Лучший способ обеспечения доступа к сети с нулевым доверием

Опубликовано: 30 Марта, 2023
Лучший способ обеспечения доступа к сети с нулевым доверием

Сложность — это лозунг для описания сути современной ИТ-среды. И единственный способ защитить постоянно меняющиеся сложные среды — это использовать модель безопасности, которая может гибко адаптироваться к изменениям. Одним из терминов, который часто используется в наши дни для описания такого подхода к кибербезопасности, является Zero Trust, и, как и большинство подобных концепций, разные поставщики, как правило, по-разному определяют эту концепцию. Но все они, как правило, сосредоточены на определенных ключевых вещах, таких как использование строгой идентификации для аутентификации устройств в вашей сети, проверка работоспособности конечных устройств и пометка их для обновления и исправления при необходимости, мониторинг и реагирование на угрозы, как известные, так и появляются и внедряются такие процессы, как доступ с наименьшими привилегиями, чтобы ограничить ущерб, когда происходят неизбежные нарушения.

Изображение 9883
Pixabay

И нарушения будут. Это, вероятно, основной элемент модели безопасности Zero Trust. Но важно не только внедрить решение Zero Trust для вашей компании; Также очень важно выбрать правильное решение Zero Trust, в котором вы, клиент, имеете контроль над своими политиками доступа, токенами аутентификации, паролями и данными пользователей, а не полностью передаете такой контроль своему поставщику услуг безопасности. Одним из таких поставщиков средств безопасности, который считает этот вопрос важным, является Cyolo, и чтобы узнать больше о том, как работает их решение безопасности Zero Trust, я недавно разговаривал с Альмогом Апирионом, генеральным директором и соучредителем Cyolo. Альмог — предприниматель, обладающий опытом руководства командами, построения процессов и разработки технологий от концепции до реализации. Он является опытным руководителем по технологиям, директором по информационным технологиям, а также бывшим основателем и командиром киберподразделения ВМФ с долгой историей руководства в области кибербезопасности и ИТ-технологий. Его обширный опыт включает в себя создание и обеспечение безопасности критически важных инфраструктур в крупных организациях и ведение команд к успеху. Вы можете узнать больше о нем из его профиля на LinkedIn и узнать о последних событиях в этой горячей области кибербезопасности, подписавшись на Almog в Twitter.

Изображение 9884
Альмог Апирион

АЛМОГ: Подход с нулевым доверием основан на предположении, что ваши активы уже скомпрометированы. Вместо того, чтобы доверять какой-либо организации или отдельному лицу, потому что у них есть определенные атрибуты — например, они находятся внутри корпоративной сети — идея нулевого доверия заключается в том, чтобы основывать все на поддающихся проверке личности. Никому нельзя доверять по своей сути, даже своим собственным сотрудникам. Нет ни одного пользователя, которому можно абсолютно доверять в любое время. Независимо от того, кто вы, система должна сообщать о личности, которую можно проверить.

Примером этого является паспорт, показанный в аэропорту. Вы доверяете организации, выдавшей человеку паспорт, а не самому человеку. Система должна доверять не пользователю, а его проверенным учетным данным.

Подход с нулевым доверием основан на предположении, что ваши активы уже скомпрометированы.

ALMOG: в общей модели ZTNA облачный брокер отправляет всех пользователей и устройства, независимо от того, происходят ли они из внешней или внутренней сети, для проверки подлинности перед предоставлением доступа. Эта типичная реализация ZTNA направлена на замену VPN и минимизацию поверхности атаки, но не полностью. На самом деле он лишь разгружает часть трафика и пользователей из VPN, а поверхность атаки остается с агентами и облачными VPN, которые туннелируют пользователей. Разгрузка некоторых пользователей таким образом имеет преимущества, но не выполняет обещание ZTNA.. Кроме того, типичная архитектура ZTNA помещает брокера в зону доверия клиента, а это означает, что если провайдер будет взломан, данные клиента, скорее всего, будут раскрыты.

Изображение 9885
Шаттерсток

АЛМОГ: Помимо того факта, что ZTNA до сих пор фактически не заменила VPN, есть и дополнительные проблемы, которые необходимо решить. Во-первых, просто невозможно разместить все приложения SaaS, мобильные устройства, операционные устройства и другие ресурсы, необходимые организации, в одной частной сети. Многие решения ZTNA также с трудом обеспечивают доступ к определенным программам или приложениям, таким как SAP, например, без доступа к сети. И обычный способ выполнения ZTNA имеет еще больше проблем, если вам нужно изменить доступ с сетевого на доступ к приложению (и наоборот) или если вы хотите настроить контроль доступа на уровне приложения.

Во многом это связано с проблемой на уровне поставщика — большинство поставщиков просто не могут справиться с такими вещами, как несколько сред и различные протоколы, которые необходимо учитывать, когда вы думаете о нулевом доверии.

Первое поколение ZTNA, безусловно, начало движение в правильном направлении, но поверхность атаки остается широкой, а доступ очень черно-белым — пользователи либо полностью в игре, либо полностью вне ее. Чего по-прежнему не хватает, так это более глубокого уровня контроля или мониторинга.

АЛМОГ: Cyolo постоянно стремится сделать жизнь наших клиентов проще, повышая производительность и обеспечивая новый уровень безопасности. Наша цель — изменить способы подключения пользователей к своей рабочей среде с помощью технологий, которые могут упростить и улучшить процессы. Наша конечная цель — сделать безопасное подключение более гибким и легко интегрируемым в современные операционные системы для всех пользователей и организаций.

Распределенная архитектура Cyolo децентрализует принятие политических решений, обеспечивая при этом сквозное шифрование. Никакие данные не хранятся и не расшифровываются в облаке, поэтому нет единой точки компрометации. Все другие поставщики ZTNA помещают себя в границы доверия компании, но Cyolo остается снаружи, уменьшая границы доверия.

АЛМОГ: Cyolo подключает пользователей ко всем системам — офлайн, онлайн, внутри сети или вне сети. Cyolo обеспечивает полную безопасную связь в одном надежном решении — вы можете быть конечным пользователем, ИТ-командой или командой безопасности, и наше решение удовлетворит ваши потребности. Конечные пользователи имеют возможность работать из любого места с единым входом в любую систему, а ИТ-команды получают гибкость, которую они всегда хотели, с решением, которое плавно интегрируется с существующими средами в кратчайшие сроки. И, наконец, группы безопасности получают настоящее решение с нулевым доверием, которое сводит к минимуму поверхность атаки и дает им контроль над тем, кто и где подключается, и что пользователь может делать во время сеанса в зависимости от риска.

Когда речь идет о безопасности, люди — самое слабое звено, и так будет всегда. Настоящая архитектура Zero Trust, лежащая в основе нашего решения, обеспечивает отказоустойчивость в неизбежных случаях человеческой ошибки.

АЛМОГ: Этот переход может показаться ошеломляющим, но так быть не должно. Для нас было очень важно упростить этот процесс, чтобы переход не был тяжелым для компаний. Также важно понимать, что нет необходимости отключать VPN и другие элементы управления в первый же день. Наоборот, мы помогаем клиентам запустить наше решение, а затем даем им возможность использовать их существующую VPN вместе с нашим программным обеспечением. Это позволяет им экспериментировать на своем собственном уровне комфорта, поскольку они начинают ощущать преимущества нового подхода.

Этот метод перехода наглядно показывает компаниям, как они могут повысить свою операционную гибкость, уровень безопасности, удобство работы пользователей и производительность. После того, как они поверят в решение Zero Trust и увидят, как оно на самом деле улучшает их существующий стек безопасности за счет нашей бесшовной интеграции, они могут отключить доступ к сети и перевести всех пользователей на наше решение. И на протяжении всего этого процесса мы никогда не отрезаем их. Мы считаем, что вы должны иметь возможность мигрировать в своем собственном темпе. Это пошаговый процесс, и каждый должен всегда чувствовать себя комфортно и уверенно.

АЛМОГ: Люди — самое слабое звено в вопросах безопасности, и так будет всегда. Настоящая архитектура Zero Trust, лежащая в основе нашего решения, обеспечивает отказоустойчивость в неизбежных случаях человеческой ошибки.

И конечное видение, насколько я понимаю, состоит в том, чтобы соединить все объекты на основе цифровых идентификаторов, которые можно безопасно проверить. Наш подход может и в конечном итоге будет намного хуже, чем подключение только пользователей к устройствам и приложениям.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023