4-7 minut

Polityka zerowego zaufania, czyli bezpieczeństwo według SASE

Przyspieszona cyfryzacja, popularność pracy zdalnej oraz rozwiązań chmurowych i hybrydowych sprawiły, że konieczna stała się zmiana sposobu myślenia o bezpieczeństwie sieci. Odpowiedzią na obecne potrzeby firm w tej dziedzinie jest koncepcja zerowego zaufania stosowana w rozwiązaniach SASE.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:
  1. NA CZYM POLEGA ZERO TRUST NETWORK ACCESS (ZTNA)?
  2. DLACZEGO WDROŻENIE ZTNA JEST NIEZBĘDNE W ROZWIĄZANIACH BAZUJĄCYCH NA SD-WAN?
  3. JAKIE SĄ KLUCZOWE ELEMENTY ARCHITEKTURY ZTNA?
  4. JAKIE KORZYŚCI NIESIE KONCEPCJA ZEROWEGO ZAUFANIA W ROZWIĄZANIACH SASE (SECURE ACCESS SERVICE EDGE)?

Tradycyjne systemy bezpieczeństwa stosowane do ochrony cyfrowych zasobów przedsiębiorstwa traktowały dowolny ruch wewnątrz sieci (lokalny), jako zaufany. Wymagały jednorazowej, zwykle jednostopniowej, weryfikacji tożsamości użytkownika, a nawet mogły bazować wyłącznie na adresie IP lub lokalizacji urządzenia, z którego użytkownik korzystał. Inaczej mówiąc: każdy, kto znalazł się „w perymetrze” korporacyjnej sieci lokalnej zyskiwał dostęp do wszystkich jej zasobów. Jednocześnie konieczne było wprowadzenie kontroli dostępu do wewnętrznych danych firmy, co wymagało od administratorów ustalenia hierarchii użytkowników, dodatkowych reguł i etapów weryfikacji1.

Nikomu nie ufaj, zawsze sprawdzaj

Słabości tego modelu dostrzeżono już na początku XXI wieku, a termin „zero trust” oznaczający ściślejsze reguły dotyczące cyberbezpieczeństwa i kontroli dostępu pojawił się w 2010 roku za sprawą analityków firmy Forrester Research. Jednak dopiero cyfryzacja niemal wszystkich aspektów funkcjonowania biznesu – w tym korzystanie z chmury, popularność pracy zdalnej i hybrydowej, czy możliwość wykorzystywania prywatnych urządzeń do zadań służbowych (BYOD) spowodowała konieczność wdrożenia nowych rozwiązań w tej dziedzinie. Na to nałożyło się rosnące z każdym rokiem zagrożenie wynikające z ataków phishingowych, kradzieży tożsamości czy prostych błędów użytkowników wewnętrznych prowadzących do naruszeń bezpieczeństwa. Według raportu Verizon2, za blisko jedną trzecią incydentów bezpieczeństwa w firmach odpowiadają właśnie pracownicy.

Architektura Zero Trust opiera się na założeniu, że w dobie powszechności mobilnych urządzeń i ciągłego dostępu do sieci należy weryfikować bezpieczeństwo na każdym kroku, a uprawnienia nie przysługują na zawsze, lecz są przyznawane na podstawie bieżącej oceny i potrzeb. Ma to szczególne znaczenie w przypadku rozwiązań bazujących na SD-WAN, które umożliwiają elastyczne funkcjonowanie przedsiębiorstw o rozproszonych zasobach (liczne oddziały, pracownicy zdalni, różne kategorie urządzeń, w tym urządzenia mobilne i Internetu Rzeczy). Uzupełnieniem architektury SD-WAN o funkcjonalności z obszaru bezpieczeństwa jest SASE – czyli przesunięcie weryfikacji tożsamości na brzeg sieci i przyznawanie użytkownikom uprawnień według ich bieżących ról. Oznacza to, że użytkownicy i urządzenia są traktowani tak samo niezależnie od ich fizycznej lokalizacji, uzyskują bezpieczny dostęp do zasobów, a jednocześnie otrzymują tylko takie uprawnienia, jakie są aktualnie potrzebne do wykonania zadania.

Trzy filary bezpieczeństwa w modelu zerowego zaufania

Podstawą modelu ZTNA jest weryfikacja tożsamości użytkowników, realizowana przy użyciu uwierzytelnienia dwuskładnikowego, które zabezpiecza dane organizacji w przypadku wycieku haseł lub kradzieży firmowego sprzętu. W rozwiązaniu SASE od T-Mobile, polityka ta zakłada również analizę bezpieczeństwa urządzenia – weryfikację systemu operacyjnego i oprogramowania antywirusowego3. Dopiero spełnienie wszystkich założonych przez administratora warunków pozwala korzystać z korporacyjnej sieci.

Drugim niezbędnym elementem jest segmentacja sieci – użytkownik z uprawnieniami dostępu do jednego obszaru nie może automatycznie uzyskiwać dostępu do innego obszaru. Takie szczegółowe – granularne – ustawienia uprawnień pozwalają znacząco podnieść bezpieczeństwo danych i aplikacji firmy, a w przypadku incydentu bezpieczeństwa wręcz uchronić dane przed wykradzeniem, zniszczeniem czy zaszyfrowaniem – jak ma to miejsce w przypadku ataków ransomware4.

Wreszcie trzecią kwestią jest monitorowanie zachowań użytkowników, identyfikacja zagrożeń oraz szyfrowanie danych zarówno w ruchu, jak i w spoczynku. W przypadku rozwiązania SASE oferowanego przez T‑Mobile możliwe jest prowadzenie ciągłego monitoringu aktywności użytkowników oraz pomiar wydajności aplikacji. Rozwiązanie to pozwala również na weryfikację ruchu internetowego przechodzącego przez SASE Gateway i blokowanie dostępu do niebezpiecznych aplikacji oraz potencjalnych zagrożeń z internetu. Oznacza to, że firmowe dane będą chronione nawet wtedy, gdy pracownik da się nabrać na sztuczki inżynierii społecznej stosowane przez hakerów albo będzie próbował uruchomić nieautoryzowane aplikacje czy obejrzeć zainfekowane strony.

Zalety dla organizacji

Koncepcja Zero Trust Network Access jest naturalnym i niezbędnym rozwinięciem polityki bezpieczeństwa w organizacjach korzystających z pełni możliwości technologii cyfrowych. W otoczeniu, w którym funkcjonują zarówno pracownicy stacjonarni, jak i zdalni, korzystający z urządzeń mobilnych o różnych systemach operacyjnych i zabezpieczeniach programowych, gdzie zasoby przechowywane są w środowisku multicloud, utrzymanie wysokiego poziomu ochrony przy użyciu tradycyjnych metod jest po prostu niemożliwe. Z tego powodu model zerowego zaufania jest fundamentalnym elementem rozwiązań SASE, umożliwiając bezpieczne korzystanie z zasobów firmy z dowolnego miejsca na świecie i przez dowolny typ sieci. Dla użytkowników oznacza to wygodniejszą pracę, bez różnicowania na użytkowników „wewnętrznych” i „zewnętrznych”.

Dla menedżerów IT wdrożenie koncepcji zerowego zaufania przełoży się natomiast na większą odporność na ataki z zewnątrz, zwłaszcza te z wykorzystaniem wykradzionych haseł, czy phishingu. Konieczność weryfikacji tożsamości oraz segmentacja sieci są w stanie ustrzec firmowe zasoby przed niefrasobliwością i zaniedbaniami użytkowników, a nawet przed ich złośliwym, celowym działaniem. I nawet jeżeli, mimo wszystkich zabezpieczeń, do incydentu bezpieczeństwa jednak dojdzie, jego skutki będą ograniczone.

Nie przesadzić z brakiem zaufania

Może się wydawać, że model nie ma żadnych słabych stron i nic nie powinno powstrzymywać organizacji przed wdrażaniem bardzo silnych procedur weryfikacji tożsamości i ograniczania uprawnień do minimum.

Tak jednak nie jest. Paradoksalnie, zbyt silnie forsowany model zerowego zaufania może doprowadzić do obniżenia bezpieczeństwa. Stanie się tak, kiedy ograniczenia nałożone przez administratorów będą zbyt krepujące dla użytkowników. Skorzystają oni wówczas z aplikacji i sprzętu nieautoryzowanego przez organizację (tzw. shadow IT) do efektywnego wykonywania zleconych im zadań5.

Drugim zagrożeniem wynikającym ze zbyt restrykcyjnej polityki zerowego zaufania jest potencjalne hamowanie nowatorskich rozwiązań i konieczność szukania kompromisów między ciągłością biznesową, a rozwiązaniami technologicznymi.

Podsumowanie

Model ZTNA, jako fundament nowoczesnych rozwiązań infrastruktury informatycznej, z pewnością będzie zyskiwał na popularności wraz z rozwojem usług SASE i SD-WAN. Jego właściwe wdrożenie w organizacji pozwoli na efektywne wykorzystywanie zasobów, ochronę kluczowych danych i aplikacji przed nieautoryzowanym dostępem oraz wzmocnienie odporności na ataki z zewnątrz. Najważniejsze elementy tego modelu to:

  • Wieloskładnikowa weryfikacja tożsamości użytkowników
  • Przyznawanie możliwie najwęższych uprawnień koniecznych do zrealizowania zadania oraz szyfrowania danych zarówno składowanych na serwerach, jak i przesyłanych przez sieć
  • Segmentacja sieci – utworzenie izolowanych od siebie stref ograniczających skutki incydentów bezpieczeństwa
  • Ciągły monitoring bezpieczeństwa urządzeń podłączonych do sieci oraz zachowania użytkowników, w tym poczty, aplikacji i odwiedzanych stron WWW

1https://en.wikipedia.org/wiki/Zero_trust_security_model

2https://www.verizon.com/business/resources/Tb2/reports/executive-summary.pdf

3https://bizdev1.gts.pl/wp-content/uploads/2022/06/SASE_ulotka.pdf

4https://www.computerworld.pl/news/Zintegrowane-bezpieczenstwo-to-najwazniejszy-kierunek-rozwoju-technologii,436435.html

5https://www.securitymagazine.com/articles/97940-cybersecurity-teams-and-employees-disagree-on-shadow-it-use

SASE

Ten artykuł dotyczy produktu

SASE

Przejdź do produktu

Data publikacji: 30.09.2022

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.