Tradycyjnie sieci projektuje się, tworząc zaufane strefy – z reguły są to segmenty wewnątrz sieci lokalnej, a wszystko poza nią traktuje się jako niezaufane. Jednak coraz większa liczba zdalnych połączeń między oddziałami, urządzenia mobilne czy chmura burzą te założenia i potrzebny jest nowy model bezpieczeństwa sieci.

Kilka lat temu analitycy z Forrester Research, pracując dla amerykańskiego instytutu NIST (National Institute of Science and Technology) zaproponowali model nazwany Zero Trust. Nie jest to całkowicie nowe podejście, ale rozszerzenie koncepcji powszechnie znanej jako segmentacja sieci. Zero Trust rozwija założenia tej koncepcji, ale jej istota pozostaje ta sama. Podstawowe założenie mówi o podziale sieci na segmenty, np. na LAN, sieć Wi-Fi, bazy danych, serwery WWW itd. Zakłada się, że każda z tych stref jest niezaufana, nawet jeśli fizycznie znajduje się w obrębie siedziby firmy.

Zobacz również:

• Zasada „zero zaufania” sprzyja biznesowi
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Specyficzne założenia zdefiniowane przez Forrestera to:

• zapewnienie bezpiecznego dostępu do wszystkich zasobów niezależnie od ich lokalizacji (innymi słowy, wszystkie strefy uznaje się za niezaufane);

• przydzielanie minimalnych, wymaganych uprawnień i ścisłe przestrzeganie reguł kontroli dostępu (Zero Trust mówi, że wszyscy użytkownicy początkowo są traktowani jako niezaufani);

• monitorowanie i zbieranie informacji o całym ruchu sieciowym; nawet jeśli pochodzi z sieci lokalnej, przyjmuje się, że jest podejrzany i wymaga takiej samej analizy, jak ruch przychodzący z zewnątrz;

• możliwość monitorowania i kontroli z centralnej konsoli.

Pełne wdrożenie modelu Zero Trust w firmie wymaga wielu przełączników podłączonych do szybkiego rdzenia sieci, aby zapewnić segmentację, często realizowaną przez wiele urządzeń i pakietów oprogramowania. To podejście jest złożone i kosztowne, a przez to dzisiaj poza zasięgiem większości przedsiębiorstw. Podejmowano próby stosowania Zero Trust z wykorzystaniem wirtualnych LAN’ów (VLAN), co wiąże się metkowaniem ruchu, aby zapewnić wirtualną segmentację. Niestety w tym przypadku nie ma żadnego sposobu, aby zapobiec dostępowi do fizycznej sieci przez hakerów, którzy mogą obejść reguły VLAN. Z drugiej strony to uproszczone podejście, nazwijmy je Zero Trust Lite, można wdrożyć w ramach budżetów większości firm. Pamiętając, że każda sieć ma swoją specyfikę, wdrożenie wymaga zrealizowania kilku założeń.

Zdefiniowanie segmentów sieci

Pracę należy zacząć od zebrania informacji o posiadanych zasobach danych oraz sposobach, w jakie użytkownicy łączą się z siecią. Oczywiście, Internet będzie oddzielną strefą. Wszelkie wrażliwe dane, jak informacje o klientach czy inne dane objęte regulacjami prawnymi są dobrymi kandydatami do umieszczenia w odrębnym segmencie. Użytkownicy sieci bezprzewodowych, zakładając że ich zasięg wychodzi poza biuro, to kolejny segment. W wielu przypadku wystarczy pojedynczy segment dla użytkowników kablowej sieci LAN.

Oddzielny przełącznik dla każdego segmentu sieci

W tradycyjnej sieci jest jeden przełącznik (lub kilka) podłączonych wewnątrz do firewalla. W modelu Zero Trust przełączniki muszą być przyporządkowane do każdej strefy i znajdować się na zewnątrz firewall, żeby uniknąć mieszania się ruchu.

Zapora sieciowa w rdzeniu sieci

Zapory sieciowe są standardowo wyposażone w pewną liczbę portów, z których każdy może obsługiwać segment sieci. W przypadku Zero Trust Lite potrzeba tyle portów, ale jest segmentów sieci. Potrzebne są również dodatkowe funkcje, które nie każdy firewall oferuje, np. głęboka inspekcja pakietów, IPS oraz „rozumienie” komunikacji aplikacji a nie tylko rozpoznawanie portów, jak również funkcje antywirusowe.

Taka zapora sieciowa często jest określana mianem NGF (Next Generation Firewall), ale to określenie nieco na wyrost. Podczas konfiguracji firewalla, każdy segment domyślnie nie powinien mieć dostępu do pozostałych. Następnie dodaje się reguły dostępu, jeśli jest potrzebna komunikacji między segmentami.

Narzędzia kontroli dostępu i minimalne uprawnienia

Kontrola dostępu i przyznawanie minimalnych wymaganych uprawnień to praktyki, które powinny być stosowane w każdej sieci. Niestety większość firm nie realizuje tych czynności poprawnie. Zero Trust Lite pomaga w wyeliminowaniu związanych z tym problemów. Przykładowo, można zapobiec dostępowi do sieci przez osobę z uprawnieniami administratora znajdującą się poza segmentem sieci lokalnej. Należy jednak pójść o krok dalej i upewnić się, że wszyscy użytkownicy mają przydzielone właściwe uprawnienia. Wyzwaniem jest fakt zarządzania kontami użytkowników z różnych systemów. Aby te czynności wykonać solidnie, potrzebne są narzędzia automatyzujące kontrolę poszczególnych użytkowników w wielu systemach. Korzystanie z systemów zgodnych z LDAP jest bardzo pomocne. Przydają się również narzędzia do zarządzania tożsamością użytkowników.

Po poprawnym wdrożeniu modelu Zero Trust Lite ruch w każdym segmencie powinien być odseparowany od pozostałych segmentów. Ruch między segmentami jest możliwy tylko, jeśli została utworzona reguła zezwalająca na specyficzną komunikację związanym z określonym celem. Dzięki temu, np. włamywacz penetrujący firmową sieć Wi-Fi będzie mógł poruszać się tylko w tym segmencie. Jeśli reguły blokują dostęp z sieci Wi-Fi do serwerów, nie będzie zagrożenia kradzieży danych z tego segmentu, nawet w przypadku użytkownika z uprawnieniami administratora serwerów.

O ile trzeba z uwagą zarządzać regułami firewalla i wielkością segmentów sieci, model Zero Trust Lite można z powodzeniem wdrażać, ponieważ znacznie poprawia bezpieczeństwo.