Kun je vertrouwen op nul vertrouwen?

Inhoudsopgave:

Kun je vertrouwen op nul vertrouwen?
Kun je vertrouwen op nul vertrouwen?
Anonim

Vertrouwen is een kwetsbaarheid. Het beschermen van de netwerkperimeter en het vertrouwen van geverifieerde gebruikers wordt vervangen door een nieuw paradigma waarin je niets vertrouwt en alles verifieert. Welkom bij Zero Trust.

Kastelen en grachten

Het traditionele cyberbeveiligingsmodel is vergeleken met een kasteel en een gracht. Je brengt al je waardevolle bezittingen binnen de versterkte muren en je regelt de toegang met een valhek, een ophaalbrug en een gracht.

Als iemand het kasteel wil betreden, moet hij een gesprek hebben met de bewakers in het poortgebouw. Als de persoon wordt herkend als iemand die naar binnen zou moeten worden toegelaten, wordt de ophaalbrug neergelaten, het valhek omhoog gebracht en mogen ze naar binnen. Als ze niet worden herkend, maar een token hebben dat voor hen instaat, zoals een boekrol met de handtekening en het officiële zegel van een vertrouwde edelman, mogen ze naar binnen. Een onbekende die zich niet kan identificeren, wordt buiten gelaten.

Met een netwerk heeft u uw kostbare netwerkactiva binnen uw firewalls en andere digitale versterkingen. Verbindingen met het netwerk zijn alleen toegestaan na een gesprek tussen het apparaat dat verbinding wil maken en de authenticatiediensten van het netwerk. Een ID- en wachtwoordpaar moet tussen hen reizen. Als de inloggegevens worden geaccepteerd, wordt toegang verleend en zijn ze toegestaan binnen de perimeter. Het is duidelijk dat uw perimeter vandaag is uitgebreid met uw cloud-assets.

De persoon die je zojuist hebt toegelaten, heeft misschien bonafide inloggegevens, maar ze kunnen nog steeds kwaadwillende bedoelingen hebben. En ze hebben nu de leiding over het kasteel. Of het netwerk.

Met Zero Trust verifieert u niet één keer en vertrouwt u voor de duur van de verbinding. De aangescherpte stelregel van Zero Trust is "nooit vertrouwen, altijd verifiëren". En u blijft controleren, zelfs wanneer de bezoeker - ongeacht hoe vaak hij of zij op bezoek komt - binnen uw perimeter is toegelaten.

Zero Trust

Zero Trust wordt algemeen beschouwd als geboren in 2010 toen John Kindervag een lezing hield op een conferentie en vervolgens een reeks papers uitbracht.

Het kernconcept van Zero Trust is dat organisaties nooit automatisch iets binnen of buiten het netwerk mogen vertrouwen. Dat wil zeggen, vertrouw niet automatisch iemand die probeert binnen te komen, en vertrouw niemand alleen omdat ze binnen zijn. Zero Trust is gebaseerd op technologie, topologie en governance. Veel van de technologieën bestaan al heel lang.

De eerste overweging is gebruikersidentificatie en authenticatie. Het gaat dieper dan een ID en een sterk wachtwoord. Multi-factor authenticatie (MFA) is de norm. Wachtwoordloze authenticatie met behulp van standaarden zoals FIDO2 kan ook worden gebruikt. En de identificatie omvat ook het apparaat van waaruit de gebruiker toegang heeft tot het netwerk. Is het hun gebruikelijke zakelijke apparaat, vanuit het netwerk? Is het een zakelijke laptop van buiten de perimeter? Of is het een persoonlijk apparaat? Is het IP-adres waarmee verbinding wordt gemaakt vanaf een adres dat eerder is gezien?

IT-governance komt hier om de hoek kijken. U bepa alt welk gedrag u toestaat. Kan iemand een persoonlijk apparaat van buiten het netwerk gebruiken, of alleen binnen het netwerk, of geen van beide? Of misschien kunnen medewerkers ze binnen het netwerk gebruiken, maar zijn ze beperkt tot alleen-lezen toegang.

Samen krijgen de gebruiker en het apparaat een waarde, zoiets als een beveiligingsscore. Het dicteert waartoe deze gebruikerssessie in staat is, in overeenstemming met de rol en privileges van de gebruiker en de kennis, ervaring en vertrouwen van het bedrijf in het apparaat. Als het apparaat een bekend computerapparaat is dat is opgenomen in het IT-activaregister en het besturingssysteem is bijgewerkt en de eindpuntbeveiliging de nieuwste handtekeningen heeft, wordt het heel anders behandeld dan een niet-herkende persoonlijke tablet die verbinding maakt met een tot nu toe ongezien IP-adres.

De tweede overweging is het netwerkontwerp. Een platte netwerktopologie is als een kantoortuin. Iedereen kan overal dwalen. Een plat netwerk is te gemakkelijk om zijwaarts te doorkruisen en te verkennen. Netwerksegmentatie - zelfs tot op het punt van microsegmentatie - met behulp van next-generation switches en firewalls zullen gedetailleerde toegangscontroles worden geboden om de toegang tot gevoelige of waardevolle gegevens of activa te beperken. Alleen gebruikers met legitieme toegangsrechten - en een geverifieerd apparaat - hebben toegang tot de verschillende netwerksegmenten.

De derde overweging is controle op applicatieniveau. Wie heeft toegang tot de verschillende software en services die u op uw netwerk heeft? Op basis van het netwerksegment waarin de applicatie wordt gehost en de gebruikers- en apparaatscore, kunt u gebruikers toestemming verlenen of verwijderen om bepaalde softwarepakketten uit te voeren of te gebruiken.

Met Zero Trust biedt u controles en beveiligingen zo dicht mogelijk bij de activa die u beschermt. U ontwerpt uw netwerk en de segmentatie- en beschermingsvereisten van binnenuit, niet van buitenaf.

Commerciële software is beschikbaar om het gemakkelijker te maken om dit niveau van gedetailleerde controle en gebruikers- en apparaatauthenticatie te bereiken. Deze bieden onschatbare rapportage, bewaking en waarschuwingen die kunnen worden aangepast om te reageren op verschillende gebeurtenissen en triggers, zoals apparaathardwaretype, firmwareniveau, besturingssysteemversies, patchniveaus en detectie van beveiligingsincidenten.

Nul vertrouwen implementeren

Afbeelding
Afbeelding

Het implementeren van een Zero Trust Architecture (ZTA) op een bestaand bedrijfsnetwerk kan het beste worden bereikt door het geleidelijk in te voeren als onderdeel van uw algehele digitale transformatiestrategie. Proberen om een volledige ZTA achteraf in te passen in een bestaand oerknalstijl van het bedrijfsnetwerk zal niet goed aflopen.

Een ideale kans is wanneer u een cloudmigratie plant. U kunt de cloud als een greenfield-site zien en de lagen van de ZTA implementeren voordat u uw bedrijfsactiviteiten naar de cloud verplaatst.

Begrijp uw netwerk, activa en gegevensstromen

Breng uw netwerk grondig in kaart. Dat omvat de huidige topologie en alle op het netwerk aangesloten apparaten. Hiervoor is een fase voor het ontdekken van activa vereist. Er zijn softwaretools die je hierbij kunnen helpen, maar het gaat meestal om wat lopen op de grond, klauteren in serverruimtes en kasten en onder bureaus kruipen. Vergeet de bezittingen niet die zich in de huizen van het personeel bevinden.

U moet ook de gegevens, toepassingen en services begrijpen waartoe de gebruikers van de apparaten toegang hebben.

U bevindt zich nu in een positie waarin u een risicoanalyse kunt uitvoeren. Als de risico's niet kunnen worden beperkt met een ZTA, moet u mogelijk enkele van uw bestaande beveiligingscontroles behouden totdat u uw workflows of topologie kunt reorganiseren op een manier die de ZTA in staat stelt voldoende bescherming te bieden wanneer latere fasen van uw digitale transformatie worden geïmplementeerd.

Bouw van identiteit naar buiten

Er is een gezegde dat met Zero Trust identiteit de nieuwe perimeter is. Identiteit moet dus worden beheerd en veilig worden gecontroleerd. De principes van de minste toestemming moeten worden gevolgd, zodat een gebruiker de rechten heeft die ze nodig hebben om hun rol te vervullen en niets meer. Gebruikers mogen nooit accountgegevens delen.

Een Identity and Access Management (IAM)-systeem dat compatibel is met interne en externe services, biedt één centrale, veilige bron voor identiteitsverificatie. Een IAM-systeem dat kan samenwerken met externe systemen die worden gebruikt door derden die mogelijk periodiek toegang tot uw netwerk nodig hebben, kan voordelig voor u zijn.

Applicaties en apparaten, inclusief Internet of Things-apparaten, moeten hun eigen identiteit krijgen met de minimale privileges die nodig zijn om te kunnen werken. Toepassingen en services kunnen authenticatie op basis van certificaten gebruiken om bijvoorbeeld verbindingen met andere softwareplatforms mogelijk te maken.

Gebruik gezondheidsinformatie

Apparaatidentiteit wordt gebruikt bij challenge- en responsgesprekken met betrekking tot de beveiligingsstatus van het apparaat, inclusief de patchstatus van applicaties en het besturingssysteem, de aanwezigheid en status van eindpuntbeveiliging en de identiteit van de gebruiker om te beslissen wat het apparaat mag doen. Er kunnen diepere uitdagingen aan het apparaat worden gesteld door items zoals de firmwareversie en het opstartproces van het apparaat te controleren.

De gebruiker die aan het apparaat is gekoppeld, kan ook een gezondheidsscore krijgen. Maken ze verbinding vanaf een onbekend IP-adres dat een geografische afwijking suggereert? Proberen ze om drie uur 's nachts verbinding te maken?

Regels en beleidsregels die u maakt binnen uw Zero Trust-beheerplatform bepalen wat de gebruiker kan doen.

Vertrouwen is een kwetsbaarheid

In Zero Trust-netwerken wordt alles als vijandig beschouwd en moeten alle verbindingen die toegang hebben tot gegevens of services worden geverifieerd. Gebruikerstoegang wordt gecontroleerd met behulp van multi-factor authenticatie of op sleutels gebaseerde wachtwoordloze systemen en een identiteits- en toegangsbeheersysteem.

Extra authenticatie zal worden gevraagd wanneer de gebruiker toegang wil tot gevoelige of waardevolle gegevens of andere activa. Maar dit betekent niet dat de gebruikerservaring slecht hoeft te zijn. Met een fysiek sleutel- of fob-gebaseerd systeem kan het zelfs verbeteren.

Services en applicaties kunnen worden geverifieerd via API-aanroepen of met behulp van een openbare-sleutelinfrastructuur.

Apparaten, gebruikers en services beschermen

Zero Trust betekent niets vertrouwen, zelfs niet je eigen netwerk. Uw apparaten moeten worden beschermd tegen bedreigingen die zich binnen uw eigen netwerk kunnen voordoen. U moet nog steeds end-point-beveiligingssoftware gebruiken om u te beschermen tegen virussen en andere malware, en geverifieerde, versleutelde protocollen zoals Transport Layer Security (TLS) moeten worden gebruikt om toegang te krijgen tot fundamentele netwerkservices zoals de Domain Name Service (DNS).

Basis cyberhygiëne, zoals het controleren van het netwerk op niet-geautoriseerde apparaten of onverklaarbaar gedrag, moet worden voortgezet en de regimes van beveiligingspatches moeten worden gehandhaafd.

Omdat u de moeite heeft genomen om uw netwerk in kaart te brengen en te bepalen tot welke apparaten, applicaties en services gebruikers toegang nodig hebben, kan uw Zero Trust-monitoring die informatie gebruiken om pogingen tot overtreding van de regels die u hebt ingevoerd te detecteren plaats.

Gebruik commerciële aanbiedingen en standaarden

Gebruik software, services, platforms en providers die Zero Trust al ondersteunen. Het proberen om uw eigen ondersteunende infrastructuur te bouwen moet worden vermeden vanwege de kosten, complexiteit en kans op fouten.

De standaard mantra voor cyberbeveiliging van het gebruik van tools, producten en diensten die zijn ontworpen en ontwikkeld door gespecialiseerde professionals, is waar.

Gebruik waar mogelijk op standaarden gebaseerde oplossingen. U krijgt gemakkelijker interoperabiliteit tussen apparaten en services, en het vereenvoudigt de federatie tussen externe systemen waarmee u mogelijk verbinding wilt maken en waarmee u wilt communiceren, zoals die van uw cloudprovider.

Populair onderwerp

Aanbevolen

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren
2023

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren

Hoe drieweglichtschakelaars werken
2023

Hoe drieweglichtschakelaars werken

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen
2023

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)
2023

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)

Handtekeningen maken en wijzigen in Apple Mail op macOS
2023

Handtekeningen maken en wijzigen in Apple Mail op macOS

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen
2023

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken
2023

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo
2023

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games
2023

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games

Hoe contacten over te zetten tussen Google-accounts
2023

Hoe contacten over te zetten tussen Google-accounts

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen
2023

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi
2023

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat
2023

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken
2023

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken

Download.com is eindelijk gestopt met het bundelen van crapware
2023

Download.com is eindelijk gestopt met het bundelen van crapware

Een Google-agenda delen met andere mensen
2023

Een Google-agenda delen met andere mensen

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf
2023

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf

Hoe offline browsen in Firefox in te schakelen
2023

Hoe offline browsen in Firefox in te schakelen