IT forklarede: Hvad handler Zero Trust -sikkerhedsmodellen om?

-

Indeholder tilknyttede links Mere info

Har du nogensinde hørt om Zero Trust-modeller inden for cybersikkerhed og InfoSec? Fremskridt med teknologier og ændringer i den måde, vi arbejder på, betyder, at cybersikkerhedstrusler også skrider frem, og vi står over for nye trusler hver dag. De kan komme uden for organisationen såvel som indefra - hvis for eksempel en medarbejder åbner en phishing-e-mail eller efterlader deres bærbare computer åben uden at låse, og en person uden autorisation får adgang til den. For at bekæmpe de sårbarheder, der kan komme både inden for og uden for organisationen, omfavner virksomheder Zero Trust-sikkerhedsmodellen.

Stol ikke på nogen

Essensen af ​​Zero Trust (ZT) tilgang er netop det - stol på ingen, selvom det er en medarbejder. Hver gang nogen forsøger at få adgang til dit netværk, skal du kontrollere, at de er troværdige via realtidsoplysninger fra flere kilder, inden de giver dem adgang, uanset deres placering. Antagelsen er, at truslerne eksisterer inden for og uden for traditionelle netværksgrænser, og en overtrædelse er enten uundgåelig eller har allerede fundet sted.

Denne "antagne overtrædelse" ZT-model kræver, at brugerne beviser, at de ikke er angribere. Hvis det anvendes korrekt, gennemsyrer det alle aspekter af organisationens infrastruktur og gør det muligt at anvende en sådan adgang med begrænset adgang til enhver adgangsbeslutning. For at give eller nægte adgang til bestemte ressourcer, skal spørgsmålene, hvem, hvad, hvornår og hvordan skal besvares. Dette er kendt som Kipling-metoden og sikrer, at kun legitim trafik er tilladt gennem dit netværk.

Nul tillidspolitik forklaret InfoSec Cybersecurity Woman forklarer sikkerhedskoncept Man Learning Whiteboard
Billede: Dette er ingeniør / usplash

National Institute of Standards and Technology i USA (NIST) giver flere principper, eller principper, af en ideel Zero Trust-model. De er:

  • Alle datakilder og computertjenester er ressourcer. Dette kan omfatte dine arbejdslaptops, dine arbejdstelefoner og dine personlige enheder, hvis organisationen vedtog BYOD-princippet.
  • Uanset et netværks placering er al kommunikation sikret. Selvom du er inde i netværksinfrastrukturen, er du underlagt de samme sikkerhedskontroller som andre enheder.
  • Adgang til individuelle virksomhedsressourcer gives pr. Session. Du får kun adgang til en ressource i den tid, der er nødvendig for at udføre en opgave, og kun med specifikke privilegier. Tilladelse til at bruge en ressource giver dig som standard ikke adgang til en anden.
  • Adgang til ressourcer bestemmes af politikken under hensyntagen til adfærdsmæssige attributter. En politik definerer ressourcer, medlemmer og deres adgang til disse ressourcer samt attributter, der er tildelt dem.
  • Virksomheden sikrer, at alle ejede og tilknyttede systemer er i den mest sikre tilstand og overvåger systemer for at sikre, at de forbliver sådan. Hvert aktiv risikovurderes, og virksomheden kører løbende diagnosticering og risikoreduktion processer takket være et overvågningssystem på plads.
  • Al ressourceautentificering og autorisation er dynamisk og strengt håndhævet
    før adgang er tilladt. Identitets-, legitimationsoplysninger og adgangsstyring (ICAM) og formueforvaltning systemer er på plads, hvilket hjælper med at etablere autentificeringsniveauer for at få adgang til specifikke ressourcer.
  • Virksomheden indsamler så meget information som muligt om den aktuelle tilstand af aktiver, netværksinfrastruktur og kommunikation og bruger den til at forbedre sin sikkerhedsstilling. Dataindsamling hjælper med at få indsigt i at forbedre oprettelse og håndhævelse af politikker.

Design, ikke produkt

Zero Trust er ikke en it-løsning, der kan leveres af en enkelt leverandør på markedet. Det er snarere et system med designprincipper, der kombinerer flere it-sikkerhedsforanstaltninger baseret på de specifikke principper, vi henviser til ovenfor. NISTs publikation bestemmer, at disse principper er teknisk agnostiske, f.eks. Kan bruger-ID “omfatte flere faktorer såsom brugernavn / adgangskode, certifikater og adgangskode engang.”

Også interessant: InfoSec-risiko - enhver USB-gave kan være din fare

Hver ansvarlig person i en organisation skal forstå, hvordan ZT fungerer og være engageret i det. ZT bør gennemsyre alle aspekter af sine operationer, især dem, der er relateret til data. Der er flere strategier, der kan bruges til at implementere ZT, afhængigt af organisationens størrelse, struktur og følsomheden af ​​de data, den håndterer.

Fordele ved en Zero Trust-model

Hvis en virksomhed implementerer en ZT-model, kan den muligvis opdage de trusler, den ikke har overvejet før. Det hjælper det med at designe svarene på de relevante trusler, uanset om de kommer fra datastrøm, uautoriseret adgang eller forældet software. ZT kan også hjælpe med at forhindre databrud og muliggøre bedre kontrol af datastrømme. I alderen med GDPR er dette særligt vigtigt. Kontinuerlig sikkerhedsovervågning i et ZT-miljø kan hjælpe med at reagere på tegn på lækager eller kompromiser straks.

Zero Trust Citat
Billede: Robynne Hu / Unsplash

Hvis en brugers legitimationsoplysninger er kompromitteret, og den ondsindede aktør bruger dem på en fremmed enhed, vil ZT-miljøet være i stand til at fange denne enhed som uautoriseret og nægte adgang. I tilfælde af multi-cloud-virksomheder kan specifikke skyer være uden for virksomhedens LAN. ZTs principper sikrer, at der ikke skelnes mellem virksomhedens ejede og drevne netværksinfrastruktur og en anden udbyders. NISTs ZT-retningslinjer anbefaler at placere politikhåndhævelsespunkter (PEP'er) ved adgangspunkterne for hver applikation / tjeneste og datakilde. På den måde kan brugerne få adgang til skyen sikkert, selvom den er uden for LAN.

Yderligere læsning og yderligere referencer

US National Agency (NSA) anbefaler ZT-modellen for kritiske netværk som Department of Defense (DoD). Hvis du vil lære mere, kan du også se videoen af ​​Cisco nedenfor for at se, hvordan du kan gribe en ZT an sikkerhedsmodel.

Derudover kan du også se på disse bøger for at få mere kompleks guideinformation:


YouTube: Sådan nærmer du dig en Zero Trust-sikkerhedsmodel (Jamey Heary)

Fotokredit: The funktion billede og foto i kroppen af artiklen blev udarbejdet af Dette er ingeniørarbejde. Det baggrund foto brugt som en del af citatgrafikken blev taget af Robynne Hu.

Var dette indlæg nyttigt?

Kate Sukhanova
Kate Sukhanova
Jeg er en forfatter med stor interesse for digital teknologi og rejser. Hvis jeg får skrevet om disse to ting på samme tid, er jeg den lykkeligste person i rummet. Når jeg ikke ruller gennem nyhedsfeeds, rejser eller skriver om det, nyder jeg at læse mysterieromaner, hænge ud med min kat og køre min velgørenhedsbutik.
- Annoncering -
- Annoncering -
- Annoncering -
- Annoncering -
- Annoncering -
- Annoncering -