Nul-tillid sikkerhed tilføjer nødvendige ingredienser

Dagens trussellandskab består af dygtige, organiserede og godt finansierede dårlige aktører. De har mange mål, herunder udfiltrering af følsomme data for politiske eller økonomiske motiver. For at bekæmpe disse flere trusler kræves det, at cybersikkerhedsmarkedet udvides med endnu større hastighed.

IT-lederne skal udvikle deres sikkerhedsramme, hvis de ønsker at forblive cybertrusler. Evolutionssikkerheden, vi er vidne til, har en hældning mod Zero-Trust-modellen og den softwaredefinerede omkreds (SDP), også kaldet en "Black Cloud". Princippet for dets design er baseret på en brugervenlig model.

Zero-Trust-modellen siger, at enhver, der forsøger at få adgang til en ressource, skal godkendes og autoriseres først. Brugere kan ikke oprette forbindelse til noget, da uautoriserede ressourcer er usynlige, efterladt i mørke. For yderligere beskyttelse kan Zero-Trust-modellen kombineres med maskinlæring (ML) for at opdage den risikable brugeradfærd. Desuden kan det ansøges om betinget adgang.

Grundlæggende sikrer Zero-Trust en-til-en-segmentering mindst adgang til privilegier og reducerer angreboverfladen til et absolut minimum. Det forhindrer alle bevægelser i siderne i netværket og eliminerer derved mange velkendte netværksbaserede angreb, inklusive serverscanning, benægtelse af service, SQL-injektion, operativsystem, applikationssårbarhedsudnyttelse og man-i-midten for at nævne nogle få . En-til-en-segmenteringen er ikke kun IP-adresse til IP-adresse, men også til tjenester (porte) og applikationer.

Lateral bevægelse er en almindelig teknik, som dårlige skuespillere bruger til at navigere mellem eller inden for segmenter med det formål at kompromittere værdifulde aktiver. De bevæger sig med omhu og går ofte ubemærket hen i måneder, hvis ikke år. En hacker ville opdage, identitet og derefter målrette enheder på et netværk. En hacker vil typisk målrette mod og nemt kompromittere enhederne (un-patchede servere) og derefter gøre plads til mere værdifulde aktiver. Mens "hoveddøren" på en server kan sikres, findes der mange bagdøre, der også skal sikres med hensyn til styring, logning og anden trafikanvendelse.

Når vi undersøger vores fortid, finder vi ud af, at vi har taget betydelige skridt i udviklingen af ​​vores tanker relateret til sikkerhed. For eksempel er vi flyttet fra enkeltfaktorautentificering til tofaktorautentisering og nu til flerfaktorautentisering. Vi er også flyttet fra ikke-krypterende trafik i bevægelse til kryptering af trafik i bevægelse, hvilket resulterer i, at en høj procentdel af applikationerne er krypteret transportsikkerhed (TLS). 

Zero-Trust er den næste store megatrend, der gør det muligt for os at forsvare os mod interne og eksterne cyberkriminelle. Det teknologiske marked er vokset støt. Hvis du undersøger de tidligere sikkerhedsarkitekturer, kan du sige, at vi ikke havde andet valg end at ankomme her. Forretningsmål skal opfylde sikkerhedsløsninger, og bare fordi du har en hammer, betyder det ikke, at alt er et søm. Det er en almindelig antagelse, at mange brud har en intern vektor, hvor en bruger eller malware giver en ekstern aktør mulighed for at få adgang.

Tidligere forældede arkitekturer

Traditionelle arkitekturer med netadgangsadgangskontrol (NAC) og virtuelt privat netværk (VPN) typer adgang er lagt under antagelsen af, at omverdenen er ond og indersiden er god; uden trusler.

Realiteten er, at der har været en hurtig stigning i vellykkede angreb, der har en ondsindet komponent, hvad enten det er en bruger på indersiden eller en enhed, der er blevet kompromitteret. Så vi har ikke længere et betroet netværk og klare afgrænsningspunkter. Det er ganske uheldigt og trist at sige, at brugere i et netværk ikke er mere troværdige end dem uden for netværket. 

Omkretsen, mens den stadig findes, er mere flydende end den var tidligere. Forudsætningen for traditionel arkitektur var at have en fast omkreds. Omkretsen ville kun blive mere flydende, ikke kun med introduktionen af ​​nye teknologier, men med udviklingen af ​​nye forretningsmodeller, såsom at have et antal API'er til forskellige leverandører. Virksomhedens afgrænsningspunkter og deres løsninger er blevet meget fuzzier end tidligere.

Zero-Trust er en realitet, ikke kun en PowerPoint-præsentation. Der er ægte produkter såsom SDP, som er en arbejdsgruppe og foreslået arkitektur, der bringer Zero-Trust på markedet.

Software-defineret perimeter (SDP)

Gruppen SDP skubber Zero-Trust sikkerhed. Deres mål er at udvikle en løsning for at forhindre netværksangreb mod applikationen. Oprindeligt var det arbejdet, der blev udført hos Defense Information Systems Agency (DISA) under initiativet Global Information Grid (GIG) Black Core Network i 2007.

Deres oprindelige koncepter var afhængige af et overlaynetværk og en softwareklient og integrerede ikke grundlæggende Identity and Access Management (IAM) med det underliggende IP-netværk. De går imidlertid ind for en række principper, der bruges i Zero-Trust-modellen.

Det kommercielle produkt består af et antal komponenter, såsom en SDP-klient, controller og gateway.

SDP-klienten håndterer en lang række funktioner, der varierer fra verificering af enhed og brugeridentitet til routing af hvidlistede lokale applikationer til autoriserede beskyttede fjernapplikationer. Det er konfigureret i realtid for at sikre, at den certifikatbaserede gensidige TLS VPN kun opretter forbindelse til tjenester, som brugeren har godkendt til.

SDP-controlleren fungerer som en tillidsmægler mellem klienten og backend-sikkerhedskontrol. Controlleren bærer certifikatmyndighed (CA), og identitetsudbyderen (IP) bærer funktioner. Efter klientvalidering indstiller controlleren begge; SDP-klienten og gatewayen i realtid til at etablere en gensidig TLS-forbindelse.

Terminationen på controlleren ligner begrebet signalering på stemmenetværk. I dag i telefonnetværk modtager vi oprindeligt signalet, og der oprettes et opkald, før vi tillader medierne at gå igennem.

Dette svarer til at have en session initiation protocol (SIP) og en transmission control protocol (TCP) session. Vi udfører signalerne for at sikre, at vi er godkendt og autoriseret. Først da har vi lov til at kommunikere med fjernenden.

Så har vi SDP-gatewayen. Det anbefales at få SDP-gateway'en implementeret topologisk tættere på den beskyttede applikation.

SDP-arkitekturen leverer et antal værdsatte sikkerhedsegenskaber, når de kombineres sammen:

  • Information skjul: Med VPN'er bruger du et DNS-navn på VPN-serveren, men med SDP får du aldrig se DNS-navnet på slutpunktet, da SDP-controlleren sidder i midten, fungerer som tunnelmægleren.
  • Tilgængelighed: Ingen DNS-oplysninger eller synlige porte i det beskyttede program er tilgængelige. I det væsentlige betragtes SDP-beskyttede aktiver som ”mørke”, hvilket betyder, at de ikke kan opdages.
  • Forhåndsattestering: SDP forhåndsgodkender og validerer forbindelserne. Enhedsidentitet verificeres, før der tildeles forbindelse. Dette kan bestemmes via en MFA-token, der er integreret i TCP- eller TLS-forbindelsesopsætningen.
  • Før godkendelse: Brugere får kun adgang til applikationer, der er passende til deres rolle, mens de er synkroniseret med policy-tildeling.
  • Adgang til applikationslag: Det er en en-til-en-forbindelse mellem brugere og ressourcer. Brugerne får kun adgang på et applikationslag og ikke til hele det netværk, der ligger under.
  • udvidelsesmuligheder: SDP er bygget på velprøvde, standardbaserede komponenter, såsom gensidige TLS-, SAML- og X.509-certifikater. Standardbaseret teknologi sikrer lethed af integration med andre sikkerhedssystemer, såsom datakryptering.

For Zero-Trust kommer andre sager i den virkelige verden i form af salgssegmentering og give tredjepart adgang til din netværksinfrastruktur.

Brug sag: salgssegmentering

Dagens netværkssegmenteringsteknologier er begrænset på grund af deres åbne systemforbindelsesmodel (OSI) lag 2 og 3 afhængigheder. VxLAN er segmenteringsvalget inden for datacenteret. Derfor er virtuelle LAN'er (VLAN'er) på kontorer og virtuel routing og videresendelse (VRF'er) over brednetværket (WAN). Problemet med disse lag 2 og 3 segmenteringsmekanismer er imidlertid, at de kun bruger medieadgangskontroladressen (MAC) eller IP-adresser og ikke mere intelligente variabler til beslutningstagning.

Problemet i dag med for eksempel VLAN-segmentering er, at du kun segmenterer ned til en bestemt enhed. Hvis du imidlertid har en PCI-server (betalingskortindustri), kan du muligvis holde PCI-trafik adskilt fra den anden trafik, f.eks. Bibliotek eller Office 356. Grundlæggende giver ZT dig mulighed for fremtidig segmenttrafik inden for en enhed på service / applikationsniveau.

ZT er en-til-en-segmentering af brugerenhed og service / applikation. Det vælger en enhed og foretager en en-til-en-kortlægning af en tjeneste og ikke en applikation. Det kan segmentere netværkstrafik ikke kun baseret på enhedens MAC- eller IP-adresse, men er også i stand til at segmentere trafik baseret på brugertjeneste og applikation.

Brug sag: tredjepartsadgang

Lad os sige, at vi har en tredjepart, der udfører teknisk support til en organisation. En bank kan have en Oracle-database, der kører centrale applikationer, som de har problemer med. Derfor er der behov for en ekstern partner for at få adgang til situationen. Hvordan gør du det på en måde, som det eksterne supportmedlem ikke kan se eller gøre noget andet i datacentret?

Med Zero-Trust-modellen kan denne person få adgang til denne server på et bestemt tidspunkt med et specifikt MFA og et specifikt problembilletnummer. Derfor, hvis de kommer tilbage om 4 timer, får de ikke adgang.

Dette er i sammenligning med dagens fælles tredjepartsadgang. Når du har VPN-adgang til LAN, kan du se og gå til alt andet. Zero-Trust giver dig mulighed for at isolere ned til en bestemt server med en IP-adresse og portnummer fra en bestemt kildeport og IP-adresse.

Derudover er der så mange andre variabler, at det kan tage højde for. Zero-Trust er multivariabelt, der er dynamisk og ikke statisk. Det giver brugerne engangsadgang til en anmodet applikation, mens alle andre ressourcer er tilsluttet uden at give adgang til hele netværket.

Googles BeyondCorp-projekt

Googles BeyondCorp-initiativ flytter til en model, der undgår et privilegeret virksomhedsnetværk. I stedet afhænger adgang kun af enheds- og brugeroplysninger, uanset en brugers netværksplacering.

Al adgang til virksomhedsressourcerne er fuldt godkendt, autoriseret og
krypteret, baseret på enhedsstatus og brugeroplysninger. Som et resultat kan alle ansatte arbejde fra ethvert netværk og uden behov for en traditionel VPN-forbindelse.

Der er tre primære fordele ved at flytte til en Zero-Trust. Den første er eliminering af grænser mellem offentlige og private netværk og behandling af alle private og offentlige IP-netværk med den samme Zero-Trust-politik. Dette er den verden, vi lever i i dag, og derfor er vi nødt til at handle i overensstemmelse hermed.

Det andet er afkoblingen af ​​sikkerhed fra det underliggende IP-netværk og tilføjelse af OSI-lag 5-intelligens til netværket. Denne arkitektur er et skridt i den rigtige retning for at bekæmpe cyberkriminelle. Det kræver dog, at vi tænker om, hvordan vi kunne implementere sikkerhed i dag. Ligesom NG-Firewalls bevæger sig længere op i stakken, er den næste generation af routere nødt til at gøre det samme.

Realistisk set er VPN'er ikke længere på mode. Brugere ønsker ikke at bruge tiden på at konfigurere dem. Desuden flytter sikkerhedsadministratorerne til en Zero-Trust-model. Google har for eksempel gjort det lettere for alle sine medarbejdere at kunne arbejde hvor som helst uden behov for VPN'er. De har haft denne tilgængelighedsfunktion på plads i et par år, og det har været meget succesrig med at sikre et højt sikkerhedsniveau, samtidig med at brugerne bemyndiges til at arbejde overalt.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.