложения, серверы и центры обработки данных, которые могут стать целью хакеров.
- Составление карты местонахождения данных и их потоков. Это позволяет изучать и проверять сетевые транзакции, чтобы убедиться в том, что доступ к нужным ресурсам есть только у соответствующих пользователей и приложений.
- Применение подхода, ориентированного на идентификационные данные. В условиях отсутствия традиционного периметра безопасности идентификационные данные становятся новым периметром и находятся в настоящее время в авангарде безопасности данных. Поэтому, чтобы критически важные активы не попали в чужие руки, крайне необходимо применять технологии управления доступом и идентификационными данными и технологии на основе сертификатов.
- Мониторинг, поддержка и улучшение. Постоянный мониторинг вашей среды не только упрощает обнаружение рисков, но и позволяет заблаговременно выявлять уязвимости и сокращать их в режиме реального времени. Для таких учетных данных, как ключи, сертификаты и секреты, необходимы управление жизненным циклом и автоматизация.
Следует отметить, что внедрение концепции Zero Trust требует времени и не обходится без препятствий. Поскольку процесс предусматривает широкий спектр политик, процедур и технологий, он часто растягивается на несколько лет.
Кроме того, устаревшие системы представляют собой еще одно осложнение, поскольку многие более старые инструменты не могут работать с некоторыми принципами Zero Trust или поддерживать их. Замена существующих средств контроля безопасности и модернизация технологий могут быть дорогостоящими, а финансовые ограничения могут стать очередным препятствием.
Учитывая эти факторы, лучше всего использовать поэтапный итерационный подход. Если не торопиться и вносить постепенные изменения, то с течением времени ваша система безопасности будет улучшаться и укрепляться.
Ознакомьтесь с этим руководством, чтобы узнать больше о том, как внедрить Zero Trust.
Как Entrust может помочь в процессе внедрения Zero Trust
Компания Entrust уверена в том, что Zero Trust — это передовая практика корпоративной кибербезопасности. Вот почему мы разработали портфель решений, который может стать прочной основой для создания архитектуры Zero Trust.
В общей сложности наше решение предназначено для покрытия базовых потребностей и обеспечения защиты по трем критически важным направлениям, которые перечислены далее.
- Идентификационные данные, устойчивые к фишингу. Кража и компрометация учетных данных — две самые распространенные первопричины утечек данных. Мы объединяем многофакторную аутентификацию, систему обеспечения безопасности без использования пароля, политики адаптивного контроля, биометрию и другие инструменты для снижения риска атак на основе идентификационных данных.
- Защита критически важной инфраструктуры. Поскольку данные постоянно перемещаются по общедоступным и частным сетям и все большее число пользователей и машин пытаются получить к ним доступ, эти подключения и объекты необходимо защищать. Цифровые сертификаты — это ключевая составляющая для достижения зрелого и устойчивого метода обеспечения безопасности благодаря надежным идентификационным данным, шифрованию и подписи, а также контролю доступа.
- Защищенные данные. Наш портфель обеспечивает шифрование хранящихся, используемых и перемещаемых данных, а также поддерживает децентрализованную инфраструктуру ключей. Это обеспечивает конфиденциальность, целостность и безопасный доступ, а также соответствие строгим нормативно-правовым требованиям.
Мы не просто поставщик услуг — мы будем сопровождать вас на каждом этапе.