Rozwiązania

Zero Trust

Model Zero Trust lub architektura Zero Trust to koncepcja cyberbezpieczeństwa, w której nie istnieje automatyczne zaufanie dla użytkowników, systemów lub usług w obrębie sieci. Brak zaufania jest stosowany domyślnie. Nawet użytkownicy działający w sieci wewnętrznej wymagają weryfikacji.

Jak definiuje się podejście oparte na zasadzie zerowego zaufania?

Praca zdalna przesunęła granicę bezpieczeństwa przedsiębiorstw i zmieniła sposób, w jaki chronione są sieci biurowe. Obecnie zespoły ds. bezpieczeństwa stoją przed zadaniem zabezpieczenia stacji roboczych pracowników w domu, kawiarniach i innych miejscach, z których pracownicy łączą się z siecią w celu wykonywania swoich obowiązków. Co to oznacza?

  • Organizacje potrzebują systemu zabezpieczeń, który uwzględni zagrożenia i wyzwania związane z modelem pracy zdalnej.
  • Coraz więcej firm decyduje się na korzystanie z modelu Zero Trust.
  • Firmowy firewall nie jest już gwarantem bezpieczeństwa.
  • Korzystające z modelu zerowego zaufania organizacje zakładają, że bezpieczeństwo zostanie naruszone i z tego względu sprawdzają każde żądanie dostępu.

Różnica między sieciami zaufanymi i niezaufanymi już się zatarła. Jak sama nazwa wskazuje, przy zerowym zaufaniu wszystko wymaga weryfikacji.

Jaka jest koncepcja modelu zerowego zaufania?

Podejście zerowego zaufania opiera się na trzech podstawowych zasadach:

  1. Dokładnie weryfikuj (niczemu nie ufaj).
  2. Używaj zasady najmniej uprzywilejowanego dostępu.
  3. Zakładaj próbę włamania.

W modelu zerowego zaufania zanim jakiekolwiek żądanie dostępu zostanie przyznane, musi zostać uwierzytelnione, zautoryzowane i zaszyfrowane. Uwierzytelnianie i autoryzacja tożsamości opierają się na wszystkich dostępnych obserwacjach, które obejmują takie elementy, jak tożsamość użytkownika, klasyfikację danych, stan urządzenia i aplikacji oraz lokalizację.

Bez względu na to, czy użytkownik łączy się z biura, domu czy kawiarni, podejście jest zawsze takie samo. Zawsze dokonuje się weryfikacji, korzysta z zasady najmniej uprzywilejowanego dostępu i zakłada, że w dowolnym momencie może dojść do włamania. Silne polityki bezpieczeństwa są podstawą zerowego zaufania. Pozwalają zespołom ds. bezpieczeństwa na ochronę innych pracowników (bez względu na to, skąd się łączą) przy jednoczesnym zachowaniu produktywności.

Dlaczego potrzebujemy modelu Zero Trust?

Model Zero Trust został utworzony w 2010 roku przez Johna Kindervaga, wówczas głównego analityka w firmie Forrester Research Inc. O samym pomyśle dyskutowano jednak już wcześniej. W 2003 roku uznano, że zespoły ds. cyberbezpieczeństwa skupiają się na weryfikacji niewłaściwych kwestii, a użytkownicy korzystający z firmowych sieci cieszą się zbyt dużymi przywilejami. Następnie opracowano trzy podstawowe filary dotyczące weryfikacji tożsamości i urządzeń. Prawdziwie fundamentalna zmiana polegała na tym, że aplikacje w końcu zastąpiły sieci jako główny przedmiot zainteresowania cyberbezpieczeństwa.

„Nigdy nie ufaj, zawsze weryfikuj”

W przeszłości cyberbezpieczeństwo opierało się na narzędziach takich jak sieci VPN – aby połączyć się z wirtualną siecią prywatną, należało się zalogować. W takim modelu po zalogowaniu się użytkownika nie ma dalszej weryfikacji ani żadnej kontroli. Tym samym, jeśli cyberprzestępca włamie się do sieci VPN, może zdobyć dostęp do danych firmy. Większość firm nadal korzysta z VPN, a niektóre z nich dodają kolejną warstwę bezpieczeństwa, polegającą na weryfikacji urządzenia użytkownika.

Administratorzy muszą monitorować nie tylko sieć i urządzenia, ale też inne elementy związane z uprawnieniami użytkowników. Ważne jest, aby odpowiedzieli sobie na dodatkowe pytania, takie jak:

  • Czy pracownik mający dostęp do systemu CRM powinien posiadać jedynie możliwość przeglądania zapisów, czy może również ich edycji?
  • Czy edycja powinna być dopuszczalna tylko na urządzeniu firmowym?

Bez względu na wszystko jedna reguła pozostaje niezmienna i stanowi podstawę zerowego zaufania – każde działanie powinno być dozwolone tylko wtedy, gdy spełnione zostaną określone kryteria.

Jak należy wdrażać model Zero Trust?

  • Uprawnienia użytkowników i prawa dostępu do aplikacji powinny być zawsze ograniczone do minimum wystarczającego na zapewnienie ciągłości pracy i niezmienionej produktywności.
  • Lepiej jest „przygotować się na najgorsze, aby zapewnić sobie najlepsze”. Zespoły ds. bezpieczeństwa powinny projektować systemy firmy w taki sposób, aby poszczególne komponenty nie zostały naruszone przez atakującego, który uzyskał wpływ na inne komponenty.
  • Należy korzystać z analityki i monitorowania, aby w czasie rzeczywistym reagować na zagrożenia, które są lepiej widoczne i szybciej wykrywane.
  • Niezależnie od tego, czy zespół ds. bezpieczeństwa ocenia gotowość organizacji do wdrożenia zerowego zaufania, czy tworzy plany lepszej ochrony urządzeń, aplikacji, danych, infrastruktury i sieci firmy, każdy krok naprzód zmniejsza ryzyko i buduje wiarygodność całej organizacji.

Wdrożenie zerowego zaufania obejmuje kilka kroków, jednak kwestią priorytetową jest weryfikacja użytkowników. Zespoły ds. bezpieczeństwa muszą mieć pewność, że każdy, kto próbuje korzystać z aplikacji firmowych, jest rzeczywiście tym, za kogo się podaje. Pomaga w tym podwójna weryfikacja. Najczęstszą jej formą jest uwierzytelnianie wieloskładnikowe (MFA) lub uwierzytelnianie dwuskładnikowe (2FA).

  • 2FA to pierwszy krok do zerowego zaufania.
  • Następnym krokiem jest poznanie urządzenia, z którego korzysta użytkownik. Czy jest to urządzenie osobiste czy firmowe? W epoce aplikacji w chmurze istnieje mnóstwo urządzeń osobistych niezarządzanych przez organizację, których pracownicy używają do łączenia się z zasobami firmy.
  • Ostatnim elementem zerowego zaufania jest analiza aplikacji innych niż on-premise, a więc znajdujących się w chmurze poza siecią biurową. Zabezpieczenia działające w przypadku aplikacji lokalnych niekoniecznie sprawdzą się w przypadku aplikacji w chmurze, należy więc przyjrzeć się również tym ostatnim.

Od czego zacząć wdrażanie modelu Zero Trust?

Implementację Zero Trust należy zacząć od uwierzytelnienia wieloskładnikowego. W tym celu warto skorzystać z User Access Security Broker – rozwiązania, które umożliwia zainstalowanie usługi MFA na dużą skalę w całej organizacji. To nowoczesne podejście do wdrażania uwierzytelniania wieloskładnikowego różni się od podejścia tradycyjnego, ponieważ nie wymaga żadnych prac programistycznych. Usługa MFA jest wdrażana w dowolnej aplikacji przez dodanie brokera zabezpieczeń do infrastruktury firmy, a następnie przekierowanie przez niego ruchu sieciowego. Aby dowiedzieć się więcej o User Access Security Broker, odwiedź zakładkę rozwiązania na naszej stronie internetowej.

Mikroautoryzacje – kolejny krok w kierunku pełnego modelu Zero Trust

Kolejnym krokiem przybliżającym organizacje do modelu zerowego zaufania jest wdrożenie mikroautoryzacji. Mikroautoryzacje od Secfense to jedna z funkcji User Access Security Broker, która zapewnia dodatkową warstwę bezpieczeństwa pracownikom korzystającym z aplikacji. Mikroautoryzacje to dodatkowe prośby o uwierzytelnienie, które mogą zostać włączone przez administratora i są wyświetlane za każdym razem, gdy użytkownicy próbują uzyskać dostęp do określonych zasobów w organizacji lub wykonać konkretne działanie. Prośba o uwierzytelnienie może zostać zaakceptowana przez użytkownika (w Modelu Właściciela) lub autoryzowana przez przełożonego (w Modelu Przełożonego). Jeśli chcesz uzyskać więcej informacji na temat mikroautoryzacji, przejdź do zakładki “Rozwiązania” na naszej stronie internetowej.

Umów się z nami na rozmowę i dowiedz się:

  • jak wdrożyć model zerowego zaufania,
  • jak Twoje przedsiębiorstwo może skorzystać na mikroautoryzacjach,
  • jak wdrożyć i skalować silne uwierzytelnianie w całej organizacji,
  • jak zaktualizować mechanizmy uwierzytelniania za pomocą nowych silnych standardów.

Opinie Klientów

„Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.”

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

„Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.”

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.