Построение сети с нулевым доверием

Основная идея подхода к созданию сетей с нулевым доверием (Zero Trust Networking) такова: ни один пользователь, устройство или актив, каким-либо образом подключенный к сети, не является безопасным по умолчанию. Ни одно соединение не является доверенным до тех пор, пока не будет доказано, что ему можно доверять. При построении сети с нулевым доверием необходимо учитывать особенности работы современных предприятий: использование личных устройств на рабочих местах (BYOD), удаленный режим работы, использование облачных вычислений и решений как услуг. Необходима система кибербезопасности с непрерывным мониторингом и авторизацией каждой попытки доступа.

Защита периметра

При традиционном подходе к кибербезопасности вокруг сети как бы строится некий непроницаемый барьер, на котором проводится проверка всех внешних попыток подключиться к основным бизнес-активам, чтобы не допустить злоумышленников внутрь сети и не позволить им внедрить вредоносное ПО и программы-вымогатели. Такой подход часто называют защитой периметра. Однако тут имеется ряд серьезных недостатков. Как бы надежно ни был защищен шлюз, если злоумышленник сумеет его преодолеть, он получит доступ ко всему, что находится за «огненной стеной» периметра. К тому же в последние годы периметр сети стал размываться из-за массового перехода на удаленную работу, использования SaaS-приложений и т. д.

Такие стратегии, как многофакторная аутентификация (MFA), усилили защиту шлюза, но не устранили опасность в различных сетях. Теперь хакерам потребуется больше усилий для преодоления барьера, но если они попадут внутрь сети, то смогут горизонтально по ней перемещаться, внедрять программы-вымогатели или красть информацию.

Альберт Эйнштейн сказал: «Ты никогда не решишь проблему, если будешь думать так же, как те, кто ее создал». Zero Trust — это необычный способ мышления, абсолютно иной подход к безопасности.

При защите периметра предполагается, что пока системы безопасности не обнаружат компрометацию, пользователь или соединение заслуживают доверия. В основе нулевого доверия лежит идея, что злоумышленники всегда рядом, и ни одна попытка соединения, неважно, извне или внутри периметра, не считается безопасной до тех пор, пока не пройдет аутентификацию.

Реализация концепции Zero Trust

Zero Trust (ZT) — это подход к обеспечению кибербезопасности, а не какое-то единичное мероприятие или набор услуг и продуктов. Переход к безопасности сети с нулевым доверием — длительный процесс. В процессе преобразований вы, скорее всего, продолжите пользоваться теми же продуктами и услугами, что и сейчас, но будете использовать их по-другому. Пока центры мониторинга информационной безопасности (SOC) реализуют проекты модернизации, большинство сетей на некоторое время становятся гибридными. «Чистую» сеть с нулевым доверием можно создать только с нуля, изначально придерживаясь принципов Zero Trust.

В связи с этим план преобразования традиционной сети в сеть с нулевым доверием — важная отправная точка. План начинается с определения всех активов, субъектов, бизнес-процессов, потоков трафика и зависимостей внутри инфраструктуры предприятия. Создание поэтапных проектов помогает определить ход работ и отследить успех.

В план должны быть включены все активы предприятия:

  • устройства;
  • компоненты инфраструктуры;
  • приложения;
  • виртуальные компоненты;
  • облачные компоненты.

Также в нем должны учитываться все субъекты:

  • конечные пользователи;
  • приложения;
  • неодушевленные субъекты, запрашивающие данные.

Элементы сети с нулевым доверием

При переходе к сети с нулевым доверием необходимо учитывать ряд факторов. В следующих разделах рассматриваются несколько шагов, которые вы можете предпринять, чтобы приблизить инфраструктуру вашей организации к ZT-фреймворку.

Внедрение микросегментации

Микросегментация сети — один из базовых принципов построения сети с нулевым доверием. Это изоляция рабочих нагрузок и их индивидуальная защита, ограничивающая доступ. При традиционной модели безопасности взлом периметра давал злоумышленнику доступ ко всей сети. Микросегментация уменьшает поверхность атаки и минимизирует последствия единичной компрометации.

Изоляция уязвимых технологий

Часто информационно-коммуникационные устройства, такие, как сотовые телефоны, персональные компьютеры, телевизионная аппаратура и др., имеют ОС без возможности обновления, уязвимости в которых нельзя исправить. В области операционных технологий (ОТ) промышленные роботы или медицинское оборудование тоже создают трудности такого рода. Тем не менее, они все больше интегрируются в рабочие процессы предприятий и организаций. Чтобы снизить вероятность компрометации, к подобным устройствам необходимо применять жесткие политики изоляции.

Безопасные подсети

Подсети — это отдельные части более крупной сети. Они могут повысить производительность, отказоустойчивость и безопасность сети. Они тоже должны стать частью вашей стратегии Zero Trust, помогая остановить вредоносное ПО и другой инструментарий злоумышленников. Обеспечьте передачу оповещений и логов для подсетей в объединенную панель для расследования и принятия решений.

Безопасность удаленного доступа

В традиционной парадигме безопасности, предшествующей концепции ZT, удаленные соединения считались надежными, пока не отмечались как вредоносные. Но недостатки наиболее распространенных методов защиты становились все более очевидными. Сети все больше становились программно-определяемыми и мобильными, особенно с возникновение пандемии COVID-19. Это привело к появлению неуправляемых конечных точек, несанкционированных SaaS и незащищенных SD-WAN.

  • Виртуальная частная сеть (VPN). Меры безопасности VPN-соединения ограничивались периферией, но при этом пользователям предоставлялся доступ ко всей сети. Складывалось ошибочное впечатление, что эти пользователи доверенные. Безопасность VPN также не очень хорошо сочеталась с программно-определяемыми сетями, которые используются все чаще.
  • Брокер безопасного доступа в облако (Cloud Access Security Broker, CASB). Основной проблемой CASB было то, что предлагаемые этим инструментом меры предосторожности были фиксированными. В то время как программно определяемые сети становились все более изменчивыми, а сотрудники — более мобильными, меры безопасности не были способны меняться соответственно.
  • Безопасный веб-шлюз (SWG). У шлюзов SWG возникали проблемы с сотрудниками, работающими удаленно.

 

Решения для удаленных соединений еще продолжают развиваться, но уже сейчас доступны варианты, которые предлагают решения по кибербезопасности, соответствующие условиям мобильной работы и подходу Zero Trust.

  • SASE (secure access service edge, «пограничный сервис безопасного доступа») — модель сетевой безопасности, выражающая принципы ZT для определенных подразделений предприятия. Этот термин использует аналитическая компания Gartner. Компоненты решений SASE могут быть разными, но обычно они состоят из технологий CASB, SWG, ZTNA и SD-WAN для обеспечения доступа к частным (в корпоративном ЦОД или IaaS) или публичным SaaS-приложениям.
  • Zero trust edge (ZTE) — другое название для SASE. Этот термин использует аналитическая компания Forrester.
  • Сетевой доступ с нулевым доверием (Zero Trust network access, ZTNA). Технология ZTNA является частью SASE или ZTE. Это облачное решение безопасности с нулевым доверием, предоставляющее пользователям доступ только к тем приложениям, для которых они специально авторизованы. В случае компрометации это ограничивает нанесенный ущерб в соответствии с концепцией Zero Trust. Как VPN, так и ZTNA предполагает шифрование данных ради обеспечения безопасности, но предлагает гораздо больше удобства пользователям и гораздо более гибкие возможности.

Исследования по теме

Статьи по теме