Transformacja cyfrowa to podróż i podobnie jak w przypadku każdej przygody odrobina przygotowań może znacznie przyczynić się do pomyślnego wyniku. Przygotowanie do każdej przygody obejmuje określenie, dokąd chcesz się udać, wybranie najlepszego sposobu, aby się tam dostać, oraz zebranie sprzętu, usług i materiałów potrzebnych po drodze.
Podróż do transformacji IT zwykle zaczyna się od transformacji aplikacji, podczas której przenosisz aplikacje z centrum danych do chmury. Następnie konieczna staje się transformacja sieci, aby umożliwić użytkownikom dostęp do aplikacji, które są obecnie szeroko rozproszone — przejście od architektury sieci typu „hub-and-spoke” do podejścia polegającego na bezpośredniej łączności. To z kolei napędza potrzebę transformacji bezpieczeństwa, polegającej na przejściu od podejścia typu zamek i fosa do bezpieczeństwa architektura bez zaufania.
Chociaż powyższa kolejność jest typowa, istnieje kilka różnych sposobów na osiągnięcie podobnych rezultatów. Powinieneś rozpocząć swoją podróż w kierunku zero zaufania tam, gdzie czujesz się najbardziej komfortowo lub przygotowany. Jeśli dla Twojej organizacji bardziej sensowne jest rozpoczęcie transformacji zabezpieczeń przed transformacją aplikacji, możesz to zrobić.
Oceń swój sprzęt
Architektury bezpieczeństwa typu „zamknij i fosa”, wykorzystujące zapory ogniowe, sieci VPN i scentralizowane urządzenia zabezpieczające, działały dobrze, gdy aplikacje znajdowały się w centrum danych, a użytkownicy pracowali w biurze. W tamtym czasie był to odpowiedni sprzęt do pracy. Dziś jednak pracownicy pracują z dowolnego miejsca, a aplikacje przeniosły się z centrum danych do chmur publicznych, SaaS i innych części Internetu. Te zapory ogniowe, sieci VPN i starsze stosy sprzętu zabezpieczającego nie zostały zaprojektowane z myślą o potrzebach dzisiejszego wysoce rozproszonego biznesu i przeżyły swoją użyteczność.
Aby zapewnić użytkownikom dostęp do aplikacji, VPN i zapory ogniowe muszą łączyć użytkowników z Twoją siecią, zasadniczo rozszerzając sieć na wszystkich zdalnych użytkowników, urządzenia i lokalizacje. Naraża to Twoją organizację na większe ryzyko, dając atakującym więcej okazji do narażenia na szwank użytkowników, urządzeń i obciążeń, a także więcej sposobów na przemieszczanie się w bok w celu dotarcia do zasobów o dużej wartości, wydobycia poufnych danych i wyrządzenia szkód firmie. Ochrona wysoce rozproszonych użytkowników, danych i aplikacji wymaga nowego podejścia — lepszego podejścia.
Mapowanie najlepszej trasy
Jeśli chodzi o transformację bezpieczeństwa, innowacyjni liderzy zwracają się ku zerowemu zaufaniu. W przeciwieństwie do podejść do zabezpieczeń opartych na obwodzie, które opierają się na zaporach ogniowych i niejawnym zaufaniu oraz zapewniają szeroki dostęp po ustanowieniu zaufania, zaufanie zerowe to holistyczne podejście do bezpieczeństwa oparte na zasadzie dostępu o najniższych uprawnieniach i założeniu, że żaden użytkownik, urządzenie ani obciążenie należy z natury ufać. Zaczyna się od założenia, że wszystko jest wrogie, i przyznaje dostęp dopiero po zweryfikowaniu tożsamości i kontekstu oraz egzekwowaniu kontroli zasad.
Osiągnięcie prawdziwego zerowego zaufania wymaga czegoś więcej niż tylko przeniesienia zapór ogniowych do chmury. Wymaga nowej architektury, stworzonej w chmurze i dostarczanej natywnie przez chmurę, aby bezpiecznie łączyć użytkowników, urządzenia i obciążenia z aplikacjami bez łączenia się z siecią.
Tak jak w przypadku każdej ważnej podróży, warto podzielić ją na etapy, które jasno określają ścieżkę, pamiętając jednocześnie o ostatecznym celu. Rozważając swoje podejście, siedem podstawowych elementów umożliwi dynamiczną i ciągłą ocenę ryzyka oraz bezpieczne pośredniczenie w komunikacji w dowolnej sieci z dowolnego miejsca.
Korzystając z tych elementów, Twoja organizacja może wdrożyć prawdziwe zerowe zaufanie, aby wyeliminować powierzchnię ataku, zapobiec bocznemu przemieszczaniu się zagrożeń i chronić swoją firmę przed naruszeniem bezpieczeństwa i utratą danych.
Elementy te można podzielić na trzy sekcje:
- Sprawdź tożsamość i kontekst
- Kontroluj zawartość i dostęp
- Egzekwuj zasady
Przyjrzyjmy się bliżej.
Sprawdź tożsamość i kontekst
Przygoda zaczyna się, gdy wymagane jest połączenie. Architektura zerowego zaufania rozpocznie się od zakończenia połączenia i weryfikacji tożsamości i kontekstu. Sprawdza, kto, co i gdzie żądanego połączenia.
1. Kto się łączy?— Pierwszym istotnym elementem jest weryfikacja użytkownika/urządzenia, urządzenia IoT/OT lub tożsamości obciążenia. Osiąga się to dzięki integracji z zewnętrznymi dostawcami tożsamości (IdP) w ramach dostawcy zarządzania dostępem do tożsamości przedsiębiorstwa (IAM).
2. Jaki jest kontekst dostępu?— Następnie rozwiązanie musi zweryfikować kontekst osoby żądającej połączenia, analizując szczegóły, takie jak rola, odpowiedzialność, pora dnia, lokalizacja, typ urządzenia i okoliczności żądania.
3. Dokąd zmierza połączenie?— Następnie rozwiązanie musi potwierdzić, że właściciel tożsamości ma uprawnienia i spełnia wymagany kontekst, aby uzyskać dostęp do aplikacji lub zasobu w oparciu o reguły segmentacji encji do zasobów — kamień węgielny zerowego zaufania.
Kontroluj zawartość i dostęp
Po zweryfikowaniu tożsamości i kontekstu architektura zerowego zaufania ocenia ryzyko związane z żądanym połączeniem i sprawdza ruch w celu ochrony przed cyberzagrożeniami i utratą wrażliwych danych.
4. Oceń ryzyko— Rozwiązanie powinno wykorzystywać sztuczną inteligencję do dynamicznego obliczania oceny ryzyka. Czynniki, takie jak pozycja urządzenia, zagrożenia, miejsce docelowe, zachowanie i zasady, powinny być stale oceniane przez cały okres użytkowania połączenia, aby zapewnić aktualność oceny ryzyka.
5. Unikaj kompromisów— Aby identyfikować i blokować złośliwą zawartość oraz zapobiegać nadużyciom, skuteczna architektura zerowego zaufania musi odszyfrowywać ruch w trybie inline i wykorzystywać głęboką kontrolę treści ruchu między jednostkami a zasobami na dużą skalę.
6. Zapobiegaj utracie danych—Ruch wychodzący należy odszyfrować i sprawdzić, aby zidentyfikować poufne dane i zapobiec ich eksfiltracji za pomocą wbudowanej kontroli lub izolowania dostępu w kontrolowanym środowisku.
Egzekwuj zasady
Przed dotarciem do końca podróży i ostatecznym nawiązaniem połączenia z żądaną aplikacją wewnętrzną lub zewnętrzną należy zaimplementować ostatni element: egzekwowanie polityki.
7. Egzekwuj zasady—Korzystając z danych wyjściowych poprzednich elementów, ten element określa, jakie działania należy podjąć w odniesieniu do żądanego połączenia. Ostatecznym celem nie jest prosta decyzja o zdaniu/nie zdaniu. Zamiast tego rozwiązanie musi stale i jednolicie stosować zasady dla każdej sesji — niezależnie od lokalizacji lub punktu egzekwowania — w celu zapewnienia szczegółowej kontroli, która ostatecznie skutkuje wydaniem decyzji o warunkowym zezwoleniu lub warunkowej blokadzie.
Po podjęciu decyzji zezwalającej użytkownik uzyskuje bezpieczne połączenie z Internetem, aplikacją SaaS lub aplikacją wewnętrzną.
Bezpiecznie dotrzyj do celu
Twoja droga do zerowego zaufania może być niebezpieczna, jeśli próbujesz się tam dostać ze starszym sprzętem, który nie został do tego przeznaczony. Chociaż znalezienie rozwiązania, które umożliwia prawdziwe zerowe zaufanie, może początkowo wydawać się zniechęcające, zacznij od miejsca, w którym ma to największy sens dla Twojej organizacji, i pozwól, aby siedem przedstawionych tutaj elementów posłużyło Ci za przewodnik.
Czytaj więcej Perspektywy partnerów od Zscaler.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
