Jak poradzić sobie z totalnym brakiem zaufania?

Specjaliści odpowiedzialni za cyberbezpieczeństwo mają na głowie wiele trudnych zagadnień takich jak ochronę przed cyberatakami, zabezpieczenie dostępu dla pracowników mobilnych, skuteczną ochronę zasobów w chmurze, obniżenie potencjalnego ryzyka związanego z urządzeniami prywatnymi i Internetem Rzeczy (IoT)… To tylko kilka przykładów – listę naprawdę trudno jest wyczerpać.

Tak więc nieustanne bombardowanie akronimami przy jednoczesnym poszukiwaniu najlepszych rozwiązań bezpieczeństwa i porad dotyczących cyfrowej transformacji może szybko stać się przytłaczające. Każdy sprzedawca zaczyna brzmieć podobnie, prezentacje różnią się tylko i wyłącznie kolorem slajdów i coraz trudniej jest podjąć decyzję, która technologia będzie dla Ciebie najlepsza.

Jeśli czujesz się trochę zagubiony w kwestii bezpieczeństwa polegającego na koncepcji zerowego zaufania (Zero Trust), nie martw się – nie jesteś sam. Gartner na jednej z konferencji dotyczącej tematu CARTA podał, że 70 procent uczestników słyszało termin ‘Zero Trust’, ale 23 procent nie było całkiem pewne, co to znaczy.

Jak więc zrozumieć te akronimy przeróżnych koncepcji zabezpieczeń i jaką rolę odgrywają one w zabezpieczeniu Twojej nieuchronnej migracji do chmury?

SDP (Software Defined Perimeter)

SDP oznacza obwód (granicę pomiędzy naszymi zasobami a resztą świata) zdefiniowany programowo – termin wymyślony przez Cloud Security Alliance. Koncepcja SDP polega na tym, że przedsiębiorstwa mogą teraz używać oprogramowania zamiast tradycyjnych sieciowych urządzeń zabezpieczających do płynnego łączenia użytkowników zdalnych oraz mobilnych z naszymi aplikacjami oraz zasobami działającymi w środowiskach prywatnych, hybrydowych lub w wielu chmurach jednocześnie.

Należy zauważyć, że wiele technologii SDP jest inicjowanych przez oprogramowanie, które MUSI być zainstalowane na urządzeniu użytkownika aby mieć dostęp do prywatnych aplikacji. Z powodu tego wymogu często nie nadają się do zastosowań, w których ważny jest dostęp z urządzeń niezarządzanych (np. BYOD lub użytkowników zewnętrznych, kontraktorów, itp.).

ZTNA (Zero Trust Network Access)

ZTNA to koncepcja, która w zasadzie pozbywa się pojęcia ‘dostępu uprzywilejowanego’ do sieci korporacyjnej w celu uzyskania dostępu do prywatnych zasobów firmy. W zamian, użytkownicy łączą się bezpośrednio z każdą aplikacją ‘ponad siecią’ (w wyższej warstwie modelu OSI) a aplikacje nie są widoczne w Internecie dla użytkowników nieautoryzowanych. Akronim ZTNA został wprowadzony do obiegu w kwietniu 2019 przez firmę Gartner w swoim przewodniku po rynku dotyczącym rozwiązań dostępu do sieci. ZTNA stara się wyjaśnić niektóre kluczowe różnice między różnymi dostawcami, którzy grają w tej nowej przestrzeni cyberbezpieczeństwa, dzieląc je na dwie odrębne architektury:

1. Architektury inicjowane przez klienta

rozwiązania ZTNA w tej kategorii ściśle odpowiadają oryginalnej architekturze Cloud Security Alliance Zasadniczo agent zainstalowany na autoryzowanych urządzeniach wysyła informacje o swoim kontekście bezpieczeństwa do ‘kontrolera’ (w dużym skrócie bazy danych zawierającej informację o uprawnieniach użytkowników oraz lokalizacji zasobów). Kontroler monituje użytkownika na urządzeniu o uwierzytelnienie i zwraca listę aplikacji, do których użytkownik ma dostęp.

2. Architektury inicjowane przez usługę

usługi ZTNA korzystają z tzw. ‘wtyczki’ (ang. ‘Connector’) – najczęściej wirtualnej maszyny zainstalowanej w tej samej sieci co aplikacje, która wykonuje połączenie wychodzące do usługi w chmurze (np. globalnej chmury Zscaler), w której użytkownik zostaje połączony z aplikacjami, do których przysługuje mu dostęp (przy pomocy ‘kontrolera’). Proces ten ma miejsce po uwierzytelnieniu użytkownika i urządzenia.

Gartner oferuje listę kryteriów oceny i zaleceń dotyczących wyboru właściwej technologii ZTNA. Jednym z zaleceń jest:

„W przypadku większości scenariuszy preferuj dostawców, którzy oferują ZTNA jako usługę w celu łatwiejszego wdrożenia, wyższej dostępności i ochrony przed atakami DDoS. Preferuj dostawców, którzy nie wymagają żadnych otwartych portów w urządzeniach typu firewall w celu nasłuchiwania połączeń przychodzących, co jest niestety typowe dla wielu rozwiązań ZTNA w postaci usługi.”

CARTA (Continuous Adaptive Risk and Trust Assessment)

W przeciwieństwie do dwóch pierwszych modnych akronimów, które są technologiami, CARTA to koncepcja struktury bezpieczeństwa opracowana przez Gartnera. Jest to nowoczesny ekosystem technologii chmurowych obejmujący usługę ZTNA, dostawców tożsamości, dostawców zabezpieczeń punktów końcowych oraz dostawców rozwiązań MDM i SIEM.

Koncepcja przewiduje, że zespoły muszą początkowo zaczynać od postawy zerowego zaufania, natomiast docelowo ustanowienie stanu ‘zaufania’ jest konieczne, aby zasoby mogły zostać udostępnione. Ponadto zamiast łączenia użytkownika na podstawie adresu IP (który nie jest silnym atrybutem bezpieczeństwa), CARTA twierdzi, że dział IT powinien zapewniać dostęp w oparciu o tzw. ‘kontekst’ (zestaw informacji o użytkowniku, urządzeniu, aplikacji i lokalizacji). Dostęp ten musi być stale monitorowany a ocena ryzyka musi być dynamicznie reewaluowana, aby zminimalizować ryzyko ataku. Należy zauważyć, że definicja Gartnera wykracza poza koncepcję ‘Zero Trust’ stworzoną przez Forrester Research 10 lat temu i wymusza na przedsiębiorstwach przyjęcia dynamicznego modelu ewaluacji ryzyka.

Gartner opracował strukturę CARTA w oparciu o ideę, że w świecie, w którym aplikacje coraz częściej przenoszą się do chmury, a użytkownicy są od wielu lat ‘wszechmobilni’, tradycyjne podejście do cyberbezpieczeństwa polegające na jednorazowym udostępnieniu lub blokowaniu dostępu do zasobów po prostu nie działa. Koncepcja bazująca na CARTA pozwala przedsiębiorstwom podejmować lepsze decyzje w oparciu o dynamiczną analizę zagrożeń oraz tożsamość użytkownika.

Niektóre z kluczowych koncepcji zawartych w CARTA obejmują:

• Decyzje o dostępie do zasobów muszą być stale dostosowywane. Mechanizmy bezpieczeństwa muszą się stale dostosowywać do dynamiki poziomu zagrożenia. Ocena ryzyka i poziom zaufania muszą być dynamicznie dostosowywane.
• Prosty mechanizm jednorazowego zablokowania lub zezwolenia na dostęp do zasobów wewnętrznych naraża przedsiębiorstwa na ataki ‘zero day’, kradzież danych i zagrożenia wynikające ze statycznego uprzywilejowania pracowników.
• Ocena zaufania i ryzyka musi być dynamiczna i poddawana ciągłej ocenie w miarę interakcji z zasobami oraz dostępności nowego ‘kontekstu’.
• W świecie cyfrowej transformacji wyniki można zoptymalizować tylko wtedy, gdy ‘cyfrowym zaufaniem’ zarządza się adaptacyjnie jako precyzyjny zestaw parametrów zaufania z wielowymiarowymi atrybutami ryzyka i reakcji.
• Niezależnie od tego, czy jest to SDP, czy ZTNA, identyfikacja użytkownika i przyznanie mu dostępu do określonych aplikacji zamiast całej sieci jest integralną częścią ogólnej struktury CARTA.

Co to oznacza dla mojego bezpieczeństwa sieci?

Koncepcje zawarte w SDP, ZTNA i CARTA pojawiły się, ponieważ tradycyjne modele sieci typu ‘hub & spoke’ oraz modele zabezpieczeń ‘castle & moat’ stały się nieskuteczne w cyfrowym świecie chmury oraz mobilności. Przedsiębiorstwa nie mają kontroli nad Internetem, który (będąc naszą autostradą do zasobów w chmurze publicznej) staje się naszą nową siecią korporacyjną, więc jak mogą zabezpieczyć się skutecznie na poziomie sieci? Cóż… Nie mogą.

Przesyłanie ruchu do Internetu (oraz rozwiązań SaaS, PaaS, IaaS itp.) przy użyciu technologii VPN dodaje znaczne opóźnienie (które zauważalnie pogarsza jakość korzystania z aplikacji), umieszcza użytkowników w sieci (co może prowadzić do rozprzestrzeniania się złośliwego oprogramowania) i powoduje, że punkty dostępu do naszej sieci korporacyjnej są widoczne w Internecie (gdzie narażone są na ataki typu DDoS).

Biorąc pod uwagę, że 98% wszystkich cyberzagrożeń pochodzi z Internetu, umieszczanie zdalnych użytkowników w sieci staje się niedopuszczalnym ryzykiem. Pracownicy mobilni, którzy wymagają równie szybkiego połączenia ze swoimi aplikacjami niezależnie od ich lokalizacji lub urządzenia, również zasługują na coś lepszego.

Klasyczny obwód bezpieczeństwa niegdyś zdefiniowany wokół naszego wewnętrznego centrum danych oraz tradycyjnej sieci korporacyjnej ewoluował. Teraz użytkownik, aplikacja i urządzenie to nowe wirtualne obwody, a Internet to nowa sieć korporacyjna. Wymaga to nowego podejścia do bezpiecznego dostępu do aplikacji. Twoi pracownicy często przebywają poza biurem, a ich aplikacje coraz częściej rezydują w chmurze. Czy w cyfrowym świecie nie należy zacząć budować zabezpieczeń z myślą przede wszystkim o chmurze oraz mobilności?

Artykuł wykorzystuje materiały autorstwa Christophera Hinesa.