Kako implementirati ničelno zaupanje (Zero Trust) v organizaciji

Pomen uvedbe ničelne zaupnosti

Uvedba ničelne zaupnosti vključuje politiko, ki temelji na nezaupanju in konstantnem preverjanju avtentičnosti ter pravic naprav in uporabnikov, ne glede na to, kje se nahajajo v omrežju. Uvajanje ničelne zaupnosti je odvisno od sistemov za nadzor dostopa do omrežja (ang. NAC network access control) in segmentacije omrežja glede na področja, ki jih je najbolj potrebno zaščititi.

Ko ste identificirali svoje najbolj občutljive vire, morate raziskati, kako se promet premika do teh delov omrežja, nato pa oblikujete svoj sistem ničelne zaupnosti v skladu s tem.

Izzivi pri uvajanju ničelne zaupnosti (Zero Trust)

Razumevanje, kako implementirati varnost ničelne zaupnosti, zahteva poznavanje najpogostejših ovir, s katerimi se lahko srečate. Te vključujejo kompleksne infrastrukture, stroške, napor in potrebo po prilagodljivih programskih rešitvah.

Kompleksna infrastruktura

Za mnoga podjetja njihova infrastruktura obsega številne strežnike, proksije, podatkovne baze, interne aplikacije in rešitve programske opreme kot storitev (SaaS). Nekatere od teh delujejo v oblaku, druge pa so v podjetju.

Zavarovanje vsakega segmenta omrežja ter izpolnjevanje potreb oblaka ali lokalnega okolja lahko postavi številne ovire.

Poleg tega se morda trudite varovati sisteme, sestavljene iz mešanice zastarele in nove strojne opreme ter aplikacij. Kombinacija vseh teh dejavnikov lahko ustvari kompleksne izzive pri zagotavljanju popolne implementacije ničelne zaupnosti.

Stroški in napor

Za implementacijo ničelne zaupnosti boste verjetno morali vložiti čas, ter človeške in finančne vire. Ugotoviti, kako segmentirati omrežje in komu dovoliti dostop do katerih področij, zahteva premišljeno razmišljanje in sodelovanje. Nato morate določiti najboljše načine za preverjanje legitimnosti vsakega uporabnika in naprave, preden mu je dovoljen dostop.

Zaposlovanje ali dodeljevanje človeških virov za učinkovito opravljanje teh nalog pogosto zahteva znatna finančna sredstva, še posebej, če nimate sistema, ki bi se že po zasnovi dobro integriral z vašim okoljem.

Prilagodljiva programska oprema

Eden od glavnih vidikov pri raziskovanju, kako ustvariti ničelno zaupnost omrežja, je prilagodljivost programske opreme za izvajanje sistema. Morda boste morali vključiti več orodij za mikrosegmentacijo, pooblaščanje na podlagi identitete ter orodja za programsko določanje oboda (ang; SDP software defined perimeter tools).

Brez prilagodljive programske opreme bi morda morali kupiti podvojene sisteme, da bi zaščitili vse elemente svojega okolja. Z uporabo prilagodljive rešitve lahko poenostavite načrtovanje in izvajanje modela varnosti ničelne zaupnosti.

5 Korakov k implementaciji ničelne zaupnosti (Zero Trust)

Naslednje smernice ničelne zaupnosti vam lahko pomagajo oblikovati in uvesti svoj okvir kibernetske varnosti ničelne zaupnosti. Pomagajo vam lahko vzpostaviti zanesljivo strategijo preprečevanja izgube podatkov (ang; DLP data loss prevention) in izogibanja vdoru. Sledi praktičen vodnik za implementacijo ničelne zaupnosti.

1.Določite napadalno površino

Določitev napadalne površine naj bo prva postavka na vašem seznamu ničelne zaupnosti. Osredotočite se na področja, ki jih želite zaščititi, da ne boste obremenjeni z uveljavljanjem politik in uporabo orodij po celotnem omrežju. Osredotočite se na svoje najvrednejše digitalne vire.

  • Občutljivi podatki

To vključuje podatke strank in zaposlenih ter lastniške informacije, za katere ne želite, da bi prišle v roke tatov.

  • Kritične aplikacije

To so aplikacije, ki igrajo ključno vlogo pri vaših najpomembnejših poslovnih procesih.

  • Fizična sredstva

Fizična sredstva lahko obsegajo prodajna mesta, naprave za internet stvari (IoT) in medicinsko opremo.

  • Korporativne storitve

Ti vključujejo elemente vaše infrastrukture, ki se uporabljajo za podporo vsakodnevnemu delu zaposlenih in vodilnih ter tiste, ki olajšajo prodajo in interakcije s strankami.

2. Uvedba nadzora nad omrežnim prometom

Način, kako promet potuje skozi vaše omrežje, se pogosto vrti okoli odvisnosti, ki jih uporablja vsak sistem. Na primer, mnogi sistemi morajo dostopati do podatkovne baze, ki vsebuje občutljive informacije ter arhitekturo.

Razumevanje teh podrobnosti vam bo pomagalo pri odločitvi, katere nadzore omrežja uvesti in kje jih postaviti.

3. Načrtovanje (arhitektura) ničelne zaupnosti omrežja

Omrežje ničelne zaupnosti je zasnovano glede na vašo specifično površino zaščite – nikoli ni univerzalne rešitve. V večini primerov se vaša arhitektura začne s požarnim zidom nove generacije (ang; NGFW next-generation firewall), ki lahko deluje kot orodje za segmentacijo območja omrežja.

Prav tako boste v nekem trenutku želeli uvesti večfaktorsko avtentikacijo (MFA), da se zagotovi temeljito preverjanje uporabnikov pred odobritvijo samega dostopa.

4. Ustvarjanje politike ničelne zaupnosti

Ko ste oblikovali omrežje, želite oblikovati še potrebne politike ničelne zaupnosti. Najbolje oz. Priporočljivo je, da to storite z metodo Kipling. To vključuje vprašanja kdo, kaj, kdaj, kje, zakaj in kako za vsakega uporabnika, napravo in omrežje, ki želi pridobiti dostop.

5. Spremljanje vašega omrežja

Redno spremljanje dejavnosti na vašem omrežju vam lahko pravočasno sporoči morebitne težave in zagotovi dragocene vpoglede za optimizacijo delovanja omrežja – brez ogrožanja varnosti.

  • Poročila

Poročila, ki se redno ali neprekinjeno proizvajajo, se lahko uporabijo za označevanje nenavadnega vedenja. Lahko jih analizirate tudi za oceno, kako vaš sistem ničelne zaupnosti vpliva na uspešnost zaposlenih ali sistema ter načine, kako ga lahko izboljšate.

  • Analitika

Analitika zajame podatke, ki jih proizvede vaš sistem, in ponuja vpoglede v to, kako dobro deluje. Vpogledi so dragoceni pri spremljanju prometa v omrežju, delovanja sestavnih delov omrežja in vzorcev vedenja uporabnikov.

  • Dnevniki

Dnevniki, ki jih proizvede vaš sistem, vam zagotavljajo trajen, časovno označen zapis dejavnosti. Te lahko analizirate ročno ali s pomočjo analitičnih orodij, kot so algoritmi strojnega učenja, ki lahko prepoznajo vzorce in anomalije.

Zaključek:

V članku smo raziskali ključne vidike implementacije ničelne zaupnosti, varnostnega modela, ki temelji na politiki ne zaupanja in konstantnega preverjanja avtentičnosti naprav ter uporabnikov v omrežju.

Osredotočili smo se na pomembnost uvedbe tega pristopa v sodobno poslovno okolje, kjer se soočamo z izzivi kompleksnih infrastruktur, stroškov, napora ter potrebe po prilagodljivih programskih rešitvah.

Izpostavili smo, da kompleksna infrastruktura, ki vključuje različne strežnike, proksijske strežnike, baze podatkov in aplikacije, predstavlja izzive pri zagotavljanju popolne implementacije ničelne zaupnosti.

Stroški in napor, ki ju zahteva uvedba tega varnostnega modela, prav tako igrajo ključno vlogo, še posebej pri načrtovanju segmentacije omrežja ter preverjanju uporabnikov in naprav.

Dejstvo je, da je prilagodljiva programska oprema eden ključnih faktorjev za uspešno izvajanje sistema ničelne zaupnosti. Brez nje bi lahko bilo potrebno nakupovati redundantne sisteme, medtem, ko prilagodljiva rešitev omogoča učinkovito oblikovanje in izvajanje varnostnega modela.

V zadnjem delu smo raziskali pet korakov za učinkovito implementacijo ničelne zaupnosti, od določitve napadalne površine do ustvarjanja politik, arhitekture omrežja in spremljanja dejavnosti. Razumeli smo, kako ti koraki tvorijo celovit pristop k varnosti, ki pomaga organizacijam zaščititi občutljive podatke, kritične aplikacije in druge digitalne vire.

Celotna vsebina poudarja ključno vlogo ničelne zaupnosti v sodobnih organizacijah, kjer se soočamo z vedno bolj kompleksnimi kibernetskimi grožnjami. Z ustreznim razumevanjem in izvajanjem teh konceptov lahko organizacije vzpostavijo zanesljivo kibernetsko zaščito in zmanjšajo tveganja ter posledice morebitnih napadov.

O tem zakaj bi koncept ničelnega zaupanja moral postati stalnica in vodilo v okoljih vseh sodobnih organizacij, ter kako deluje, pa smo pisali v enem naših prejšnjih zapisov, ki ga lahko prebereš TUKAJ (Zero Trust model).

Delite objavo:

Zadnje objave

CIO, CISO, IT manager: 4-stopenjski pristop k načrtovanju in zaščiti najpomembnejših sredstev za delovanje podjetja

ISACA: Dve tretjini organizacij ne obravnava tveganj AI

Uvedba Disaster Recovery Plana (DRP) res finančno zahtevna?