Nollförtroende lägger till nödvändiga ingredienser

Dagens hotlandskap består av skickliga, organiserade och välfinansierade dåliga aktörer. De har många mål inklusive att filtrera ut känsliga uppgifter för politiska eller ekonomiska motiv. För att bekämpa dessa flera hot krävs cybersecurity-marknaden att växa ut med ännu högre hastighet.

IT-ledarna måste utveckla sina säkerhetsramar om de vill ligga före cyberhoten. Utvecklingen i säkerhet som vi bevittnar har en lutning mot Zero-Trust-modellen och den mjukvarudefinierade omkretsen (SDP), även kallad ”Black Cloud”. Principen för dess design är baserad på behovet att veta modellen.

Zero-Trust-modellen säger att alla som försöker få tillgång till en resurs måste autentiseras och först godkännas. Användare kan inte ansluta till något eftersom obehöriga resurser är osynliga, kvar i mörkret. För ytterligare skydd kan Zero-Trust-modellen kombineras med maskininlärning (ML) för att upptäcka riskabelt användarbeteende. Dessutom kan det ansökas om villkorad åtkomst.

I grund och botten garanterar Zero-Trust en-till-en-segmentering minst åtkomst till privilegier och reducerar attackytan till ett absolut minimum. Det förhindrar eventuella laterala rörelser i nätverket, och eliminerar därigenom många välkända nätverksbaserade attacker inklusive servernsökning, avslag på tjänst, SQL-injektion, operativsystem, applikationssårbarhetsutnyttjande och man-i-mitten för att nämna några . En-till-en-segmenteringen är inte bara IP-adress till IP-adress, utan också till tjänster (portar) och applikationer.

Lateral rörelse är en vanlig teknik som dåliga aktörer använder för att navigera mellan eller inom segment med avsikt att kompromissa med värdefulla tillgångar. De rör sig försiktigt och går ofta obemärkt i månader, om inte år. En hacker skulle upptäcka, identitet och sedan rikta in enheter i ett nätverk. Vanligtvis skulle en hacker rikta in sig på och enkelt kompromettera enheterna (ouppdaterade servrar) och sedan komma till mer värdefulla tillgångar. Medan "ytterdörren" på en server kan säkras finns det många bakdörrar som också måste säkras när det gäller hantering, loggning och annan trafikanvändning.

När vi undersöker vårt förflutna finner vi att vi har tagit betydande steg i utvecklingen av vårt tänkande relaterat till säkerhet. Till exempel har vi flyttat från enfaktorautentisering till tvåfaktorautentisering och nu till flerafaktorautentisering. Vi har också flyttat från icke-krypterande trafik i rörelse till kryptering av trafik i rörelse, vilket resulterar i att en hög andel av applikationerna är TLS-krypterade transporter. 

Zero-Trust är den nästa stora megatrenden som gör att vi kan försvara oss mot interna och externa cyberbrottslingar. Den tekniska marknaden har utvecklats stadigt. Om du undersöker de tidigare säkerhetsarkitekturerna kan du säga att vi inte hade något annat val än att komma hit. Affärsmål måste uppfylla säkerhetslösningar och bara för att du har en hammare betyder inte att allt är en spik. Det är ett vanligt antagande att många överträdelser har en intern vektor där en användare eller skadlig programvara gör det möjligt för en extern aktör att få åtkomst.

Tidigare föråldrade arkitekturer

Traditionella arkitekturer med nätanslutningskontroll (NAC) och virtuella privata nätverk (VPN) typer av åtkomst läggs under antagandet att omvärlden är ond och insidan är bra; utan hot.

Verkligheten är att det har skett en snabb ökning av framgångsrika attacker som har en skadlig komponent, vare sig det är en användare på insidan eller en enhet som har äventyrats. Så vi har inte längre ett betrodd nätverk och tydliga avgränsningspunkter. Det är ganska olyckligt och sorgligt att säga att användare i ett nätverk inte är mer pålitliga än de utanför nätverket. 

Omkretsen medan den fortfarande existerar är mer flytande än tidigare. Förutsättningen för traditionell arkitektur var att ha en fast omkrets. Omkretsen skulle bara bli flytande, inte bara med introduktionen av ny teknik utan med utvecklingen av nya affärsmodeller, som att ha ett antal API: er till olika leverantörer. Företagets avgränsningspunkter och deras lösningar har blivit mycket fuzzier än tidigare.

Zero-Trust är en verklighet, inte bara en PowerPoint-presentation. Det finns verkliga produkter som SDP, som är en arbetsgrupp och föreslagen arkitektur som sätter Zero-Trust på marknaden.

Programvarudefinierad perimeter (SDP)

Gruppen SDP driver Zero-Trust-säkerhet. Deras mål är att utveckla en lösning för att förhindra nätattacker mot applikationen. Ursprungligen var det arbetet som genomfördes vid Försvarsinformationssystemets byrå (DISA) under Global Information Grid (GIG) Black Core Network-initiativet under 2007.

Deras initiala koncept förlitade sig på ett överläggsnätverk och en programvaruklient, inte grundläggande att integrera Identity and Access Management (IAM) med det underliggande IP-nätverket. De förespråkar dock många principer som används i Zero-Trust-modellen.

Den kommersiella produkten består av ett antal komponenter såsom en SDP-klient, styrenhet och gateway.

SDP-klienten hanterar ett brett spektrum av funktioner som varierar från verifiering av enhet och användaridentitet till dirigering av vitlistade lokala applikationer till godkända skyddade fjärrapplikationer. Det är konfigurerat i realtid för att säkerställa att certifikatbaserad ömsesidig TLS VPN endast ansluter till tjänster som användaren har godkänt för.

SDP-kontrollen fungerar som en förtroendemäklare mellan klienten och backend-säkerhetskontroller. Styrenheten har certifikatutfärdare (CA) och identitetsleverantören (IP) har funktioner. Vid klientvalidering ställer regulatorn in båda; SDP-klienten och gatewayen i realtid för att upprätta en ömsesidig TLS-anslutning.

Avslutningen på styrenheten liknar begreppet signalering i röstnätverk. I dag i telefonnät får vi initialt signalen och ett samtal inrättas innan vi tillåter media att gå igenom.

Detta motsvarar att ha en session initiation protocol (SIP) och en transmission control protocol (TCP) session. Vi utför signaleringen för att se till att vi är autentiserade och auktoriserade. Först då får vi kommunicera med fjärränden.

Sedan har vi SDP-gatewayen. Det rekommenderas att SDP-gatewayen distribueras topologiskt, närmare den skyddade applikationen.

SDP-arkitekturen ger ett antal värderade säkerhetsegenskaper när de kombineras tillsammans:

  • Information gömmer sig: Med VPN: er använder du ett DNS-namn på VPN-servern, men med SDP får du aldrig se DNS-namnet på slutpunkten när SDP-kontrollen sitter i mitten och fungerar som tunnelmäklaren.
  • Tillgänglighet: Ingen DNS-information eller synliga portar i skyddad applikation är tillgängliga. I grunden anses SDP-skyddade tillgångar vara "mörka", vilket betyder att de inte kan upptäckas.
  • Pre-autentisering: SDP förautentiserar och validerar anslutningarna. Enhetsidentitet verifieras innan anslutning tilldelas. Detta kan bestämmas via ett MFA-token inbäddat i TCP- eller TLS-anslutningen.
  • Pre-tillstånd: Användare får endast åtkomst till applikationer som är lämpliga för deras roll när de är synkroniserade med policytilldelning.
  • Tillgång till applikationslager: Det är en en-till-en-anslutning mellan användare och resurser. Användarna ges endast åtkomst i ett applikationslager och inte till hela nätverket som ligger under.
  • Sträckbarhet: SDP bygger på beprövade, standardbaserade komponenter, såsom ömsesidiga TLS-, SAML- och X.509-certifikat. Standardbaserad teknik säkerställer enkel integration med andra säkerhetssystem, till exempel datakryptering.

För Zero-Trust kommer andra mål i verklig värld i form av försäljningssegment och ge tredje part åtkomst till din nätverksinfrastruktur.

Använd fall: försäljningspunkt

Dagens nätverkssegmenteringsteknologi är begränsade på grund av deras öppna system för samtrafikmodell (OSI) lager 2 och 3 beroende. VxLAN är segmenteringsvalet inom datacentret. Därför finns virtuella LAN (VLAN) på kontor och virtuella routing och vidarebefordringar (VRF) över det breda nätverket (WAN). Problemet med dessa segment 2 och 3-segmenteringsmekanismer är emellertid att de endast använder media access address (MAC) eller IP-adresser och inte mer intelligenta variabler för policymaking.

Problemet idag med till exempel VLAN-segmentering är att du bara segmenterar ner till en specifik enhet. Men om du har en PCI-server (Betalkortbransch) kanske du vill hålla PCI-trafik åtskild från den andra trafiken, exempelvis katalog eller Office 356, I grund och botten ger ZT dig möjlighet att framtida segmentera trafik inom en enhet på service / applikationsnivå.

ZT är en-till-en-segmentering av användarenhet och tjänst / applikation. Den väljer en enhet och gör en en-till-en-kartläggning av en tjänst och inte en applikation. Den kan segmentera nätverkstrafik inte bara baserad på enhetens MAC- eller IP-adress utan kan också segmentera trafik baserad på användartjänst och applikation.

Använd fall: access från tredje part

Låt oss till exempel säga att vi har en tredje part som utför teknisk support för en organisation. En bank kan ha en Oracle-databas som kör nyckelprogram, som de har problem med. Därför behövs en extern partner för att få tillgång till situationen. Hur gör du det på ett sätt som den externa supportmedlemen inte kan se eller göra något annat i datacentret?

Med Zero-Trust-modellen kan den personen komma åt den servern vid en viss tidpunkt med ett specifikt MFA och ett specifikt problembiljettnummer. Därför, om de kommer tillbaka om fyra timmar, får de inte tillgång.

Detta är i jämförelse med dagens gemensamma access från tredje part. När du har VPN-åtkomst till LAN kan du se och gå till allt annat. Zero-Trust låter dig isolera ner till en specifik server med en IP-adress och portnummer från en specifik källport och IP-adress.

Dessutom finns det så många andra variabler att det kan ta hänsyn till. Zero-Trust är multivariabelt som är dynamiskt och inte statiskt. Det ger användarna en gång åtkomst till en begärd applikation medan alla andra resurser samlas utan att ge åtkomst till hela nätverket.

Googles BeyondCorp-projekt

Googles BeyondCorp-initiativ går till en modell som undviker ett privilegierat företagsnätverk. Istället beror åtkomst bara på enhets- och användaruppgifter, oavsett användarens nätverksplats.

All åtkomst till företagets resurser är fullständigt autentiserad, auktoriserad och
krypterat, baserat på enhetsstatus och användaruppgifter. Som ett resultat kan alla anställda arbeta från alla nätverk och utan att behöva en traditionell VPN-anslutning.

Det finns tre primära fördelar med att flytta till ett Zero-Trust. Den första är eliminering av gränser mellan offentliga och privata nätverk och behandling av alla privata och offentliga IP-nätverk med samma Zero-Trust-policy. Detta är den värld vi lever i idag, därför måste vi agera i enlighet med detta.

Den andra är frikopplingen av säkerhet från det underliggande IP-nätverket och lägga till OSI-lagret 5-intelligens till nätkanten. Denna arkitektur är ett steg i rätt riktning för att bekämpa cyberbrottslingar. Det kräver dock att vi tänker om hur vi kan implementera säkerheten idag. Precis som NG-Firewalls flyttar längre upp på bunten, på liknande sätt måste nästa generations routrar göra samma sak.

Realistiskt sett är VPN inte längre på mode. Användare vill inte spendera tiden på att konfigurera dem. Dessutom flyttar säkerhetsadministratörerna till en Zero-Trust-modell. Google har till exempel underlättat alla sina anställda att kunna arbeta var som helst utan VPN-behov. De har haft denna tillgänglighetsfunktion på plats i ett par år och det har varit mycket framgångsrikt med att säkerställa en hög säkerhetsnivå och samtidigt ge användare möjlighet att arbeta var som helst.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.