Основная идея подхода к созданию сетей с нулевым доверием (Zero Trust Networking) такова: ни один пользователь, устройство или актив, каким-либо образом подключенный к сети, не является безопасным по умолчанию. Ни одно соединение не является доверенным до тех пор, пока не будет доказано, что ему можно доверять. При построении сети с нулевым доверием необходимо учитывать особенности работы современных предприятий: использование личных устройств на рабочих местах (BYOD), удаленный режим работы, использование облачных вычислений и решений как услуг. Необходима система кибербезопасности с непрерывным мониторингом и авторизацией каждой попытки доступа.
При традиционном подходе к кибербезопасности вокруг сети как бы строится некий непроницаемый барьер, на котором проводится проверка всех внешних попыток подключиться к основным бизнес-активам, чтобы не допустить злоумышленников внутрь сети и не позволить им внедрить вредоносное ПО и программы-вымогатели. Такой подход часто называют защитой периметра. Однако тут имеется ряд серьезных недостатков. Как бы надежно ни был защищен шлюз, если злоумышленник сумеет его преодолеть, он получит доступ ко всему, что находится за «огненной стеной» периметра. К тому же в последние годы периметр сети стал размываться из-за массового перехода на удаленную работу, использования SaaS-приложений и т. д.
Такие стратегии, как многофакторная аутентификация (MFA), усилили защиту шлюза, но не устранили опасность в различных сетях. Теперь хакерам потребуется больше усилий для преодоления барьера, но если они попадут внутрь сети, то смогут горизонтально по ней перемещаться, внедрять программы-вымогатели или красть информацию.
Альберт Эйнштейн сказал: «Ты никогда не решишь проблему, если будешь думать так же, как те, кто ее создал». Zero Trust — это необычный способ мышления, абсолютно иной подход к безопасности.
При защите периметра предполагается, что пока системы безопасности не обнаружат компрометацию, пользователь или соединение заслуживают доверия. В основе нулевого доверия лежит идея, что злоумышленники всегда рядом, и ни одна попытка соединения, неважно, извне или внутри периметра, не считается безопасной до тех пор, пока не пройдет аутентификацию.
Zero Trust (ZT) — это подход к обеспечению кибербезопасности, а не какое-то единичное мероприятие или набор услуг и продуктов. Переход к безопасности сети с нулевым доверием — длительный процесс. В процессе преобразований вы, скорее всего, продолжите пользоваться теми же продуктами и услугами, что и сейчас, но будете использовать их по-другому. Пока центры мониторинга информационной безопасности (SOC) реализуют проекты модернизации, большинство сетей на некоторое время становятся гибридными. «Чистую» сеть с нулевым доверием можно создать только с нуля, изначально придерживаясь принципов Zero Trust.
В связи с этим план преобразования традиционной сети в сеть с нулевым доверием — важная отправная точка. План начинается с определения всех активов, субъектов, бизнес-процессов, потоков трафика и зависимостей внутри инфраструктуры предприятия. Создание поэтапных проектов помогает определить ход работ и отследить успех.
В план должны быть включены все активы предприятия:
Также в нем должны учитываться все субъекты:
При переходе к сети с нулевым доверием необходимо учитывать ряд факторов. В следующих разделах рассматриваются несколько шагов, которые вы можете предпринять, чтобы приблизить инфраструктуру вашей организации к ZT-фреймворку.
Внедрение микросегментации
Микросегментация сети — один из базовых принципов построения сети с нулевым доверием. Это изоляция рабочих нагрузок и их индивидуальная защита, ограничивающая доступ. При традиционной модели безопасности взлом периметра давал злоумышленнику доступ ко всей сети. Микросегментация уменьшает поверхность атаки и минимизирует последствия единичной компрометации.
Изоляция уязвимых технологий
Часто информационно-коммуникационные устройства, такие, как сотовые телефоны, персональные компьютеры, телевизионная аппаратура и др., имеют ОС без возможности обновления, уязвимости в которых нельзя исправить. В области операционных технологий (ОТ) промышленные роботы или медицинское оборудование тоже создают трудности такого рода. Тем не менее, они все больше интегрируются в рабочие процессы предприятий и организаций. Чтобы снизить вероятность компрометации, к подобным устройствам необходимо применять жесткие политики изоляции.
Безопасные подсети
Подсети — это отдельные части более крупной сети. Они могут повысить производительность, отказоустойчивость и безопасность сети. Они тоже должны стать частью вашей стратегии Zero Trust, помогая остановить вредоносное ПО и другой инструментарий злоумышленников. Обеспечьте передачу оповещений и логов для подсетей в объединенную панель для расследования и принятия решений.
Безопасность удаленного доступа
В традиционной парадигме безопасности, предшествующей концепции ZT, удаленные соединения считались надежными, пока не отмечались как вредоносные. Но недостатки наиболее распространенных методов защиты становились все более очевидными. Сети все больше становились программно-определяемыми и мобильными, особенно с возникновение пандемии COVID-19. Это привело к появлению неуправляемых конечных точек, несанкционированных SaaS и незащищенных SD-WAN.
Решения для удаленных соединений еще продолжают развиваться, но уже сейчас доступны варианты, которые предлагают решения по кибербезопасности, соответствующие условиям мобильной работы и подходу Zero Trust.