Zero Trust: всегда проверять, никому не доверять
Концепция Zero Trust появилась в ответ на потребность крупных компаний контролировать происходящее в их инфраструктуре. В условиях, когда корпоративный интранет достигает размеров, сопоставимых с Интернетом, невозможно полностью доверять любому узлу в любой момент времени. При этом защита внешнего периметра создает ложное ощущение безопасности внутри организации. Как только злоумышленник попадает во внутренний периметр, он получает доступ ко всему. Концепция нулевого доверия — попытка решить эту проблему. Важно не то, где находится пользователь — внутри или снаружи периметра, а то, какие у него роли и доступы к конкретным сервисам.
Всегда существует сетевой узел, подсети или иной ресурс с так называемым break-glass-доступом. При чрезвычайной ситуации этот ресурс получает расширенные возможности доступа, что нарушает концепцию периметра — предоставление таких привилегий может создать уязвимость, которая может быть использована для обхода механизмов безопасности. Эта проблема была сформулирована Google еще в 2003 году и до сих пор остается актуальной в контексте реализации Zero Trust.
К 2012–2013 году Google выпустил статью, ставшую основополагающей для книги Zero Trust Network, от инженера Google, в которой рассказывалось, как реализовали то, что сейчас мы называем Zero Trust. Каждый запрос на доступ должен быть проверен и авторизован, независимо от его источника, что позволяет значительно повысить уровень безопасности и снизить риски кибератак. Суть в том, что мы должны свести сетевое взаимодействие всех элементов сети к минимальному доверию так, чтобы эти узлы и их работа не сломалась. Звучит просто, но это очень трудная задача, потому что это нарушает сложившиеся бизнес-процессы и архитектуру взаимодействий в сети.
Основные компоненты работы Zero Trust
Для того чтобы концепция заработала, нужно реализовать три основных компонента.
Первый. IAM (Identity and Access Management) — это система управления идентификацией и доступом, которая обеспечивает контроль над теми, кто имеет доступ к ресурсам организации и какие права у них есть. Она включает в себя процессы аутентификации, авторизации и управления правами доступа, чтобы гарантировать, что только уполномоченные пользователи могут получить доступ к нужным данным и системам.
Это подразумевает создание учетных записей пользователей, а также гарантирует, что их права будут корректно применяться ко всем ресурсам организации.
Второй. Access Policies (политики доступа) — это наборы правил и условий, которые определяют, кто и при каких обстоятельствах может получить доступ к различным ресурсам организации. Эти политики включают в себя критерии аутентификации, авторизации и контроля доступа, обеспечивая безопасность и управление доступом к данным и системам.
Это когда помимо юзеров у нас появляются правила того, куда им можно, куда нельзя. И здесь начинаются первые сложности. Правила доступа создаются на основе субъективных факторов, таких как мировоззрение, понимание менеджмента и локальные требования безопасности. Все это приводит к формированию разметки доступа, которая с инженерной точки зрения может быть необъективной и сложной в реализации.
Необходимо тщательное планирование и координация, чтобы учесть все возможные сценарии доступа и убедиться, что политики не мешают рабочим процессам, которые не строятся по законам безопасности и даже часто ей противоречат.
Третий. Policy Information Point (PIP) — это компонент системы управления доступом, который предоставляет информацию о текущем состоянии системы и пользователей, необходимую для принятия решений о доступе. PIP собирает и передает данные, такие как атрибуты пользователей, ресурсов и окружения, в Policy Decision Point (PDP) для оценки и принятия решений о доступе.
Это то, что автоматически проводит процедуру идентификации пользователя и, соответственно, решает вопрос авторизации. Сегодня актуален метод contact-aware access — подход к управлению доступом, который учитывает контекст взаимодействия пользователя с ресурсами, такие как время, местоположение, тип устройства и поведение, чтобы динамически принимать решения о предоставлении доступа на основе текущей ситуации и потенциальных рисков.
Проще говоря, это доступ на основе контекста. Например, система может проверять геометку, чтобы убедиться, что вы выполняете аутентификацию из определенного города или определенного устройства. Другой пример: каждая 13-я аутентификация может сопровождаться полной проверкой файловой системы на наличие признаков нарушения состояния целостности устройства (например, Jailbreak), и если такие признаки обнаружены, доступ к ресурсу не предоставляется. Эталонный боевой Zero Trust существует в данный момент в виде трех документов. Это книга издательства O'Reilly «Zero Trust Networks» и две статьи от Google — «BeyondCorp: A New Approach to Enterprise Security» и «BeyondProd: A New Approach to Cloud-Native Security».
Google реализовал это конкретно у себя, на своей специфике на проекте BeyondCorp, который заменил традиционные VPN-решения на модель, где доступ к корпоративным ресурсам предоставляется на основе контекста, такого как устройство, местоположение и поведение пользователя. Все запросы на доступ проверяются и авторизуются в реальном времени, что значительно повышает уровень безопасности.
В этих документах нет указаний на то, как тиражировать или применять это в других организациях. Они сосредоточены на конкретном внедрении в инфраструктуре Google, оставляя вопросы о применении в других условиях открытыми.
Развитие и более широкое применение концепции
В 2020 году NIST (Национальный институт стандартов и технологий США), выпускает стандарты и рекомендации по внедрению Zero Trust. NIST разработал и опубликовал несколько документов, которые предоставляют руководство и рекомендации по внедрению Zero Trust. Один из ключевых документов — «Zero Trust Architecture» (NIST Special Publication 800-207). Он определяет основные принципы и компоненты архитектуры Zero Trust, а также предоставляет рекомендации по ее внедрению.
NIST определил основные принципы Zero Trust, такие как «не доверяй, а проверяй» (never trust, always verify), микросегментация, многофакторная аутентификация и постоянный мониторинг. Эти принципы стали основой для разработки и внедрения Zero Trust в различных организациях. NIST предоставляет практические рекомендации по внедрению Zero Trust, включая шаги по оценке текущей инфраструктуры, разработке политик доступа, выбору технологий и инструментов, а также по управлению рисками. Данные рекомендации помогают организациям понять, как применить принципы Zero Trust на практике. NIST регулярно обновляет и адаптирует свои рекомендации по Zero Trust в соответствии с изменениями в технологиях и угрозах. Это обеспечивает актуальность и применимость рекомендаций в условиях постоянно меняющейся среды кибербезопасности. Вместе с тем появляются технологические решения.
Технологические решения, которые поддерживают принципы Zero Trust
1. Многофакторная аутентификация (MFA)
- Duo Security: обеспечивает многофакторную аутентификацию для защиты доступа к приложениям и данным.
- Okta: предлагает решения для многофакторной аутентификации и управления идентификацией.
- Microsoft Azure Active Directory (Azure AD): включает функции MFA для защиты доступа к облачным ресурсам.
2. Микросегментация сетей
- VMware NSX: позволяет создавать и управлять микросегментами в виртуализированных и облачных средах.
- Cisco ACI (Application Centric Infrastructure): обеспечивает микросегментацию и автоматизацию сетевых политик.
- Illumio: специализируется на микросегментации и защите внутренних сетей от бокового движения угроз.
3. Системы мониторинга и анализа
- Splunk: предлагает платформу для мониторинга и анализа данных безопасности в реальном времени.
- CrowdStrike Falcon: обеспечивает защиту конечных точек и мониторинг угроз с использованием искусственного интеллекта.
- Darktrace: использует машинное обучение для обнаружения аномалий и угроз в сети.
4. Управление доступом и идентификацией (IAM)
- Ping Identity: предлагает решения для управления идентификацией и доступом, включая многофакторную аутентификацию.
- ForgeRock: обеспечивает комплексные решения для управления идентификацией и доступом в гибридных и многооблачных средах.
5. Платформы для управления безопасностью
- Palo Alto Networks Prisma Access: обеспечивает безопасный доступ к облачным ресурсам и приложениям с использованием принципов Zero Trust.
- Zscaler Private Access (ZPA): предлагает решения для безопасного доступа к приложениям и данным без использования традиционных VPN.
Эти решения помогают организациям внедрять принципы Zero Trust, поддерживая более высокий уровень безопасности и контроля над доступом к ресурсам.
Бизнесы внедрившие Zero Trust
- IBM: компания использует многофакторную аутентификацию, микросегментацию сетей и постоянный мониторинг для защиты своих корпоративных данных и систем. IBM также публикует статьи и отчеты о своих усилиях в области кибербезопасности, включая Zero Trust.
- Tesla: внедрила Zero Trust для защиты своих информационных систем и данных. Компания использует принципы Zero Trust для обеспечения безопасности своих производственных процессов, исследований и разработок, а также для защиты данных клиентов.
- Walmart: внедрила Zero Trust для защиты своих информационных систем. Компания использует многофакторную аутентификацию, условный доступ и системы мониторинга для обеспечения безопасности своих данных и операций, включая управление цепочками поставок и онлайн-торговлю.
- United Airlines: внедрила Zero Trust для защиты своих информационных систем и данных. Компания использует принципы Zero Trust для обеспечения безопасности своих операций, включая управление рейсами, бронирование и обслуживание клиентов.
- В России ряд крупных компаний тоже заявляет о практическом применении принципов Zero Trust: Сбер, Яндекс, Газпром, МТС, Росатом.
Почему сложно применить на практике
Внедрение концепции Zero Trust может быть сложным и требовать значительных ресурсов, что делает его недоступным или нецелесообразным для всех компаний. Вот несколько основных причин, почему не все компании могут внедрить этот метод:
- Требует финансовых вложений в технологии, инфраструктуру и обучение персонала.
- Требует глубокого понимания и перестройки существующих систем и процессов. Это может быть сложной задачей, особенно для компаний с устаревшими или разнородными ИТ-инфраструктурами.
- Необходимы специалисты с глубокими знаниями в области кибербезопасности.
- Может встретить сопротивление со стороны сотрудников и руководства, которые привыкли к традиционным методам управления безопасностью.
Концепция нулевого доверия не организована идеально и на 100% ни у одной компании в мире, однако практики связанные с ней полезны и стоят того, чтобы стараться реализовать их для защиты своей инфраструктуры.
Опубликовано 02.10.2024