Multe organizatii isi concentreaza eforturile de securitate asupra unei linii invizibile in spatele careia se afla serverele, aplicatiile, dispozitivele de utilizator si accesul la retea. Insa astazi securitatea perimetrala bazata doar pe un firewall nu mai este suficienta. Conceptul de “zero trust” isi doreste ca interiorul retelei sa fie si el securizat astfel incat perimetrul retelei sa nu fie singurul lucru care sa tina amenintarile cibernetice la distanta.
Modul clasic de a asigura securitatea in interiorul retelei este caracterizat de cateva aspecte:
- fiecare dispozitiv de utilizator folosit la accesarea unor resurse este detinut, oferit si controlat de organizatie
- toti utilizatorii si toate dispozitivele si aplicatiile se afla intr-o singura locatie reprezentata de reteaua companiei in spatele unui firewall
- dispozitivele cu acelasi nivel de acces au incredere unele in celelalte in mod implicit
- numai accesul initial este supus unei forme de verificari
Astazi, aceste aspecte nu mai pot fi considerate adevarate 🙂
Utilizatorii isi desfasoara activitatea de pe dispozitivele lor proprii si personale (BYOD). Aplicatiile sunt migrate in cloud pentru a beneficia de avantajele acestei tehnologii. Organizatia trebuie sa se “deschida” pentru a colabora cu parteneri si cu furnizori. Atacatorii care reusesc sa treaca de firewall sau sa compromita contul unui utilizator vor putea exploata increderea avuta de retea in acel utilizator si se poate misca lateral in interiorul retelei pentru a ataca alte dispozitive si date sensibile. Un angajat nemultumit sau un “insider” se poate afla intr-o portiune de incredere a retelei si de acolo sa isi poate escalada privilegiile.
Astazi, nu se mai poate presupune ca dispozitivele din interiorul retelei sunt sigure (BYOD, IoT), ca gestionarea directa a acestora reduce riscul de a fi compromise sau ca o singura verificare initiala a lor este suficienta.
Zero trust inseamna de fapt “never trust, always verify” 🙂 Orice zona a retelei este considerata potential ostila, la fel ca Internetul, si cererile de acces venite din aceste zone trebuie tratate ca atare. Nu se presupune nimic bun sau de incredere despre dispozitivul de pe care se face accesul si nici despre identitatea persoanei din spate pana cand legitimitatea acestor entitati nu este verificata. Iar aceasta verificare se face in mod continuu, la fiecare accesare a retelei sau a unei aplicatii. Zero trust redefineste perimetrul retelei. Perimetrul retelei nu mai este acel punct de demarcare intre reteaua privata si sigura a companiei si internetul public si periculos. Perimetrul retelei este acum reprezentat de orice forma de acces. Conectarea la o aplicatie de Saas cum este Gmail cu un cont de organizatie sau cu un cont personal, accesarea unei baze de date de catre o aplicatie pentru a citi informatii de utilizatori, executarea unei comenzi cu privilegii de administrator de catre utilizator, toate acestea sunt forme de acces care presupun verificarea de fiecare data a identitatii si a permisiunilor entitatii care face request-ul.
O solutie buna de “zero trust” se bazeaza pe:
- vizibilitate – o solutie de zero trust trebuie sa ofere cat mai multe informatii si un context cat mai bogat despre persoana, dispozitivul sau aplicatia care cere acces. Aceste informatii vor putea fi folosite de departamentul IT pentru a implementa politici de control si pentru a acorda privilegii si drepturi in functie de anumite criterii.
- verificarea continua a posturii utilizatorilor, a dispozitivelor si a aplicatiilor. Increderea acordata nu este permanenta si ea trebuie reevaluata periodic, ceea ce minimizeaza suprafata de atac care poate fi exploatata de atacatori.
- eliminarea securitatii pe principiul “daca e dat de companie, atunci e sigur”. Zero trust valideaza si extinde increderea catre dispozitivele BYOD si IoT si catre aplicatiile de tip SaaS din cloud-urile publice.
- izolarea endpoint-urilor care prezinta indicatori de compromitere sau comportament anormal prin politici de segmentare a accesului pe baza schimbarii “nivelului de incredere”.
Cisco Duo este solutia de “Zero Trust Network Access – ZTNA” din portofoliul de securitate Cisco care poate ajuta orice organizatie in adoptia acestui concept care redefineste securitatea perimetrala. Cisco Duo protejeaza utilizatorii retelei (angajati, colaboratori, furnizori, parteneri), aplicatiile care ruleaza on-premises sau in cloud-ul public sau privat si dispozitivele care se conecteaza la retea (endpoint-urile, serverele, camerele de supraveghere, aparatele de HVAC si alte dispozitive IoT din ce in ce mai prezente intr-un mediu enterprise).
Mihai Dumitrascu, Sr Systems Engineer