Zero Trust: 7 стратегий принятия от лидеров безопасности
modern security, security, защита ит-инфраструктуры, информационная безопасность
Microsoft считает Zero Trust важным компонентом плана безопасности любой организации. Мы выстроили партнерские отношения с Cloud Security Alliance – некоммерческой организацией, которая продвигает передовые методы облачных вычислений, чтобы собрать воедино руководителей служб безопасности для обсуждения и обмена мнениями об их опыте работы с моделью Zero Trust.
Наша первая дискуссия состоялась за виртуальным круглым столом при участии 10 руководителей служб безопасности известных энергетических, финансовых, страховых и производственных компаний. Мы собрались, чтобы обсудить, что действительно работает, и выяснить, в каких моментах следует откорректировать модель безопасности Zero Trust. Нашей общей целью был обмен знаниями, которыми затем мы сможем поделиться с другими организациями. Подобные дискуссии создают нам ценную почву для роста. Мы также опубликовали электронную книгу, чтобы с нашим обсуждением и выводами смогли ознакомиться и другие профессионалы в области кибербезопасности.
Сегодня мы публикуем результаты этих бесед в своей электронной книге «Исследование Zero Trust: круглый стол для руководителей». В ней говорится, что модель безопасности Zero Trust предполагает не только защиту по периметру, но и переход к более целостному подходу в безопасности. Электронная книга дополняет другие ресурсы, где мы публикуем информацию, чтобы помочь организациям ускорить свою работу в этой критически важной области. Примеры таких ресурсов: «Модель зрелости Microsoft Zero Trust» и «Руководство по внедрению в Центре развертывания Zero Trust». Модель нулевого доверия (Zero Trust) предполагает наличие нарушений и проверяет каждый запрос так, будто он исходит из неконтролируемой сети. Если бы у Zero Trust бы свой девиз, он звучал бы так: «Никогда не доверять, всегда проверять». Это означает, что доверять нельзя никому и ничему – внутри или за пределами брандмауэра, на конечной точке, на сервере или в облаке.
Стратегии Zero Trust
Для старта использования Zero Trust в вашей организации требуется внедрение средств управления и технологий для всех основных элементов: айдентити, устройств, приложений, данных, инфраструктуры и сетей. Участники круглого стола предложили успешные стратегии Zero Trust, которые учитывают ценность каждого из этих основополагающих элементов.
Стратегия №1. Использование айдентити для управления доступом
Айдентити (представляющие людей, услуги и устройства интернета вещей) выступают общим знаменателем для сетей, конечных точек и приложений. В модели безопасности Zero Trust они функционируют как мощный, гибкий и детализированный способ управления доступом к данным. Или, как сформулировал один из участников: «Новый периметр – это айдентити, и вам нужна сильная айдентити, которая прошла валидацию».
При попытках получить доступ к любому ресурсу со стороны любого айдентити, средства управления безопасностью должны проверять такой айдентити с соблюдением строгой аутентификации, гарантировать, что доступ соответствует требованиям и типичен для этого айдентити, и подтверждать, что айдентити соответствует принципам доступа с наименьшими привилегиями.
Стратегия №2. Повышение уровня аутентификации
Добавление многофакторной аутентификации или непрерывной аутентификации в вашу стратегию управления идентификацией может существенно улучшить состояние информационной безопасности вашей организации. Один из участников круглого стола поделился своим опытом. Его организация расширил управление айдентити за счет возможности непрерывной аутентификации. Теперь в компании может запускаться проверка айдентити при изменении IP-адреса пользователя или его обычного поведения.
«Модель Zero Trust будет работать только в том случае, если она прозрачна для конечного пользователя», – заявил участник. «Вы должны сделать ее простой и прозрачной. Если вы хотите проходить аутентификацию каждые пять минут или каждую секунду – это нормально, но при условии, что конечному пользователю не нужно ничего делать, а вы можете выполнить проверку другими методами. Например, конечная точка может быть одним из факторов многофакторной аутентификации ».
Стратегия № 3. Включите аутентификацию без пароля
Аутентификация без пароля заменяет традиционный пароль двумя или более факторами проверки, защищенными парой криптографических ключей. При регистрации устройство создает открытый и закрытый ключи. Закрытый ключ можно разблокировать с помощью локального жеста, например, PIN-кода или биометрической аутентификации (сканирование отпечатка пальца, распознавание лица или распознавание радужной оболочки глаза).
Стратегия №4. Выполните сегментацию вашей корпоративной сети
Сегментация сети может стать настоящей головой болью ИТ-бизнеса, поскольку брандмауэры представляют раннюю сегментацию. Это может усложнить разработку и тестирование. В конечном итоге ИТ-группа больше полагается на группы безопасности для устранения проблем с сетевым подключением и доступом.
Однако сегментирование сетей и проведение более глубокой внутрисетевой микросегментации важны для Zero Trust, поскольку в мире мобильных и облачных технологий доступ ко всем критически важным для бизнеса данным осуществляется через сетевую инфраструктуру. Сетевые элементы управления обеспечивают критически важные функции для улучшения видимости и предотвращения латерального продвижения злоумышленников в сети.
Стратегия №5. Защитите свои устройства
В модели Zero Trust применяются одни и те же политики безопасности, независимо от того, на каких устройствах работает служба безопасности – корпоративных или личных телефонах и планшетах. Этот принцип также называется «использование персональных устройств в рабочих целях» или BYOD. Принцип одинаково распространяется на корпоративные, подрядные, партнерские и гостевые устройства, независимо от того, находятся ли они под полным управлением ИТ-отделов или защищены только лишь приложения и данные. Не имеет значение тип подключения конечных точек (ПК, Mac, смартфонов, планшетов, носимых гаджетов или устройств интернета вещей) – через защищенную корпоративную сеть, домашний широкополосный доступ или общедоступный интернет.
«В мире BYOD устройство – это как бомба», – пояснил один из участников. «Разрешать непропатченным устройствам подключаться к вашей сети – это все равно, что пустить в свою базу злодея со взрывчаткой. Это может плохо закончиться очень быстро. Почему бы для начала не протестировать устройство снаружи? «
Стратегия №6. Сегментируйте свои приложения
Чтобы в полной мере использовать облачные приложения и сервисы, необходимо найти наиболее приемлемый баланс между предоставлением доступа и поддержкой контроля. Баланс должен гарантировать защиту приложений и данных, которые в них содержатся. Применяйте элементы управления и технологии обнаружения теневых ИТ, обеспечивайте соответствующие разрешения в приложениях, доступа на основе аналитики в реальном времени, отслеживания аномального поведения, ограничения действий пользователей и проверки параметров безопасной конфигурации.
«Сегментация между приложениями становится все проще и доступнее», – заявил участник. «Возможность предоставлять чрезмерные привилегии или доступ на основе ролей становится частью общего механизма политики. Похоже, что со временем прикладная часть головоломки решается сама по себе еще более разумно. Этот подход подтверждается каждый раз, когда я слышу, что конечный пользователь может обратиться со своей проблемой.»
Стратегия № 7. Назначение ролей и контроль доступа
В связи с быстрым ростом числа сотрудников на удаленной работе, организациям следует рассмотреть альтернативные способы обеспечения безопасности в современных условиях. Полезный совет: ввести роли и связать их с политикой в рамках авторизации, единого входа, доступа без пароля и сегментации. Однако каждая определенная роль должна управляться сейчас и в будущем. Избирательно относитесь к количеству создаваемых ролей, чтобы позже не возникало проблем с управлением ими.
«Если вы создадите в своей организации тысячу ролей с такой степенью детализации, позже у вас возникнут проблемы с управлением таким количеством», – объяснил один из участников. «Огромное количество аккаунтов не будет обновляться, и именно они послужат слабым местом для взломов».
Переход к опыту использования Zero Trust
Начиная применять модель Zero Trust, организации меняют свою основополагающую направленность. Некоторые представители компаний, участвующих за круглым столом, поделились своим опытом перехода к Zero Trust путем управления доступом и айдентити пользователей, в то время как другие начали с макро- и микросегментации сети или безопасности приложений. Все лидеры согласились с тем, что решающее значение для решения проблемы Zero Trust имеет разработка целостной стратегии, и что вы должны начать с малого и укрепить доверие, прежде чем внедрять принцип нулевого доверия в своей организации.
Обычно это означает применение поэтапного подхода, нацеленного на конкретные области. Необходимо учитывать степень зрелости организации к Zero Trust, имеющиеся ресурсы и приоритеты. Например, вы можете начать с нового проекта в облаке или поэкспериментировать в среде разработки и тестирования. Убедившись в действенности модели Zero Trust, вы сможете распространить ее на все цифровое пространство, одновременно приняв ее как интегрированную философию безопасности и сквозную стратегию продвижения вперед. Вы не одиноки в этом постижении ново опыта. Многие успешные организации уже прошли этот путь, и Microsoft рада поддержать и вас на каждом из его этапов.