Brak zaufania do zabezpieczeń dodaje niezbędne składniki

Dzisiejszy krajobraz zagrożeń składa się z wykwalifikowanych, zorganizowanych i dobrze finansowanych złych aktorów. Mają wiele celów, w tym eksfiltrację poufnych danych z powodów politycznych lub ekonomicznych. Aby zwalczyć te liczne zagrożenia, rynek cyberbezpieczeństwa musi się rozwijać w jeszcze większym stopniu.

Liderzy IT muszą zmienić swoje ramy bezpieczeństwa, jeśli chcą wyprzedzać cyberzagrożenia. Ewolucja bezpieczeństwa, której jesteśmy świadkami, przechyla się w kierunku modelu zerowego zaufania i obwodu programowego (SDP), zwanego również „Czarną chmurą”. Zasada jego konstrukcji opiera się na modelu „trzeba wiedzieć”.

Model zerowego zaufania mówi, że każdy, kto próbuje uzyskać dostęp do zasobu, musi zostać uwierzytelniony i najpierw autoryzowany. Użytkownicy nie mogą się z niczym połączyć, ponieważ nieautoryzowane zasoby są niewidoczne, pozostawione w ciemności. W celu dodatkowej ochrony model zerowego zaufania można połączyć z uczeniem maszynowym (ML), aby odkryć ryzykowne zachowanie użytkownika. Poza tym można go zastosować do dostępu warunkowego.

Zasadniczo segmentacja jeden-do-jednego Zero-Trust zapewnia najmniejszy dostęp do uprawnień i zmniejsza powierzchnię ataku do absolutnego minimum. Zapobiega wszelkim bocznym ruchom w sieci, eliminując w ten sposób wiele dobrze znanych ataków sieciowych, w tym skanowanie serwera, odmowę usługi, wstrzyknięcie SQL, system operacyjny, exploity podatności na ataki i man-in-the-middle, aby wymienić tylko kilka . Segmentacja jeden do jednego to nie tylko adres IP do adresu IP, ale także do usług (portów) i aplikacji.

Ruch boczny jest powszechną techniką stosowaną przez złych aktorów do nawigacji między segmentami lub w ich obrębie w celu narażenia cennych zasobów. Poruszają się ostrożnie i często pozostają niezauważeni przez miesiące, a nawet lata. Haker odkrywał, identyfikował, a następnie atakował urządzenia w sieci. Zazwyczaj haker atakował urządzenia (bez łatania serwerów) i łatwo narażał je na szwank, a następnie przechodził do bardziej wartościowych zasobów. Chociaż „frontowe drzwi” serwera można zabezpieczyć, istnieje wiele tylnych drzwi, które należy zabezpieczyć również pod względem zarządzania, logowania i innych zastosowań związanych z ruchem.

Kiedy badamy naszą przeszłość, stwierdzamy, że poczyniliśmy znaczące kroki w ewolucji naszego myślenia związanego z bezpieczeństwem. Na przykład przeszliśmy z uwierzytelniania jednoskładnikowego na uwierzytelnianie dwuskładnikowe, a teraz na uwierzytelnianie wieloskładnikowe. Przeszliśmy również z ruchu nieszyfrującego w ruchu na szyfrowanie ruchu w ruchu, co powoduje, że wysoki odsetek aplikacji jest szyfrowanych za pomocą zabezpieczeń warstwy transportowej (TLS). 

Zero-Trust to kolejny wielki megatrend, który umożliwia nam obronę przed wewnętrznymi i zewnętrznymi cyberprzestępcami. Rynek technologiczny stale się rozwija. Jeśli przeanalizujesz poprzednie architektury bezpieczeństwa, możesz powiedzieć, że nie mieliśmy innego wyjścia, jak tylko się tu dostać. Cele biznesowe muszą spełniać rozwiązania w zakresie bezpieczeństwa, a to, że masz młotek, nie oznacza, że ​​wszystko jest gwoździem. Powszechnie przyjmuje się, że wiele naruszeń ma wewnętrzny wektor, w którym użytkownik lub złośliwe oprogramowanie umożliwia podmiotowi zewnętrznemu uzyskanie dostępu.

Poprzednie przestarzałe architektury

Tradycyjne architektury z kontrolą dostępu do sieci (NAC) i dostępem do wirtualnej sieci prywatnej (VPN) są oparte na założeniu, że świat zewnętrzny jest zły, a wnętrze dobre; bez zagrożeń.

W rzeczywistości nastąpił gwałtowny wzrost liczby udanych ataków zawierających szkodliwy komponent, bez względu na to, czy chodzi o użytkownika wewnątrz, czy o zagrożone urządzenie. Nie mamy już więc zaufanej sieci i wyraźnych punktów rozgraniczających. Niefortunne i smutne jest stwierdzenie, że użytkownicy w sieci nie są bardziej godni zaufania niż użytkownicy spoza sieci. 

Obwód, gdy jeszcze istnieje, jest bardziej płynny niż w przeszłości. Założeniem tradycyjnej architektury było ustalenie obwodu. Obszar ten stałby się bardziej płynny, nie tylko dzięki wprowadzeniu nowych technologii, ale także dzięki postępom nowych modeli biznesowych, takich jak posiadanie wielu interfejsów API dla różnych dostawców. Punkty rozgraniczające firmy i ich rozwiązania stały się znacznie bardziej niewyraźne niż w przeszłości.

Zero-Trust to rzeczywistość, a nie tylko prezentacja PowerPoint. Istnieją prawdziwe produkty, takie jak SDP, która jest grupą roboczą i zaproponowała architekturę wprowadzającą Zero-Trust na rynek.

Obwód programowy (SDP)

Grupa SDP naciska na bezpieczeństwo zerowego zaufania. Ich celem jest opracowanie rozwiązania zapobiegającego atakom sieciowym na aplikację. Początkowo były to prace prowadzone w Agencji ds. Systemów Informacji Obronnej (DISA) w ramach inicjatywy Black Core Network Global Information Grid (GIG) w 2007 r..

Ich początkowe koncepcje opierały się na sieci nakładkowej i kliencie oprogramowania, nie integrując zasadniczo zarządzania tożsamością i dostępem (IAM) z podstawową siecią IP. Opowiadają się jednak za wieloma zasadami stosowanymi w modelu zerowego zaufania.

Produkt komercyjny składa się z wielu komponentów, takich jak klient SDP, kontroler i brama.

Klient SDP obsługuje szeroki zakres funkcji, od weryfikacji urządzenia i tożsamości użytkownika, poprzez routing lokalnych aplikacji z białej listy, po autoryzowane chronione aplikacje zdalne. Jest konfigurowany w czasie rzeczywistym, aby zapewnić, że wzajemna TLS VPN oparta na certyfikatach łączy się tylko z usługami, dla których użytkownik autoryzował.

Kontroler SDP działa jako broker zaufania między klientem a kontrolami zabezpieczeń zaplecza. Kontroler wykonuje urząd certyfikacji (CA), a dostawca tożsamości (IP) wykonuje funkcje. Po sprawdzeniu poprawności przez klienta kontroler konfiguruje oba; klient SDP i brama w czasie rzeczywistym w celu ustanowienia wzajemnego połączenia TLS.

Zakończenie na kontrolerze jest podobne do koncepcji sygnalizacji w sieciach głosowych. Dzisiaj w sieciach telefonicznych początkowo otrzymujemy sygnał, a zanim zezwolimy na przejście mediów, zestawiane jest połączenie.

Jest to równoważne z posiadaniem protokołu inicjowania sesji (SIP) i sesji protokołu kontroli transmisji (TCP). Przeprowadzamy sygnalizację, aby upewnić się, że jesteśmy uwierzytelnieni i autoryzowani. Tylko wtedy możemy komunikować się ze zdalnym końcem.

Następnie mamy bramę SDP. Zaleca się, aby brama SDP była wdrożona topologicznie, bliżej chronionej aplikacji.

Architektura SDP zapewnia szereg cennych właściwości bezpieczeństwa w połączeniu:

  • Ukrywanie informacji: W przypadku sieci VPN używasz nazwy DNS serwera VPN, ale w przypadku SDP nigdy nie widzisz nazwy DNS punktu końcowego, ponieważ kontroler SDP siedzi pośrodku, działając jako broker tunelowy.
  • Dostępność: Brak dostępnych informacji DNS lub widocznych portów chronionej aplikacji. Zasadniczo zasoby chronione przez SDP są uważane za „ciemne”, co oznacza, że ​​nie można ich wykryć.
  • Wstępne uwierzytelnienie: SDP wstępnie uwierzytelnia i sprawdza połączenia. Tożsamość urządzenia jest weryfikowana przed przyznaniem łączności. Można to ustalić za pomocą tokena MFA osadzonego w konfiguracji połączenia TCP lub TLS.
  • Wstępna autoryzacja: Użytkownicy mają dostęp tylko do aplikacji, które są odpowiednie do ich roli, podczas synchronizacji z przypisaniem zasad.
  • Dostęp do warstwy aplikacji: To bezpośrednie połączenie między użytkownikami i zasobami. Użytkownicy mają dostęp tylko do warstwy aplikacji, a nie do całej sieci, która jest pod nimi.
  • Rozciągliwość: SDP jest oparty na sprawdzonych komponentach opartych na standardach, takich jak wzajemne certyfikaty TLS, SAML i X.509. Technologia oparta na standardach zapewnia łatwą integrację z innymi systemami bezpieczeństwa, takimi jak szyfrowanie danych.

W przypadku Zero-Trust inne rzeczywiste przypadki użycia mają postać segmentacji punktu sprzedaży i zapewniają dostęp stron trzecich do infrastruktury sieciowej.

Przypadek użycia: segmentacja w punkcie sprzedaży

Dzisiejsze technologie segmentacji sieci są ograniczone ze względu na ich zależności między warstwami modelu 2 i 3 modelu połączeń między systemami otwartymi. VxLAN to wybór segmentacji w centrum danych. W związku z tym wirtualne sieci LAN (VLAN) znajdują się w biurach oraz wirtualne routing i przekazywanie (VRF) przez sieć rozległą (WAN). Problem z tymi mechanizmami segmentacji warstwy 2 i 3 polega jednak na tym, że używają one tylko adresu kontroli dostępu do mediów (MAC) lub adresów IP, a nie bardziej inteligentnych zmiennych do kształtowania polityki.

Dzisiejszy problem, na przykład z segmentacją VLAN, polega na tym, że segmentujesz tylko do określonego urządzenia. Jeśli jednak masz serwer obsługujący karty płatnicze (PCI), możesz chcieć oddzielić ruch PCI od innego ruchu, np. Katalogu lub pakietu Office 356. Zasadniczo ZT pozwala na segmentację ruchu w przyszłości w obrębie urządzenia na poziomie usługi / aplikacji.

ZT to segmentacja urządzenia użytkownika i usługi / aplikacji typu jeden do jednego. Wybiera urządzenie i dokonuje indywidualnego mapowania usługi, a nie aplikacji. Może segmentować ruch sieciowy nie tylko na podstawie adresu MAC lub adresu IP urządzenia, ale także może segmentować ruch na podstawie usługi użytkownika i aplikacji.

Przypadek użycia: dostęp stron trzecich

Załóżmy na przykład, że firma zewnętrzna zapewnia wsparcie techniczne dla organizacji. Bank może mieć bazę danych Oracle, na której działają kluczowe aplikacje, z którymi mają problemy. Dlatego potrzebny jest partner zewnętrzny, aby uzyskać dostęp do sytuacji. Jak to zrobić, aby zewnętrzny członek obsługi nie widział ani nie robił nic innego w centrum danych?

W modelu Zero-Trust ta osoba może uzyskać dostęp do tego serwera w określonym czasie za pomocą określonego MFA i określonego numeru zgłoszenia problemu. Dlatego jeśli wrócą za 4 godziny, nie będą mieli dostępu.

Jest to w porównaniu z dzisiejszym powszechnym dostępem stron trzecich. Po uzyskaniu dostępu VPN do sieci LAN możesz zobaczyć i przejść do wszystkiego innego. Zero-Trust pozwala izolować do jednego określonego serwera z jednym adresem IP i numerem portu od określonego portu źródłowego i adresu IP.

Poza tym istnieje wiele innych zmiennych, które można wziąć pod uwagę. Zero-Trust jest wielowymiarowy, który jest dynamiczny i niestatyczny. Daje użytkownikom jednorazowy dostęp do żądanej aplikacji, podczas gdy wszystkie inne zasoby są maskowane bez udzielania dostępu do całej sieci.

Projekt Google BeyondCorp

Inicjatywa Google BeyondCorp przechodzi na model, który rezygnuje z uprzywilejowanej sieci korporacyjnej. Zamiast tego dostęp zależy wyłącznie od danych uwierzytelniających urządzenia i użytkownika, niezależnie od lokalizacji sieci użytkownika.

Cały dostęp do zasobów przedsiębiorstwa jest w pełni uwierzytelniony, autoryzowany i
szyfrowane, oparte na stanie urządzenia i poświadczeniach użytkownika. W rezultacie wszyscy pracownicy mogą pracować z dowolnej sieci i bez potrzeby tradycyjnego połączenia VPN.

Istnieją trzy podstawowe korzyści przejścia na Zero-Trust. Pierwszym z nich jest zniesienie granic sieci publicznej i prywatnej oraz traktowanie wszystkich prywatnych i publicznych sieci IP za pomocą tej samej polityki zerowego zaufania. W tym świecie żyjemy dzisiaj, dlatego musimy działać odpowiednio.

Drugim jest oddzielenie bezpieczeństwa od bazowej sieci IP i dodanie inteligencji warstwy OSI 5 do samego brzegu sieci. Ta architektura jest krokiem we właściwym kierunku w walce z cyberprzestępcami. Wymaga to jednak od nas ponownego przemyślenia, w jaki sposób możemy dziś wdrożyć zabezpieczenia. Podobnie jak zapory sieciowe NG przesuwają się dalej w górę stosu, podobnie routery nowej generacji muszą zrobić to samo.

Realistycznie, VPN nie są już modne. Użytkownicy nie chcą poświęcać czasu na ich konfigurowanie, a ponadto administratorzy bezpieczeństwa przechodzą na model zerowego zaufania. Google na przykład ułatwił wszystkim swoim pracownikom pracę z dowolnego miejsca bez konieczności korzystania z VPN. Mają tę funkcję ułatwień dostępu od kilku lat i bardzo skutecznie zapewnia wysoki poziom bezpieczeństwa, jednocześnie umożliwiając użytkownikom pracę z dowolnego miejsca.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.