О концепции "нулевого доверия", вероятно, слышали многие. Более того, очень многие компании постепенно и небезуспешно внедряют эту концепцию. Еще три года назад 78% ИБ-отделов либо уже реализовали эту концепцию, либо же планировали на нее перейти.
Есть и частное приложение концепции - это сетевой доступ с нулевым доверием, или Zero Trust Networks. Под катом разбираемся с этим понятием и принципами, заложенными в его основу.
Как все начиналось
В 2000-х и ранее доверенная зона большинства компаний ограничивалась локальной сетью и подключенными к ней девайсами. Тогда эксперты по информационной безопасности оперировали понятием "защита периметра". Нужно было просто не допускать возможности несанкционированного подключения к ресурсам компании извне. Но чем больше становилось мобильных устройств и облачных сервисов, тем быстрее размывались границы периметра.
В конечном итоге в 2010 году в качестве альтернативы защите периметра была предложена концепция "нулевого доверия". Считается, что одним из первых экспертов, который сформулировал идею, витающую в воздухе, стал аналитик проекта Forrester Research Джон Киндерваг (John Kindervag). Именно он предложил отказаться от разделения ресурсов на внешние и внутренние. В новой концепции нет никаких доверенных зон, проверять нужно все и вся.
К слову, на год раньше формулирования концепции архитектуру, с, по сути, нулевым доверием внедрила корпорация Google. Она была запущена в 2009 году и получила название BeyondCorp. Но активно внедряться эта концепция стала еще через несколько лет. Так, например, в 2019 году Национальный центр кибербезопасности Британии рекомендовал архитекторам сетей рассмотреть подход с нулевым доверием для новых ИТ-развертываний.
Хорошо, а причем здесь Zero Trust Network Access?
Дело в том, что сама по себе концепция была лишь теорией, она не предлагала практических шагов по реализации, поэтому разные компании действовали по-разному. А вот Zero Trust Network Access (ZTNA) предоставляет информацию уже по практической реализации шагов по сведению рисков к минимуму.
Это уже не концепция, а, скорее, стратегия. К слову, есть расхождения во мнении экспертов, что именно входит в эту стратегию. Но многие сходятся на том, что основными можно считать три пункта.
Необходимость знать каждое устройство в своей, сколь угодно масштабной, сети. Как и говорилось выше, устройств с сетевым доступом сейчас очень много, это и мобильные телефоны, и ноутбуки, и IoT-системы. С определенного момента возникла целая волна устройств нового типа, которая грозила смести защитные периметры. Для того, чтобы этого не случилось, специалистам по информационной безопасности рекомендуется идентифицировать все устройства сети - от умных кондиционеров до СХД. Если это сделать, можно заняться рациональной настройкой средств контроля доступа для таких девайсов. Для своевременного выявления проблем необходимо вести постоянный мониторинг с получением ответов от этих девайсов. Если что-то пошло не так, система выявляет проблему и запускает программу защиты.
Необходимость знать всех пользователей системы. Этот момент крайне важен для ZTNA. Отдел ИБ должен не только просто знать о пользователях в сети, но и разбить их по ролям. Например, сотрудник, подрядчик, посетитель, поставщик и т.п. Для идентификации пользователей используется многофакторная проверка пользователей. Ну а политика доступа каждого конкретного человека определяется как раз его ролью в организации. Открывать дополнительные ресурсы для тех "кому не положено" стоит лишь в крайнем случае. Такая система отлично работает, к слову, в режиме удаленной работы. Компания может предоставлять пользователям необходимый доступ к сети из любого места.
Необходимость разработки алгоритма защиты ресурсов внутри и вне сети. Не особо приятно сознавать это, но большая часть компаний (около 63%) попросту не в состоянии контролировать разные элементы в своей сети, не говоря уже о соответствии этих элементов нормам регламента. В текущих условиях это недопустимо, так что компаниям необходимо иметь четкий алгоритм для защиты ресурсов внутри сети и за ее пределами.
Возможные проблемы
Несмотря на то, что большинство экспертов согласны с необходимостью внедрения стратегии ZTNA, многие признаются, что на пути к реализации может возникнуть ряд проблем. В частности, если сотрудники компании используют в сети компании как личные, так и корпоративные устройства, то ИБ-отделу нужно все это как-то инвентаризировать, а также настроить корпоративные политики для всех классов устройств, как личных, так и, собственно, корпоративных. Если представить себе компанию с развернутой инфраструктурой, которая расширяется на разные города одной страны, а то и разные страны, то можно представить и сложности процесса инвентаризации и категоризации элементов сети.
К слову, корпорации Google c ее инфраструктурой BeyondCorp, о которой рассказывалось выше, понадобилось целых семь лет для завершения проекта. Конечно, далеко не все компании могут сравниться с Google по масштабности. Для мелкого и среднего бизнеса процесс перехода может занять несколько недель или месяцев, но не лет. Это при условии, что внедрением концепции занимается как руководство, так и ИБ-отдел.
Кроме того, в один не особо прекрасный момент компания может выяснить, что в состав сетевой инфраструктуры входят устаревшие устройства и ПО, на которых либо невозможно, либо сложно воплотить современные стандарты безопасности. Замена их потребует большого количества ресурсов.
Но как бы там ни было, решить все проблемы при условии готовности всех сотрудников - вполне реально.
Начинать стоит с управления доступом и мультифакторной аутентификации - просто потому, что около 70% взломов происходит из-за отсутствия нормально развернутой системы аутентификации. Ну и переход в большинстве случаев невозможно совершить одномоментно. Скорее, речь идет о постепенном, многоэтапном процессе.
В качестве вывода
ZTNA (Zero Trust Network Access) - достаточно признаваемая и узнаваемая стратегия. Она предусматривает выделение таких элементов, как контроллер, для управления политиками доступа на уровне пользователей, устройств и приложений, а также сервисный шлюз, который накладывает политики на подключенные устройства и осуществляет контролируемый доступ к корпоративным ресурсам.
ZTNA позволяет сильно сократить количество доступных для атакующего элементов инфраструктуры компании. Все потому, что доступ к этим ресурсам предоставляется лишь заранее проверенным пользователям, устройствам и приложениям.
По мнению экспертов, вскоре можно будет увидеть массовое появление облачных инфраструктур промышленного класса с высокой степенью защиты и уменьшенным временем внедрения.
А что у Zyxel?
Межсетевые экраны серий ATP и USG Flex помогут вам применить концепцию Zero Trust в вашей сети. При этом настройка и управления сетью доступны как из централизованной системы управления Zyxel Nebula, так и в автономном режиме у каждого из устройств.