Tradycyjny, „obwodowy” model bezpieczeństwa informatycznego można porównać z konstrukcją średniowiecznej twierdzy: i tu, i tu system zewnętrznych umocnień chroni cenną zawartość. Cyfrowe mury sprawdzały się, gdy firmowe dane i zasoby były scentralizowane i przechowywane w obrębie wewnętrznego data center. Pracownik łączył się z siecią w siedzibie firmy uzyskując bezpośredni dostęp do usług, a jeżeli łączył się zdalnie, dostęp do usług za zaporą umożliwiał mu tunel VPN. Ochronę przed światem zewnętrznym zapewniała natomiast zapora sieciowa, działająca niczym mury i fosa chroniące średniowieczne warownie w czasie oblężeń.

Jednak w rezultacie gwałtownej ekspansji usług chmury obliczeniowej coraz więcej przedsiębiorstw przechowuje swoje dane poza wewnętrzną serwerownią. Ba! dzięki rozwiązaniom Infrastructure as a Service do chmury przenoszone są całe zasoby teleinformatyczne. Jednocześnie aplikacje, serwery, kontenery i inne składniki infrastruktury również komunikują się ze sobą, tak w chmurze, jak i w centrach danych. A kolejnym punktem dostępu do sieci są inteligentne urządzenia podłączone do internetu rzeczy.

Zobacz również:

• Zasada „zero zaufania” sprzyja biznesowi
• Priorytety zarządzania bezpieczeństwem

Ponadto, w tradycyjnym modelu bezpieczeństwa kontrolę zasad dostępu i uprawnień utrudnia to, że pracownicy są coraz bardziej mobilni i w coraz większym stopniu używają urządzeń przenośnych. Dostęp do usług i zasobów można uzyskać za pomocą dowolnego połączonego z siecią urządzenia, nie mówiąc już o zjawisku shadow IT, czyli sytuacji, gdy do celów służbowych używają sprzętu prywatnego, nieautoryzowanego przez firmowy dział IT.

Charakterystyczne dla nowego krajobrazu informatycznego są nowe rodzaje zagrożeń, wymierzone w urządzenia, aplikacje i tożsamość. Przykładowo, obserwujemy gwałtowny wzrost wariantów złośliwego oprogramowania atakującego urządzenia internetu rzeczy – sprzęt tego typu jest bardziej niż kiedykolwiek narażony na ataki, za pośrednictwem których włamywacze próbują uzyskać dostęp do sieci. Ponadto w 2019 roku statystycznie co trzecie naruszenie bezpieczeństwa było związane z wykorzystaniem wykradzionych danych uwierzytelniających użytkowników.

Nowa rzeczywistość wymaga przemodelowania podejścia do bezpieczeństwa IT. Współcześnie powinno się ono opierać na ścisłej autoryzacji użytkowników, zawężaniu uprawnień i ograniczaniu dostępu do firmowych zasobów zgodnie z zasadą: „nigdy nie ufaj, zawsze weryfikuj”.

Tak dochodzimy do koncepcji zerowego zaufania.

Zero Trust. Sieć „murem” podzielona

Idea ograniczonego dostępu do zasobów nie jest niczym nowym ani odkrywczym – jej korzenie sięgają lat 90. minionego stulecia. W 2010 r. termin architektury „Zero Trust” ukuła firma Forrester. Zaproponowana przez analityków koncepcja była w istocie rozszerzeniem idei segmentacji sieci, gdyż opierała się na konieczności zapewnienia bezpiecznego dostępu do zasobów niezależnie od ich lokalizacji, przydzielania minimalnych wymaganych uprawnień, ścisłego przestrzegania reguł kontroli dostępu oraz monitorowania całego ruchu sieciowego, również tego z sieci wewnętrznej – domyślnie uznawanego za podejrzany.

W 2014 r. Google zaprezentowało z kolei implementację modelu „Zero Trust” o nazwie BeyondCorp. U podstaw architektury legły założenia, że łączenie z konkretną siecią nie przesądza, do jakich usług otrzymuje się dostęp; że dostęp do usług jest przyznawany w oparciu o informacje posiadane przez system o użytkowniku i urządzeniu; i że dostęp do usług musi być poświadczony, autoryzowany i szyfrowany za każdym razem, gdy użytkownik łączy się z usługą (a nie tylko za pierwszym razem).

I chociaż nazwa „Zero Trust” powracała w kolejnych opracowaniach i analizach przez ostatnie lata, nie widać było masowego zainteresowania tą koncepcją ze strony producentów. Teraz może się to zmienić. Po pierwsze dlatego, że ci ostatni zaczęli wprowadzać rozwiązania bazujące na tym modelu do swojej oferty – w tym gronie znalazły się takie firmy, jak: Akamai Technologies, Cisco, Microsoft, Palo Alto Networks, Symantec i VMware. Niektóre wypracowały własne pomysły, inne poszerzyły swoje portfolio również w wyniku przejęć (na przykład Cisco, które w czerwcu 2019 r. sfinalizowało zakup firmy Duo Security i opracowanej przez nią chmurowej platformy uwierzytelniania).

Po drugie, idea zwróciła uwagę amerykańskiego National Institute of Standards and Technology. NIST w opublikowanym we wrześniu 2019 r. dokumencie „Draft NIST Special Publication 800-207” podjął się próby uporządkowania wiedzy o architekturze „Zero Trust”, co można traktować jako podejście do ustandaryzowania technologii niezbędnych do wdrożenia tego modelu.

Zero Trust. Filary architektury

Analitycy Gartnera oceniają, że do 2023 r. 60 proc. przedsiębiorstw do zabezpieczania komunikacji zrezygnuje z użytkowanych dotychczas produktów VPN na rzecz modelu „Zero Trust.” I nic dziwnego, bo ani pod względem technicznym, ani biznesowym, nie jest to trudne. Architektura „Zero Trust” nie jest technologią samą w sobie, a co najwyżej zestawem technologii o konkretnym przeznaczeniu. A zatem nie wymaga całkowitej wymiany infrastruktury ani zastępowania istniejących komponentów środowiska IT dedykowanymi rozwiązaniami oferowanymi przez dostawców.

Na poziomie ogólnym kwestie, które model zerowego zaufania musi adresować, to segmentacja, uwierzytelnianie i uprawnienia. Nie ma „Zero Trust” bez podziału infrastruktury sieciowej na małe, odizolowane strefy, systemów uwierzytelniania wieloskładnikowego oraz polityki ograniczonych uprawnień.

Segmentację trzeba wprowadzić po to, by model zerowego zaufania mógł być egzekwowany w praktyce, a nie tylko na zasadzie detekcji zdarzeń czy responsywności na zaistniałe incydenty. Bo skuteczność reakcji może być różna – podkreśla Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

Użytkownik lub aplikacja z uprawnieniami dostępu do jednego obszaru nie mogą uzyskać dostępu do innych bez odrębnego uwierzytelnienia. Użytkownikowi lub aplikacji należy przyznać możliwie najmniejszy zakres uprawnień umożliwiający im wykonanie powierzonych zadań. Mechanizmy kontrolne powinny działać możliwie najbliżej użytkowników i urządzeń końcowych, nie w szeroko pojętej warstwie sieciowej.

„Najbardziej udane rozwiązania powinny nakładać się na środowisko hybrydowe i wspierać je, nie zastępując całkowicie istniejących inwestycji” – dodaje Lothar Renner, dyrektor zarządzający działu EMEAR Cybersecurity Sales and Engineering w Cisco. „Udostępnianie dynamicznego kontekstu tożsamości, podatności i zagrożeń związanych z użytkownikami, urządzeniami i aplikacjami w ramach różnych punktów egzekwowania bezpieczeństwa są najlepszym sposobem na zharmonizowanie polityki bezpieczeństwa, nawet jeśli nieuchronnie będą musiały istnieć różne typy polityk i metod ich egzekwowania wymaganych do pracy z różnymi elementami środowiska IT.”

Zero Trust. Narzędzia „budowy zaufania”

Od strony technologicznej w skład architektury „Zero Trust” powinny, zdaniem Dąbrowskiego, wchodzić mechanizmy identyfikacji i autoryzacji użytkowników i urządzeń w sieci; narzędzia do monitorowania aktywności i zachowań użytkowników, które mogą pogwałcić politykę bezpieczeństwa firmy; systemy szyfrowania danych, zarówno w spoczynku, jak i w ruchu; systemy Data Leakage Prevention i integracja z nimi systemów sieciowych i ochrony stacji końcowych; narzędzia do monitorowania dostępu do sieci i do danych, wreszcie – systemy SIEM i SOAR (czasami to tożsame, bo SOAR może być podsystemem SIEM-a).

Kluczową kwestią przy próbie zespalania środowiska IT w model zerowego zaufania jest integracja jego elementów, szczególnie jeżeli pochodzą od różnych producentów. Chodzi o zapewnienie wzajemnej wymiany informacji, chociażby na poziomie API oraz ich jakość: dane o użytkownikach, urządzeniach, aplikacjach i ich zachowaniu, umożliwiające identyfikację i określające sposób dalszego postępowania. Z pomocą w gromadzeniu zdarzeń z różnych źródeł w obrębie sieci, a następnie ich filtrowaniu i korelacji, przychodzą właśnie systemy Security Information and Event Management. SIEM musi być jednak w stanie „skonsumować” informacje generowane przez działające w sieci systemy, aby na tej podstawie podjąć określone akcje naprawcze albo przynajmniej – izolujące.

Zdaniem Roberta Dąbrowskiego coraz więcej organizacji, nawet tych mniejszych, wdraża systemy SIEM – lub planuje takie wdrożenie.

Potencjał wzrostu na pewno jest – z badania przeprowadzonego przez redakcję „Computerworlda” w 2019 r. wynika, że narzędzia do zarządzania informacją związaną z bezpieczeństwem i zdarzeniami stosowało 39% dużych przedsiębiorstw i tylko 13% mniejszych firm.

Zero Trust. Nie wylać dziecka z kąpielą

Zadaniem „Zero Trust” jest nie tyle odizolowanie incydentu i uniemożliwienie rozprzestrzeniania się go, co przeprowadzenie odpowiedniej analizy zagrożenia i – w idealnej sytuacji – zapobiegnięcie mu. Architekturę powinno się tworzyć tak, by nie stanowiła przeszkody w budowie bardziej nowatorskich rozwiązań. Środowisko musi być zaprojektowane w taki sposób, by nie wymuszało na organizacji kompromisów pomiędzy postępem technologicznym a ciągłością działania – ocenia Robert Dąbrowski.

Modele bezpieczeństwa, w tym i „Zero Trust”, mogą pomóc ustrzec się przed cyberatakami, zaniedbaniami oraz niefrasobliwością, a nawet i szkodliwymi, celowymi działaniami obecnych lub byłych pracowników. Jednak podstawą polityki bezpieczeństwa każdej organizacji powinna być świadomość użytkowników: wiedza, jakie zachowania w sieci są dopuszczalne, a jakie nieakceptowalne z punktu widzenia bezpieczeństwa i integralności firmowych systemów – przypomina przedstawiciel Fortinetu. „Ciągłe uwierzytelnianie to świetny pomysł, dopóki nie spowoduje konfliktu z użytkownikami: jeśli będą musieli zbyt często uwierzytelniać się przy użyciu wielu czynników, będą próbować ominąć te elementy firmowej sieci, które tego wymagają” – dodaje Lothar Renner z Cisco.