Kas yra nulinio pasitikėjimo architektūra?

Kibernetinėms grėsmėms tampant vis įmantresnėms ir nepalaužiamoms, tradiciniai saugos modeliai tampa vis mažiau veiksmingi. Tačiau įmonės gali pasitelkti tvirtą ir prisitaikantį požiūrį į kibernetinę saugą veikdamos pagal idėją, kad jokiu subjektu iš anksto negalima pasitikėti.

Naršykite pagrindines principus, kurie daro nulinio pasitikėjimo architektūrą esmine sistema jūsų verslui.

Nuodugniai tikrinkite
Nulinis pasitikėjimas traktuoja kiekvieną bandymą pasiekti verslo išteklius taip, lyg užklausa būtų pateikta iš atviro tinklo. Vietoj to, kad vieną kartą patikrintų kredencialus tik įėjimo taške, ZTA reguliariai ir išsamiai vertina duomenų taškus, tokius kaip vartotojo tapatybė, vieta ir įrenginys, realiuoju laiku, kad identifikuotų pavojaus signalus ir padėtų užtikrinti, jog tik įgalioti vartotojai ir įrenginiai galėtų pasiekti jūsų tinklą.

Naudokite mažiausias būtinas prieigos teises
ZTA suteikia kiekvienam vartotojui tik minimalų prieigos lygį, reikalingą jų užduotims atlikti. Tokiu būdu ribojant prieigos teises, jūsų verslas gali sumažinti žalą, kurią gali sukelti paskyrų pažeidimai.

Pasiruoškite galimiems pažeidimams
Nulinis pasitikėjimas veikia remiantis prielaida, kad pažeidimai yra neišvengiami. Vietoj to, kad būtų koncentruojamasi vien tik į prevenciją, taikant šį metodą aktyviai numatomos kibernetinės atakos laikant, kad vartotojai, įrenginiai ir sistemos jūsų versle jau yra pažeisti.

Nulinis pasitikėjimas fundamentaliai keičia organizacijų požiūrį į kibernetinę saugą, užtikrindamas, kad kiekviena prieigos užklausa būtų kruopščiai tikrinama, nepriklausomai nuo jos kilmės, ir aktyviai ribodamas riziką. Atraskite pagrindinius komponentus, kurie daro ZTA tokia svarbia sistema jūsų verslui.

Tapatybės ir prieigos valdymas (IAM)
Nulinis pasitikėjimas visada tikrina vartotojų ir įrenginių autentiškumą prieš suteikdamas prieigą prie išteklių. Tiksliau tariant, ši sistema naudoja IAM strategijas, pvz., kelių dalių autentifikavimą, bendrąją autentifikaciją (SSO) ir vaidmenimis pagrįstą prieigos kontrolę, kad padėtų išvengti su tapatybe susijusių pažeidimų. Šios galimybės taip pat gali pagerinti darbuotojų patirtį jūsų versle, racionalizuodamos prisijungimo procesus ir sumažindamos poreikį įsiminti slaptažodžius.

Tinklo segmentavimas
ZTA padalija jūsų tinklą į mažesnius, izoliuotus segmentus, kurie riboja potencialių kibernetinių atakų horizontalųjį judėjimą. Kiekvienas segmentas veikia kaip saugos zona, padedanti jūsų verslui sulaikyti pažeidimus ir užkirsti kelią kibernetinių grėsmių plitimui į kitas jūsų infrastruktūros dalis. Jei įvyksta duomenų pažeidimas, jūsų verslas gali lengvai apriboti jį tam tikroje srityje ir žymiai sumažinti padaromą žalą.

Tinklo segmentavimas taip pat suteikia jūsų verslui galimybę taikyti pritaikytas saugos strategijas kiekvienai tinklo sričiai. Pavyzdžiui, griežtesnės kontrolės priemonės gali būti taikomos segmentams, kuriuose yra slaptų duomenų, o mažiau kritiškiems segmentams gali būti taikoma laisvesnė strategija. Šis lankstumas leidžia jūsų verslui optimizuoti savo saugos būseną neprarandant veiklos efektyvumo.

Galinių punktų sauga
Nulinio pasitikėjimo architektūra saugo galinių punktų įrenginius, tokius kaip nešiojamieji kompiuteriai, išmanieji telefonai ir planšetiniai kompiuteriai, visame jūsų versle, kad užkirstų kelią kibernetinėms grėsmėms, tokioms kaip kenkėjiškos programos, patekti į jūsų tinklą. Galinių punktų sauga yra būtina, nes šie įrenginiai dažnai yra taikiniai, per kuriuos gali būti vykdomos didesnės kibernetinės atakos ir sukelti sutrikimus. ZTA suteikia pažangias grėsmių aptikimo ir reagavimo galimybes, visapusį šifravimą ir reguliarius įrenginių atnaujinimus, kad padėtų išlaikyti jūsų verslo operacijų vientisumą.

Duomenų sauga
Nulinio pasitikėjimo sistemos siūlo patikimas prieigos kontrolės priemones, visapusį šifravimą ir duomenų maskavimo galimybes, kurios padeda užkirsti kelią duomenų pažeidimams ir neįgaliotai prieigai prie slaptos informacijos. Naudodama efektyvias duomenų saugos priemones, tokias kaip šios, jūsų įmonė gali nuolat laikytis reglamentų ir išlaikyti klientų pasitikėjimą. ZTA taip pat apima duomenų praradimo prevencijos (DLP) strategijas, kad padėtų užkirsti kelią jūsų verslo duomenų nutekinimui ar vagystei.

Saugos informacijos ir įvykių valdymas (SIEM)
ZTA naudoja SIEM sistemas, kad teiktų realiojo laiko saugos įspėjimų, kuriuos generuoja verslo programos ir tinklo aparatinė įranga, analizę. Tai suteikia jūsų verslui galimybę greitai aptikti ir reaguoti į potencialias kibernetines grėsmes, kol jos dar nepadarė žalos.

SIEM sistemos nulinio pasitikėjimo architektūroje taip pat padeda geriau suprasti grėsmių aplinką, teikdamos vertingas įžvalgas apie saugos tendencijas ir veikimo modelius. Analizuodamos istorinius duomenis, organizacijos gali identifikuoti pasikartojančias problemas ir imtis veiksmų, kad jas aktyviai spręstų. Nuolatinio tobulinimo proceso priėmimas yra būtinas jūsų verslui, kad jis galėtų išlikti naujų kibernetinių grėsmių priešakyje ir išlaikyti stiprią saugos būseną.

DI galimybės
Nulinis pasitikėjimas naudoja kibernetinei saugai skirtą dirbtinį intelektą, kad tiksliai aptiktų kibernetines grėsmes ir efektyviai į jas reaguotų. Dirbtinio intelekto modeliai gali greitai analizuoti didelius duomenų kiekius, leidžiančius jūsų verslui identifikuoti sudėtingus modelius ir anomalijas, kurios gali rodyti pažeidimą ar kibernetinę ataką. Nulinis pasitikėjimas taip pat suteikia jūsų verslui automatizavimo galimybių, kurios padeda saugos komandoms sutaupyti laiko ir prioritetizuoti sudėtingas kibernetines grėsmes. Apsvarstykite galimybę įdiegti ZTA, kad modernizuotumėte savo saugos sistemą, sumažintumėte reagavimo laiką ir išliktumėte besikeičiančių kibernetinių grėsmių priešakyje.

Nulinio pasitikėjimo architektūra buvo vystoma kelis dešimtmečius, reaguojant į tradicinių saugos modelių apribojimus ir didėjantį kibernetinių grėsmių sudėtingumą. 2000-ųjų pradžioje saugos ekspertų grupė, žinoma kaip Jericho forumas, pradėjo propaguoti deperimetrizaciją, arba kelių saugos lygių naudojimą nepriklausomai nuo vietos. Ši koncepcija, neapsiribojanti perimetru pagrįstomis saugos kontrolės priemonėmis, padėjo padėti pamatus nulinio pasitikėjimo modeliams, kokius mes žinome šiandien.

Susipažinkite su pagrindiniais nulinio pasitikėjimo saugos vystymosi etapais.
 

• 2010: Analitikas John Kindervag oficialiai sukuria terminą „Nulinis pasitikėjimas“ dokumente, skirtame „Forrester Research Group“, pabrėždamas būtinybę patvirtinti kiekvieną prieigos užklausą, nepriklausomai nuo to, iš kur ji gaunama.
• 2017: „Gartner“ pristato nuolatinio adaptyviojo rizikos ir pasitikėjimo vertinimo (CARTA) sistemą – požiūrį į saugą, orientuotą į nuolatinį rizikos vertinimą ir prisitaikymą.
• 2020: Nacionalinis standartų ir technologijos institutas (NIST) išleidžia specialią publikaciją 800-207, apibrėžiančią išsamią gairių ir geriausios praktikos rinkinį, skirtą nulinio pasitikėjimo architektūros nustatymui.
• 2022: Jungtinių Valstijų vyriausybė įpareigoja visas federalines agentūras iki 2024 m. priimti nulinio pasitikėjimo principus, pabrėždama nulinio pasitikėjimo svarbą šiuolaikinės kibernetinės saugos srityje.

 

Tradicinė saugos architektūra leidžia vartotojams pasiekti visą įmonės tinklą, kai jie prisijungia darbe. Nors šis metodas saugo organizacijos išorines ribas, jis yra susietas su fizinėmis biuro patalpomis ir nepalaiko nuotolinio ar hibridinio darbo. Be to, tradicinės saugos sistemos kelia riziką verslui, nes jei kas nors pavagia slaptažodį, jie gali pasiekti viską.

Vietoj to, kad tik saugotų organizacijos išorines ribas, nulinio pasitikėjimo tinklo architektūra saugo visus jūsų failus, el. laiškus ir duomenis, reguliariai autentifikuodama kiekvieną vartotoją ir įrenginį. ZTA taip pat padeda apsaugoti nuotolinę prieigą, asmeninius įrenginius ir trečiųjų šalių programas, kad būtų užtikrintas didesnis lankstumas, palengvintas nuotolinis darbas ir palaikomi nuosavo įrenginio naudojimo (BYOD) verslo modeliai.

Nulinis pasitikėjimas sujungia įvairias autentifikavimo, tinklo stebėjimo, šifravimo ir prieigos kontrolės technikas, kad visapusiškai sustiprintų jūsų saugos būseną.

Autentifikavimas ir įgaliojimas
Visi vartotojai ir įrenginiai prieš pasiekiant išteklius yra autentifikuojami ir įgaliojami. Nulinio pasitikėjimo tinklo prieiga (ZTNA) dažnai apima kelių dalių autentifikavimą ir vaidmenimis pagrįstą prieigos valdymą.

Tinklo stebėjimas ir analizė
Tinklo srautas ir vartotojų elgsena nuolat stebimi, siekiant aptikti anomalijas, įtartiną veiklą ir galimas grėsmes.

Visapusis šifravimas
Verslo duomenys jūsų įmonėje yra apsaugoti, kad net jei duomenys būtų perimti, jų negalėtų perskaityti neįgalioti asmenys.

Prieigos valdymo mechanizmai
Prieiga prie išteklių nustatoma pagal vartotojo ir įrenginio tapatybę, taip pat atsižvelgiant į kitus kontekstinius veiksnius, tokius kaip vieta ir elgsena.

Pereiti prie nulinio pasitikėjimo modelio gali būti sudėtinga dėl esamų IT aplinkų sudėtingumo. Pavyzdžiui, integruoti esamas technologijas į naują nulinio pasitikėjimo sistemą yra sunku, kai senosios sistemos nesuderinamos su moderniomis saugos priemonėmis. Apsvarstykite galimybę investuoti į tarpusavyje suderinamus sprendimus arba planuoti įgyvendinimą etapais, kad įveiktumėte šiuos su IT susijusius iššūkius.

Vadovaukitės šiais žingsniais ir geriausia praktika, kad priimtumėte nulinio pasitikėjimo architektūrą savo verslui:

1. Sukurkite patikimą tapatybės patvirtinimą

Pradėkite autentifikuoti prieigą prie kiekvienos programos, tarnybos ir ištekliaus, kuriuos naudoja jūsų organizacija, pradėdami nuo slapčiausių. Suteikite administratoriams įrankius, skirtus įvertinti riziką ir reaguoti realiuoju laiku, jei tapatybė turi įspėjamųjų ženklų, pvz., per daug nesėkmingų bandymų prisijungti.

2. Valdykite prieigą prie įrenginių ir tinklų

Įsitikinkite, kad visi galiniai punktai (tiek asmeniniai, tiek įmonės) atitinka jūsų organizacijos saugos reikalavimus. Šifruokite tinklus ir užtikrinkite, kad visi ryšiai būtų saugūs, įskaitant nuotolinius ir vykdomus vietoje. Segmentuokite tinklus, kad apribotumėte neteisėtą prieigą.

3. Pagerinkite programų matomumą

Šešėlinė IT yra bet kokia neįgaliota programa arba sistema, kurią darbuotojai naudoja: ji gali kelti kibernetinių grėsmių. Ištirkite, kurias programas žmonės įdiegė, kad galėtumėte nustatyti teises, stebėti, ar nėra kokių nors įspėjimo ženklų, ir įsitikinti, jog jos atitinka reikalavimus.

4. Nustatykite duomenų teises

Priskirkite klasifikavimo lygius savo organizacijos duomenims, pradedant dokumentais ir baigiant el. laiškais. Šifruokite slaptus duomenis ir suteikite mažiausias būtinas prieigos teises.

5. Stebėkite savo infrastruktūrą

Įvertinkite, atnaujinkite ir konfigūruokite kiekvieną infrastruktūros elementą, pvz., serverius ir virtualiuosius kompiuterius, kad apribotumėte nereikalingą prieigą. Sekite metriką, kad būtų lengva nustatyti įtartiną veikimą.

Įvairių sektorių įmonės diegia nulinio pasitikėjimo architektūrą, kad efektyviau atitiktų savo unikalius ir besikeičiančius saugos poreikius. Pavyzdžiui, tarptautinis technologijų konglomeratas „Siemens“ įdiegė nulinio pasitikėjimo architektūrą, kad pagerintų savo saugos būseną pagal principus „niekada nepasitikėti, visada tikrinti“. Nepriklausomai nuo sektoriaus, organizacijos gali diegti ZTA įvairiais tikslais, pavyzdžiui, kad užtikrintų:
 

• Kelių debesų aplinkos palaikymą.
• Reagavimą į sukčiavimą apsimetant, pavogtus kredencialus arba išpirkos reikalaujančias programas.
• Saugios, riboto laiko prieigos suteikimą laikiniesiems darbuotojams.
• Prieigos prie trečiųjų šalių programų apsaugą ir stebėjimą.
• Tiesioginių darbuotojų, naudojančių įvairius įrenginius, palaikymą.
• Reglamentais nustatytų reikalavimų laikymąsi.
  
  

Tačiau nulinis pasitikėjimas taip pat gali suteikti jūsų verslui pritaikytų pranašumų, skirtų konkretiems sektoriams, įskaitant šiuos:
 

• Finansai. Pagerinkite savo saugos būseną naudodami mažiausios būtinos prieigos teises, taip pat nuolat stebėkite elgseną visame tinkle, kad greitai identifikuotumėte kenkėjišką veiklą ir į ją reaguotumėte.
• Sveikatos priežiūra. Apsaugokite savo elektroninių sveikatos įrašų sistemą įdiegdami kelių dalių autentifikavimą ir sumažinkite duomenų pažeidimo riziką išskaidydami savo tinklą į segmentus.
• Valstybinės institucijos. Užkirskite kelią neįgaliotai prieigai prie slaptos informacijos užšifruodami savo duomenis ir įdiegdami griežtas prieigos kontrolės priemones. 
• Mažmeninė prekyba. Apsaugokite klientų duomenis ir savo el. prekybos platformą naudodami nuolatinį tikrinimą ir į kontekstą atsižvelgiančias strategijas.
• Švietimas. Užtikrinkite asmeninių įrenginių, trečiųjų šalių programų ir nuotolinės prieigos saugumą savo skaitmeninėse mokymosi aplinkose, kad palaikytumėte nuotolinį mokymąsi ir pagerintumėte lankstumą.

 

Nulinio pasitikėjimo diegimas jūsų versle kasdien tampa vis svarbesnis. Darbo aplinkos tampa vis dinamiškesnės, o kibernetinės grėsmės toliau vystosi, todėl organizacijos turi patikrinti kiekvieną prieigos užklausą ir įdiegti visapusiškas saugos kontrolės priemones, kad užtikrintų, jog jų tinklai būtų apsaugoti. Nulinio pasitikėjimo sprendimai labai skiriasi savo apimtimi ir mastu – štai keletas pavyzdžių:

Asmenys gali įjungti kelių dalių autentifikavimą (MFA), kad gautų vienkartinį kodą prieš gaudami prieigą prie programos arba svetainės. Taip pat galite pradėti prisijungti naudodami biometrinius duomenis, pvz., piršto atspaudą arba veidą.

Mokymo įstaigos ir bendruomenės gali nesinaudoti slaptažodžiais naudodamos prieigos raktus, nes slaptažodžius lengva prarasti. Tai taip pat gali pagerinti galinių punktų saugą, kad šie palaikytų nuotolinį darbą ir mokymąsi, taip pat segmentuoti prieigą pametus ar pavogus įrenginį.

Organizacijos gali pritaikyti nulinio pasitikėjimo architektūrą identifikuodamos visus prieigos taškus ir įdiegdamos strategijas, skirtas dar labiau apsaugoti prieigą. Kadangi nulinis pasitikėjimas yra ilgalaikis požiūris, organizacijos turi taikyti nuolatinį stebėjimą, kad aptiktų naujas grėsmes.

Apsvarstykite galimybę įdiegti nulinio pasitikėjimo sprendimus savo verslui.