Zero Trust Networks: что это, зачем и как работает

О концепции «нулевого доверия», вероятно, слышали многие. Более того, очень многие компании постепенно и небезуспешно внедряют эту концепцию. Еще три года назад 78% ИБ-отделов либо уже реализовали эту концепцию, либо же планировали на нее перейти.

Есть и частное приложение концепции — это сетевой доступ с нулевым доверием, или Zero Trust Networks. Под катом разбираемся с этим понятием и принципами, заложенными в его основу.

Как все начиналось

В 2000-х и ранее доверенная зона большинства компаний ограничивалась локальной сетью и подключенными к ней девайсами. Тогда эксперты по информационной безопасности оперировали понятием «защита периметра». Нужно было просто не допускать возможности несанкционированного подключения к ресурсам компании извне. Но чем больше становилось мобильных устройств и облачных сервисов, тем быстрее размывались границы периметра.

В конечном итоге в 2010 году в качестве альтернативы защите периметра была предложена концепция «нулевого доверия». Считается, что одним из первых экспертов, который сформулировал идею, витающую в воздухе, стал аналитик проекта Forrester Research Джон Киндерваг (John Kindervag). Именно он предложил отказаться от разделения ресурсов на внешние и внутренние. В новой концепции нет никаких доверенных зон, проверять нужно все и вся.

К слову, на год раньше формулирования концепции архитектуру, с, по сути, нулевым доверием внедрила корпорация Google. Она была запущена в 2009 году и получила название BeyondCorp. Но активно внедряться эта концепция стала еще через несколько лет. Так, например, в 2019 году  Национальный центр кибербезопасности Британии рекомендовал архитекторам сетей рассмотреть подход с нулевым доверием для новых ИТ-развертываний.

Хорошо, а причем здесь Zero Trust Network Access?

Дело в том, что сама по себе концепция была лишь теорией, она не предлагала практических шагов по реализации, поэтому разные компании действовали по-разному. А вот Zero Trust Network Access (ZTNA) предоставляет информацию уже по практической реализации шагов по сведению рисков к минимуму.

Это уже не концепция, а, скорее, стратегия. К слову, есть расхождения во мнении экспертов, что именно входит в эту стратегию. Но многие сходятся на том, что основными можно считать три пункта.

Необходимость знать каждое устройство в своей, сколь угодно масштабной, сети. Как и говорилось выше, устройств с сетевым доступом сейчас очень много, это и мобильные телефоны, и ноутбуки, и IoT-системы. С определенного момента возникла целая волна устройств нового типа, которая грозила смести защитные периметры. Для того, чтобы этого не случилось, специалистам по информационной безопасности рекомендуется идентифицировать все устройства сети — от умных кондиционеров до СХД. Если это сделать, можно заняться рациональной настройкой средств контроля доступа для таких девайсов. Для своевременного выявления проблем необходимо вести постоянный мониторинг с получением ответов от этих девайсов. Если что-то пошло не так, система выявляет проблему и запускает программу защиты.

Необходимость знать всех пользователей системы. Этот момент крайне важен для ZTNA. Отдел ИБ должен не только просто знать о пользователях в сети, но и разбить их по ролям. Например, сотрудник, подрядчик, посетитель, поставщик и т.п. Для идентификации пользователей используется многофакторная проверка пользователей. Ну а политика доступа каждого конкретного человека определяется как раз его ролью в организации. Открывать дополнительные ресурсы для тех «кому не положено» стоит лишь в крайнем случае. Такая система отлично работает, к слову, в режиме удаленной работы. Компания может предоставлять пользователям необходимый доступ к сети из любого места.

Необходимость разработки алгоритма защиты ресурсов внутри и вне сети. Не особо приятно сознавать это, но большая часть компаний (около 63%) попросту не в состоянии контролировать разные элементы в своей сети, не говоря уже о соответствии этих элементов нормам регламента. В текущих условиях это недопустимо, так что компаниям необходимо иметь четкий алгоритм для защиты ресурсов внутри сети и за ее пределами.

Возможные проблемы

Несмотря на то, что большинство экспертов согласны с необходимостью внедрения стратегии ZTNA, многие признаются, что на пути к реализации может возникнуть ряд проблем. В частности, если сотрудники компании используют в сети компании как личные, так и корпоративные устройства, то ИБ-отделу нужно все это как-то инвентаризировать, а также настроить корпоративные политики для всех классов устройств, как личных, так и, собственно, корпоративных. Если представить себе компанию с развернутой инфраструктурой, которая расширяется на разные города одной страны, а то и разные страны, то можно представить и сложности процесса инвентаризации и категоризации элементов сети.

К слову, корпорации Google c ее инфраструктурой BeyondCorp, о которой рассказывалось выше, понадобилось целых семь лет для завершения проекта. Конечно, далеко не все компании могут сравниться с Google по масштабности. Для мелкого и среднего бизнеса процесс перехода может занять несколько недель или месяцев, но не лет. Это при условии, что внедрением концепции занимается как руководство, так и ИБ-отдел.

Кроме того, в один не особо прекрасный момент компания может выяснить, что в состав сетевой инфраструктуры входят устаревшие устройства и ПО, на которых либо невозможно, либо сложно воплотить современные стандарты безопасности. Замена их потребует большого количества ресурсов.

Но как бы там ни было, решить все проблемы при условии готовности всех сотрудников — вполне реально.

Начинать стоит с управления доступом и мультифакторной аутентификации — просто потому, что около 70% взломов происходит из-за отсутствия нормально развернутой системы аутентификации. Ну и переход в большинстве случаев невозможно совершить одномоментно. Скорее, речь идет о постепенном, многоэтапном процессе.

В качестве вывода

ZTNA (Zero Trust Network Access) — достаточно признаваемая и узнаваемая стратегия. Она предусматривает выделение таких элементов, как контроллер, для управления политиками доступа на уровне пользователей, устройств и приложений, а также сервисный шлюз, который накладывает политики на подключенные устройства и осуществляет контролируемый доступ к корпоративным ресурсам.

ZTNA позволяет сильно сократить количество доступных для атакующего элементов инфраструктуры компании. Все потому, что доступ к этим ресурсам предоставляется лишь заранее проверенным пользователям, устройствам и приложениям.

По мнению экспертов, вскоре можно будет увидеть массовое появление облачных инфраструктур промышленного класса с высокой степенью защиты и уменьшенным временем внедрения.

А что у Zyxel?

Межсетевые экраны серий ATP и USG Flex помогут вам применить концепцию Zero Trust в вашей сети. При этом настройка и управления сетью доступны как из централизованной системы управления Zyxel Nebula, так и в автономном режиме у каждого из устройств.

Полезные ссылки:

Читайте так же:

  • CFO RussiaCFO Russia Описание Ключевые темы мероприятия: ·         ФНС России: концепция развития электронного документооборота ·         Взаимодействие государства и бизнеса по внедрению кадрового ЭДО […]
  • iPhone 13 Pro со сканером отпечатков пальцев и уменьшенной чёлкой показали в новом видеоiPhone 13 Pro со сканером отпечатков пальцев и уменьшенной чёлкой показали в новом видео На YouTube-канала ConceptsiPhone, который имеет 400 тыс. подписчиков, опубликовали новый видеоролик. Демонстрирующий iPhone 13 Pro со встроенным сканером отпечатков пальцев в кнопку включения сбоку. Аналитик TF International Securities Минг-Чи Куо (Ming-Chi Kuo) ранее уже заявил. Что […]
  • Таргетированная реклама: взаимосвязь показателей, маркетинговая воронкаТаргетированная реклама: взаимосвязь показателей, маркетинговая воронка Как правило, запуск таргетированной рекламы дает продажи с холодного трафика. Но большинство пользователей всего лишь смотрят вашу рекламу и ничего не покупают. Чтобы люди совершили покупку. Нужно использовать ретаргетинг и правильно выстраивать коммуникационную стратегию.  В этой […]
  • Московский суд отказался отменить штраф в 2,6 млн рублей для TikTokМосковский суд отказался отменить штраф в 2,6 млн рублей для TikTok Таганский суд города Москвы утвердил административный штраф в 2,6 млрд рублей. Который мировой судья взыскал с сервиса TikTok за неудаление контента с призывами к подросткам выйти на несанкционированные протестные акции в конце января.  Как сообщила пресс-секретарь суда Зульфия […]