Zero zaufania a najniższe uprawnienia
Opublikowany: 2023-11-09W stale zmieniającym się krajobrazie cyfrowym cyberbezpieczeństwo zyskało ogromne znaczenie. Organizacje stają przed coraz większymi wyzwaniami, co wymaga przyjęcia solidnych ram bezpieczeństwa. Dwie godne uwagi ramy cyberbezpieczeństwa to dostęp do sieci o zerowym zaufaniu (ZTNA) i zasada najmniejszych uprawnień (POLP). Ten kompleksowy przewodnik bada techniczne aspekty tych systemów, umożliwiając menedżerom IT ocenę ich podobieństw, różnic, zalet i wad, a ostatecznie wybrać platformę, która najlepiej odpowiada specyficznym potrzebom ich organizacji.
Co to jest zero zaufania?
Zero Trust (ZT), model bezpieczeństwa, który stanowi wyzwanie dla tradycyjnego modelu bezpieczeństwa opartego na obwodzie, działa zgodnie z podstawową zasadą: „Nigdy nie ufaj, zawsze sprawdzaj”. Wprowadzony przez Johna Kindervaga, głównego analityka w firmie Forrester, w 2010 roku, rozwiązanie Zero Trust zostało opracowane w celu rozwiązania problemów pojawiających się w związku z przechodzeniem firm do chmury, takich jak wzrost liczby niezweryfikowanych osób posiadających pozwolenie na korzystanie z kont online, co zwiększa ryzyko naruszenia bezpieczeństwa danych.
W modelu Zero Trust wszystkie identyfikatory przechodzą rygorystyczne testy, podczas których stwierdza się, że w sieci może już występować ryzyko. Żadnemu podmiotowi, ani osobie, ani urządzeniu, nie można ufać z natury. Przed udzieleniem dostępu do zasobów wymagane jest ciągłe uwierzytelnianie, autoryzacja i weryfikacja (AAV). Model ten umożliwia szybką identyfikację podejrzanych zachowań i szybką reakcję na potencjalne zagrożenia, łagodząc skutki cyberataków.
Jak działa zero zaufania
Zero Trust zakłada, że luki w zabezpieczeniach nie są wyłącznie zewnętrzne, ale mogą również znajdować się w nich, udając pozornie nieszkodliwe byty. W scenariuszu zerowego zaufania zaufanie musi być stale odbudowywane poprzez wszystkie interakcje i żądania dostępu. Dzięki AAV każdy podmiot musi zostać poddany kontroli w każdym punkcie wejścia, niezależnie od postrzeganej wiarygodności.
- Uwierzytelnianie wykorzystuje uwierzytelnianie wieloskładnikowe (MFA) i przechowywanie poświadczeń w celu weryfikacji tożsamości.
- Autoryzacja określa poziomy dostępu na podstawie opisu stanowiska i niezbędnego dostępu do danych.
- Weryfikacja stale monitoruje zachowanie, aby zapewnić zgodność z autoryzacjami i protokołami bezpieczeństwa.
Jak działa najmniejszy przywilej
Zasada najmniejszych uprawnień, w skrócie POLP, to odrębna, ale równie istotna zasada bezpieczeństwa, zalecająca przyznanie podmiotom minimalnego poziomu zezwoleń lub upoważnień niezbędnych do wykonywania ich funkcji. Wykorzystuje strategię „trzeba wiedzieć” i „trzeba używać”, ograniczając niepotrzebny dostęp w celu minimalizacji potencjalnych powierzchni ataku.
Wyobraź sobie cyfrowy ekosystem swojej firmy jako sieć punktów wejścia, z których każdy prowadzi do różnych obszarów zawierających cenne zasoby i poufne dane. POLP dba o to, aby każdy użytkownik, aplikacja i system posiadał zestaw kluczy, umożliwiający dostęp jedynie do niezbędnych obszarów i unieważniający je po spełnieniu swojego celu.
Trzymając się zasady najmniejszych przywilejów, przedsiębiorstwo minimalizuje powierzchnię ataku, a jest to zbiór wszystkich, systematycznie wyznaczanych, możliwych punktów wejścia szkodliwych aktorów. Redukcję tę udaje się osiągnąć poprzez:
- Ograniczanie dostępu do podmiotów, które tego nie potrzebują
- Ograniczenie punktów wejścia, przez które intruzi mogą włamać się do systemu.
- Ograniczenie skali ich potencjalnego wpływu po wejściu
Jaka jest różnica między zerowym zaufaniem a najniższymi uprawnieniami?
ZTNA i POLP różnią się od siebie na cztery sposoby:
1. Zero zaufania ma charakter całościowy, podczas gdy najmniejsze przywileje skupiają się na prawach i zgodach
Pierwsza różnica między zerowym zaufaniem a najmniejszymi uprawnieniami dotyczy zakresu ich zasięgu. Zero zaufania obejmuje bardzo szeroką sieć każdego aspektu architektury sieci, kwestionując tradycyjną koncepcję bezpieczeństwa opartego na obwodzie. Oznacza to, że żadna jednostka, zarówno wewnętrzna, jak i zewnętrzna, nie jest z natury zaufana, nawet jeśli nie próbuje aktywnie polować na wrażliwe zasoby.
Przeciwnie, najniższe uprawnienia skupiają się głównie na regulowaniu praw i uprawnień konkretnych użytkowników lub aplikacji. Jej zakres jest węższy i opiera się na założeniu, że podmiotom przysługuje jedynie minimalny dostęp niezbędny do realizacji powierzonych im zadań.
2. Najmniejsze uprawnienia są egzekwowane na poziomie szczegółowym, podczas gdy zerowe zaufanie jest bardziej strategiczne
Najmniejsze uprawnienia są naturalnie bardziej szczegółowe, ponieważ ograniczają dostęp dla poszczególnych jednostek lub działań. Oznacza to precyzyjne mechanizmy kontrolne, które gwarantują, że użytkownicy lub aplikacje posiadają jedynie uprawnienia niezbędne do wykonywania swoich obowiązków.
Chociaż podejście zerowego zaufania może być szczegółowe, zazwyczaj działa na większą skalę, koncentrując się na określonych segmentach sieci, sprzęcie lub kategoryzacji tożsamości. Często będziesz wybierać narzędzia do zarządzania infrastrukturą IT w oparciu o ich filozofię zerowego zaufania i jest to strategiczne podejście wdrażane na poziomie projektu.
3. Łatwiej wdrożyć najmniejsze uprawnienia niż zerowe zaufanie
Trzecia różnica między zerowym zaufaniem a najmniejszymi uprawnieniami polega na tym, że najmniejsze uprawnienia są zwykle wdrażane za pomocą restrykcyjnych systemów kontroli, administrowania użytkownikami i przydziału autoryzacji. Ogólnie rzecz biorąc, wdrożenie w ramach ustalonych architektur sieciowych jest łatwiejsze. Z drugiej strony przyjęcie zerowego zaufania często wymaga znacznych zmian w architekturze sieci, takich jak segmentacja sieci. Wymaga to dogłębnej ponownej oceny ogólnych ram bezpieczeństwa.
4. Zero zaufania jest proaktywne, podczas gdy najmniejsze uprawnienia reagują na żądania dostępu
Stosując zasadę niezbędnej wiedzy w połączeniu z podejściem opartym na potrzebie użycia, najniższe uprawnienia ograniczają dostęp do zasobów w zależności od konieczności. Koncentruje się na ustalaniu i wdrażaniu uprawnień dostępu z wyprzedzeniem, zamiast na podejściu polegającym na ciągłej weryfikacji opartej na zerowym zaufaniu. Zero zaufania oferuje proaktywną strategię poprzez ciągłe potwierdzanie autentyczności, dokładności i ważności podmiotów i ich działań.
Podsumowanie: Zero zaufania vs najmniejsze uprawnienia
Zarówno zasada zerowego zaufania, jak i zasada najmniejszych uprawnień to istotne elementy solidnych ram cyberbezpieczeństwa, które podkreślają znaczenie ustanowienia niezawodnych kontroli dostępu w oparciu o tożsamość i kontekst użytkownika. Chociaż POLP można wdrożyć niezależnie, jest on najbardziej skuteczny, gdy jest stosowany w środowisku Zero Trust, które w sposób ciągły monitoruje zachowanie użytkowników oraz weryfikuje tożsamość i działania podmiotów.
W naszej złożonej erze cyfrowej tradycyjna taktyka obrony zamków i fos nie jest już opłacalna. Wykwalifikowani hakerzy mogą wdrażać rozproszone schematy ataków przeciwko organizacjom, co wymaga równie rozproszonej strategii cyberbezpieczeństwa. Niezbędne jest wykorzystanie wszelkich dostępnych zabezpieczeń, w tym Zero Trust i Least Privilege, aby zabezpieczyć jak najwięcej punktów dostępu.