Zero Trust Networking (ZTN) litar inte på någonting

John Kindervag, en tidigare analytiker från Forrester Research, var den första som introducerade Zero-Trust-modellen redan 2010. Fokuset var då mer på applikationsskiktet. Men när jag hörde att Sorell Slaymaker från Techvision Research drev ämnet på nätverksnivå, kunde jag inte motstå att jag gav honom ett samtal för att diskutera generalerna på Zero Trust Networking (ZTN). Under konversationen lyste han ett ljus på många kända och okända fakta om Zero Trust Networking som kan visa sig vara användbart för någon. 

Den traditionella världen av nätverk startade med statiska domäner. Den klassiska nätverksmodellen delade klienter och användare i två grupper - pålitliga och opålitliga. De betrodda är de i det interna nätverket, de betrodda är externa till nätverket, vilket kan vara antingen mobilanvändare eller partnernätverk. För att omarbeta det otillförlitliga för att bli betrodd, skulle man vanligtvis använda ett virtuellt privat nätverk (VPN) för att komma åt det interna nätverket.

Det interna nätverket skulle sedan delas in i ett antal segment. Ett typiskt trafikflöde skulle komma in i den demilitariserade zonen (DMZ) för inspektion och därifrån kan man få tillgång till interna resurser. Användarna har tillgång till presentationslagret. Presentationslagret kommunicerar sedan till applikationslagret, vilket i sin tur skulle komma åt databasskiktet. Så småningom visade denna arkitektur mycket trafik från norr till söder, vilket innebär att de flesta av trafiken kommer in och lämnar datacentret.

Födelsen av virtualisering förändrade många saker eftersom det hade en anmärkningsvärd inverkan på trafikflödet. Det fanns nu ett stort antal applikationer i datacentret som krävde tvärkommunikation. Det utlöste ett nytt trafikflöde, känt som öst till väst. Utmaningen för den traditionella modellen är att den inte ger något skydd för trafik från öst till väst.

Traditionella nätverk är uppdelade i olika segment som vanligtvis ses som zoner. Det var vanligt att gruppera liknande servertyper i zoner utan säkerhetskontroller för att filtrera den interna trafiken. Typiskt kan servrar inom en given zon fritt prata med varandra och dela en gemensam sändningsdomän.

Om en dålig skådespelare hittar en sårbarhet i en av dina databaseservrar i den zonen, kan den dåliga skådespelaren flytta med lätthet för att försöka kompromissa med andra databaseservrar. Så här kom nätverks- och säkerhetsmodellen till. Tyvärr är det fortfarande den vanliga företagsarkitekturen som används idag. Det är föråldrat och inte säkert, men ändå mest antagen. I denna dag och ålder måste du vara på rätt sida av säkerheten.

Dåliga skådespelare kommer alltid att jaga efter den svagaste länken och när länken komprometteras rör sig de obemärkt i strävan efter högre måltillgångar. Därför behöver du inte bara skydda norr till söder trafik, du behöver också skydda öst till väst. För att överbrygga klyftan gick vi igenom ett antal faser.

Microsegmentation

Den nuvarande bästa och mest föredragna metoden för att skydda trafik från öst till väst är mikrosegmentering. Mikrosegmentering är en mekanism där du segmenterar den virtualiserade datorn från användarna. Det minskar ytterligare attackytan genom att minska antalet enheter och användare på ett visst segment. Om en dålig aktör får tillgång till ett segment i datazonen är han begränsad från att kompromissa med andra servrar inom den zonen.

Låt oss titta på det ur ett annat perspektiv. Föreställ dig att Internet är som vårt vägsystem och att alla hus och lägenheter är datorerna och enheterna på vägen. I detta scenario definierar mikrosegmentering grannskapet och antalet människor som bor i grannskapet. Alla i grannskapet har möjlighet att navigera till din dörr och försöka få tillgång till ditt hus. Här måste vi anta att färre människor i grannskapet, desto mindre troligt kommer ditt hus att bli rånad.

På samma sätt, när det gäller mikrosegmentering, segmenterade vi inte bara våra applikationer och tjänster, utan vi började också segmentera användarna. Det segmenterar olika användare som använder olika nätverk i olika segment. Det var ett steg i rätt riktning, eftersom det idag styr både trafik från nord till syd och från öst till väst, vilket ytterligare isolerar storleken på sändningsdomäner.

Det kommer med några nackdelar också. En av de största bristerna är att det är IP-adresscentriskt och förlitar sig på VPN- eller NAC-klienter som inte är kompatibla med Internet of Things och förlitar sig på binära regler. Vi använder en binär beslutsprocess; antingen tillåta eller förneka. En ACL gör inte så mycket. Du kan tillåta eller förneka på ett IP- eller portnummer, men det är väldigt en statisk, binär process.

För dagens applikationer måste vi faktiskt använda mer intelligenta system, där ytterligare kriterier kan användas tillsammans med tillåta eller förneka. Jämförelsevis kan NextGen-brandväggar fatta mer intelligenta beslut. De består av regler som till exempel tillåter ett källa och destinationspar att bara kommunicera under vissa öppettider och från vissa nätverkssegment. De är mer korniga och kan också registrera om användaren har klarat MFA-processen.

Sessionslagret

Var sker allt intelligent arbete? Sessionskiktet! Sessionslagret ger mekanismen för att öppna, stänga och hantera en session mellan slutanvändare och applikationer. Sessioner är tillräckliga och slutgiltiga.

Det är sessionskiktet där staten och säkerheten kontrolleras. Anledningen till att vi har brandväggar är att routrar inte hanterar tillstånd. Mellanlådor läggs till för att hantera tillstånd, det är på tillståndsnivå där alla dina säkerhetskontrollutgångar som kryptering, autentisering, segmentering, identitetshantering och avvikelse upptäcks för att nämna några.

För att ha ett mycket säkert nätverk måste nätverket bli smartare, det måste bli lag 5-medvetet för att hantera staten och säkerheten. Eftersom detta är nätverksspecifikt bör du fortfarande ha lämpliga säkerhetskontroller högre uppe i bunten.

I något skede måste nätverksroutrar tillhandahålla dessa funktioner naturligt i nästa generations programvarudefinierade nätverk (SDN), i stället för att kräva bultning på alla dessa ”mellanlådor”, som separerar dataplanet från kontrollplanet.

Idag bevittnar vi mycket uppmärksamhet på SD-WAN-marknaden. SD-WAN använder emellertid tunnlar och överlägg som IPsec och virtual extensible LAN (VXLAN) som saknar applikationsprestanda för säkerhet och säkerhetskontroller.

Inom en SD-WAN har du inte många säkerhetskontroller. Tunnlar är punkt-till-punkt, inte än-till-ände. Alla sessioner går genom en enda tunnel och i tunneln; du har inga säkerhetskontroller för den trafiken.

Även om vi gör framsteg och vi går i rätt riktning räcker det inte. Vi måste börja tänka på nästa fas - Zero Trust Networking. Vi måste tänka på det faktum att all nätverkstrafik är otillförlitlig i en ZTN-värld.

Introduktion av Zero Trust Networking

Målet med Zero Trust Networking är att stoppa skadlig trafik i utkanten av nätverket innan det är tillåtet att upptäcka, identifiera och rikta in sig på andra nätverksenheter.

Zero-Trust i sin enklaste form har förbättrat segmenteringen till en en-till-en-modell. Det tar segmentering hela vägen till de absoluta slutpunkterna för alla användare, enheter, tjänster och applikationer i nätverket.

Inom denna modell kan de skyddade elementen vara antingen användare, "saker", tjänster eller applikationer. Den riktiga definitionen är att ingen användardatagramprotokoll (UDP) eller överföringskontrollprotokoll (TCP) -session får upprättas utan föregående autentisering och godkännande.

Vi gör segmentering ända ner till slutpunkten. I en Zero-Trust-värld är den första regeln att förneka allt. Bokstavligen litar du på ingenting och sedan börjar du öppna en vitlista, som kan bli så dynamisk och kornig som du behöver för att vara.

Min första reaktion på Zero Trust Networking var att den här typen av en-till-en-modell måste lägga till någon allvarlig vikt i nätverket, dvs långsamt ner det, lägga till latens etc. Men det är faktiskt inte fallet, du behöver bara förmågan att kontrollera den första uppsättningen paket. Du behöver bara tillåta att sessionen ska upprättas. I TCP-världen är det TCP SYN- och SYN-ACK-processen. Under resten av sessionen kan du hålla dig utanför datavägen.

En nätverksansvarig måste spendera tid för att verkligen förstå användare, saker, tjänster, applikationer och data i deras nätverk. Dessutom måste chefen mäta vem som har tillgång till vad. De goda nyheterna är att mycket av denna information finns redan i IAM-katalogerna som bara behöver kartläggas i det dirigerade nätverket.

Hur mäter du säkerhet?

Det skulle vara en bra idé att fråga sig själv. Hur mäter jag min säkerhetsproblem? Om du inte kan mäta det, hur kan du hantera det? Vi måste kunna beräkna attackytan.

Med ZTN har vi nu en formel som i princip beräknar nätverksattackytan. Detta är ett effektivt sätt att mäta säkerhetsrisker för nätåtkomst. Ju lägre attackyta, desto säkrare är nätverks tillgångarna.

Innan Zero-Trust var en av variablerna för attackytan sändningsdomänen. Det var en slutvärd som kunde skicka ut ett ARP (Broadcast Address Resolution Protocol) för att se om något annat fanns i nätverket. Detta var en betydande attackyta.

Attackytan definierar i huvudsak hur öppet nätverket är för attacken. Om du till exempel installerar en IoT-övervakningskamera bör kameran bara kunna öppna en TLS-session (Transport Layer Security) för en vald serveruppsättning. Enligt denna modell är attackytan 1. Med den automatiska spridningen av skadlig programvara med miljontals osäkra IoT-enheter är det en nödvändighet i dagens tider.

Det bästa angreppsytan är uppenbarligen 1 men antalet dåligt utformade nätverk kan vara betydligt högre. När du till exempel lägger till en IoT-övervakningskamera till ett lager LAN som har 50 andra anslutna enheter och kameran har 40 öppna portar men den är inte krypterad, och det finns inga riktningsregler för vem som får starta en session. Detta resulterar i attackytan på upp till 200 000 gånger, vilket är ett enormt gap i attackytan. Detta gap är nivån på exponeringen för risk.

Omkretsen löses upp

Omkretsen har upplöst dina användare, saker, tjänster, applikationer och data finns överallt. När världen rör sig till molnet, mobilen och IoT är möjligheten att kontrollera och säkra allt i nätverket längre tillgänglig.

Traditionella säkerhetskontroller som NAC (Network Access Control), brandväggar, intrångsskydd och Virtual Private Networks (VPN) är alla baserade på antagandet att det finns en säker omkrets. När du väl har fått tillgång till LAN, antas det att allt automatiskt litar på. Denna modell antar också att alla slutpunkter har samma VPN- eller NAC-klient, vilket är svårt att upprätthålla i denna distribuerade digitala värld.

Zero-Trust hävdar det motsatta. Allt vare sig inom eller utanför ligger utanför förtroendets domän. I grund och botten är ingenting i nätverket betrodd. Varje session som en användare skapar med andra användare eller applikationer måste autentiseras, godkännas och redovisas i utkanten av nätverket där nätverkssessionen är etablerad.

Idag kan alla lämna sitt hus, resa till ditt hus och knacka på din dörr. Trots att de kanske inte har nycklarna för att öppna dörren, men de kan vänta på en sårbarhet som ett öppet fönster.

I motsats till detta säger ZTN att ingen får lämna sitt hus och knacka på din dörr utan korrekt verifiering och godkännande. Det börjar med förutsättningen att skadlig trafik bör stoppas vid dess ursprung, inte efter att den har trängt in i nätverket för att försöka komma åt en slutpunkt eller applikation.

Sammanfattning

Att definiera en nätverkssäkerhetsställning med standard för att neka all nätverksåtkomst och sedan bygga vitlistor kommer så småningom att minska risken från DDoS-attacker, skadliga programinfektioner och dataintrång.

Om en dålig skådespelare inte ens kan komma till en "tillgångsdörr" på en tillgång, kommer de inte att kunna gå till nästa steg och försöka bryta den! De gamla dagarna med "plug & be" fungerar inte i dagens era. Därför måste nätverken bli tillräckligt intelligenta för att endast tillåta autentiserade och auktoriserade källor. I en digital värld bör ingenting lita på.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.