Zerowe zaufanie
Poprawapostawybezpieczeństwa
Architektura zerowego zaufania NIST jest zgodna z kompleksową platformą IAM CyberRes
użytkowników zdecydowanie zgadza się, że model zerowego zaufania to strategia niezbędna do zabezpieczenia działalności
użytkowników uważa, że zerowe zaufanie jest bardziej proaktywne niż podejścia tradycyjne
użytkowników sądzi, że zerowe zaufanie jest jedynym sposobem na walkę z wyrafinowanymi atakami
Źródło: Ankieta Ericom 2021 Zero Trust Market Dynamics
"Architektura zerowego zaufania (ZTA) NIST oferuje realną wartość organizacjom starającym się określić sposoby na podniesienie poziomu bezpieczeństwa, jednocześnie minimalizując utratę użyteczności dla swoich użytkowników. Obecnie dominującym trendem jest przechodzenie na paradygmat chmury, przez co tożsamość najlepiej sprawdza się jako nowy wyznacznik bezpieczeństwa, szczególnie w połączeniu z trendami BYOD i WFH. To ta zmiana sprawia, że zarządzanie tożsamością i dostępem (IAM) znajduje się w centrum praktyk zerowego zaufania NIST. NIST stwierdza, że intencją ZTA jest „zapewnienie, że podmiot jest autentyczny i że żądanie jest ważne”. Dokument NIST 800-207 przedstawia 7 kluczowych założeń. "
1
Założenie 1 – wszystkie źródła danych i usługi obliczeniowe są uważane za zasoby.
Takie podejście odpowiada szerokiej gamie zasobów, które stanowią cyfrowe środowisko organizacji i ostatecznie muszą być zabezpieczone. IAM nie zabezpiecza routerów i zapór sieciowych, jednak pierwszym elementem kompleksowego podejścia IAM jest rozwiązanie Identity Manager, które umożliwia organizacjom zarządzanie szeroką gamą tożsamości (systemy, usługi, aplikacje, bazy danych, systemy ERP, usługi pakietu biznesowego itp.) w celu zabezpieczenia dostępu do nawet miliardów zasobów. Rozwiązanie Identity Manager (IDM) powinno być sterowane zdarzeniami oraz normalizować informacje o tożsamości w różnych rozproszonych zasobach, nawet na urządzeniach IoT. Kolejny element, Identity Governance (IG), podnosi możliwości zarządzania IDM na poziom biznesowy, zapewniając biznesowy widok kontroli i raportowania, kto ma do czego dostęp. Organizacje mogą również zwiększyć swoje bezpieczeństwo poprzez automatyzację procesu wnioskowania i zatwierdzania.
Założenie 2 – cała komunikacja jest zabezpieczona niezależnie od lokalizacji sieciowej.
Zdalny dostęp i usługi oparte na chmurze wysunęły to założenie na pierwszy plan. Zwykła federacja nie realizuje tego założenia. Warto wziąć to pod uwagę. Sama federacja między dostawcą usług a jego dostawcą tożsamości nie realizuje tego założenia. Zamiast tego po uwierzytelnieniu żądającego komunikacja następuje wyłącznie między dostawcą usług a jego klientem. Zastosowane rozwiązanie musi zapewnić bezpieczną komunikację pomiędzy bramą a IdP (dostawcą tożsamości).
2
3
Założenie 3 – dostęp do indywidualnych zasobów przedsiębiorstwa jest przyznawany osobno w każdej sesji.
Informacje dynamiczne mogą prowadzić do bardziej wyrafinowanej (potencjalnie bezpieczniejsze lub bardziej użytecznej) implementacji dostępu do zasobów w ramach pojedynczej sesji. Założenie to wymaga, aby każde żądanie dostępu było oceniane przed jego przyznaniem, a następnie zarządzane aż do jego zakończenia.
Założenie 4 – dostęp do zasobów jest określany przez dynamiczną politykę – w tym obserwowany stan tożsamości klienta, aplikacji/usługi i wnioskującego zasobu – i może obejmować inne cechy behawioralne i środowiskowe.
Założenie to podkreśla zalety podejścia platformowego do zarządzania tożsamością i dostępem (IAM). To ważny punkt, ponieważ wiele organizacji stosuje fragmentaryczne podejście do IAM, co ogranicza ich ZTA.
4
5
Założenie 5 – przedsiębiorstwo monitoruje i mierzy stan integralności i bezpieczeństwa wszystkich posiadanych i powiązanych zasobów.
Założenie to może być nieco mylące, więc oto dodatkowe wyjaśnienie: „Przedsiębiorstwo wdrażające ZTA powinno ustanowić system ciągłej diagnostyki i łagodzenia skutków (CDM) lub podobny system monitorowania stanu urządzeń i aplikacji”.
Założenie 6 – uwierzytelnianie zasobów i autoryzacja są dynamiczne i ściśle egzekwowane przed zezwoleniem na dostęp.
Według NIST „Jest to stały cykl uzyskiwania dostępu, skanowania i oceny zagrożeń, adaptacji i ciągłej ponownej oceny zaufania do bieżącej komunikacji… Ciągłe monitorowanie z możliwością ponownego uwierzytelnienia i autoryzacji odbywa się w ramach transakcji użytkownika, zgodnie z definicją i realizacją zasad (np. czas, żądanie nowych zasobów, modyfikacja zasobów, wykryta nietypowa aktywność podmiotu), która dąży do osiągnięcia równowagi między bezpieczeństwem, dostępnością, użytecznością i oszczędnością”.
6
7
Założenie 7 – przedsiębiorstwo gromadzi jak najwięcej informacji na temat bieżącego stanu zasobów, infrastruktury sieciowej i komunikacji oraz wykorzystuje je do poprawy stanu bezpieczeństwa.
NetIQ Identity and Access Management zapewnia kompleksową platformę, która jest odwzorowana w założeniach zerowego zaufania NIST.