A digitális átalakulás egy utazás, és hasonlóan minden kalandhoz, egy kis felkészülés is sokat segíthet a sikeres eredmény elérésében. Bármilyen kalandra való felkészülés magában foglalja annak meghatározását, hogy hová szeretne menni, meg kell határoznia a legjobb utat, és össze kell gyűjtenie a felszerelést, a szolgáltatásokat és a kellékeket, amelyekre az út során szüksége lesz.
Az IT-átalakítási út általában az alkalmazásátalakítással kezdődik, amikor az alkalmazásokat az adatközpontból a felhőbe helyezi át. Ezután a hálózati átalakítás szükségessé válik, hogy a felhasználók hozzáférhessenek a mára széles körben elterjedt alkalmazásokhoz – a hub-and-spoke hálózati architektúráról a közvetlen kapcsolódási megközelítésre váltva. Ez pedig a biztonsági átalakítás szükségességét eredményezi, ahol a kastély-árok biztonsági megközelítésről egy zéró bizalom architektúra.
Bár a fent említett sorrend tipikus, van néhány különböző mód hasonló eredmények elérésére. El kell kezdenie az utat felé nulla bizalom ahol a legkényelmesebben vagy legfelkészültebben érzi magát. Ha ésszerűbb, ha szervezete a biztonsági átalakítással kezdi az alkalmazás átalakítása előtt, megteheti.
Mérje fel felszerelését
A tűzfalakat, VPN-eket és központosított biztonsági berendezéseket kihasználó vár- és várárok biztonsági architektúrák jól működtek, amikor az alkalmazások az adatközpontban, a felhasználók pedig az irodában dolgoztak. Akkoriban ez volt a megfelelő felszerelés a munkához. Ma azonban a munkaerő mindenhonnan dolgozik, és az alkalmazások kikerültek az adatközpontból a nyilvános felhőkbe, a SaaS-be és az internet más részeire. Ezeket a tűzfalakat, VPN-eket és az örökölt biztonsági hardverkészleteket nem úgy tervezték, hogy megfeleljenek a mai, nagymértékben elosztott üzletág igényeinek, és túlélték hasznosságukat.
Ahhoz, hogy a felhasználók hozzáférjenek az alkalmazásokhoz, a VPN-eknek és a tűzfalaknak össze kell kapcsolniuk a felhasználókat a hálózattal, lényegében kiterjesztve a hálózatot az összes távoli felhasználóra, eszközre és helyre. Ez nagyobb kockázatnak teszi ki szervezetét, mivel több lehetőséget biztosít a támadóknak a felhasználók, eszközök és munkaterhelések veszélyeztetésére, valamint több módot kínál oldalirányú mozgásra, hogy elérje a nagy értékű eszközöket, kinyerje az érzékeny adatokat, és kárt okozzon az Ön vállalkozásában. A nagymértékben elosztott felhasználók, adatok és alkalmazások védelme új megközelítést igényel – egy jobb megközelítést.
A legjobb útvonal feltérképezése
Amikor a biztonsági átalakításról van szó, az innovatív vezetők a nulla bizalom felé fordulnak. Ellentétben a tűzfalakra és az implicit bizalomra épülő, és széles hozzáférést biztosító, tűzfalakra és implicit bizalomra épülő biztonsági megközelítésekkel, a zéró bizalom a biztonság holisztikus megközelítése, amely a legkevésbé kiváltságos hozzáférés elvén és azon az elven alapul, hogy nincs felhasználó, eszköz vagy munkaterhelés. eredendően bízni kell benne. Abból a feltételezésből indul ki, hogy minden ellenséges, és csak a személyazonosság és a kontextus ellenőrzése és az irányelvek ellenőrzése után ad hozzáférést.
A valódi nulla bizalom eléréséhez többre van szükség, mint a tűzfalak felhőbe tolására. Új, a felhőben megszületett és a felhőn keresztül natív architektúrára van szükség ahhoz, hogy biztonságosan csatlakozhassa a felhasználókat, eszközöket és munkaterheléseket az alkalmazásokhoz anélkül, hogy a hálózathoz csatlakozna.
Mint minden jelentős utazásnál, itt is hasznos, ha a nulla bizalom felé vezető utat különböző szakaszokra bontja, amelyek egyértelműen meghatározzák az utat, miközben szem előtt tartják a végső célt. Megközelítésének mérlegelésekor hét alapvető elem teszi lehetővé, hogy dinamikusan és folyamatosan értékelje a kockázatokat, és biztonságosan közvetítse a kommunikációt bármely hálózaton, bárhonnan.
Ezen elemek használatával szervezete valódi nulla bizalmat valósíthat meg a támadási felület megszüntetése, a fenyegetések oldalirányú mozgásának megelőzése, valamint a vállalkozása kompromittálás és adatvesztés elleni védelme érdekében.
Ezek az elemek három részre oszthatók:
- Ellenőrizze a személyazonosságot és a kontextust
- A tartalom és a hozzáférés szabályozása
- A politika érvényesítése
Nézzük közelebbről.
Az identitás és a kontextus ellenőrzése
A kaland akkor kezdődik, amikor kapcsolatot kérnek. A nulla megbízhatóságú architektúra a kapcsolat megszakításával, valamint az azonosság és a kontextus ellenőrzésével kezdődik. Megnézi, hogy ki, mit és hol található a kért kapcsolat.
1. Ki csatlakozik?— Az első lényeges elem a felhasználó/eszköz, az IoT/OT-eszköz vagy a munkaterhelés azonosságának ellenőrzése. Ez a harmadik féltől származó identitásszolgáltatókkal (IdP) való integráció révén érhető el, a vállalati identitás-hozzáférés-kezelési (IAM) szolgáltató részeként.
2. Mi a hozzáférési kontextus?– Ezt követően a megoldásnak érvényesítenie kell a kapcsolatkérő kontextusát azáltal, hogy megvizsgálja a részleteket, például a szerepkört, a felelősséget, a napszakot, a helyet, az eszköztípust és a kérés körülményeit.
3. Merre tart a kapcsolat?– A megoldásnak ezután meg kell erősítenie, hogy az identitástulajdonos rendelkezik-e a jogokkal, és megfelel-e a szükséges kontextusnak az alkalmazáshoz vagy erőforráshoz való hozzáféréshez az entitások közötti szegmentálási szabályok alapján – ez a nulla bizalom sarokköve.
Tartalom és hozzáférés szabályozása
Az azonosság és a kontextus ellenőrzése után a nulla megbízhatósági architektúra értékeli a kért kapcsolathoz kapcsolódó kockázatot, és megvizsgálja a forgalmat, hogy megvédje magát a kiberfenyegetések és az érzékeny adatok elvesztése ellen.
4. Mérje fel a kockázatot– A megoldásnak mesterséges intelligenciát kell használnia a kockázati pontszám dinamikus kiszámításához. Az olyan tényezőket, mint az eszköz helyzete, a fenyegetések, a rendeltetési hely, a viselkedés és a házirend, folyamatosan értékelni kell a kapcsolat teljes élettartama alatt, hogy a kockázati pontszám naprakész maradjon.
5. Akadályozza meg a kompromisszumot– A rosszindulatú tartalom azonosítása és blokkolása, valamint a kompromisszumok megelőzése érdekében a hatékony nulla megbízhatóságú architektúrának soron belül vissza kell fejtenie a forgalmat, és ki kell használnia az entitások és az erőforrások közötti forgalom mélyreható tartalomvizsgálatát.
6. Az adatvesztés megelőzése— A kimenő forgalmat vissza kell fejteni és ellenőrizni kell, hogy azonosítani lehessen az érzékeny adatokat, és megelőzhető legyen azok kiszűrése belső vezérlőkkel vagy a hozzáférés ellenőrzött környezetben belüli elszigetelésével.
A szabályzat érvényesítése
Mielőtt az út végére érnénk, és végül létrejönne a kapcsolat a kért belső vagy külső alkalmazással, egy utolsó elemet kell megvalósítani: a politika érvényesítését.
7. A politika érvényesítése— Az előző elemek kimeneteit felhasználva ez az elem határozza meg, hogy milyen műveletet kell tenni a kért kapcsolattal kapcsolatban. A végcél nem egy egyszerű passzol/nem passzolt döntés. Ehelyett a megoldásnak folyamatosan és egységesen kell alkalmaznia a házirendet munkamenetenkénti alapon – a helytől vagy a végrehajtási ponttól függetlenül –, hogy olyan részletes vezérlőket biztosítson, amelyek végül feltételes engedélyezési vagy feltételes letiltási döntést eredményeznek.
Az engedélyezési döntés meghozatala után a felhasználó biztonságos internetkapcsolatot, SaaS-alkalmazást vagy belső alkalmazást kap.
Biztonságosan elérheti úticélját
Veszélyes lehet a nulla bizalom felé vezető út, ha olyan régi berendezéssel próbál elérni, amelyet nem erre terveztek. Bár elsőre ijesztőnek tűnhet olyan megoldás megtalálása, amely lehetővé teszi a valódi zéró bizalmat, kezdje ott, ahol a legésszerűbb a szervezete számára, és hagyja, hogy az itt felvázolt hét elem szolgáljon útmutatóul.
