Digital transformation er en rejse, og ligesom ethvert eventyr kan en smule forberedelse være en stor del af et succesfuldt resultat. Forberedelse til ethvert eventyr inkluderer at bestemme, hvor du vil hen, at beslutte dig for den bedste måde at komme dertil og at samle det udstyr, de tjenester og de forsyninger, du skal bruge undervejs.
En it-transformationsrejse begynder typisk med applikationstransformation, hvor man flytter applikationer ud af datacentret og ind i skyen. Derefter bliver netværkstransformation nødvendig for at gøre det muligt for brugere at få adgang til applikationer, der nu er vidt spredte – ved at flytte fra en hub-and-spoke netværksarkitektur til en direkte forbindelsestilgang. Dette driver igen et behov for sikkerhedstransformation, hvor du skifter fra en borg-og-grav-sikkerhedstilgang til en nul-tillid arkitektur.
Selvom den førnævnte rækkefølge er typisk, er der et par forskellige måder at opnå lignende resultater på. Du bør begynde din rejse mod nul tillid hvor du føler dig bedst tilpas eller forberedt. Hvis det giver mere mening for din organisation at begynde med sikkerhedstransformation før app-transformation, kan du.
Vurder dit udstyr
Slot-og-grav-sikkerhedsarkitekturer, der udnyttede firewalls, VPN'er og centraliserede sikkerhedsapparater, fungerede godt, når applikationer boede i datacentret, og brugerne arbejdede på kontoret. Det var det rigtige udstyr til jobbet på det tidspunkt. I dag arbejder din arbejdsstyrke dog overalt, og applikationer er flyttet ud af datacentret og ind i offentlige skyer, SaaS og andre dele af internettet. Disse firewalls, VPN'er og ældre sikkerhedshardware-stakke var ikke designet til at opfylde behovene i nutidens meget distribuerede virksomhed og har overlevet deres brugbarhed.
For at give brugere adgang til applikationer skal VPN'er og firewalls forbinde brugere til dit netværk, hvilket i det væsentlige udvider netværket til alle dine fjernbrugere, enheder og lokationer. Dette sætter din organisation i større risiko ved at give angribere flere muligheder for at kompromittere brugere, enheder og arbejdsbelastninger og flere måder at bevæge sig sideværts for at nå værdifulde aktiver, udtrække følsomme data og påføre din virksomhed skade. Beskyttelse af dine højt distribuerede brugere, data og applikationer kræver en ny tilgang – en bedre tilgang.
Kortlægning af den bedste rute
Når det kommer til sikkerhedstransformation, vender innovative ledere sig til nul tillid. I modsætning til perimeterbaserede sikkerhedstilgange, der er afhængige af firewalls og implicit tillid og giver bred adgang, når tillid er etableret, er nul-tillid en holistisk tilgang til sikkerhed baseret på princippet om mindst privilegeret adgang og ideen om, at ingen bruger, enhed eller arbejdsbyrde bør have tillid i sagens natur. Det begynder med antagelsen om, at alt er fjendtligt, og giver kun adgang, efter at identitet og kontekst er verificeret, og politikkontrol er håndhævet.
At opnå ægte nul-tillid kræver mere end at skubbe firewalls til skyen. Det kræver en ny arkitektur, født i skyen og leveret indbygget gennem skyen, for sikkert at forbinde brugere, enheder og arbejdsbelastninger til applikationer uden at oprette forbindelse til netværket.
Som med enhver større rejse er det nyttigt at dele din rejse til nul tillid i forskellige ben, der klart definerer stien, mens du holder den ultimative destination i tankerne. Når du overvejer din tilgang, vil syv væsentlige elementer gøre dig i stand til dynamisk og kontinuerligt at vurdere risiko og sikkert formidle kommunikation over ethvert netværk, fra ethvert sted.
Ved at bruge disse elementer kan din organisation implementere ægte nul-tillid for at eliminere din angrebsoverflade, forhindre lateral bevægelse af trusler og beskytte din virksomhed mod kompromis og datatab.
Disse elementer kan grupperes i tre sektioner:
- Bekræft identitet og kontekst
- Styr indhold og adgang
- Håndhæve politik
Lad os kigge nærmere.
Bekræft identitet og kontekst
Eventyret begynder, når der anmodes om en forbindelse. Zero trust-arkitekturen vil begynde med at afslutte forbindelsen og verificere identitet og kontekst. Den ser på hvem, hvad og hvor af den anmodede forbindelse.
1. Hvem forbinder?— Det første væsentlige element er at verificere brugeren/enheden, IoT/OT-enheden eller arbejdsbelastningens identitet. Dette opnås gennem integrationer med tredjeparts identitetsudbydere (IdP'er) som en del af en IAM-udbyder (Enterprise Identity Access Management).
2. Hvad er adgangskonteksten?— Dernæst skal løsningen validere konteksten af forbindelsesanmoderen ved at se nærmere på detaljer såsom rolle, ansvar, tidspunkt på dagen, placering, enhedstype og omstændighederne for anmodningen.
3. Hvor går forbindelsen hen?— Løsningen skal dernæst bekræfte, at identitetsejeren har rettighederne og opfylder den nødvendige kontekst for at få adgang til applikationen eller ressourcen baseret på entitet-til-ressource-segmenteringsregler – hjørnestenen i nul tillid.
Styr indhold og adgang
Efter at have verificeret identitet og kontekst, evaluerer nulstillidsarkitekturen risikoen forbundet med den anmodede forbindelse og inspicerer trafikken for at beskytte mod cybertrusler og tab af følsomme data.
4. Vurder risiko— Løsningen bør bruge AI til dynamisk at beregne en risikoscore. Faktorer, herunder enhedens holdning, trusler, destination, adfærd og politik, bør løbende evalueres gennem hele forbindelsens levetid for at sikre, at risikoscoren forbliver ajour.
5. Undgå kompromis—For at identificere og blokere ondsindet indhold og forhindre kompromis, skal en effektiv nul-tillidsarkitektur dekryptere trafik inline og udnytte dyb indholdsinspektion af entitet-til-ressource-trafik i skala.
6. Undgå tab af data—Udgående trafik skal dekrypteres og inspiceres for at identificere følsomme data og forhindre deres eksfiltrering ved hjælp af inline-kontroller eller ved at isolere adgang i et kontrolleret miljø.
Håndhæve politik
Før man når slutningen af rejsen og i sidste ende etablerer en forbindelse til den ønskede interne eller eksterne applikation, skal et sidste element implementeres: håndhævelse af politik.
7. Håndhæve politik— Ved at bruge udgangene fra de foregående elementer bestemmer dette element, hvilken handling der skal tages vedrørende den anmodede forbindelse. Slutmålet er ikke en simpel aflevering/ikke bestået beslutning. I stedet skal løsningen konstant og ensartet anvende en politik pr. session – uanset placering eller håndhævelsespunkt – for at give detaljerede kontroller, der i sidste ende resulterer i en betinget tillade eller betinget blokeringsbeslutning.
Når først en beslutning om tilladelse er nået, får en bruger en sikker forbindelse til internettet, SaaS-app eller intern applikation.
Nå sikkert frem til din destination
Din rejse til nul tillid kan være farlig, hvis du prøver at nå dertil med ældre udstyr, der ikke er designet til det. Selvom det i første omgang kan virke skræmmende at finde en løsning, der muliggør ægte nul-tillid, så start, hvor det giver mest mening for din organisation, og lad de syv elementer, der er skitseret her, tjene som din guide.
Læs mere Partner Perspectives fra Zscaler.
