Zero Trust: Νέα ονομασία και νέα τεχνολογία για μία κλασική προσέγγιση στην ασφάλεια
«Όταν εργαζόμουν ως εργολάβος εγκατάστασης firewall στην εταιρεία Trusted Information Systems» γράφει η Diana Kelley (Co-Founder και CTO της SecurityCurve) στο εταιρικό blog της BeyondTrust «χρησιμοποιούσαμε μια φράση για τον τρόπο με τον οποίο πολλές εταιρείες έβλεπαν τα συνδεδεμένα δίκτυα: τα έβλεπαν ως… Mallomars».
Αν δεν γνωρίζετε τι είναι τα Mallomars, πρόκειται για μπισκότα, με σκληρό, τραγανό εξωτερικό από κράκερ ολικής άλεσης (Graham Cracker) και σοκολάτα και που στο εσωτερικό τους έχουν ένα μαλακό, κρεμώδες marshmallow. «Οι εταιρείες “Mallomar” πίστευαν ότι εφόσον εγκαθιστούσαν ένα αρκετά ισχυρό τείχος προστασίας -το σκληρό, τραγανό εξωτερικό στρώμα που λέγαμε- δεν θα είχαν να ανησυχούν για την ασφάλεια στο εσωτερικό. Τι συνέβαινε όμως στην πραγματικότητα; Τα εσωτερικά δίκτυα τους λοιπόν δεν ήταν ασφαλή – όπως το κρεμώδες marshmallow στο κέντρο ενός μπισκότου τύπου Mallomar.
Ακόμα και τότε όμως, οι περισσότεροι ειδικοί στον τομέα της δικτυακής ασφαλείας είχαν ήδη αναγνωρίσει ότι ανεξάρτητα από το πόσο καλό μπορεί να είναι ένα firewall, η δικτυακή ασφάλεια είναι πολλά περισσότερα πράγματα από μία απλή gateway. Αυτός είναι ο λόγος που οι περισσότεροι επαγγελματίες στον τομέα της ασφάλειας συνιστούν μία προσέγγιση “defense-in-depth” (ψηφιακή άμυνα-σε-βάθος). Αντί λοιπόν να βλέπω το εσωτερικό δίκτυο ως έναν ανοικτό και αξιόπιστο χώρο, συνεργάστηκα με εταιρείες για να προσδιορίσω που είχε νόημα να προστεθούν επιπλέον επίπεδα “τμηματοποίησης” και ελέγχου της ταυτότητας, για την μετατροπή των δικτύων τους από Mallomars” σε “Jawbreakers” που είναι σκληρά μέσα-έξω.
Ήταν στις αρχές της δεκαετίας του 2000, όταν το Jericho Forum και η αρχή του de-perimeterization ξεκίνησαν να προκαλούν ρήγματα στην παραδοσιακή σκέψη Mallomar (που είχε βάση την περίμετρο). Σήμερα, την πλέον σύγχρονη εξελικτική προσαρμογή αποτελεί το Zero Trust, ένας όρος που επινοήθηκε από τον John Kindervag ενώ εργαζόταν στην εταιρεία Forrester. Το Zero Trust προωθεί την προστασία σε κάθε πόρο και είναι ιδανικό για περιπτώσεις κατανεμημένου εργατικού δυναμικού και cloud-first αρχιτεκτονικές. Τέλος στο ανοικτό, αξιόπιστο εσωτερικό: κάθε ενέργεια και πρόσβαση λαμβάνεται ως μη αξιόπιστη ωσότου επαληθευτεί.
Τα καλά νέα σε αυτή την περίπτωση είναι ότι αν ασκείτε την κυβερνοασφάλεια εδώ και αρκετό καιρό και έχετε μία υγιή εκτίμηση για την ψηφιακή άμυνα-σε-βάθος (DiD), τότε η υιοθέτηση μιας νοοτροπίας Zero Trust Architecture (ZTA) θα είναι ευκολότερη για σας. Οι εταιρείες επίσης που έχουν ήδη υιοθετήσει την τμηματοποίηση, την ασφαλή και ισχυρή διαχείριση περιουσιακών στοιχείων υλικού και λογισμικού και την διαχείριση προνομιούχων λογαριασμών/ ταυτότητας και έχουν μία στρατηγική προστασίας με γνώμονα τους πόρους τότε έχουν ήδη τα περισσότερα από τα βασικά στοιχεία μίας αρχιτεκτονικής Zero Trust (ZTA). Οι τεχνικές εξελίξεις μάλιστα όπως το software-defined networking (SDN) και η διαχείριση μυστικών καθιστούν τα DiD και ZTA πολύ πιο απλά από άποψη εφαρμογής και διαχείρισης.
Φτάσατε αργοπορημένοι στο πάρτι για τα DiD και ZTA; Δεν υπάρχει λόγος ανησυχίας. Αν το δείτε από την θετική πλευρά, έχετε ελεύθερο πεδίο να σχεδιάσετε μία στρατηγική ZTA από το μηδέν: μπορείτε να δημιουργήσετε ένα πρόγραμμα ZTA που βασίζεται στους πόρους και χωρίς τους «παλιομοδίτικους» περιορισμούς.
Όπως και να έχει, είτε ξεκινήσετε εκ του μηδενός είτε βρίσκεστε σε φάση “αναβάθμισης” μίας εταιρείας με παραδοσιακή περίμετρο (τύπου Mallomar) σε ZTA, βεβαιωθείτε ότι τα παρακάτω βρίσκονται στην κορυφή της λίστας “to-do” σας:
1.Inventory – Το διαχρονικό ρητό “είναι αδύνατο να διαχειριστείς κάτι που δεν γνωρίζεις” παραμένει επίκαιρο σε ότι αφορά το ZTA, επειδή για να προστατεύσετε τους πόρους σας, πρέπει καταρχήν να γνωρίζετε ποιοι είναι αυτοί οι πόροι. Για αρχή, βεβαιωθείτε ότι έχετε έναν τρόπο να διατηρείτε ενημερωμένα στοιχεία για όλους τους πόρους σας όπως για:
- Λογισμικό
- Υλικό (hardware)
- Ροές εργασίας
- Διακομιστές cloud
- Ροές εργασίας στο cloud
- Άνθρωποι (και εμείς οι άνθρωποι είμαστε πόροι!)
2.Write – Εντάξει, πολλοί άνθρωποι μισούν την πολιτική γραφής, ωστόσο αποτελεί θεμέλιο για να γίνει κατανοητό τι επιτρέπεται και τι δεν επιτρέπεται στο περιβάλλον ενός οργανισμού. Και αν πρέπει να περάσετε από επίσημες αξιολογήσεις ασφαλείας, οι πολιτικές είναι το πρώτο πράγμα που θα ζητήσουν οι περισσότεροι αξιολογητές. Ένα άλλο πλεονέκτημα της ύπαρξης πολιτικών για τα ZTA deployments είναι ότι θα σας βοηθήσουν να σκεφτείτε τι είναι και τι δεν είναι δυνατό στο χαρτί και στον μαυροπίνακα πριν από την δαπανηρή φάση της αγοράς νέας τεχνολογίας ή αναβάθμισης/ αναδιάρθρωσης των υφιστάμενων.
3.Win Small – Τώρα που το απόθεμά σας είναι ενημερωμένο και γνωρίζετε τις πολιτικές, ήρθε η ώρα να διαλέξετε έναν ή δύο υποψήφιους για το ZTA προτού προχωρήσετε στο καθοριστικό πλήρες deployment. Υπάρχουν πολλές επιλογές deployment για το ZTA, οπότε διαλέξτε μία που ταιριάζει καλύτερα στην εταιρεία σας. Για παράδειγμα, ορισμένες λύσεις ZTA απαιτούν την εγκατάσταση ενός agent στις τερματικές συσκευές σας. Κάτι τέτοιο βεβαίως μπορεί να μην αποτελεί επιλογή για ορισμένα περιβάλλοντα BYOD, ωστόσο ένα cloud gateway point επιβολής πολιτικής θα μπορούσε να ταιριάξει τέλεια. Ότι κι αν αποφασίσετε, η μεγάλη νίκη έρχεται με το προσεκτικό deployment ενός μικρού υποψηφίου. Μόλις διαπιστώσετε ότι όλοι οι υποψήφιοι στις δοκιμές σας λειτουργούν ομαλά, χρησιμοποιήστε όσα μάθατε από τις δοκιμές και την οργανωτική θέληση σας για να επεκτείνετε τη λειτουργία του ZTA σε ολόκληρο τον οργανισμό.
Για μια βαθύτερη εξερεύνηση για το πως να κάνετε το ZTA να λειτουργήσει για τον οργανισμό σας παρακολουθήστε το on-demand διαδικτυακό σεμινάριο μου: Zero Buzz – Zero Trust.»
Πηγή: BeyondTrust