Zero Trust Networking (ZTN) stoler ikke på noget

John Kindervag, en tidligere analytiker fra Forrester Research, var den første, der introducerede Zero-Trust-modellen tilbage i 2010. Fokuset var derefter mere på applikationslaget. Når jeg først hørte, at Sorell Slaymaker fra Techvision Research skubbede emnet på netværksniveau, kunne jeg ikke modstå at give ham et opkald til at diskutere generalerne på Zero Trust Networking (ZTN). Under samtalen lyste han et lys over adskillige kendte og ukendte fakta om Zero Trust Networking, der kunne vise sig at være nyttige for enhver. 

Den traditionelle verden af ​​netværk startede med statiske domæner. Den klassiske netværksmodel opdelte klienter og brugere i to grupper - tillid og ikke tillid. De betroede er dem i det interne netværk, de ikke-tillid til er eksternt til netværket, som enten kan være mobilbrugere eller partnernetværk. For at omarbejde de ikke-tillid til at blive tillid, bruger man typisk et virtuelt privat netværk (VPN) til at få adgang til det interne netværk.

Det interne netværk vil derefter blive opdelt i et antal segmenter. En typisk trafikstrøm ville komme ind i den demilitariserede zone (DMZ) til inspektion og derfra kunne der fås adgang til interne ressourcer. Brugerne får adgang til præsentationslaget. Præsentationslaget kommunikerer derefter til applikationslaget, som igen får adgang til databaselaget. Til sidst udstillede denne arkitektur meget trafik fra nord til syd, hvilket betyder, at det meste af trafikken ville komme ind og forlade datacentret.

Fødselen med virtualisering ændrede mange ting, da det havde en bemærkelsesværdig indflydelse på trafikstrømmene. Der var nu et stort antal applikationer inde i datacentret, der krævede tværkommunikation. Det udløste en ny strøm af trafik, kendt som øst til vest. Udfordringen for den traditionelle model er, at den ikke giver nogen beskyttelse for trafik fra øst til vest.

Traditionelle netværk er opdelt i forskellige segmenter, der typisk ses som zoner. Det var en almindelig praksis at gruppere lignende servertyper i zoner uden sikkerhedskontrol for at filtrere den interne trafik. I en given zone kan servere typisk frit tale med hinanden og dele et fælles udsendelsesdomæne.

Hvis en dårlig skuespiller finder en sårbarhed i en af ​​dine databaseservere i den zone, kan den dårlige skuespiller nemt bevæge sig for at prøve at kompromittere andre databaseservere. Sådan kom netværks- og sikkerhedsmodellen til. Desværre er det stadig den almindelige virksomhedsarkitektur, der bruges i dag. Det er forældet og ikke sikkert, men alligevel stadig mest vedtaget. I denne dag og alder skal du være på højre side af sikkerhed.

Dårlige skuespillere vil altid jage efter det svageste led, og når først linket er kompromitteret, bevæger de sig ubemærket i forfølgelsen af ​​større målaktiver. Derfor har du ikke kun brug for at beskytte trafik fra nord til syd, du har også brug for at beskytte øst mod vest. For at bygge bro over gabet gik vi gennem en række faser.

Microsegmentation

Den nuværende bedste og mest foretrukne praksis for at beskytte øst til vest trafik er mikrosegmentering. Mikrosegmentering er en mekanisme, hvor du segmenterer den virtualiserede computer fra brugerne. Det reducerer angreboverfladen yderligere ved at reducere antallet af enheder og brugere på et givet segment. Hvis en dårlig aktør får adgang til et segment i datazonen, er han begrænset til at gå på kompromis med andre servere inden for den zone.

Lad os se på det fra et andet perspektiv. Forestil dig, at Internettet er som vores vejsystem, og alle huse og lejligheder er computere og enheder på vejen. I dette scenario definerer mikrosegmentering kvarteret og antallet af mennesker, der bor i nabolaget. Alle i nabolaget har evnen til at navigere til din dør og prøve at få adgang til dit hus. Her må vi antage, at færre mennesker i nabolaget, desto mindre sandsynligt vil dit hus blive røvet.

På samme måde, i tilfælde af mikrosegmentering, segmenterede vi ikke kun vores applikationer og tjenester, men vi begyndte også at segmentere brugerne. Det segmenterer forskellige brugere, der bruger forskellige netværk i forskellige segmenter. Det var et skridt i den rigtige retning, da det i dag kontrollerer både nord til syd og øst til vest bevægelser af trafik, hvilket yderligere isolerer størrelsen på udsendelsesdomæner.

Det leveres også med nogle ulemper. En af de største mangler er, at det er IP-adressecentrisk, der er afhængig af VPN- eller NAC-klienter, som ikke er kompatibel med Internet of Things og er afhængig af binære regler. Vi bruger en binær beslutningsproces; enten tillad eller nægt. En ACL gør egentlig ikke så meget. Du kan tillade eller afvise på et IP- eller portnummer, men det er i høj grad en statisk, binær proces.

Faktisk for dagens applikationer er vi nødt til at bruge mere intelligente systemer, hvorved yderligere kriterier kan bruges sammen med tilladelse eller afvisning. Sammenlignende kan NextGen-firewalls træffe mere intelligente beslutninger. De består af regler, der for eksempel tillader et kilde- og destinationspar kun at kommunikere i bestemte åbningstider og fra bestemte netværkssegmenter. De er mere kornede og kan også registrere, hvis brugeren har bestået MFA-processen med flere faktorer.

Session lag

Hvor foregår alt det intelligente arbejde? Sessionen lag! Sessionslaget giver mekanismen til åbning, lukning og styring af en session mellem slutbrugere og applikationer. Sessioner er stateful og ende til ende.

Det er sessionen, hvor staten og sikkerheden kontrolleres. Årsagen til at vi har firewalls er, at routere ikke administrerer tilstand. Mellemkasser tilføjes for at administrere tilstand, det er på det statslige niveau, hvor alle dine sikkerhedskontroludgange, såsom kryptering, autentificering, segmentering, identitetsstyring og afvigelsesdetektion for at nævne nogle få.

For at have et Zero-Trust meget sikkert netværk, skal netværket blive smartere, det skal blive lag-5-opmærksom for at styre staten og sikkerheden. Da dette er netværksspecifikt, skal du stadig have passende sikkerhedskontroller højere oppe i stakken.

På et tidspunkt, i stedet for at kræve fastgørelse på alle disse ”mellemkasser”, skal netværksrutere levere disse funktioner naturligt i næste generation af softwaredefinerede netværk (SDN), der adskiller dataplanet fra kontrolplanet.

I dag er vi vidne til en masse opmærksomhed på SD-WAN-markedet. SD-WAN bruger dog tunneler og overlays såsom IPsec og virtual extensible LAN (VXLAN), der mangler ende til ende applikationsydelse og sikkerhedskontrol.

Inden i en SD-WAN har du ikke mange sikkerhedskontroller. Tunneler er punkt til punkt, ikke ende til ende. Alle sessioner går gennem en enkelt tunnel og i tunnelen; du har ingen sikkerhedskontroller for den trafik.

Selvom der gøres fremskridt, og vi bevæger os i den rigtige retning, er det ikke nok. Vi er nødt til at begynde at tænke på den næste fase - Zero Trust Networking. Vi skal være opmærksomme på, at al netværkstrafikken i en ZTN-verden er ikke tillid.

Introduktion af Zero Trust Networking

Målet med Zero Trust Networking er at stoppe ondsindet trafik i udkanten af ​​netværket, før det får lov til at opdage, identificere og målrette andre netværksenheder.

Zero-Trust i sin enkleste form har forbedret segmenteringen til en en-til-en-model. Det tager segmentering helt til de absolutte slutpunkter for enhver bruger, enhed, service og applikation på netværket.

Inden for denne model kan de beskyttede elementer enten være brugere, 'ting', tjenester eller applikationer. Den rigtige definition er, at ingen brugerdatagram-protokol (UDP) eller transmissionskontrolprotokol (TCP) -session er tilladt at blive etableret uden forudgående godkendelse og tilladelse.

Vi laver segmentering helt ned til endepunktet. I en nul-tillidsverden er den første regel at benægte alt. Bogstaveligt talt stoler du ikke på noget, og så begynder du at åbne en hvidliste, der kan blive så dynamisk og kornet, som du har brug for, for at den skal være.

Min første reaktion på Zero Trust Networking var, at denne type en-til-en-model skal tilføje en vis alvorlig vægt til netværket, dvs. bremse det, tilføje latenstid osv. Men det er faktisk ikke tilfældet, du behøver kun muligheden for at styr det første sæt pakker. Du skal kun tillade, at sessionen etableres. I TCP-verdenen er det TCP SYN- og SYN-ACK-processen. I resten af ​​sessionen kan du holde dig ude af datasporet.

En netværksadministrator skal bruge tiden på at virkelig forstå brugere, ting, tjenester, applikationer og data på deres netværk. Desuden skal manageren måle, hvem der har adgang til hvad. Den gode nyhed er, at en masse af disse oplysninger allerede findes i IAM-bibliotekerne, der bare skal kortlægges til det routede netværk.

Hvordan måler du sikkerhed?

Det ville være en god ide at spørge sig selv. Hvordan måler jeg min sikkerhedssårbarhed? Hvis du ikke kan måle det, hvordan kan du administrere det? Vi skal være i stand til at beregne angrebets overflade.

Med ZTN har vi nu en formel, der dybest set beregner netværksangreboverfladen. Dette er en effektiv måde at måle netværksadgangssikkerhedsrisici på. Jo lavere angrebsoverflade, jo mere sikker er netværksaktiverne.

Før Zero-Trust var en af ​​variablerne for angrebsoverfladen tv-domænet. Det var en sluthost, der kunne sende en ARP (Broadcast Address Resolution Protocol) for at se, om der var noget andet på netværket. Dette var en betydelig angrebsflade.

Attackoverfladen definerer i det væsentlige, hvor åbent netværket er for angrebet. Hvis du for eksempel installerer et IoT-overvågningskamera, skal kameraet kun være i stand til at åbne en transportlagsikkerheds (TLS) -session til et valgt sæt servere. Under denne model er angrebsoverfladen 1. Med den automatiske spredning af malware med millioner af usikre IoT-enheder er det en nødvendighed i dagens tider.

Det bedste angreboverfladenummer er åbenlyst 1, men antallet af dårligt designet netværk kunne være markant højere. For eksempel, mens du tilføjer et IoT-overvågningskamera til et lager LAN, der har 50 andre tilsluttede enheder, og kameraet har 40 åbne porte, men det er ikke krypteret, og der er ingen retningslinjer for, hvem der har tilladelse til at starte en session. Dette resulterer i angrebsoverfladen på op til 200.000 gange, hvilket er et enormt hul i angrebets overflade. Dette hul er niveauet for eksponering for risiko.

Omkretsen opløses

Omkretsen har opløst dine brugere, ting, tjenester, applikationer, og dataene er overalt. Når verden bevæger sig til skyen, mobilen og IoT, er muligheden for at kontrollere og sikre alt i netværket længere tilgængelig.

Traditionelle sikkerhedskontroller såsom Network Access Control (NAC), firewalls, indbrudssikring og Virtual Private Networks (VPN) er alle baseret på antagelsen om, at der er en sikker omkreds. Når du først har fået adgang til LAN, antages det, at alt automatisk er tillid til. Denne model antager også, at alle slutpunkter kører den samme VPN- eller NAC-klient, hvilket er vanskeligt at håndhæve i denne distribuerede digitale verden.

Zero-Trust hævder det modsatte. Alt hvad enten det er inden for eller uden for er uden for tillidens domæne. I det væsentlige er intet på netværket betroet. Hver session, som en bruger opretter med andre brugere eller applikationer, skal autentificeres, autoriseres og regnskabsføres i udkanten af ​​det netværk, hvor netværkssessionen er etableret.

I dag kan alle forlade deres hus, rejse til dit hus og banke på din dør. Selvom de muligvis ikke har nøglerne til at åbne døren, men de kan vente på en sårbarhed, såsom et åbent vindue.

I modsætning hertil siger ZTN, at ingen må forlade deres hus og banke på din dør uden korrekt godkendelse og tilladelse. Det starter med den antagelse, at ondsindet trafik skal stoppes ved dens oprindelse, ikke efter, at den er trængt ind i netværket, der prøver at få adgang til et slutpunkt eller en applikation.

Resumé

Definition af en netværkssikkerhedsposition med en standard for at nægte al netværksadgang og derefter opbygge hvidliste vil til sidst reducere risikoen for DDoS-angreb, ondsindede softwareinfektioner og dataovertrædelser.

Hvis en dårlig skuespiller ikke engang kan komme til "hoveddøren" på et aktiv, vil de ikke have mulighed for at gå til næste trin og prøve at bryde det! De gamle dage med "plug & bed" fungerer ikke i nutidens æra. Derfor skal netværkene blive intelligente nok til kun at tillade godkendte og autoriserede kilder. I en digital verden skal man ikke stole på noget.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.