TeamQuest Blog

Zero zaufania - co ta zasada oznacza w cyberbezpieczeństwie

Zero zaufania - co ta zasada oznacza w cyberbezpieczeństwie

Marcin Sarna , 13.09.2021 r.

Wydaje się, że każda niemal firma oferująca jakieś zabezpieczenia cyberinformatyczne mówi o „zerowym zaufaniu” jako odpowiedzi na coraz bardziej niebezpieczne ataki. Ale brytyjscy eksperci ds. bezpieczeństwa cybernetycznego ostrzegają klientów, że definicja tego pojęcia jest nieco śliska i powinni oni postępować ostrożnie chcąc ją stosować.

Czym jest zero zaufania według NCSC?

Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) stwierdziło w tym tygodniu, że „zero zaufania” (zero trust) stało się „bardzo modnym terminem” w świecie technologii. Aby zaradzić niedookreślonemu charakterowi tego terminu NCSC wskazało na kilka pułapek, o których powinny pamiętać organizacje przeprowadzające migrację w kierunku takiej doktryny „zerowego zaufania”.

Zero zaufania to idea usunięcia z sieci czegoś takiego jak bezwarunkowe zaufanie. Tylko dlatego, że urządzenie znajduje się po wewnętrznej i „zaufanej” stronie firewalla lub VPN, nie powinno być domyślnie uważane za zaufane. Zamiast tego należy dążyć do budowania zaufania do różnych występujących transakcji (połączeń sieciowych). Można to zrobić, rozpoznając najpierw dobrze kontekst sytuacyjny poprzez analizę szeregu sygnałów. Sygnały te są różnymi danymi, takimi jak informacje o stanie urządzenia lub jego lokalizacji, i mogą dać zaufanie potrzebne do udzielenia dostępu do konkretnego zasobu.

NCSC przyznaje jednak, że nie każda organizacja będzie gotowa na przyjęcie architektury „zero zaufania”. Podkreśliło również, że nie jest to standard czy specyfikacja, ale raczej podejście do projektowania sieci co oznacza, że trudno jest jednoznacznie stwierdzić, czy robi się to dobrze w konkretnej sytuacji.

Zero zaufania nie zawsze jest możliwe

Do tego dochodzą bezpośrednie i pośrednie koszty, które mogą wynikać z migracji do projektu sieci „zero zaufania”. Koszty bezpośrednie obejmują nowe produkty, urządzenia i usługi. Koszty pośrednie to z kolei szkolenie specjalistów, nowe koszty licencji i subskrypcji. NCSC zauważa, że te bieżące koszty mogą być jednak niższe niż koszty utrzymania i odświeżania istniejących usług sieciowych.

Przejście na architekturę zero zaufania może być dla organizacji bardzo destrukcyjnym przedsięwzięciem. Migracja do modelu „w pełni zero zaufania” może zająć kilka lat ze względu na zakres zmian, które będą musiały być wprowadzone w całym przedsiębiorstwie. Dodatkowo określenie stanu końcowego dla migracji jest trudne, gdy model, do którego dążysz, może ewoluować w trakcie wdrażania.

Istnieją również dalsze komplikacje w stosunku do wielu organizacji, które prowadzą duże systemy, niewspółgrające z koncepcjami zerowego zaufania. Będze to na przykład stary system płacowy, w którym brakuje nowoczesnych metod uwierzytelniania, takich jak uwierzytelnianie dwuskładnikowe. Istnieją również produkty i usługi, które nie współgrają z koncepcją zerowego zaufania, takie jak architektury BYOD. Organizacje mogą mieć trudności z oceną, czy urządzenia są bezpieczne bez naruszania prywatności pracowników. A jak korzystać z usługi zero zaufania opartej na chmurze?

Wreszcie, NCSC ostrzega przed uzależnieniem się od dostawcy i chmury, które może ograniczyć zdolność organizacji do przeniesienia niektórych systemów do innych usług w przyszłości.

Wyeksponuj ważne informacje

Zero zaufania w Google, IBM i Microsoft

Nieco ponad tydzień temu przedstawiciele Google ogłosili po spotkaniu z prezydentem Stanów Zjednoczonych Joe Bidenem, że firma ta przeznaczy 10 miliardów dolarów na pomoc Stanom Zjednoczonym w poprawie bezpieczeństwa infrastruktury krytycznej. Microsoft zobowiązał się do przekazania 20 miliardów dolarów. Obie firmy koncentrują się na możliwościach „zero zaufania” aby zaradzić niedawnym atakom na łańcuch dostaw oprogramowania i ransomware na infrastrukturę krytyczną. IBM również wzmacnia swoje usługi zero zaufania poprzez stosunkowo nową kategorię usług Secure Access Service Edge (SASE). Wszystkie trzy firmy współpracują z amerykańskim instytutem NIST nad stworzeniem wzorców dla architektur zero zaufania.

NCSC przedstawia pięć powodów, dla których zero zaufania może być dobrą filozofią do przyjęcia:

  • W modelu zero zaufania, każde działanie użytkownika lub urządzenia podlega jakiejś formie decyzji „politycznej”. Pozwala to organizacji na weryfikację każdej próby dostępu do danych lub zasobów co z kolei bardzo utrudnia życie atakującemu.
  • Zero zaufania pozwala na silne uwierzytelnianie i autoryzację, jednocześnie redukując koszty sieciowe związane z rozszerzaniem sieci korporacyjnej na domy użytkowników – szczególnie istotne w dobie pracy zdalnej.
  • Niektóre środki kontroli bezpieczeństwa w systemie zero zaufania mogą zapewnić znacznie wygodniejszą pracę użytkownikom. Na przykład, dzięki zastosowaniu pojedynczego logowania użytkownicy muszą wprowadzać dane uwierzytelniające tylko raz, a nie za każdym razem, gdy chcą skorzystać z innej aplikacji.
  • Większa kontrola nad dostępem do danych oznacza, że można przyznać dostęp do określonych danych odpowiednim odbiorcom.
  • Rozszerzenie możliwości logowania o zdarzenia z urządzeń i usług użytkowników daje znacznie bogatszy obraz tego, co dzieje się w środowisku, co pozwala na dokładniejsze wykrywanie zagrożeń.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej