Digital transformasjon er en reise, og på samme måte som ethvert eventyr, kan litt forberedelse bidra langt for å få et vellykket resultat. Forberedelse til ethvert eventyr inkluderer å bestemme hvor du vil dra, bestemme deg for den beste måten å komme dit på, og samle utstyret, tjenestene og rekvisitaene du trenger underveis.
En IT-transformasjonsreise begynner typisk med applikasjonstransformasjon, hvor du flytter applikasjoner ut av datasenteret og inn i skyen. Deretter blir nettverkstransformasjon nødvendig for å gjøre det mulig for brukere å få tilgang til applikasjoner som nå er vidt spredt – ved å gå fra en hub-and-speak-nettverksarkitektur til en direkte tilkoblingstilnærming. Dette driver igjen et behov for sikkerhetstransformasjon, der du skifter fra en borg-og-grav-sikkerhetstilnærming til en null-tillit arkitektur.
Selv om den nevnte rekkefølgen er typisk, er det noen forskjellige måter å oppnå lignende resultater på. Du bør begynne reisen mot null tillit uansett hvor du føler deg mest komfortabel eller forberedt. Hvis det er mer fornuftig for organisasjonen din å begynne med sikkerhetstransformasjon før apptransformasjon, kan du.
Vurder utstyret ditt
Castle-and-moat-sikkerhetsarkitekturer, som utnyttet brannmurer, VPN-er og sentraliserte sikkerhetsutstyr, fungerte bra når applikasjoner bodde i datasenteret og brukere jobbet på kontoret. Det var riktig utstyr for jobben på den tiden. I dag jobber imidlertid arbeidsstyrken din fra overalt, og applikasjoner har flyttet ut av datasenteret og inn i offentlige skyer, SaaS og andre deler av internett. Disse brannmurene, VPN-ene og eldre sikkerhetsmaskinvarestablene ble ikke designet for å møte behovene til dagens høyt distribuerte virksomhet og har overlevd deres nytte.
For å gi brukere tilgang til applikasjoner, må VPN-er og brannmurer koble brukere til nettverket ditt, og i hovedsak utvide nettverket til alle dine eksterne brukere, enheter og steder. Dette setter organisasjonen din i større risiko ved å gi angripere flere muligheter til å kompromittere brukere, enheter og arbeidsbelastninger, og flere måter å bevege seg sideveis for å nå verdifulle eiendeler, trekke ut sensitive data og påføre virksomheten din skade. Beskyttelse av høyt distribuerte brukere, data og applikasjoner krever en ny tilnærming – en bedre tilnærming.
Kartlegging av den beste ruten
Når det gjelder sikkerhetstransformasjon, vender innovative ledere seg til null tillit. I motsetning til perimeterbaserte sikkerhetstilnærminger som er avhengige av brannmurer og implisitt tillit og gir bred tilgang når tillit er etablert, er null tillit en helhetlig tilnærming til sikkerhet basert på prinsippet om minst privilegert tilgang og ideen om at ingen bruker, enhet eller arbeidsbelastning bør iboende stole på. Det begynner med antagelsen om at alt er fiendtlig, og gir tilgang først etter at identitet og kontekst er verifisert og policysjekker håndheves.
Å oppnå ekte null-tillit krever mer enn å skyve brannmurer til skyen. Det krever en ny arkitektur, født i skyen og levert naturlig gjennom skyen, for å koble brukere, enheter og arbeidsbelastninger sikkert til applikasjoner uten å koble til nettverket.
Som med enhver betydelig reise, er det nyttig å dele reisen til null tillit i ulike etapper som tydelig definerer veien samtidig som du har den ultimate destinasjonen i tankene. Når du vurderer din tilnærming, vil syv essensielle elementer gjøre deg i stand til dynamisk og kontinuerlig å vurdere risiko og sikkert formidle kommunikasjon over et hvilket som helst nettverk, fra hvor som helst.
Ved å bruke disse elementene kan organisasjonen implementere ekte null tillit for å eliminere angrepsoverflaten din, forhindre sideveis bevegelse av trusler og beskytte virksomheten din mot kompromisser og tap av data.
Disse elementene kan grupperes i tre seksjoner:
- Bekreft identitet og kontekst
- Kontroller innhold og tilgang
- Håndheve politikk
La oss ta en nærmere titt.
Bekreft identitet og kontekst
Eventyret begynner når en tilkobling blir bedt om. Null tillitsarkitekturen vil begynne med å avslutte forbindelsen og bekrefte identitet og kontekst. Den ser på hvem, hva og hvor for den forespurte forbindelsen.
1. Hvem kobler opp?— Det første viktige elementet er å verifisere brukeren/enheten, IoT/OT-enheten eller arbeidsbelastningsidentiteten. Dette oppnås gjennom integrasjoner med tredjeparts identitetsleverandører (IdPs) som en del av en IAM-leverandør (Enterprise Identity Access Management).
2. Hva er tilgangskonteksten?— Deretter må løsningen validere konteksten til tilkoblingsforespørselen ved å se nærmere på detaljer som rolle, ansvar, tid på dagen, plassering, enhetstype og omstendigheter rundt forespørselen.
3. Hvor går forbindelsen?— Løsningen må deretter bekrefte at identitetseieren har rettighetene og oppfyller den nødvendige konteksten for å få tilgang til applikasjonen eller ressursen basert på entitet-til-ressurs-segmenteringsregler – hjørnesteinen i null tillit.
Kontroller innhold og tilgang
Etter å ha verifisert identitet og kontekst, evaluerer null-tillit-arkitekturen risikoen forbundet med den forespurte tilkoblingen og inspiserer trafikk for å beskytte mot cybertrusler og tap av sensitive data.
4. Vurder risiko— Løsningen bør bruke AI til dynamisk å beregne en risikoscore. Faktorer, inkludert enhetsholdning, trusler, destinasjon, atferd og retningslinjer, bør evalueres kontinuerlig gjennom hele tilkoblingens levetid for å sikre at risikopoengsummen forblir oppdatert.
5. Forhindre kompromisser– For å identifisere og blokkere skadelig innhold og forhindre kompromisser, må en effektiv null-tillit-arkitektur dekryptere trafikk inline og utnytte dyp innholdsinspeksjon av entitet-til-ressurs-trafikk i stor skala.
6. Forhindre tap av data—Utgående trafikk må dekrypteres og inspiseres for å identifisere sensitive data og forhindre eksfiltrering ved hjelp av innebygde kontroller eller ved å isolere tilgang i et kontrollert miljø.
Håndheve retningslinjer
Før man når slutten av reisen og til slutt etablerer en forbindelse til den forespurte interne eller eksterne applikasjonen, må ett siste element implementeres: håndheving av policy.
7. Håndheve retningslinjer— Ved å bruke utgangene fra de forrige elementene, bestemmer dette elementet hva som skal gjøres angående den forespurte tilkoblingen. Sluttmålet er ikke en enkel pasning/ikke-pasningsavgjørelse. I stedet må løsningen konstant og ensartet anvende policy på per økt-basis – uavhengig av plassering eller håndhevingspunkt – for å gi detaljerte kontroller som til slutt resulterer i en betinget tillatelse eller betinget blokkeringsbeslutning.
Når en tillatelsesbeslutning er tatt, får en bruker en sikker tilkobling til internett, SaaS-app eller intern applikasjon.
Nå sikkert reisemålet ditt
Reisen din til null tillit kan være farlig hvis du prøver å komme dit med eldre utstyr som ikke er laget for det. Mens det å finne en løsning som muliggjør ekte null-tillit i begynnelsen kan virke skremmende, kan du begynne der det gir mest mening for organisasjonen din, og la de syv elementene som er skissert her tjene som guide.
