Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.12.2022

Nowe funkcje od Oracle

W aplikacjach CX, SCM, EPM i HCM Fusion Cloud firmy Oracle pojawiło się wiele nowych...
29.12.2022

Inteligentne sygnały

Nowa usługa Vectra MDR zapewnia wsparcie ekspertów w zakresie bezpieczeństwa...
29.12.2022

Wieloetapowa analiza treści

Firma WithSecure wprowadziła nową warstwę ochrony w swojej opartej na chmurze platformie...
29.12.2022

Kontrola aplikacji

Fortinet zaprezentował nowe funkcje systemu FortiSASE: bezpieczny prywatny dostęp (Secure...
29.12.2022

Zgodnie z przepisami

Nowe rozwiązanie do zarządzania danymi firmy Commvault, oferowane w formie usługi,...
29.12.2022

Większa elastyczność w...

Schneider Electric ogłosił wprowadzenie na rynek urządzenia zasilającego APC NetShelter...
29.12.2022

Firewall nowej generacji

Fortinet zaprezentował nową rodzinę zapór sieciowych nowej generacji (NGFW) – FortiGate...
29.12.2022

Nowy przełącznik źródeł...

Vertiv przedstawił nową rodzinę przełączników źródeł zasilania Vertiv Geist RTS, które...
29.12.2022

Routery VPN Omada

TP-Link poszerza portfolio routerów VPN o dwa nowe urządzenia. ER7212PC to urządzenie 3 w...

Strategia zerowego zaufania

Data publikacji: 29-12-2022 Autor: Małgorzata Kacperek

Zero Trust spełnia wszystkie podstawowe kryteria nowoczesnej technologii bezpieczeństwa. Coraz więcej firm decyduje się przyjąć ten sposób działania i prawdopodobnie wkrótce stanie się ono nową normą.

 

W przeszłości zapory lokalne i VPN uznawano za dobry sposób na ochronę dostępu do sieci. Zakładano, że wszystko, co znajduje się wewnątrz niej, jest bezpieczne. Sporo się zmieniło. Uświadomiono sobie, że tradycyjny model bezpieczeństwa, oparty na punktowej kontroli dostępu na obrzeżu sieci firmowej, nie jest kompatybilny z tym, jak funkcjonują nowoczesne przedsiębiorstwa. Ogromne ilości firmowych danych przenosi się bowiem coraz częściej do chmury lub środowisk hybrydowych. Pojawiła się potrzeba modernizacji sposobu działania systemów bezpieczeństwa. Praktycy twierdzą, że nie ma idealnego narzędzia gwarantującego bezpieczeństwo. Przed coraz bardziej wyrafinowanymi atakami nie chronią całkowicie ani najnowsze rozwiązania, ani najlepszy sprzęt, ani softy nowej generacji. Dlatego obecnie uważa się, że najlepsze rozwiązanie to strategia czy też organizacja bezpieczeństwa. Można ją streścić w krótkim stwierdzeniu – nie ufaj niczemu ani nikomu. Nie ufaj urządzeniom, aplikacjom, sieci, infrastrukturze, danym ani ludziom. I zawsze sprawdzaj. Mowa oczywiście o modelu Zero Trust. Zakłada on, że naruszenie bezpieczeństwa jest nieuniknione lub już nastąpiło i do tego dostosowuje się procedury.

TRZY ZASADY


Zero Trust to koncepcja bezpieczeństwa zakładająca, że nie powinno się automatycznie ufać niczemu ani na zewnątrz, ani wewnątrz organizacji. Dlatego firmy muszą nieustannie sprawdzać wszystko, co próbuje się podłączyć i przejść przez systemy, zanim udzielą dostępu. Podejście zerowego zaufania opiera się na trzech najważniejszych zasadach: jawnej weryfikacji, dostępie z najniższym poziomem uprawnień i na wspomnianym już założeniu, że doszło do naruszenia bezpieczeństwa. Zamiast zakładać, że wszystko za zaporą przedsiębiorstwa jest bezpieczne, przyjmuje się, że doszło do naruszenia bezpieczeństwa, i weryfikuje każde żądanie, tak jakby pochodziło z otwartej sieci. Niezależnie od tego, skąd pochodzi żądanie lub jakich zasobów dotyczy, podejście to wymaga, aby nigdy nie ufać i zawsze sprawdzać. Zanim dostęp zostanie udzielony, każde żądanie musi zostać w pełni uwierzytelnione, autoryzowane i zaszyfrowane. Aby zminimalizować penetrację sieci, stosuje się mikrosegmentację oraz zasady dostępu z najniższym poziomem uprawnień. A do wykrywania anomalii i reagowania na nie na bieżąco używa się rozbudowanych analiz.

Architektura Zero Trust wymaga od organizacji ciągłego monitorowania i sprawdzania, czy użytkownik i jego urządzenie mają odpowiednie uprawnienia. Organizacja musi zinwentaryzować wszystkie swoje usługi i konta uprzywilejowane oraz powinna ustanowić kontrolę nad tym, co i gdzie się łączy. Jednorazowa walidacja nie wystarczy, ponieważ zagrożenia i atrybuty użytkowników mogą się zmieniać. Ramy te są definiowane przez różne wytyczne branżowe, takie jak Forrester eXtended, Gartner's CARTA czy NIST 800-207.

ŁAŃCUCH ZABEZPIECZEŃ


Model Zero Trust wprowadza plan kontroli w różnych warstwach ochrony. To – można powiedzieć holistyczne – podejście powinno obejmować całe środowisko cyfrowe, w tym tożsamości, punkty końcowe, dane, aplikacje oraz infrastrukturę. Architektura Zero Trust jest strategią kompleksową i wymaga połączenia wszystkich tych elementów. Jak tłumaczy Jeremy Chapman, ekspert Microsoft 65 (bit.ly/3FzYv6S), zaczyna się od tożsamości i zapewnienia, że tylko osoby, urządzenia i procesy, którym przyznano dostęp do zasobów, faktycznie mogą go uzyskać. Kolejny element to punkty końcowe urządzeń, w tym systemy IoT w sieci brzegowej, gdzie oceniana jest zgodność sprzętu używanego do uzyskania dostępu do danych. Taki nadzór obejmuje także aplikacje działające lokalnie lub w chmurze, czyli punkty dostępu do informacji na poziomie oprogramowania. Chronić należy też warstwę sieciową dającą dostęp do zasobów, zwłaszcza tych znajdujących się wewnątrz sieci firmowej. Następną warstwą jest infrastruktura używana do hostowania danych lokalnie i w sieci. Mogą to być elementy fizyczne i wirtualne, w tym kontenery i mikrousługi, wraz z systemami operacyjnymi i oprogramowaniem układowym. I w końcu same dane, w plikach i innych elementach zawartości, dane ze strukturą i bez struktury, niezależnie od miejsca przechowywania. Każda z tych warstw stanowi ważne ogniwo w całym łańcuchu zabezpieczeń Zero Trust i każda z nich może zostać wykorzystana przez nieuczciwe osoby lub udostępniona nieumyślnie przez użytkowników jako punkt wejścia czy kanał wycieku poufnych informacji.

 

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"