Bezpłatna chmura Oracle Cloud Free Tier

Twórz, testuj i wdrażaj aplikacje na platformie Oracle Cloud — bezpłatnie.

Model zabezpieczeń oparty o zerowe zaufanie

Zerowe zaufanie (zero trust) to podejście do ochrony informatycznej i zabezpieczania danych wrażliwych, przy jednoczesnym przestrzeganiu nowych przepisów dotyczących prywatności. Ponieważ korzystanie z usług w chmurze szybko zdobywa popularność, wiąże się z nim potencjał zagrożenia lub kradzieży danych uwierzytelniających uprzywilejowanego administratora lub aplikacji. Ponadto może to potencjalnie prowadzić do kradzieży danych i cyberoszustw ze strony cyberkryminalistów, ponieważ wprowadzenie skutecznych zabezpieczeń jest często pomijane lub lekceważone. Zerowe zaufanie umożliwia organizacjom regulowanie dostępu do systemów, sieci i danych bez przekazywania kontroli. W związku z tym rośnie liczba organizacji, które przechodzą do modelu zabezpieczeń o zerowym zaufaniu (co oznacza brak zaufania komukolwiek), dzięki czemu firmy mogą zabezpieczać dane za pomocą ustawień bezpieczeństwa ograniczających dostęp do danych zgodnie z określonymi zasadami.

Model zabezpieczeń oparty na zerowym zaufaniu


Czym jest podejście z zerowym zaufaniem?

Standardowy stan bezpieczeństwa sieci skupia się na zatrzymywaniu zagrożeń pochodzących spoza granicy sieci, które mogą narażać dane wrażliwe na kradzież w obrębie sieci. Takie podejście wykorzystuje zapory sieciowe, sieci VPN, kontrolę dostępu, IDS, IPS, SIEM i bramy e-mailowe z zabezpieczeniami na granicy, które cyberprzestępcy potrafią teraz pokonać. Oznacza to, że ktoś z odpowiednimi uwierzytelnieniami może uzyskać dostęp do dowolnych witryn, aplikacji lub urządzeń w obrębie sieci. Dzięki zabezpieczeniom opartym na zerowym zaufaniu nikt domyślnie nie jest dopuszczany – ani z wewnątrz sieci, ani spoza niej. Zerowe zaufanie działa od samego początku, wymagając weryfikacji od każdego użytkownika próbującego uzyskać dostęp do zasobów, uwierzytelniając w ten sposób użytkowników i regulując dostęp do systemów, sieci i danych. Proces ten obejmuje weryfikację tożsamości użytkowników i powiązanych praw dostępu do określonego systemu, umożliwiając organizacjom zarządzanie tożsamościami cyfrowymi użytkowników w celu udzielania odpowiedniego dostępu. W celu wzmocnienia uwierzytelniania zerowe zaufanie wykorzystuje również kilka warstw zaawansowanej kontroli dostępu do urządzeń sieciowych i serwerów obsługujących zasoby. To podejście umożliwia śledzenie działań użytkowników, tworzenie raportów na temat tych działań oraz egzekwowanie zasad w celu zapewniania zgodności.

Architektura zerowego zaufania

 

Zasady architektury zerowego zaufania ustanowione przez amerykański National Institute of Standards & Technology (NIST) to:

  1. Wszystkie źródła danych i usługi przetwarzania są uważane za zasoby.
  2. Cała komunikacja jest bezpieczna niezależnie od lokalizacji w sieci; lokalizacja w sieci nie oznacza zaufania.
  3. Dostęp do poszczególnych zasobów przedsiębiorstwa jest przyznawany osobno dla każdego połączenia; zaufanie do podmiotu żądającego dostępu jest oceniane przed przyznaniem dostępu.
  4. Dostęp do zasobów jest określany przez założenie systemowe, w tym obserwowalny stan tożsamości użytkownika i systemu wysyłającego żądanie, i może zawierać inne atrybuty behawioralne.
  5. Przedsiębiorstwo zapewnia, że wszystkie posiadane i powiązane systemy znajdują się w możliwie najbezpieczniejszym stanie i monitoruje systemy, aby zapewnić, że pozostają one w możliwie najbezpieczniejszym stanie.
  6. Identyfikacja użytkownika jest dynamiczna i ściśle egzekwowana przed przyznaniem dostępu; jest to ciągły cykl dostępu, skanowania i oceny zagrożeń, adaptacji i ciągłego uwierzytelniania.

Jakie są zalety bezpieczeństwa opartego o zerowe zaufanie?

Zmniejszone ryzyko
Zmniejszaj ryzyko związane ze stałymi zagrożeniami w oparciu o zasady projektowania dające priorytet bezpieczeństwu. Korzystaj z technologii, takich jak wbudowana izolacja dzierżawców czy przyznawanie najniższych potrzebnych uprawnień, wspomagających przestrzeganie przepisów dotyczących prywatności i zgodności. Organizacje, korzystając z dobrze zarządzanych tożsamości, mają większą kontrolę nad dostępem użytkowników, co przekłada się na zmniejszone ryzyko naruszeń wewnętrznych i zewnętrznych.

Kontrola dostępu
Zabezpieczenia oparte o zerowe zaufanie obejmują rejestrowanie informacji o użytkownikach, zarządzanie tożsamościami użytkowników i orkiestrowanie przywilejów dostępu w celu ułatwienia regulowania dostępu do systemów lub sieci dla poszczególnych użytkowników w organizacji.

Poprawa stanu bezpieczeństwa organizacji

  • Narażenie danych na skutek niewłaściwego użycia kontroli dostępu / uprawnień
  • Utrata danych poprzez użycie niezatwierdzonych usług w chmurze
  • Brak wglądu w przenoszenie danych między granicami sieci i usługami w chmurze
  • Użytkownicy udostępniający poufne dane użytkownikowi zewnętrznemu za pomocą usługi w chmurze
  • Upublicznienie danych przez zdalnych użytkowników i urządzenia osobiste
  • Złośliwe działania wewnętrzne, w tym działania byłych pracowników z aktywnymi kontami/ uprawnieniami
  • Utrata danych wskutek niewłaściwego użycia zatwierdzonych usług w chmurze
  • Niezaszyfrowane dane
  • Napastnik podszywający się pod pracownika za pomocą skradzionych danych uwierzytelniających
  • Niepoprawnie skonfigurowane konta magazynu obiektów
Model zerowego zaufania

 

Zdobycie przewagi nad konkurencją

Organizacje, które przejdą ze standardowego podejścia do kwestii bezpieczeństwa na granicach do modelu zerowego zaufania, wykorzystują automatyzację, bezpieczeństwo i zarządzanie, co zwiększa ich ogólną konkurencyjność i sprawność biznesową.

Jakie są najlepsze praktyki bezpieczeństwa opartego o zerowe zaufanie?

Organizacje realizujące model zabezpieczeń o zerowym zaufaniu muszą:

  • Ocenić aktualny systemu w celu określenia jego obecnego stanu i opracowania planu naprawczego. Organizacja musi najpierw zidentyfikować swoje dane i nadać im priorytet, aby móc ustalić miejsca wymagające regulacji dostępu. Podejście oparte o zerowe zaufanie wymaga ochrony danych – własności intelektualnej, danych finansowych, danych osobowych klientów lub pracowników, lub (co jest najbardziej prawdopodobne) kombinacji wszystkich trzech rodzajów danych.
  • Wykrywać próby uzyskania dostępu do danych wykraczające poza założenia systemowe oraz wykrywać anomalie w dostępie do danych. Prawie wszystkie działania są powtarzalne, więc anomalie są często głównym wskaźnikiem próby kradzieży danych. Przejście na model zerowego zaufania wymaga pobierania informacji o użytkownikach, zarządzania ich tożsamościami i organizowania uprawnień dostępu.
  • Uniemożliwiać dostęp do danych. Bez automatycznego monitorowania zasobów i działań organizacje stają się podatne na zagrożenia dotyczące użytkowników i naruszenia danych. Zerowe zaufanie daje lepszy wgląd w użytkowników i działania w obrębie organizacji.

Skuteczny model zabezpieczeń opartych o zero zaufania zapewni:

  1. Priorytet dla bezpieczeństwa w zasadach projektowania, z wbudowanymi zabezpieczeniami ograniczającymi ryzyko.

        -  Odizolowana wirtualizacja sieci
        -  Szczegółowy rozdział obowiązków
        -  Dostęp z najniższymi potrzebnymi uprawnieniami

  1. Automatyzowane zabezpieczenia, zmniejszające złożoność i zapobiegające błędom ludzkim.

        -  Zautomatyzowane ograniczanie zagrożeń i reagowanie na nie

  1. Nieustanne i zawsze aktywne zabezpieczenia zapewniające przezroczystą ochronę.

        -  Domyślne i wszechobecne szyfrowanie
        -  Ciągłe monitorowanie zachowań użytkowników
        -  Adaptacyjne uwierzytelnianie oparte na kontekście