Агентство національної безпеки США (АНБ) представило свої рекомендації для безпека мережі з нульовою довірою цього тижня, запропонувавши більш конкретну дорожню карту щодо прийняття без довіри. Це важлива спроба подолати розрив між бажанням і реалізацією концепції.

У міру того як компанії переносять все більше робочого навантаження в хмару, обчислювальні стратегії з нульовою довірою перейшли від фази гучного галасу до статусу важливого підходу до безпеки. Але навіть у цьому випадку поняття «ненадійний до перевірки» все ще повільно розвивається в реальному світі (хоча в деяких регіонах, наприклад в Об’єднаних Арабських Еміратах,впровадження нульової довіри прискорюється).

Джон Кіндерваг, який був першим дав визначення терміну «нульова довіра».  ще в 2010 році, коли він був аналітиком у Forrester Research, привітав крок АНБ, зазначивши, що «дуже небагато організацій усвідомили важливість засобів контролю безпеки мережі для створення середовищ нульової довіри, і цей документ значною мірою допомагає організаціям зрозуміти їх значення».

Крім того, «це значно допоможе різним організаціям у всьому світі легше зрозуміти цінність засобів контролю мережевої безпеки та спростить створення та впровадження середовищ нульової довіри», — каже Кіндерваг, який минулого року приєднався до Illumio як головний проповідник, де він продовжує просувати концепція нульової довіри.

Центри нульової довіри до сегментації мережі

Документ NSA містить масу рекомендацій щодо найкращих практик нульової довіри, зокрема сегментування мережевого трафіку, щоб заблокувати зловмисникам пересування по мережі та отримання доступу до критично важливих систем.

Концепція не нова: ІТ-відділи сегментували свою корпоративну мережеву інфраструктуру протягом десятиліть, а Кіндерваг виступає за сегментацію мережі з моменту свого оригінального звіту Forrester, де він сказав, що «всі майбутні мережі мають бути сегментовані за замовчуванням».

Однак, як сказали Карлос Рівера та Хіт Муллінз з Forrester Research звіт минулої осені, «жодне окреме рішення не може забезпечити всі можливості, необхідні для ефективної архітектури нульової довіри. Пройшли ті часи, коли підприємства жили й працювали в межах традиційного мережевого захисту на основі периметра».

В епоху хмар, нульова довіра експоненціально складніша досягти, ніж колись. Можливо, тому менше третини респондентів опитування в Akamai Звіт про стан сегментації за 2023 рік з осені минулого року сегментувалися в більш ніж двох ключових бізнес-сферах минулого року.

Щоб трохи полегшити біль, АНБ пояснює, як можна реалізувати елементи керування сегментацією мережі за допомогою серії кроків, включаючи відображення та розуміння потоків даних, а також впровадження програмно-визначена мережа (SDN). Кожен крок потребує значного часу та зусиль, щоб зрозуміти, які частини бізнес-мережі знаходяться під загрозою та як найкраще їх захистити.

«З нульовою довірою важливо пам’ятати про те, що це подорож і те, що потрібно реалізувати за допомогою методичного підходу», — застерігає Гаррет Вебер, технічний директор Enterprise Security Group в Akamai.

Вебер також зазначає, що відбулися зміни в стратегіях сегментації. «До недавнього часу розгортання сегментації було надто складним для використання лише апаратного забезпечення», — каже він. «Тепер із переходом до сегментації на основі програмного забезпечення ми бачимо, що організації можуть досягати своїх цілей сегментації набагато легше та ефективніше».

Йти далі з мікросегментацією мережі

Документ NSA також розрізняє сегментацію макро- та мікромережі. Перший контролює трафік, що переміщується між відділами або робочими групами, тому ІТ-працівник не має доступу до серверів людських ресурсів і даних, наприклад.

Мікросегментація додатково розділяє трафік, тому не всі співробітники мають однакові права доступу до даних, якщо це явно не потрібно. «Це включає ізоляцію користувачів, додатків або робочих процесів в окремі сегменти мережі, щоб ще більше зменшити поверхню атаки та обмежити вплив у разі порушення», — йдеться у звіті Akamai.

Менеджери безпеки «повинні вживати заходів для використання мікросегментації, щоб зосередитися на своїх програмах, щоб гарантувати, що зловмисники не зможуть обійти елементи керування шляхом підривання єдиного знака доступу, використання облікових записів, які завантажуються збоку, або пошук способів надати дані зовнішнім користувачам», — каже Браян Собі, технічний директор і співзасновник AppOmni.

Це допомагає визначити засоби контролю безпеки відповідно до того, що потрібно для кожного конкретного робочого процесу, як зазначено у звіті Akamai. «Сегментація — це добре, але мікросегментація — краще», — заявили автори.

Це може бути складна спроба, але сік вартий вичавлення: у звіті Akamai дослідники виявили, що «наполегливість окупається. Доведено, що сегментація має трансформаційний вплив на захист для тих, хто сегментував більшість своїх критично важливих активів, дозволяючи їм пом’якшувати та стримувати програми-вимагачі на 11 годин швидше, ніж ті, хто сегментував лише один актив».

Kindervag все ще виступає за нульову довіру. Частково його привабливість і довговічність пов’язані з тим, що це проста концепція для розуміння: люди та кінцеві точки не отримують доступу до служб, програм, даних, хмар або файлів, якщо вони не підтвердять, що мають на це дозвіл — і навіть тоді доступ надається лише протягом необхідного часу.

«Довіра — це людська емоція», — сказав він. «Люди не розуміли цього, коли я вперше це запропонував, але це все про управління небезпекою, а не про ризик і закладення дірок у вашій безпеці».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/remote-workforce/nsa-s-zero-trust-guidelines-focus-on-segmentation