Pokud jste v souvislosti s kybernetickou bezpečností slyšeli pojem nulová důvěra (Zero Trust), ale nejste si jisti co znamená, tento článek vás s ním seznámí.
Než si koncept nulové důvěry vysvětlíme, je důležité pochopit, jak a proč se vyvinul. Pojďme se na to podívat.
Tradiční modely zabezpečení s vymezeným perimetrem sítě – podobně jako městské hradby a příkop kolem středověkého města – již na moderních pracovištích nevyhovují svému účelu. Přechod na práci na dálku a přesun do cloudu znamená, že je téměř nemožné udržet tradiční jednotný perimetr kolem podnikových sítí. Zaměstnanci dnes pracují z různých míst, často na několika různých zařízeních. A s rozšířením cloud computingu se vytvořilo i několik cloudových perimetrů.
Ale to už jde nad rámec eroze perimetru. Sofistikovanost kybernetických hrozeb znepokojivě narůstá, takže je už tradiční obrana nedostatečná. Nepřítel už není jen za hradbami vašeho města. V podstatě každé uživatelské oprávnění představuje potenciální zadní vrátka v systému, která může útočník využít. K narušení může dojít i zevnitř, ať už úmyslně, nebo náhodně. Nedostatky běžných bezpečnostních opatření odhalily i významné úniky dat.
S nástupem cloud computingu bylo nutné najít nový způsob řešení bezpečnosti. John Kindervag, bývalý analytik společnosti Forrester, poprvé navrhl model nulové důvěry v roce 2010, s cílem zabránit narušení bezpečnosti dat a kyberútokům minimalizací prostoru pro útoky a omezením možnosti úhybných manévrů v síti. A dnes už je model nulové důvěry osvědčeným bezpečnostním postupem. Přesto mnoho manažerů firem stále úplně nerozumí tomu, o co jde.
Je důležité si uvědomit, že princip nulové důvěry není další novou technologií. Jedná se o bezpečnostní model nebo rámec, který představuje jiný způsob uvažování o tom, odkud mohou hrozby pocházet.
Na rozdíl od tradičních modelů, které důvěřují uživatelům a zařízením v rámci perimetru sítě, model nulové důvěry předpokládá, že každý a všechno potřebuje neustálé ověřování předtím, než získá přístup ke zdrojům. Model se chová, jako by k narušení bezpečnost již došlo, tedy jako by byla síť ohrožena a každý subjekt nebo požadavek by mohl být škodlivý.
Model nulové důvěry, jehož základním principem je „nikdy nedůvěřuj, vždy ověřuj“, prosazuje přísné zásady pro každý požadavek na přístup nebo transakci a zároveň zajišťuje, aby zaměstnanci mohli vykonávat svou práci.
Základní zásadou je „nikdy nedůvěřuj, vždy ověřuj“, ale model je založen i na dalších zásadách:
Systém nulové důvěry poskytuje minimální úroveň přístupu potřebnou pro každého uživatele, zařízení a aplikaci, s využitím konceptů just-enough-access (JEA) a just-in-time (JIT). Každá osoba nebo neživý subjekt má přístup pouze k aplikacím nebo informacím, které mu byly schváleny, a to pouze na určitou dobu. Pokud je například někdo přidán do týmu pro určitý projekt, může mít po dobu trvání projektu přístup k vybraným souborům, ale poté je mu přístup odebrán.
Princip nulové důvěry rozděluje bezpečnostní perimetry na malé zóny, aby byl zachován oddělený přístup. Představte si, že různá oddělení organizace – a případně i týmy v rámci těchto oddělení – mají každý svůj vlastní bezpečnostní perimetr, takže například někdo z marketingu nemá přístup k záznamům o lidských zdrojích. Tento přístup prosazuje granulární oprávnění a segmentaci, což omezuje ohrožení citlivých dat a prostředků a zabraňuje neoprávněnému přístupu v případě narušení zabezpečení.
I v případě mikrosegmentace trvá systém nulové důvěry na více formách ověření před udělením přístupu. Může to být SMS odeslaná na váš telefon, žádost o zadání hesla nebo potvrzení v autentikační aplikaci. Výzvou pro společnosti je dosáhnout správné rovnováhy mezi bezpečností a narušením produktivity. Vysoce výkonná pracoviště, která zavedou efektivní strategii nulové důvěry, se trefí do optimálního vyvážení těchto dvou cílů.
Model nulové důvěry zavádí neustálé monitorování a ověřování stavu zabezpečení v reálném čase. Pokud se například zaměstnanec přihlásí v 9 hodin ráno z Londýna, ale o dvě hodiny později se ukáže, že se přihlašuje z Indie, správce bude upozorněn, že se jedná o potenciální riziko, protože by nebylo v lidských silách této osoby cestovat mezi oběma místy v daném časovém rozmezí. Toto automatizované a nepřetržité sledování zajišťuje, že jsou okamžitě detekovány potenciální problémy.
V systému nulové důvěry je již toto vylepšené zabezpečení zahrnuto, aniž by narušovalo uživatelskou zkušenost. Podmíněný přístup zahrnuje implementaci kontextových kontrol přístupu a adaptivních mechanismů ověřování, aby se dosáhlo rovnováhy mezi bezpečností a použitelností.
Přístup nulové důvěry se neobejde bez problémů, zejména pokud jde o nastavení a integraci se stávajícími bezpečnostními produkty a systémy. O tom si povíme v dalším příspěvku z této série. Výhody však zdaleka převažují. Vysoce výkonná pracoviště používají model nulové důvěry, aby dosáhla:
V modelu nulové důvěry se výrazně snižuje prostor pro útoky a zmírňuje se dopad narušení bezpečnosti. I kdyby hacker získal přístup k určitému účtu, pokud se následně pokusí získat přístup k jinému zdroji, bude muset projít procesem ověřování, což ho zastaví dříve, než bude moci způsobit významnou škodu.
Vzhledem k tomu, že modely nulové důvěry zajišťují nepřetržité monitorování, generují podrobné protokoly o přístupu, které usnadňují dodržování právních předpisů v oblasti ochrany dat. Uplatňováním konzistentních a granulárních zásad může model nulové důvěry pomoci s požadavky na audit a poskytnout jistotu, že je přístup k datům bezpečný.
Ve snaze zvýšit zabezpečení mohou organizace nakonec použít mnoho bezpečnostních řešení, z nichž některá dělají totéž. Model nulové důvěry zjednodušuje architekturu zabezpečení odstraněním potřeby více různorodých řešení, která se obtížně integrují a spravují. Použitím jednotné platformy a standardizovaného rámce může princip nulové důvěry pomoci snížit provozní i kapitálové náklady na zabezpečení.
Zaměstnanci musí být schopni efektivně vykonávat svou práci a spolupracovat odkudkoli, aniž by ohrozili společnost. Model nulové důvěry umožňuje bezpečný a bezproblémový přístup k datům a aplikacím, bez ohledu na umístění, zařízení nebo síť uživatele. Poskytováním konzistentních a bezproblémových služeb zvyšuje princip nulové důvěry produktivitu a spokojenost uživatelů.
Přečtěte si a zjistěte, jak zavést model nulové důvěry.
Zvyšte bezpečnost vašeho IT a vyhněte se kybernetickým hrozbám
Zvyšte bezpečnost vašeho IT a vyhněte se kybernetickým hrozbám
