Zero Trust - na czym polega metoda Zero Zaufania?

Kategoria: 

Koncepcja Zero Trust (Zero Zaufania) zyskuje coraz więcej zwolenników wśród specjalistów od bezpieczeństwa IT. To stosunkowo nowe podejście, które jest niejako odpowiedzią na nowe zagrożenia związane z bezpieczeństwem firmowych systemów informatycznych. Powszechność urządzeń mobilnych, rosnąca liczba połączeń zdalnych z firmowymi systemami IT czy coraz szersze zastosowanie chmury - to zjawiska, które sprawiły, że dotychczasowe mechanizmy zabezpieczeń przed atakami hakerskimi i kradzieżą danych, oparte na ochronie brzegu sieci, często są już niewystarczające. Na czym polega koncepcja Zero Trust? Dlaczego metoda ta jest coraz chętniej stosowana przez specjalistów od bezpieczeństwa IT?

 

 

Zero Trust - nie ufaj nikomu!

Zarządzanie tożsamością - weryfikacja uprawnień użytkowników

Zarządzanie dostępem - przydzielanie minimalnych uprawnień

Ekran System - kompleksowe zarządzanie tożsamością i dostępem w systemach informatycznych

Jednorazowe hasła

Podwójne uwierzytelnianie

Uwierzytelnianie dwuskładnikowe (2FA)

Zarządzanie kontami i sesjami uprzywilejowanymi (PASM)

Lepiej zapobiegać niż leczyć

 

 

Zero Trust - nie ufaj nikomu!

 

W największym uproszczeniu koncepcja Zero Trust zakłada, aby nie ufać nikomu ani niczemu, nie tylko z zewnątrz, ale także wewnątrz firmowej sieci. Wszystkie strefy sieci lokalnej powinny zostać uznane za niezaufane. Nie powinniśmy ufać żadnym użytkownikom (także wewnętrznym), dostawcom zewnętrznym, urządzeniom, infrastrukturze. Zero zaufania do kogokolwiek i czegokolwiek. Zgodnie z tą koncepcją powinniśmy być przygotowani nie na to, że możemy zostać zaatakowani, lecz na to, że na pewno zostaniemy zaatakowani.

 

Zarządzanie tożsamością - weryfikacja uprawnień użytkowników

 

Koncepcja Zero Trust zakłada całkowite odcięcie dostępu do sieci, dopóki nie dowiemy się, kim jest dany użytkownik lub system. Dostęp zostanie przyznany dopiero wówczas, kiedy zweryfikujemy, czy próbujący go uzyskać użytkownik posiada do tego uprawnienia. Metoda Zero Zaufania polega więc na wykorzystaniu różnego rodzaju informacji o danym użytkowniku w celu sprawdzenia, czy można mu zaufać i zgodzić się na jego żądanie dostępu do naszej sieci. Działania takie nazywamy zarządzaniem tożsamością w systemach informatycznych.

 

Zarządzanie dostępem - przydzielanie minimalnych uprawnień

 

Podejście Zero Trust zakłada również przydzielanie użytkownikom minimalnych uprawnień. Wszyscy użytkownicy są traktowani jako niezaufani, potencjalnie niebezpieczni, dlatego należy im przydzielić możliwie jak najniższe uprawnienia. Tylko takie, które są im niezbędne do pracy. Koncepcja ta wymusza więc na nas zarządzanie dostępem do naszego systemu.

Model zabezpieczeń opartych na zasadzie Zero Zaufania opiera się więc na założeniu, że niebezpieczeństwo może przyjść nie tylko z zewnątrz, ale także ze strony użytkowników wewnętrznych.

 

Ekran System - kompleksowe zarządzanie tożsamością i dostępem w systemach informatycznych

 

Oprogramowaniem, które umożliwia profesjonalne zarządzanie tożsamością i dostępem w systemach informatycznych jest Ekran System. To zaawansowane narzędzie do monitoringu aktywności komputerów i serwerów, które:

  • zapobiega nieautoryzowanym sesjom,
  • zwiększa transparentność procesu logowania,
  • pozwala zidentyfikować użytkowników współdzielonych kont,
  • uniemożliwia anonimowe logowanie,
  • umożliwia zarządzanie uprawnieniami użytkowników.

Ekran System został wyposażony w szeroki wachlarz narzędzi do zarządzania tożsamością i dostępem w systemach informatycznych, to jest:

  • jednorazowe hasła,
  • podwójne uwierzytelnianie,
  • uwierzytelnianie dwuskładnikowe (2FA),
  • zarządzanie kontami i sesjami uprzywilejowanymi (PASM).

 

Jednorazowe hasła

 

Jednorazowe hasła polegają na tym, że użytkownik, który próbuje zalogować się do systemu, otrzymuje unikalne tymczasowe hasło. Osoba taka uzyskuje dostęp do systemu dopiero po poprawnym wprowadzeniu otrzymanego hasła. Bardzo ważne z punktu widzenia osób odpowiadających za firmowe bezpieczeństwo IT jest to, że wszystkie próby uzyskania hasła są rejestrowane i ręcznie moderowane. Oznacza to, że zespół bezpieczeństwa IT ma możliwość zdecydowania, czy zezwolić na wygenerowania hasła dla danego użytkownika czy nie.

 

Podwójne uwierzytelnianie

 

Jeśli dostęp do systemu został zabezpieczony podwójnym uwierzytelnianiem, to po poprawnym wpisaniu poświadczeń użytkownik będzie musiał podać kolejne, unikalne dane logowania. Dane, które zostały wcześniej przypisane konkretnie do niego. Pozwala to na dokładną identyfikację osoby próbującej uzyskać dostęp. Dzięki temu wiemy, kto konkretnie próbował się zalogować. Jest to szczególnie ważne w przypadku korzystania z kont współdzielonych.

 

Uwierzytelnianie dwuskładnikowe (2FA)

 

Uwierzytelnianie dwuskładnikowe (weryfikacja dwuetapowa) polega na rozbudowaniu procesu uzyskiwania dostępu o dodatkowy etap weryfikacji użytkownika. Po wpisaniu loginu i hasła użytkownik otrzymuje na urządzenie mobilne, na przykład telefon, generowane automatycznie unikalne jednorazowe hasło. Dwuskładnikowe uwierzytelnianie jest powszechnie stosowane w bankowości internetowej.

 

Zarządzanie kontami i sesjami uprzywilejowanymi (PASM)

 

Ekran System został wyposażony w zaawansowane narzędzia do zarządzania kontami i sesjami uprzywilejowanymi (Privileged Account and Session Management). Oprogramowanie pozwala na zarządzanie dostępem do systemu użytkowników korzystających z serwera przesiadkowego (jump server). Ekran System umożliwia na przykład udzielenie tymczasowego dostępu użytkownikom serwera przesiadkowego, bez ujawniania poświadczeń, które są przechowywane w bezpiecznym sejfie haseł. Dzięki oprogramowaniu zespół bezpieczeństwa IT ma możliwość decydowania nie tylko o tym, komu zostanie przydzielony dostęp z serwera przesiadkowego. Narzędzie pozwala również na zdefiniowanie, do jakich endpointów udzielić dostęp oraz na jaki okres czasu.

 

Lepiej zapobiegać niż leczyć

 

Koncepcja Zero Trust zakłada kontrolowanie wszystkiego i wszystkich oraz maksymalne ograniczenie uprawnień użytkowników. Zgodnie z jej filozofią wszyscy użytkownicy są traktowani jako niezaufani i stanowią zagrożenie dla naszej sieci. Dotyczy to nawet użytkowników wewnętrznych. Na pierwszy rzut oka założenie takie może wydawać się nieracjonalne, a nieufanie nikomu i niczemu popadaniem w przesadę. Praktyka pokazuje jednak, że działanie w myśl zasady “lepiej zapobiegać niż leczyć” jest działaniem rozsądnym. Koszty ewentualnego ataku hakerskiego i kradzieży krytycznych danych mogą być bowiem dużo większe niż koszty wdrożenia odpowiednich zabezpieczeń.

Rating: 
Average: 1 (1 vote)