Цифрова трансформація — це подорож, і, як і будь-яка пригода, невелика підготовка може значно допомогти досягти успішного результату. Підготовка до будь-якої пригоди включає визначення місця, куди ви хочете потрапити, вибір найкращого шляху туди, а також збір обладнання, послуг і матеріалів, які вам знадобляться в дорозі.
Подорож ІТ-трансформації зазвичай починається з трансформації додатків, коли ви переміщуєте додатки з центру обробки даних у хмару. Тоді трансформація мережі стає необхідною, щоб надати користувачам доступ до програм, які зараз широко розосереджені — перехід від мережевої архітектури концентратора до підходу прямого підключення. Це, у свою чергу, викликає потребу в трансформації безпеки, коли ви переходите від підходу безпеки замку та рову до архітектура з нульовою довірою.
Хоча вищезазначений порядок є типовим, існує кілька різних способів досягнення подібних результатів. Ви повинні почати свою подорож до нульова довіра там, де ви відчуваєте себе зручніше або підготовленіше. Якщо вашій організації доцільніше розпочати трансформацію безпеки перед трансформацією програми, ви можете це зробити.
Оцініть своє обладнання
Архітектури безпеки замку та рову, які використовують брандмауери, VPN і централізовані пристрої безпеки, добре працювали, коли програми жили в центрі обробки даних, а користувачі працювали в офісі. На той час це було відповідне обладнання для роботи. Однак сьогодні ваша робоча сила працює звідусіль, а програми перемістилися з центру обробки даних у публічні хмари, SaaS та інші частини Інтернету. Ці міжмережеві екрани, VPN і застарілі стеки апаратного забезпечення безпеки не були розроблені для задоволення потреб сучасного високорозподіленого бізнесу і пережили свою корисність.
Щоб надати користувачам доступ до програм, VPN і брандмауери повинні з’єднувати користувачів із вашою мережею, по суті, розширюючи мережу для всіх ваших віддалених користувачів, пристроїв і місць розташування. Це наражає вашу організацію на більший ризик, надаючи зловмисникам більше можливостей зламати користувачів, пристрої та робочі навантаження, а також більше способів пересуватися, щоб отримати доступ до цінних активів, отримати конфіденційні дані та завдати шкоди вашому бізнесу. Захист ваших розповсюджених користувачів, даних і програм вимагає нового підходу — кращого.
Картування найкращого маршруту
Коли справа доходить до трансформації безпеки, інноваційні лідери втрачають довіру. На відміну від підходів до безпеки, заснованих на периметрі, які покладаються на брандмауери та неявну довіру та забезпечують широкий доступ після встановлення довіри, нульова довіра — це цілісний підхід до безпеки, заснований на принципі найменш привілейованого доступу та ідеї, що ні користувач, ні пристрій, ні робоче навантаження слід за своєю суттю довіряти. Він починається з припущення, що все є ворожим, і надає доступ лише після перевірки ідентичності та контексту та перевірки політики.
Щоб досягти справжньої нульової довіри, потрібно більше, ніж розмістити брандмауери в хмарі. Для безпечного підключення користувачів, пристроїв і робочих навантажень до програм без підключення до мережі потрібна нова архітектура, створена в хмарі та доставлена через хмару.
Як і в будь-якій важливій подорожі, корисно розбити свою подорож до нульової довіри на різні етапи, які чітко визначають шлях, пам’ятаючи при цьому кінцевий пункт призначення. Розглядаючи свій підхід, сім основних елементів дозволять вам динамічно та безперервно оцінювати ризики та безпечно здійснювати зв’язок у будь-якій мережі з будь-якого місця.
Використовуючи ці елементи, ваша організація може запровадити справжню нульову довіру, щоб усунути поверхню атаки, запобігти бічному переміщенню загроз і захистити свій бізнес від компрометації та втрати даних.
Ці елементи можна згрупувати в три розділи:
- Перевірте особу та контекст
- Контролюйте вміст і доступ
- Застосування політики
Давайте докладніше розглянемо.
Перевірте особу та контекст
Пригода починається, коли надходить запит на підключення. Архітектура нульової довіри розпочнеться з припинення з’єднання та перевірки ідентичності та контексту. Він дивиться на те, хто, що та де запитане підключення.
1. Хто підключається?— Перший важливий елемент — перевірити ідентифікацію користувача/пристрою, пристрою IoT/OT або робочого навантаження. Це досягається завдяки інтеграції зі сторонніми постачальниками ідентифікаційної інформації (IdP) як частиною корпоративного постачальника ідентифікаційної системи керування доступом (IAM).
2. Що таке контекст доступу?— Далі рішення має перевірити контекст запитувача з’єднання, вивчаючи такі деталі, як роль, відповідальність, час доби, місцезнаходження, тип пристрою та обставини запиту.
3. Куди йде зв'язок?— Далі рішення має підтвердити, що власник ідентифікаційної інформації має права та відповідає необхідному контексту для доступу до програми або ресурсу на основі правил сегментації від об’єкта до ресурсу — наріжного каменю нульової довіри.
Контроль вмісту та доступу
Після перевірки ідентифікації та контексту архітектура нульової довіри оцінює ризик, пов’язаний із запитуваним з’єднанням, і перевіряє трафік, щоб захистити його від кіберзагроз і втрати конфіденційних даних.
4. Оцініть ризик—Рішення має використовувати штучний інтелект для динамічного обчислення оцінки ризику. Фактори, включно з положенням пристрою, загрозами, пунктом призначення, поведінкою та політикою, слід постійно оцінювати протягом усього терміну служби з’єднання, щоб забезпечити актуальність оцінки ризику.
5. Запобігайте компромісу— Щоб ідентифікувати та блокувати зловмисний вміст і запобігати компрометації, ефективна архітектура нульової довіри повинна розшифровувати трафік у вбудованому режимі та використовувати глибоку перевірку вмісту трафіку від об’єкта до ресурсу в масштабі.
6. Запобігайте втраті даних— Вихідний трафік необхідно розшифрувати та перевірити, щоб виявити конфіденційні дані та запобігти їх викраденню за допомогою вбудованих елементів керування або шляхом ізоляції доступу в контрольованому середовищі.
Застосування політики
Перш ніж дійти до кінця шляху й остаточно встановити з’єднання із запитаною внутрішньою чи зовнішньою програмою, необхідно реалізувати один останній елемент: примусову політику.
7. Виконуйте політику— Використовуючи вихідні дані попередніх елементів, цей елемент визначає, яку дію виконати щодо запитаного з’єднання. Кінцевою метою є не просте рішення «пройти/не пройти». Натомість рішення має постійно та однаково застосовувати політику для кожного сеансу — незалежно від розташування чи точки застосування — для забезпечення детального керування, яке в кінцевому підсумку призводить до рішення про умовний дозвіл або умовне блокування.
Після прийняття рішення про дозвіл користувачеві надається безпечне з’єднання з Інтернетом, програмою SaaS або внутрішньою програмою.
Безпечно дістаньтеся до місця призначення
Ваш шлях до нульової довіри може бути небезпечним, якщо ви намагаєтесь дістатися туди за допомогою застарілого обладнання, яке для цього не призначене. Хоча пошук рішення, яке забезпечує справжню нульову довіру, на перший погляд може здатися складним, почніть із того, що є найбільш доцільним для вашої організації, і дозвольте семи описаним тут елементам слугувати вашим керівництвом.
Читати далі Партнерські перспективи від Zscaler.
