Zero Trust Networking (ZTN) niczego nie ufa

John Kindervag, były analityk z Forrester Research, jako pierwszy wprowadził model Zero-Trust w 2010 roku. Następnie skupiono się bardziej na warstwie aplikacji. Jednak gdy usłyszałem, że Sorell Slaymaker z Techvision Research naciska na ten temat na poziomie sieci, nie mogłem się powstrzymać przed wezwaniem go do omówienia generałów w Zero Trust Networking (ZTN). Podczas rozmowy rzucił światło na wiele znanych i nieznanych faktów na temat Zero Trust Networking, które mogą okazać się przydatne dla każdego. 

Tradycyjny świat sieci zaczął się od domen statycznych. Klasyczny model sieci podzielił klientów i użytkowników na dwie grupy - zaufane i niezaufane. Zaufani są ci w sieci wewnętrznej, niezaufani są zewnętrzni wobec sieci, którymi mogą być użytkownicy mobilni lub sieci partnerskie. Aby przekształcić niezaufanego do zaufania, zwykle używa się wirtualnej sieci prywatnej (VPN) w celu uzyskania dostępu do sieci wewnętrznej.

Sieć wewnętrzna byłaby wówczas podzielona na kilka segmentów. Typowy przepływ ruchu wpływałby do strefy zdemilitaryzowanej (DMZ) w celu kontroli, a stamtąd można uzyskać dostęp do zasobów wewnętrznych. Użytkownicy mają dostęp do warstwy prezentacji. Warstwa prezentacji komunikowałaby się wówczas z warstwą aplikacji, która z kolei uzyskałaby dostęp do warstwy bazy danych. W końcu architektura ta generowała duży ruch z północy na południe, co oznacza, że ​​większość ruchu wpływałaby i opuszczała centrum danych.

Narodziny wirtualizacji zmieniły wiele rzeczy, ponieważ miały niezwykły wpływ na ruch uliczny. W centrum danych było teraz wiele aplikacji wymagających komunikacji krzyżowej. Spowodowało to nowy przepływ ruchu, znany jako wschód-zachód. Wyzwanie dla tradycyjnego modelu polega na tym, że nie zapewnia on żadnej ochrony przepływom ruchu wschód-zachód.

Tradycyjne sieci są podzielone na różne segmenty, które zwykle są postrzegane jako strefy. Powszechną praktyką było grupowanie podobnych typów serwerów w strefy bez kontroli bezpieczeństwa w celu filtrowania ruchu wewnętrznego. Zazwyczaj w obrębie danej strefy serwery mogą swobodnie ze sobą rozmawiać i współdzielić wspólną domenę rozgłoszeniową.

Jeśli zły aktor znajdzie lukę w zabezpieczeniach jednego z serwerów bazy danych w tej strefie, zły aktor może z łatwością poruszyć się, aby spróbować narazić inne serwery bazy danych. Tak powstał model sieci i bezpieczeństwa. Niestety nadal jest to powszechna architektura korporacyjna. Jest przestarzały i niezabezpieczony, ale wciąż najszerzej przyjęty. W dzisiejszych czasach musisz być po właściwej stronie bezpieczeństwa.

Źli aktorzy zawsze polują na najsłabsze ogniwo, a gdy połączenie zostanie przejęte, poruszają się niezauważeni w pogoni za wyższymi aktywami docelowymi. Dlatego nie tylko musisz chronić ruch z północy na południe, ale także ze wschodu na zachód. Aby wypełnić lukę, przeszliśmy przez kilka faz.

Mikrosegmentacja

Obecnie najlepszą i najbardziej preferowaną praktyką ochrony ruchu wschód-zachód jest mikrosegmentacja. Mikrosegmentacja to mechanizm, w którym segmentujesz zwirtualizowane obliczenia od użytkowników. To dodatkowo zmniejsza powierzchnię ataku, zmniejszając liczbę urządzeń i użytkowników w danym segmencie. Jeśli zły aktor uzyska dostęp do jednego segmentu w strefie danych, nie będzie mógł naruszyć innych serwerów w tej strefie.

Spójrzmy na to z innej perspektywy. Wyobraź sobie, że Internet jest jak nasz system drogowy, a wszystkie domy i mieszkania to komputery i urządzenia na drodze. W tym scenariuszu mikrosegmentacja określa sąsiedztwo i liczbę osób mieszkających w sąsiedztwie. Każdy w sąsiedztwie ma możliwość nawigowania do twoich drzwi i próby uzyskania dostępu do domu. Tutaj musimy założyć, że im mniej osób w sąsiedztwie, tym mniejsze prawdopodobieństwo, że Twój dom zostanie okradziony.

Podobnie, w przypadku mikrosegmentacji, nie tylko segmentowaliśmy nasze aplikacje i usługi, ale także zaczęliśmy segmentować użytkowników. Dzieli różnych użytkowników korzystających z różnych sieci na różne segmenty. Był to krok we właściwym kierunku, ponieważ dziś kontroluje ruchy z północy na południe i ze wschodu na zachód, dodatkowo izolując rozmiar domen rozgłoszeniowych.

Ma też pewne wady. Jedną z największych wad jest to, że koncentruje się na adresach IP, polegając na klientach VPN lub NAC, który nie jest kompatybilny z Internetem przedmiotów i opiera się na regułach binarnych. Korzystamy z binarnego procesu decyzyjnego; zezwól lub odmów. ACL tak naprawdę niewiele robi. Możesz zezwolić lub odmówić na adres IP lub numer portu, ale jest to bardzo statyczny, binarny proces.

W rzeczywistości dla dzisiejszych aplikacji musimy korzystać z bardziej inteligentnych systemów, w których można zastosować dodatkowe kryteria wraz z zezwoleniem lub odmową. Dla porównania, zapory ogniowe NextGen mogą podejmować bardziej inteligentne decyzje. Składają się one z reguł, które na przykład pozwalają parze źródłowa i docelowa komunikować się tylko w określonych godzinach pracy i z określonych segmentów sieci. Są bardziej szczegółowe i mogą się rejestrować, jeśli użytkownik przejdzie proces uwierzytelniania wieloskładnikowego (MFA).

Warstwa sesji

Gdzie odbywa się cała inteligentna praca? Warstwa sesji! Warstwa sesji zapewnia mechanizm otwierania, zamykania i zarządzania sesją między użytkownikami końcowymi a aplikacjami. Sesje są stanowe i kompleksowe.

Jest to warstwa sesji, w której kontrolowany jest stan i bezpieczeństwo. Powodem, dla którego mamy zapory ogniowe, jest to, że routery nie zarządzają stanem. Skrzynki środkowe są dodawane w celu zarządzania stanem, to na poziomie stanu wszystkie wyjścia kontroli bezpieczeństwa, takie jak szyfrowanie, uwierzytelnianie, segmentacja, zarządzanie tożsamością i wykrywanie anomalii, aby wymienić tylko kilka.

Aby mieć wysoce bezpieczną sieć Zero-Trust, sieć musi stać się inteligentniejsza, musi mieć świadomość warstwy 5, aby zarządzać stanem i bezpieczeństwem. Ponieważ jest to specyficzne dla sieci, powinieneś nadal mieć odpowiednie zabezpieczenia na górze stosu.

Na pewnym etapie, zamiast wymagać łączenia wszystkich tych „skrzynek pośrednich”, routery sieciowe muszą dostarczać te funkcje natywnie w sieciach definiowanych programowo (SDN) nowej generacji, które oddzielają płaszczyznę danych od płaszczyzny sterowania.

Dzisiaj jesteśmy świadkami dużej uwagi na rynku SD-WAN. Jednak SD-WAN wykorzystuje tunele i nakładki, takie jak IPsec i wirtualna rozszerzalna sieć LAN (VXLAN), w których brakuje kompleksowej wydajności aplikacji i kontroli bezpieczeństwa.

W ramach SD-WAN nie masz wielu kontroli bezpieczeństwa. Tunele są punkt-punkt, a nie od końca do końca. Wszystkie sesje przechodzą przez jeden tunel i tunel; nie masz kontroli bezpieczeństwa dla tego ruchu.

Chociaż poczyniono postępy i idziemy w dobrym kierunku, to nie wystarczy. Musimy zacząć myśleć o kolejnej fazie - Zero Trust Networking. Musimy pamiętać o tym, że w świecie ZTN cały ruch sieciowy jest niezaufany.

Przedstawiamy sieć zero zaufania

Celem Zero Trust Networking jest zatrzymanie złośliwego ruchu na krawędzi sieci, zanim będzie można wykrywać, identyfikować i atakować inne urządzenia sieciowe.

Zero-Trust w najprostszej formie poprawił segmentację do modelu jeden na jednego. Prowadzi segmentację aż do absolutnych punktów końcowych każdego użytkownika, urządzenia, usługi i aplikacji w sieci.

W ramach tego modelu chronionymi elementami mogą być zarówno użytkownicy, „rzeczy”, usługi lub aplikacje. Prawdziwa definicja jest taka, że ​​nie można ustanowić sesji protokołu datagramu użytkownika (UDP) ani protokołu kontroli transmisji (TCP) bez uprzedniego uwierzytelnienia i autoryzacji.

Robimy segmentację aż do punktu końcowego. W świecie o zerowym zaufaniu pierwszą zasadą jest zaprzeczanie wszystkim. Dosłownie nic nie ufasz, a następnie zaczynasz otwierać białą listę, która może stać się tak dynamiczna i szczegółowa, jak potrzebujesz..

Moją pierwszą reakcją na Zero Trust Networking było to, że ten typ modelu jeden do jednego musi poważnie obciążać sieć, tj. Spowalniać, dodawać opóźnienia itp. Jednak tak naprawdę nie jest tak, potrzebujesz tylko kontrolować pierwszy zestaw pakietów. Musisz tylko zezwolić na ustanowienie sesji. W świecie TCP jest to proces TCP SYN i SYN-ACK. Przez resztę sesji możesz trzymać się z dala od ścieżki danych.

Menedżer sieci musi poświęcić czas na prawdziwe zrozumienie użytkowników, rzeczy, usług, aplikacji i danych w ich sieci. Poza tym kierownik musi ocenić, kto ma dostęp do czego. Dobra wiadomość jest taka, że ​​wiele z tych informacji istnieje już w katalogach IAM, które muszą zostać zmapowane w sieci routowanej.

Jak mierzysz bezpieczeństwo?

Warto zadać sobie pytanie. Jak zmierzyć moją lukę w zabezpieczeniach? Jeśli nie możesz tego zmierzyć, jak możesz to zrobić? Musimy być w stanie obliczyć powierzchnię ataku.

Dzięki ZTN mamy teraz formułę, która zasadniczo oblicza powierzchnię ataku sieciowego. Jest to jeden skuteczny sposób mierzenia ryzyka bezpieczeństwa dostępu do sieci. Im niższa powierzchnia ataku, tym bezpieczniejsze są zasoby sieciowe.

Przed zerowym zaufaniem jedną ze zmiennych dla powierzchni ataku była domena rozgłoszeniowa. Był to host końcowy, który mógł wysłać protokół rozpoznawania adresu rozgłoszeniowego (ARP), aby sprawdzić, czy coś jeszcze jest w sieci. To była znaczna powierzchnia ataku.

Powierzchnia ataku zasadniczo określa, jak otwarta jest sieć na atak. Jeśli zainstalujesz na przykład kamerę nadzoru IoT, kamera powinna być w stanie otworzyć sesję zabezpieczeń warstwy transportu (TLS) tylko na wybranym zestawie serwerów. W tym modelu powierzchnia ataku wynosi 1. Dzięki automatycznemu rozprzestrzenianiu się złośliwego oprogramowania z milionami niepewnych urządzeń IoT w dzisiejszych czasach jest to konieczne.

Najlepszy numer powierzchni ataku to oczywiście 1, ale liczba źle zaprojektowanych sieci może być znacznie wyższa. Na przykład podczas dodawania kamery nadzoru IoT do magazynowej sieci LAN, która ma 50 innych podłączonych urządzeń, a kamera ma 40 otwartych portów, ale nie jest szyfrowana i nie ma żadnych reguł kierunkowych dotyczących tego, kto może zainicjować sesję. Powoduje to powstanie powierzchni ataku nawet 200 000 razy, co stanowi ogromną lukę na powierzchni ataku. Luka ta jest poziomem narażenia na ryzyko.

Obwód się rozpuszcza

Obwód rozpuścił użytkowników, rzeczy, usługi, aplikacje, a dane są wszędzie. Gdy świat przenosi się do chmury, urządzeń mobilnych i Internetu Rzeczy, możliwość kontrolowania i zabezpieczania wszystkiego w sieci jest już dostępna.

Tradycyjne kontrole bezpieczeństwa, takie jak kontrola dostępu do sieci (NAC), zapory ogniowe, ochrona przed włamaniami i wirtualne sieci prywatne (VPN), oparte są na założeniu, że istnieje bezpieczny obwód. Po uzyskaniu dostępu do sieci LAN zakłada się, że wszystko jest automatycznie zaufane. Ten model zakłada również, że wszystkie punkty końcowe obsługują tego samego klienta VPN lub NAC, co jest trudne do wyegzekwowania w tym rozproszonym świecie cyfrowym.

Zero-Trust twierdzi inaczej. Wszystko, czy to wewnątrz, czy na zewnątrz, jest poza domeną zaufania. Zasadniczo nic w sieci nie jest zaufane. Każda sesja utworzona przez użytkownika z innymi użytkownikami lub aplikacjami musi być uwierzytelniona, autoryzowana i rozliczona na krawędzi sieci, w której ustanowiona jest sesja sieciowa.

Dzisiaj każdy może wyjść z domu, udać się do domu i zapukać do drzwi. Chociaż mogą nie mieć kluczy do otwarcia drzwi, ale mogą poczekać na lukę, na przykład otwarte okno.

Przeciwnie, ZTN mówi, że nikt nie może wyjść z domu i zapukać do drzwi bez odpowiedniego uwierzytelnienia i autoryzacji. Zaczyna się od założenia, że ​​złośliwy ruch powinien zostać zatrzymany u źródła, a nie po przeniknięciu do sieci w celu uzyskania dostępu do punktu końcowego lub aplikacji.

Podsumowanie

Zdefiniowanie pozycji bezpieczeństwa sieci z domyślną odmową dostępu do sieci, a następnie budowanie białych list ostatecznie zmniejszy ryzyko ataków DDoS, infekcji złośliwym oprogramowaniem i naruszeń danych.

Jeśli zły aktor nie może nawet dostać się do „drzwi wejściowych” zasobu, nie będzie mógł przejść do następnego kroku i spróbować go przekroczyć! Dawne czasy „podłącz i módl się” nie działają w dzisiejszych czasach. Dlatego sieci muszą stać się wystarczająco inteligentne, aby zezwalać tylko na uwierzytelnione i autoryzowane źródła. W cyfrowym świecie nie należy ufać nic.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.