Pamiętasz, jak Nick Fury wprowadził Helicarriera, zaawansowany technologicznie statek Avengersów chroniący świat przed zagrożeniami? Teraz wyobraź sobie, że masz podobny system chroniący twoją organizację.
Ale co jeśli agent HYDRY wkradnie się na pokład niezauważony, gotowy sabotować misję? To ryzyko, jakie stwarza tradycyjna ochrona. W tej wersji Helicarriera modele ochrony pozwalają każdemu wejść na pokład, po prostu przechodząc przez drzwi frontowe, bez dokładnej weryfikacji — wystarczy rzut oka i już jest w środku.
Aby dokonać tej zmiany, musisz zrozumieć, co tak naprawdę oznacza kontrola dostępu oparta na zasadzie Zero Trust.
Czym jest kontrola dostępu oparta na zerowym zaufaniu?
Zero Trust Access Control to model bezpieczeństwa, który działa na zasadzie „nigdy nie ufaj, zawsze weryfikuj”. W przeciwieństwie do tradycyjnego bezpieczeństwa opartego na obwodzie (które zakłada, że wszystko w sieci jest godne zaufania), Zero Trust wymaga ścisłej weryfikacji tożsamości, dostępu o najmniejszych uprawnieniach i ciągłego monitorowania każdego użytkownika, urządzenia i aplikacji — niezależnie od ich lokalizacji.
Podstawowe zasady kontroli dostępu opartej na zasadzie zerowego zaufania
1. Najmniejszy dostęp z uprawnieniami
- Użytkownicy i urządzenia otrzymują jedynie minimalny dostęp niezbędny do wykonywania swoich zadań.
- Zmniejsza powierzchnię ataku poprzez ograniczenie niepotrzebnych uprawnień.
2. Ciągła weryfikacja
- Nie udziela się żadnego dorozumianego zaufania; uwierzytelnianie i autoryzacja są dynamiczne i ciągłe.
- Uwierzytelnianie wieloskładnikowe (MFA), wykorzystuje się analizę behawioralną oraz ocenę ryzyka w czasie rzeczywistym.
3. Mikrosegmentacja
- Aby ograniczyć ryzyko naruszeń, sieci dzielone są na małe, odizolowane strefy.
- Zapobiega przemieszczaniu się atakujących w obrębie sieci.
4. Załóż naruszenie
- Działa w oparciu o założenie, że zagrożenia istnieją zarówno wewnątrz, jak i na zewnątrz sieci.
- Koncentruje się na minimalizacji szkód poprzez stosowanie ścisłych kontroli dostępu.
5. Weryfikacja wiarygodności urządzenia i użytkownika
- Sprawdza stan urządzenia (np. stan poprawek, szyfrowanie) przed udzieleniem dostępu.
- Sprawdza tożsamość użytkownika za każdym razem, nie tylko przy logowaniu.
Dekodowanie zarządzanych i niezarządzanych urządzeń w celu zapewnienia kontroli dostępu o zerowym zaufaniu
Działa jak sztuczna inteligencja Helicarriera, stale skanując i weryfikując każdego członka załogi (Twojego użytkownika) oraz urządzenie przed udzieleniem dostępu — zapewniając, że na pokład mogą wejść tylko zaufane osoby i bezpieczne urządzenia, chroniąc Twoją organizację przed wszelkimi ukrytymi zagrożeniami.
Myśleć Bezpieczeństwo Zero Trust jako sztuczna inteligencja statku – wszechwidzący, stale czujny system, który skanuje każdego członka załogi, urządzenie, a nawet otoczenie, zanim zezwoli na dostęp. Nikt nie może obsługiwać elementów sterujących statku bez uprzedniego udowodnienia, że ma do tego prawo.
Niezależnie od tego, czy jest to urządzenie zarządzane (jak tarcza Kapitana Ameryki, zawsze w doskonałym stanie i godna zaufania) lub urządzenie niezarządzane (jak nowy element technologii wprowadzony na pokład, nieprzetestowany i niezweryfikowany), zabezpieczenia Zero Trust zapewniają dostęp wyłącznie zaufanym użytkownikom i urządzeniom zgodnym z zasadami.
Dzięki temu modelowi najcenniejsze zasoby i dane Twojej organizacji są chronione, co powstrzymuje cyberprzestępców i innych intruzów, niezależnie od tego, w jaki sposób próbują się wkraść.
Czym są urządzenia zarządzane?
Urządzenia zarządzane to takie, które podlegają bezpośredniej kontroli i nadzorowi działu IT organizacji. Zazwyczaj wydawane przez firmę, urządzenia te są wyposażone w ścisłe protokoły bezpieczeństwa i są ściśle monitorowane przez zespoły IT w celu zapewnienia zgodności ze standardami bezpieczeństwa organizacji.
- Własność korporacyjna wspierana osobiście (COPE): Zarządzane urządzenia, które są własnością organizacji, ale zazwyczaj wydawane pracownikom do celów służbowych, co zapewnia wyższy poziom odpowiedzialności.
- Kontrola i monitorowanie działu IT: Za konfigurację, monitorowanie i zabezpieczanie zarządzanych urządzeń odpowiada dział IT, aby mieć pewność, że spełniają one standardy i zasady bezpieczeństwa obowiązujące w organizacji.
- Zgodność z polityką bezpieczeństwa: Zarządzane urządzenia muszą spełniać rygorystyczne zasady bezpieczeństwa, obejmujące szyfrowanie, oprogramowanie antywirusowe, zapory sieciowe i Zarządzanie poprawkami, co gwarantuje spełnienie wymogów bezpieczeństwa i zgodności firmy.
Czym są urządzenia niezarządzane?
Urządzenia niezarządzane — czy to osobiste smartfony, czy laptopy innych firm — coraz częściej stają się bramami do danych korporacyjnych. Ale jest pewien haczyk: wprowadzają one poważne wyzwania w zakresie bezpieczeństwa i zgodności. The Shadow IT Report[1] twierdzi, że aż 47% firm nadal pozwala pracownikom na dostęp do zasobów firmowych za pomocą tych urządzeń, co potencjalnie naraża poufne informacje na ryzyko.
Urządzenia niezarządzane to zazwyczaj urządzenia prywatne lub należące do osób trzecich, z których pracownicy lub kontrahenci korzystają w celu uzyskania dostępu do zasobów korporacyjnych. To jeszcze bardziej utrudnia egzekwowanie spójnych środków bezpieczeństwa i zgodności w całym przedsiębiorstwie.
- Własność osobista lub własność osób trzecich: Urządzenia niezarządzane są własnością osób fizycznych (pracowników lub kontrahentów) lub podmiotów zewnętrznych i jako takie nie podlegają bezpośredniej kontroli działu IT organizacji.
- Brak nadzoru IT: Urządzeniami tymi zazwyczaj nie zarządza dział IT danej organizacji, co oznacza, że nie ma scentralizowanego monitoringu ani kontroli nad ich poziomem bezpieczeństwa.
- Potencjalne zagrożenia bezpieczeństwa: Urządzenia niezarządzane stanowią większe ryzyko bezpieczeństwa ze względu na brak nadzoru. Bez środków bezpieczeństwa na poziomie korporacyjnym są bardziej podatne na złośliwe oprogramowanie, przestarzałe oprogramowanie i nieautoryzowany dostęp.
Potrzeba kontroli dostępu Zero Trust
Ponieważ niezarządzane urządzenia stają się coraz bardziej powszechne w miejscu pracy, wdrażanie strategii Zero Trust Access Control staje się coraz bardziej krytyczne. To podejście przesuwa bezpieczeństwo z modelu opartego na obwodzie do dynamicznego, opartego na tożsamości frameworka. Dostęp jest przyznawany na podstawie tożsamości użytkownika, kondycji urządzenia, lokalizacji i zachowania — zamiast zakładać, że każde urządzenie lub użytkownik w sieci jest z natury zaufany.
Łagodzenie ryzyka związanego z niezarządzanymi urządzeniami zapewnia, że zarówno zarządzane, jak i niezarządzane urządzenia spełniają niezbędne standardy bezpieczeństwa przed uzyskaniem dostępu do poufnych danych. Zgodnie z raportem Okta State of Zero Trust z 2023 r.[2], 61% organizacji na świecie wdrożyło już zdefiniowaną inicjatywę Zero Trust.
Przeczytaj także: Dlaczego Zero Trust jest niezbędne dla nowoczesnego cyberbezpieczeństwa
Kontrola dostępu Zero Trust dla urządzeń niezarządzanych
Wyzwania związane z niezarządzanymi urządzeniami
Integracja Zero Trust Access Control dla niezarządzanych urządzeń stwarza wyjątkowy zestaw wyzwań ze względu na brak bezpośredniej kontroli nad tymi urządzeniami. Organizacje mają trudności z zapewnieniem, że te urządzenia są zgodne ze standardami bezpieczeństwa, takimi jak szyfrowanie, zarządzanie poprawkami i bezpieczne konfiguracje.
- Brak bezpośredniej kontroli: Ponieważ urządzenia niezarządzane nie podlegają nadzorowi działu IT, trudno jest bezpośrednio egzekwować na nich zasady bezpieczeństwa, co może prowadzić do luk w zabezpieczeniach.
- Różne postawy bezpieczeństwa: Niezarządzane urządzenia często mają niespójne konfiguracje zabezpieczeń, co czyni je potencjalną podatnością. Urządzenia mogą mieć przestarzałe oprogramowanie lub brakować im niezbędnych funkcji bezpieczeństwa, takich jak zapory sieciowe lub ochrona antywirusowa.
Strategie egzekwowania zasady Zero Trust
Aby skutecznie wdrożyć zabezpieczenia Zero Trust dla urządzeń niezarządzanych, organizacje muszą przyjąć kompleksowe strategie, które konsekwentnie oceniają postawę bezpieczeństwa urządzenia. Powinny również stosować kontrole dostępu w oparciu o zidentyfikowane czynniki ryzyka.
- Ocena postawy ciała przy użyciu urządzenia: Dzięki przeprowadzaniu w czasie rzeczywistym oceny stanu technicznego i bezpieczeństwa urządzenia organizacje mogą ustalić, czy urządzenie spełnia wymagane standardy bezpieczeństwa, zanim udzielą dostępu do poufnych systemów i danych.
- Zasady dostępu oparte na ryzyku (RBAC): Polityki mogą być dostosowywane w celu zapewnienia dostęp warunkowy na podstawie ryzyka związanego z konkretnym urządzeniem. Na przykład, jeśli okaże się, że niezarządzane urządzenie nie spełnia standardów bezpieczeństwa, dostęp do poufnych danych może zostać ograniczony lub zablokowany.
Kontrola dostępu Zero Trust dla zarządzanych urządzeń
Integracja z systemami Unified Endpoint Management (UEM)
Jeśli chodzi o ochronę organizacji, zarządzane urządzenia są najsilniejszą obroną. Dzięki Zero Trust Access Control egzekwowanie bezpieczeństwa staje się o wiele bardziej usprawnione dzięki solidnej infrastrukturze oferowanej przez Ujednolicone zarządzanie punktami końcowymi (UEM) systemów. Rozwiązania UEM takie jak Scalefusion OneIdP może usprawnić działania działów IT w zakresie monitorowania, zarządzania i zapewniania pełnej zgodności urządzeń z zasadami bezpieczeństwa, zapewniając solidną podstawę do zachowania kontroli i ochrony poufnych danych w całej organizacji.
- Wykorzystanie sygnałów UEM do podejmowania decyzji dotyczących dostępu: Scalefusion OneIdP stale sprawdza stan bezpieczeństwa urządzenia, np. czy są na nim zainstalowane najnowsze poprawki zabezpieczeń, czy jest szyfrowane i czy oprogramowanie antywirusowe jest aktualne. Sygnały te mogą być wykorzystywane do podejmowania decyzji o dostępie, zapewniając, że dostęp otrzymują tylko bezpieczne, zgodne urządzenia.
- Zwiększanie bezpieczeństwa poprzez ciągły monitoring: Bezpieczeństwo Zero Trust traktuje dostęp jako ciągły proces, a nie jednorazowe wydarzenie. Łącząc Rozwiązanie IAM i UEM, rozwiązania takie jak Scalefusion OneIdP stale monitorują stan i bezpieczeństwo zarządzanych urządzeń, zapewniając zgodność z zasadami.
Nawiązywanie zaufania do urządzenia
W ramach modelu Zero Trust zaufanie do urządzenia jest ustanawiany poprzez zapewnienie, że wszystkie urządzenia spełniają surowe wymagania bezpieczeństwa, zanim zostaną dopuszczone do dostępu do zasobów krytycznych. Ten proces zapewnia, że dostęp otrzymują tylko zaufane, zgodne urządzenia, zmniejszając ryzyko nieautoryzowanego dostępu i naruszeń danych.
- Zapewnienie, że urządzenia spełniają standardy bezpieczeństwa: Zarządzane urządzenia muszą przejść rygorystyczny proces, aby upewnić się, że spełniają wymagania bezpieczeństwa organizacji. Obejmuje to zapewnienie, że urządzenie jest szyfrowane, ma aktualne oprogramowanie antywirusowe i korzysta z najnowszych poprawek systemu operacyjnego.
- Regularne kontrole zgodności: Aby utrzymać zaufanie do urządzeń, należy przeprowadzać regularne kontrole zgodności, aby zapewnić, że urządzenia nadal spełniają wymagane standardy bezpieczeństwa. Ta ciągła ocena pomaga wykryć i złagodzić wszelkie luki w zabezpieczeniach, które mogą pojawić się z czasem.
Wniosek
W dzisiejszym, coraz bardziej cyfrowym i mobilnym środowisku pracy, zarządzanie kontrolą dostępu zarówno do urządzeń zarządzanych, jak i niezarządzanych ma kluczowe znaczenie dla utrzymania solidnego bezpieczeństwa. Wdrażając kontrolę dostępu Zero Trust, organizacje mogą zagwarantować, że dostęp do kluczowych zasobów będą mieli wyłącznie autoryzowani użytkownicy i urządzenia zgodne z zasadami, niezależnie od ich właściciela i lokalizacji.
Podczas gdy istnieją wyzwania, takie jak brak kontroli nad niezarządzanymi urządzeniami, wykorzystanie strategii, takich jak ocena postawy urządzenia i polityki dostępu oparte na ryzyku, może pomóc złagodzić te ryzyka. W przypadku zarządzanych urządzeń integracja z systemami Unified Endpoint Management i ciągły monitoring zapewniają, że bezpieczeństwo pozostaje na najwyższym poziomie. Ostatecznie przyjęcie zabezpieczeń Zero Trust jest kluczowym krokiem w ochronie poufnych danych i zmniejszeniu ryzyka nieautoryzowanego dostępu w dzisiejszym stale ewoluującym krajobrazie zagrożeń.
Referencje
FAQ
Czym kontrola dostępu Zero Trust różni się od tradycyjnych modeli bezpieczeństwa?
Tradycyjne modele bezpieczeństwa opierają się na ochronie obwodowej, polegającej na zaufaniu użytkownikom i urządzeniom po wejściu do sieci. Model Zero Trust opiera się na zasadzie „nigdy nie ufaj, zawsze weryfikuj”; co oznacza, że żaden użytkownik ani urządzenie nie jest domyślnie zaufane. Wymaga on ciągłej weryfikacji i kontroli dostępu opartej na ocenie ryzyka w czasie rzeczywistym dla każdego żądania.
W jaki sposób organizacje mogą wdrożyć zasadę Zero Trust w przypadku urządzeń niezarządzanych?
Wdrażając zabezpieczenia Zero Trust w niezarządzanych urządzeniach, organizacje powinny stosować oceny postawy urządzeń, zasady dostępu oparte na ryzyku i metody weryfikacji tożsamości. Obejmuje to ocenę urządzeń w czasie rzeczywistym i udzielanie dostępu tylko wtedy, gdy spełniają one standardy bezpieczeństwa, zapewniając, że nieautoryzowane lub podatne urządzenia zostaną pozbawione dostępu.
Dlaczego postawa urządzenia ma znaczenie w kontekście koncepcji Zero Trust?
Postawa urządzenia odnosi się do oceny czynników, takich jak aktualizacje systemu operacyjnego, konfiguracje zabezpieczeń i obecność złośliwego oprogramowania. W ramach Zero Trust odgrywa ona kluczową rolę w określaniu, czy urządzenie spełnia standardy bezpieczeństwa organizacji. Oceniając postawę urządzenia, organizacje mogą egzekwować zasady zapewniające, że tylko bezpieczne urządzenia uzyskują dostęp do poufnych zasobów.
W jaki sposób Zero Trust Access Control zwiększa bezpieczeństwo pracowników zdalnych?
Poprzez ciągłą weryfikację tożsamości użytkowników, urządzeń i połączeń sieciowych organizacje mogą egzekwować Zero Trust Access Control, znacznie zwiększając bezpieczeństwo pracowników zdalnych. Takie podejście zapewnia, że nawet pracownicy pracujący poza siecią korporacyjną muszą udowodnić swoje uprawnienia i bezpieczeństwo urządzeń przed uzyskaniem dostępu do krytycznych systemów, znacznie zmniejszając ryzyko.
