Zerowe zaufanie
Tworzenie środowiska zerowego zaufania
Podstawą koncepcji zerowego zaufania jest adaptacyjne zarządzanie dostępem z łatwym uwierzytelnianiem, które sprawia, że jest ono cenne dla pracowników i satysfakcjonujące dla klientów.
Metody zarządzania tożsamością
Istnieje wiele sposobów zarządzania tożsamością. Na przykład w środowisku wielochmurowym najczęstszymi metodami są te dojrzałe rozwiązania:
jednokrotna rejestracja i federacja
rozwiązania starszego typu
centralne zarządzanie tożsamością
Organizacje mają możliwość wdrożenia i poprawy zarządzania tożsamością za pomocą poniższych nowszych metod, które są wykorzystywane w mniejszym stopniu:
adaptacyjne zarządzanie dostępem
ochrona prywatności umożliwiająca zarządzanie prawami osób, których dane dotyczą
dynamiczna recertyfikacja użytkownika
Źródło: Raport „Technology and Cloud Security Maturity” z 2022 r. organizacji Cloud Security Alliance
Co oznacza zerowe zaufanie?
"Początkowym celem modelu zerowego zaufania było zastosowanie mechanizmów ściślejszej kontroli w każdym segmencie sieci i punkcie końcowym zasobów. To jak postawienie ochroniarza przy każdych drzwiach, korytarzu i windzie – a nawet przy każdym wejściu do biura. Ale pomimo sieciowych początków koncepcji zerowego zaufania warto jest podkreślenie, że dziś te same koncepcje przeniosły się w górę, na poziom usług i aplikacji.
Takie podejście oznacza, że dział IT może wykorzystywać metodologie zerowego zaufania do kontrolowania reakcji na bezpośredni dostęp do chronionych zasobów. Mimo że zapewnia ono znacznie większą elastyczność niż podejście sieciowe w przypadku usług opartych na chmurze, ten szczegółowy poziom kontroli prawdopodobnie pozwoli na stworzenie scenariuszy, w których zasady uwierzytelniania statycznego pogorszą komfort użytkownika. Powracając do metafory ochroniarza przy każdych drzwiach, wyobraź sobie konieczność uwierzytelnienia się przed wejściem do każdego pokoju w biurowcu. Zabezpieczenia zerowego zaufania wymagają modelu uwierzytelniania dynamicznego, który jest znacznie bardziej elastyczny i mniej inwazyjny niż obecne implementacje statyczne."
„Ze względu na kontrolę podczas każdej sesji uwierzytelnianie ciągłe umożliwia adaptacyjne zarządzanie dostępem i pomaga w osiągnięciu bezpieczeństwa w modelu zerowego zaufania”.
Adaptacyjne zarządzanie dostępem dla Twojej firmy
Użyteczność jest jednym z kluczowych wyzwań związanych z rozszerzeniem dostępu użytkowników o funkcję uwierzytelniania ciągłego. Niezmiennie będą istnieć zasady lub behawioralne zdarzenia bezpieczeństwa, które będą przeszkadzać uprawnionym użytkownikom. Tak więc podczas gdy wyższy poziom inteligencji kontekstowej stymuluje adaptacyjne zarządzanie dostępem, to bezproblemowe uwierzytelnianie sprawia, że jest ono cenne. Ograniczenie liczby żądań silnego uwierzytelniania w przypadku ryzykownego zdarzenia zapewni użytkownikom produktywność i pomoże wyeliminować niepożądane obejścia.
Adaptacyjne zarządzanie dostępem to podstawa modelu zerowego zaufania
Organizacje potrzebują nowego podejścia do zarządzania dostępem, aby osiągnąć poziom zerowego zaufania – taki, w którym domyślne podejście do kwestii bezpieczeństwa zakłada nieprzyjazne środowisko. Uwierzytelnianie ciągłe tworzy prawdziwy dostęp adaptacyjny poprzez:
- Rozszerzenie monitoringu i kontroli przez całą sesję
- Wykrywanie, kiedy poziom ryzyka zmienił się od początku sesji, a następnie inicjowanie żądania uwierzytelnienia
- Dostrajanie (zmniejszanie lub zwiększanie) poziomu autoryzacji w oparciu o zidentyfikowane ryzyka i dostępną weryfikację tożsamości
Dzisiejsze organizacje potrzebują metod wykrywania ryzyka, które wykraczają poza zdefiniowane zasady i obejmuje analizy behawioralne. Jedynym sposobem na osiągnięcie wskaźników o wymaganej głębokości jest zebranie bogatszych wskaźników kontekstowych i zastosowanie do nich uczenia maszynowego. Uwierzytelnianie bez tarcia lub o niskim poziomie tarcia jest niezbędne dla dostępu adaptacyjnego. Jeśli zakłócenia w pracy użytkowników nie zostaną zminimalizowane, uwierzytelnianie ciągłe nie będzie dla firmy opłacalne. Chociaż poziom akceptowanych zakłóceń w pracy użytkowników różni się w zależności od organizacji, im bliżej zera, tym większa będzie elastyczność dla zapewnienia bezpiecznego dostępu do informacji wrażliwych.