Digitaalne ümberkujundamine on teekond ja nagu iga seiklus, võib väike ettevalmistus eduka tulemuse saavutamiseks palju aidata. Mis tahes seikluseks valmistumine hõlmab selle kindlaksmääramist, kuhu soovite minna, parima tee kohale jõudmiseks otsustamist ning teel vajamineva varustuse, teenuste ja tarvikute kogumist.
IT ümberkujundamise teekond algab tavaliselt rakenduste teisendamisega, mille käigus teisaldate rakendused andmekeskusest välja pilve. Seejärel muutub võrgu ümberkujundamine vajalikuks, et võimaldada kasutajatel juurdepääsu rakendustele, mis on praegu laialt levinud – liikudes jaoturi ja kodaraga võrguarhitektuurilt otseühenduse lähenemisviisile. See omakorda põhjustab vajadust turvalisuse ümberkujundamiseks, kus te lähete lossi ja vallikraavi turvalisuse lähenemisviisilt üle null-usaldusarhitektuur.
Kuigi ülalnimetatud järjekord on tüüpiline, on sarnaste tulemuste saavutamiseks mitu erinevat viisi. Sa peaksid alustama oma teekonda null usaldust kus tunnete end kõige mugavamalt või kõige paremini valmis. Kui teie organisatsioonil on mõttekam alustada turvamuutusega enne rakenduse muutmist, saate seda teha.
Hinnake oma varustust
Lossi ja vallikraavi turvaarhitektuur, mis kasutab tulemüüre, VPN-e ja tsentraliseeritud turvaseadmeid, töötas hästi, kui rakendused asusid andmekeskuses ja kasutajad töötasid kontoris. See oli selleks ajaks õige varustus. Tänapäeval töötab teie tööjõud kõikjalt ja rakendused on andmekeskusest välja kolinud avalikesse pilvedesse, SaaS-i ja muudesse Interneti osadesse. Need tulemüürid, VPN-id ja pärandturbe riistvaravirnad ei olnud loodud tänapäevaste laialt hajutatud ettevõtete vajaduste rahuldamiseks ja on oma aja ära elanud.
Et anda kasutajatele juurdepääs rakendustele, peavad VPN-id ja tulemüürid ühendama kasutajad teie võrguga, laiendades võrku sisuliselt kõigile teie kaugkasutajatele, seadmetele ja asukohtadele. See seab teie organisatsiooni suuremasse ohtu, andes ründajatele rohkem võimalusi kasutajate, seadmete ja töökoormuse ohustamiseks ning rohkem võimalusi külgsuunas liikumiseks, et jõuda väärtuslike varadeni, eraldada tundlikke andmeid ja tekitada teie ettevõttele kahju. Väga hajutatud kasutajate, andmete ja rakenduste kaitsmine nõuab uut – paremat – lähenemist.
Parima marsruudi kaardistamine
Mis puutub turvalisuse ümberkujundamisse, siis uuendusmeelsed juhid on pöördumas nulli usaldusele. Erinevalt perimeetripõhistest turbemeetoditest, mis tuginevad tulemüüridele ja kaudsele usaldusele ning pakuvad laialdast juurdepääsu pärast usalduse tekkimist, on null-usaldus terviklik lähenemine turvalisusele, mis põhineb vähim privilegeeritud juurdepääsu põhimõttel ja ideel, et kasutajat, seadet ega töökoormust pole vaja. tuleks loomupäraselt usaldada. See algab eeldusest, et kõik on vaenulik, ja annab juurdepääsu alles pärast identiteedi ja konteksti kontrollimist ning poliitikakontrollide jõustamist.
Tõelise nulli usalduse saavutamine nõuab enamat kui tulemüüride pilve lükkamist. Kasutajate, seadmete ja töökoormuse turvaliseks ühendamiseks rakendustega ilma võrguga ühendamata on vaja uut pilves sündivat ja pilve kaudu edastatavat arhitektuuri.
Nagu iga olulise reisi puhul, on kasulik jagada oma teekond usalduse nullini erinevateks osadeks, mis määratlevad selgelt tee, pidades silmas lõplikku sihtkohta. Oma lähenemisviisi kaalumisel võimaldavad seitse olulist elementi dünaamiliselt ja pidevalt hinnata riske ning turvaliselt vahendada sidet mis tahes võrgu kaudu ja mis tahes kohast.
Neid elemente kasutades saab teie organisatsioon rakendada tõelist nullusaldust, et kõrvaldada teie rünnakupind, vältida ohtude külgsuunalist liikumist ning kaitsta teie ettevõtet kompromisside ja andmete kadumise eest.
Need elemendid võib jagada kolme ossa:
- Kinnitage identiteet ja kontekst
- Sisu ja juurdepääsu juhtimine
- Jõustada poliitikat
Vaatame lähemalt.
Kinnitage identiteet ja kontekst
Seiklus algab siis, kui ühendust taotletakse. Nullusaldusarhitektuur algab ühenduse katkestamisega ning identiteedi ja konteksti kontrollimisega. See vaatab, kes, mis ja kus on taotletud ühendus.
1. Kes ühendab?—Esimene oluline element on kasutaja/seadme, IoT/OT-seadme või töökoormuse identiteedi kontrollimine. See saavutatakse integreerimisega kolmanda osapoole identiteedipakkujatega (IdP) osana ettevõtte identiteedi juurdepääsuhalduse (IAM) pakkujast.
2. Mis on juurdepääsu kontekst?— Järgmisena peab lahendus kinnitama ühenduse taotleja konteksti, uurides üksikasju, nagu roll, vastutus, kellaaeg, asukoht, seadme tüüp ja päringu asjaolud.
3. Kuhu ühendus läheb?— Lahendus peab järgmiseks kinnitama, et identiteedi omanikul on õigused ja see vastab nõutavale kontekstile, et pääseda juurde rakendusele või ressursile, mis põhinevad olemitevahelisel segmenteerimisel, mis on null usalduse nurgakivi.
Sisu ja juurdepääsu juhtimine
Pärast identiteedi ja konteksti kontrollimist hindab null-usaldusarhitektuur taotletud ühendusega seotud riski ja kontrollib liiklust, et kaitsta end küberohtude ja tundlike andmete kadumise eest.
4. Hinda riski— Lahendus peaks kasutama tehisintellekti riskiskoori dünaamiliseks arvutamiseks. Tegureid, sealhulgas seadme asendit, ohte, sihtkohta, käitumist ja poliitikat, tuleks ühenduse eluea jooksul pidevalt hinnata, et tagada riskiskoori ajakohasus.
5. Väldi kompromisse— Pahatahtliku sisu tuvastamiseks ja blokeerimiseks ning kompromisside vältimiseks peab tõhus null-usaldusarhitektuur dekrüpteerima liikluse sees ja kasutama ulatuslikku olemi ja ressurssi vahelise liikluse sisu põhjalikku kontrolli.
6. Andmete kadumise vältimine— Väljuv liiklus tuleb dekrüpteerida ja kontrollida, et tuvastada tundlikud andmed ja vältida nende väljafiltreerimist, kasutades sisemisi juhtelemente või isoleerides juurdepääsu kontrollitud keskkonnas.
Jõustada poliitika
Enne teekonna lõppu ja lõpuks ühenduse loomist soovitud sisemise või välise rakendusega tuleb rakendada üks viimane element: jõustamispoliitika.
7. Jõustada poliitikat— Kasutades eelmiste elementide väljundeid, määrab see element, milliseid toiminguid taotletava ühendusega seoses teha. Lõppeesmärk ei ole lihtne sööt/mitte sööta otsus. Selle asemel peab lahendus pidevalt ja ühtlaselt rakendama poliitikat seansipõhiselt – olenemata asukohast või jõustamispunktist –, et pakkuda üksikasjalikke juhtelemente, mille tulemuseks on tingimusliku lubamise või tingimusliku blokeerimise otsus.
Kui lubamisotsus on tehtud, antakse kasutajale turvaline ühendus Interneti, SaaS-i rakenduse või sisemise rakendusega.
Jõudke turvaliselt sihtkohta
Teie teekond usalduse nullini võib olla ohtlik, kui proovite selleni jõuda pärandseadmetega, mis pole selle jaoks loodud. Kuigi lahenduse leidmine, mis võimaldab tõelist nulli usaldust, võib esmapilgul tunduda hirmutav, alustage sealt, kus see teie organisatsiooni jaoks kõige mõistlikum on, ja laske siin kirjeldatud seitsmel elemendil olla oma teejuhiks.
Loe edasi Partneri perspektiivid Zscalerilt.
