Navzdory zmatku, zero-trust cesta probíhá pro mnohé

Navzdory zmatku, zero-trust cesta probíhá pro mnohé

I když koncept nulové věřit bezpečnost byl poprvé definován více než 10 lety, je stále obestřena zmatek jako enterprise rozhodnutí-tvůrci i nadále ptát, co to je, kde to koupit, a jak implementovat a spravovat.

Dobrou zprávou však je, že mnoho organizací již implementovalo jednu nebo více složek nulová důvěra, podle analytika Forrester Steve Turner, a může být dále na své cestě s nulovou důvěrou, než si uvědomují.

Proč teď nulová důvěra?

Bývalý Forrester analytik John Kindervag vytvořil teoretický termín v roce 2010 se sloganem ” never trust, always verify.”Přesto až donedávna trvalo, než se myšlenka dostala do trakce.

“John byl před svou dobou,” řekl Turner a dodal, že když byla myšlenka koncipována, nebylo snadné ji realizovat. Na jeho počátku byla síťová bezpečnost stále normou. Většina zaměstnanců pracovala v kancelářích se sítěmi chráněnými tradičními nástroji, jako jsou brány firewall a antimalware.

Dnes je zvýšený zájem nasazení nula důvěra může být přičítáno rostoucí výskyt oblačnosti v kombinaci s více zaměstnanců, kteří pracují na cestách z více zařízení, řekl Doug Cahill, analytik Enterprise Strategy Group, divize společnosti TechTarget.

Steve TurnerSteve Turner

Částečně poháněna pandemií, realizace podniků o významu vzdálených zaměstnanců také vytváří větší zájem o nulovou důvěru. Pro získání a udržení nejlepšího talentu umožňuje více společností práci na dálku.

“Lidé chtějí pracovat tak, jak chtějí,” řekl Turner. “Staré bezpečnostní modely tomu neodpovídají. Se nechráňte a zarovnejte s obchodními cíli má mnoho organizací.”

Nulová důvěra je příslib zajištění podniku obvod složený z cloud a vzdálené pracovní místa, tak se zaměříme na koncept, ale deset let stará otázka zůstává: Co přesně to je?

Co vlastně znamená nulová důvěra?

“Zero trust eliminuje myšlení, které říká: “uvnitř se rovná důvěryhodné”, ” řekla Johna Till Johnson, generální ředitelka a zakladatelka Nemertes Research. Podnikové sítě byly tradičně zřízeny tak, aby předpokládaly, že jakmile byl někdo uvnitř hranic kancelářských zdí, byli důvěryhodní. Vzdálená práce a cloud tento konstrukt eliminovaly.

V žádné trust případě, “nikdy nevěř” znamená nenechat uživatele, bez ověřování a autorizace. Přijetí přístupu default-deny, nulová důvěra pouze uděluje přístup jakmile je důvěra vytvořena pomocí atributů, jako je uživatelské jméno a heslo, umístění, profil zařízení a denní doba.

Nomenklatura Zero trust pravděpodobně zvyšuje její zmatek, řekl Cahill. “Je to poněkud drakonický termín. Když nevěříš nikomu nebo tak, jak může někdo z nás udělat svou práci?”Skutečným úlovkem nulové důvěry je místo, kde přichází komponenta” vždy ověřovat”. “Ověřím, že jste důvěryhodný, ale pak budu i nadále předpokládat, že jste potenciálně škodlivý,” vysvětlil Cahill.

Zero trust je především o ochraně dat a kontrole toho, jak k nim lidé přistupují, řekl Turner. “Ověřuje každý krok způsobu, jakým lidé přistupují k datům, ať už je to prostřednictvím aplikace nebo zařízení.”

Jak si nulovou důvěru?

Zero trust je super-zjednodušující ve svém jádru, Turner řekl. Přidejte segmentaci jedné části a ověření jedné části a, voila, zero trust.

Ale je to trochu složitější, vysvětlil. Zero trust má dvě hlavní složky: komponentu identity a komponentu sítě. Část identity zahrnuje správu identity a přístupu spolu s dalšími technologiemi identity, jako je multifaktorová autentizace (MFA) a správa identity. Provisioning je vázán například pomocí automatizovaných procesů ke změně přístupových práv zaměstnanců, když se jejich role mění v rámci organizace. Síťová komponenta zahrnuje segmentace sítě a mikrosegmentace, které pomáhají omezit přístup na základě toho, co zaměstnanci potřebují pro své konkrétní role.

Navzdory tomuto jednoduchému vysvětlení nulová důvěra zaznamenala odpor, protože mnoho organizací si myslí, že musí vytrhnout a nahradit své bezpečnostní nástroje novými nástroji nulové důvěry.

Mnoho společností si myslelo, že začínají od nuly, ale ve skutečnosti začínají od 30%.

Steve TurnerAnalytik, Forrester

“Chci dát čáru do písku. Zero trust není produkt. Není to jeden konkrétní prodejce. Není to něco, co si můžete koupit, ” řekl Turner. Spíše je to strategie následovat.

Je klam, že firmy musí kupovat všechny nové technologie, aby se dostaly do stavu nulové důvěry, dodal Turner. Místo toho mohou používat různé technologie různými způsoby a mnoho z nich již mohlo nasadit.

“Nemusíte trhat a nahrazovat, abyste se tam dostali,” řekl Turner. “Hodně se na dodavatele ekosystém, který chápe tento vybudovala robustní rámec integrace v rámci své produkty plug a hrát si s sebou, protože vědí, že to bude jejich konkurenční výhodu.”

Mnoho nástrojů, které podniky již mají na svém místě, lze použít k zahájení svých cest s nulovou důvěrou, dodal Turner. Patří mezi ně MFA, správa identit, detekce koncových bodů a odpověď (EDR), orchestrace, šifrování a analytika.

Hodně zmatku, Turner řekl, pochází od prodejců, vysvětlovat, že mnoho facku nulová důvěra fráze na svých produktech bez vysvětlení, jak přesně umožňují nulovou důvěru.

Nemertesův Johnson řekl, že zmatek dodavatele zhoršuje skutečnost, že nulové důvěry lze dosáhnout mnoha různými způsoby – neexistuje žádná jasná cesta k tomu. “Spousta kombinací produktů vám dává nulovou důvěru,” řekla. “Je to jen otázka, které kombinace jste si vybrali a jak dlouho fungují.”

Současný stav cesty s nulovou důvěrou

Pandemie neúmyslně podnítila adopci nulové důvěry. Během odstavení bylo mnoho společností nuceno do režimu vzdálené práce. Selhání VPN přimělo mnoho organizací k přijetí softwarově definovaných periferií, softwarově definovaných WAN a Zabezpečený Přístup Service Edge, který je postavil na cestu k nulové důvěře, aniž by to mnozí věděli.

Více klientů zeptal se Turner radu, jak začít nulovou důvěru, a poté, co vyšetřování, které technologie mají v místě, on byl schopný jim říct, že už začala.

“Mnoho společností si myslelo, že začínají od nuly, ale ve skutečnosti začínají od 30%,” řekl Turner.

Vzpomněl si, že mluvil s jedním klientem, který byl býčí o možnosti dosažení nulové důvěry. Po položení otázek Turner zjistil, že společnost již implementovala MFA a nasadila EDR, stejně jako integrovala svůj identifikační systém se svými bezpečnostními systémy.

“Právě jste narazili na dva principy v ekosystému nulové důvěry,” řekl Turner klientovi. “Bylo vidět, jak mu exploduje hlava.”Důkazem bylo ukázat klientovi, jak již zavedené technologie mapovaly nulovou důvěru – a že nemusel kupovat něco zcela nového, aby se to stalo.

Přesto tomu tak není vždy. Zatímco zájem je tam, zero trust má před sebou dlouhou cestu, než se stane hlavním proudem.

“Ze 100 různých dotazů bych řekl, že asi pět až 10 z nich jsou organizace, které chápou, co dělají,” řekl Turner.

Obrázek zobrazující Sedm pilířů nulové důvěry Forresteru
Správně nasazená strategie nulové důvěry pokrývá sedm odlišných pilířů.

Chcete-li pomoci klientům pochopit nulovou důvěru, Forrester definoval jeho Sedm pilířů: zabezpečení pracovní síly, zabezpečení zařízení, zabezpečení pracovní zátěže, zabezpečení sítě, zabezpečení dat, viditelnost a analytika a automatizace a orchestrace. Poslední z nich, řekl Turner, je ten, který rozhodně nelze ignorovat, protože je klíčem k připojení a využití všech ostatních pilířů a jejich souvisejících technologií.

Turner poznamenal, že mnoho selhání nulové důvěry je způsobeno společnostmi zaměřenými na technologie a nikoli na obchodní nebo lidské změny, které je třeba řešit, aby nulová důvěra byla úspěšná.

“Některé firmy se snaží zabouchnout do technologie, jakou bezpečnost vždy dělala,” řekl. “Chtějí jen zaškrtnout políčko a říct:” teď jsme nulová důvěra. Ale takhle nulová důvěra nefunguje.”

Na slibnou poznámku, Turner řekl, že mnoho společností touží zjistit, jak jim zero trust může pomoci.

“Vidíme explozi organizací, které konečně dostanou, že potřebují modernizovat to, co dělají,” řekl Turner. “A nulová důvěra je cesta, kterou se tam mohou dostat.”

Share

Leave a Reply

Your email address will not be published. Required fields are marked *