Digital transformation är en resa, och precis som alla äventyr kan lite förberedelser räcka långt för att få ett framgångsrikt resultat. Att förbereda sig för alla äventyr inkluderar att bestämma vart du vill åka, att bestämma det bästa sättet att ta sig dit och att samla utrustningen, tjänsterna och förnödenheterna du behöver längs vägen.
En IT-transformationsresa börjar vanligtvis med applikationstransformation, där du flyttar applikationer ut från datacentret och in i molnet. Sedan blir nätverksomvandling nödvändig för att göra det möjligt för användare att komma åt applikationer som nu är vitt spridda – att gå från en hub-and-spoke-nätverksarkitektur till en direkt anslutningsmetod. Detta driver i sin tur fram ett behov av säkerhetstransformation, där man går från ett slott-and-grav-säkerhetssätt till ett noll-förtroende arkitektur.
Även om den ovannämnda ordningen är typisk, finns det några olika sätt att uppnå liknande resultat. Du bör börja din resa mot noll förtroende var du än känner dig mest bekväm eller förberedd. Om det är mer meningsfullt för din organisation att börja med säkerhetstransformation före apptransformation, kan du.
Bedöm din utrustning
Säkerhetsarkitekturer för slott och vallgrav, som utnyttjade brandväggar, VPN och centraliserade säkerhetsanordningar, fungerade bra när applikationer fanns i datacentret och användare arbetade på kontoret. Det var rätt utrustning för jobbet vid den tiden. Men idag arbetar din arbetsstyrka från överallt och applikationer har flyttat ut från datacentret och till offentliga moln, SaaS och andra delar av internet. Dessa brandväggar, VPN:er och äldre säkerhetshårdvarustackar var inte designade för att möta behoven hos dagens mycket distribuerade företag och har överlevt deras användbarhet.
För att ge användare åtkomst till applikationer måste VPN och brandväggar ansluta användare till ditt nätverk, vilket i huvudsak utökar nätverket till alla dina fjärranvändare, enheter och platser. Detta utsätter din organisation för en större risk genom att ge angripare fler möjligheter att äventyra användare, enheter och arbetsbelastningar, och fler sätt att röra sig i sidled för att nå värdefulla tillgångar, extrahera känslig data och orsaka skada på ditt företag. Att skydda dina högdistribuerade användare, data och applikationer kräver ett nytt tillvägagångssätt – ett bättre tillvägagångssätt.
Kartläggning av den bästa rutten
När det gäller säkerhetsomvandling vänder innovativa ledare sig till noll förtroende. Till skillnad från perimeterbaserade säkerhetsmetoder som förlitar sig på brandväggar och implicit förtroende och ger bred åtkomst när förtroende väl har etablerats, är nollförtroende ett holistiskt tillvägagångssätt för säkerhet baserat på principen om minst privilegierad åtkomst och tanken att ingen användare, enhet eller arbetsbelastning bör vara tillförlitlig. Det börjar med antagandet att allt är fientligt och ger åtkomst först efter att identitet och sammanhang har verifierats och policykontroller har verkställts.
Att uppnå verkligt nollförtroende kräver mer än att skjuta brandväggar till molnet. Det kräver en ny arkitektur, född i molnet och levererad via molnet, för att säkert ansluta användare, enheter och arbetsbelastningar till applikationer utan att ansluta till nätverket.
Som med alla viktiga resor är det bra att dela upp din resa till noll förtroende i olika ben som tydligt definierar vägen samtidigt som du har den ultimata destinationen i åtanke. När du överväger ditt tillvägagångssätt kommer sju väsentliga element att göra det möjligt för dig att dynamiskt och kontinuerligt bedöma risker och säkert förmedla kommunikation över vilket nätverk som helst, från vilken plats som helst.
Genom att använda dessa element kan din organisation implementera verkligt nollförtroende för att eliminera din attackyta, förhindra sidoförflyttning av hot och skydda ditt företag mot kompromisser och dataförlust.
Dessa element kan grupperas i tre sektioner:
- Verifiera identitet och sammanhang
- Kontrollera innehåll och åtkomst
- Genomför policy
Låt oss ta en närmare titt.
Verifiera identitet och sammanhang
Äventyret börjar när en anslutning efterfrågas. Zero trust-arkitekturen börjar med att avsluta anslutningen och verifiera identitet och sammanhang. Den tittar på vem, vad och var för den begärda anslutningen.
1. Vem ansluter?— Det första viktiga elementet är att verifiera användaren/enheten, IoT/OT-enheten eller arbetsbelastningens identitet. Detta uppnås genom integrationer med tredjepartsidentitetsleverantörer (IdPs) som en del av en IAM-leverantör (Enterprise Identity Access Management).
2. Vad är åtkomstkontexten?— Därefter måste lösningen validera sammanhanget för anslutningsbegäraren genom att titta på detaljer som roll, ansvar, tid på dagen, plats, enhetstyp och omständigheterna för begäran.
3. Vart går kopplingen?— Lösningen måste därefter bekräfta att identitetsägaren har rättigheterna och uppfyller det nödvändiga sammanhanget för att komma åt applikationen eller resursen baserat på entitet-till-resurs-segmenteringsregler – hörnstenen för noll förtroende.
Kontrollera innehåll och åtkomst
Efter att ha verifierat identitet och sammanhang utvärderar Zero Trust-arkitekturen risken förknippad med den begärda anslutningen och inspekterar trafik för att skydda mot cyberhot och förlust av känslig data.
4. Bedöm risk— Lösningen bör använda AI för att dynamiskt beräkna ett riskpoäng. Faktorer inklusive enhetens hållning, hot, destination, beteende och policy bör utvärderas kontinuerligt under hela anslutningens liv för att säkerställa att riskpoängen förblir uppdaterad.
5. Förhindra kompromisser—För att identifiera och blockera skadligt innehåll och förhindra kompromisser måste en effektiv arkitektur med noll förtroende dekryptera trafik inline och utnyttja djup innehållsinspektion av entitet-till-resurs-trafik i stor skala.
6. Förhindra dataförlust—Utgående trafik måste dekrypteras och inspekteras för att identifiera känsliga data och förhindra att de slocknar med hjälp av inline-kontroller eller genom att isolera åtkomst inom en kontrollerad miljö.
Genomför policy
Innan man når slutet av resan och slutligen upprättar en koppling till den begärda interna eller externa applikationen, måste ett sista element implementeras: upprätthållande av policy.
7. Genomför policy— Genom att använda utgångarna från de föregående elementen bestämmer detta element vilken åtgärd som ska vidtas angående den begärda anslutningen. Slutmålet är inte ett enkelt pass/icke pass-beslut. Istället måste lösningen ständigt och enhetligt tillämpa policy per session – oavsett plats eller tillämpningspunkt – för att tillhandahålla detaljerade kontroller som i slutändan resulterar i ett villkorligt tillåtet eller villkorat blockeringsbeslut.
När ett beslut om tillåtelse har fattats beviljas en användare en säker anslutning till internet, SaaS-app eller intern applikation.
Nå din destination säkert
Din resa till noll förtroende kan vara farlig om du försöker ta dig dit med äldre utrustning som inte var designad för det. Även om det till en början kan verka skrämmande att hitta en lösning som möjliggör verkligt nollförtroende, börja där det är mest meningsfullt för din organisation och låt de sju delarna som beskrivs här fungera som din guide.
