Периметра больше нет
Традиционно при защите инфраструктуры компании оперируют понятием «защита периметра». Этот принцип предполагает тщательную проверку всего, что пытается подключиться к ресурсам компании извне. При этом внутри периметра (то есть в корпоративной сети) образуется доверенная зона, в которой пользователи, устройства и приложения обладают определенной свободой действий.
Пока доверенная зона ограничивалась локальной сетью и подключенными к ней стационарными устройствами, защита периметра была эффективной. Однако с ростом количества мобильных гаджетов и облачных сервисов, которыми пользуются организации и их сотрудники, понятие периметра размылось. У большинства современных компаний по меньшей мере часть корпоративных ресурсов расположена за пределами офиса, а то и страны. Соответственно, спрятать их за одной большой стеной практически невозможно. А вот проникнуть внутрь доверенной зоны и беспрепятственно перемещаться по ней стало значительно проще.
Поэтому в 2010 году аналитик проекта Forrester Research Джон Киндерваг (John Kindervag) выдвинул концепцию «нулевого доверия» как альтернативу «защите периметра». Он предложил отказаться от разделения ресурсов на внешние и внутренние. Концепция Zero Trust — это по сути полное отсутствие каких-либо доверенных зон. В рамках этой модели пользователи, устройства и приложения подлежат проверке каждый раз, когда требуют доступ к какому-либо корпоративному ресурсу.
Реализация модели Zero Trust на практике
Единого подхода к развертыванию системы безопасности, основанной на «нулевом доверии», не существует. Однако можно выделить несколько базовых принципов, позволяющих выстроить такую систему.
Поверхность защиты вместо поверхности атаки
В контексте модели «нулевого доверия» принято говорить о «поверхности защиты» (protect surface). В нее входит все то, что организация должна защитить от несанкционированного доступа: конфиденциальные данные, элементы инфраструктуры и так далее. Поверхность защиты значительно меньше поверхности атаки , в которую входят все потенциально уязвимые объекты инфраструктуры, процессы и их участники. А значит, обеспечить безопасность поверхности защиты проще, чем свести к нулю поверхность атаки.
Микросегментация
В отличие от классического подхода, подразумевающего защиту внешнего периметра, модель Zero Trust предполагает разделение корпоративной сети и других ресурсов на небольшие узлы, которые могут состоять даже из одного-единственного устройства или приложения. На выходе получается множество микроскопических периметров со своими политиками безопасности и правами доступа. Это позволяет гибко управлять доступом и исключить бесконтрольное распространение угрозы внутри сети.
Принцип минимальных привилегий
Каждому пользователю предоставляется ровно столько прав, сколько необходимо для выполнения его задач. Соответственно, если аккаунт отдельного пользователя взломают, это может привести к компрометации части ресурсов, но не всей инфраструктуры.
Аутентификация
Доктрина «тотального недоверия» предписывает видеть потенциальную угрозу в любой попытке получить доступ к корпоративной информации до тех пор, пока не будет доказано обратное. То есть для каждой конкретной сессии пользователь (устройство, приложение) должен пройти процедуру аутентификации и подтвердить свое право на доступ к тем или иным данным.
Тотальный контроль
Для эффективного внедрения модели «нулевого доверия» IT-отдел должен иметь возможность управлять всеми рабочими устройствами и приложениями. Также важно записывать и анализировать информацию обо всех событиях на конечных точках и в других элементах инфраструктуры.
Преимущества Zero Trust
Помимо того, что концепция «нулевого доверия» избавляет организацию от необходимости защищать периметр, который все больше размывается по мере повышения мобильности бизнеса, она решает и некоторые другие проблемы. В частности, благодаря тому, что все участники процесса постоянно проверяются и перепроверяются, компании легче приспосабливаться к изменениям, например лишать прав доступа уволившихся сотрудников и адаптировать привилегии тех, чей круг задач изменился.
Сложности в реализации модели Zero Trust
Переход на концепцию «нулевого доверия» для отдельных организаций может оказаться долгим и трудным. Если ваши сотрудники используют для работы как офисное оборудование, так и по несколько личных устройств, то все это многообразие необходимо инвентаризовать, установить корпоративные политики на тех устройствах, которые нужны для работы, запретить подключаться к корпоративным ресурсам с остальных. У крупных компаний с филиалами в разных городах и странах эта работа может занять много времени.
Не все системы одинаково приспособлены к переходу на Zero Trust. Если у вашей компании сложная инфраструктура, в ней могут оказаться устаревшие устройства и ПО, на которых воплотить современные стандарты безопасности невозможно. Их замена потребует времени и денег.
Не готовы к смене концепции могут быть и сотрудники, в том числе IT- и ИБ-отделов. А ведь именно на них лежит ответственность за контроль доступа и управление вашей инфраструктурой.
Например, компании Google понадобилось семь лет, чтобы построить фреймворк BeyondCorp , в основе которого лежат принципы «нулевого доверия». Для менее разветвленных корпоративных структур срок может быть существенно меньше, но рассчитывать уложиться в пару недель или даже месяцев не стоит.
Zero Trust — основа безопасности будущего?
Переход от традиционной охраны периметра к обеспечению безопасности поверхности защиты в рамках концепции Zero Trust хотя и предполагает использование уже имеющихся технологий, все же может оказаться не самым простым и быстрым проектом как технически, так и с точки зрения смены психологических установок сотрудников. Однако в дальнейшем он может обеспечить компании преимущества за счет снижения затрат на информационную безопасность и уменьшения числа инцидентов, а значит, и ущерба от них.
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
В Китае впервые вживили чип в мозг человека и у него появились новые способностиОперация по вживлению чипа в мозг была проведена в марте 2025 года. Источник фотографии: english.news.cn В Китае провели первую успешную...
-
![]()
Расширится сеть специализированных школ в сфере ИТКабинет Министров при необходимости вправе увеличивать количество школ, созданных в системе Агентства по специализированным образовательным...
-
![]()
"Атлетик" бу трансферда қийинчиликларга учраши мумкин"Атлетик" Аймерик Лапортни ортга қайтариш ҳақида ўйламоқда.
-
![]()
Sport ва Futbol телеканалларида 17-июнь куни 4 та футбол трансляцияси борSport ва Futbol телеканаллари бугун — 2025 йил 17-июнь, душанба куни қуйидаги кўрсатув ва трансляцияларни эфирга узатишни режалаштирган.
-
![]()
5 загадок Луны, которые учёные до сих пор не могут объяснитьЭти 5 загадок Луны основаны на реальных и актуальных научных данных. Кажется, мы знаем о Луне всё: она рядом, сияет в небе почти каждую ночь,...
-
![]()
"Ливерпуль" истиқболли вингер билан музокараларни бошлади"Лион" футболчиси Малик Фофана "Ливерпуль"нинг трансфер мақсадларидан бирига айланди.
