Hlavním cílem zero trustu je ochrana dat nebo kritických systémů. K tomu, abychom byli schopní tato nejcitlivější aktiva ochránit, je nezbytné zabezpečit všechny způsoby přístupů k nim, a to v souladu s pravidly zero trustu.
Zmíněnými způsoby, použitelnými jako vektory útoku, jsou podle Forresteru lidé (ať již běžní uživatelé, nebo správci), aplikace a zařízení. Všechny tyto způsoby však mají společného jmenovatele – sítě.
Dnes se již nesetkáváme s útoky vedenými lokálně. Téměř všechny se uskutečňují prostřednictvím datové sítě, jejíž důkladné zabezpečení tak radikálně sníží plochu pro útok, což je hlavním cílem zero trustu.
Dosažení zero trustu na úrovni sítě je možné pouze správnou segmentací a řízením provozu pomocí pozitivního bezpečnostního modelu, který vychází z myšlenky, že naprosto vše je zakázané. Z tohoto základního pravidla jsou tvořeny výjimky, nicméně i ty musejí splňovat základní požadavky modelu zero trust:
- Být co možná nejspecifičtější. Povolit tedy pouze nezbytné minimum, které musí být povolené k tomu, aby provoz fungoval.
- Být aktuální. Všichni známe firewallová pravidla, která přetrvala z minulosti a dnes nikdo neví, k čemu jsou a co způsobí jejich odstranění. Nic takového není v prostředí zero trust možné.
- Být vytvářeny na omezený časový úsek, na základě žádosti. Pokud síťový prostup většinu času neexistuje, není možné jej ani zneužít k útoku.
Splnit tyto požadavky je však v praxi složitější, než by se mohlo zdá. Spočívají totiž nejen v úspěšném provedení řady implementačních kroků, ale i v následné správě, která může být nad personální možnosti většiny organizací.
Postupným laděním jednotlivých kroků v průběhu let došla tuzemská firma H-Square k poměrně jasnému seznamu, co je třeba splnit, aby bylo nasazení zero trustu v oblasti sítě co možná nejjednodušší a zároveň spravovatelné.
- Inventarizace aktiv (asset inventory)
Pro nasazení zero trust modelu je třeba mít kompletní vizibilitu do celé síťové infrastruktury. V rámci tohoto kroku dochází k inventarizaci všech koncových bodů připojených do sítě a k jejich základnímu rozčlenění do skupin podle předem domluveného klíče.
K vykonání této akce je třeba využít automatizovaný nástroj, který následně tento seznam udržuje stále aktuální. Nesmí se stát, že se v síti objeví zařízení, jež nedokážeme identifikovat, a zároveň v inventáři systémů nesmí zůstat žádný objekt, který už aktivní není.
2. Profilace systémů
Po vytvoření inventáře všech prvků v síti je nezbytné tyto prvky identifikovat a zjistit o nich co nejvíce dostupných informací. Tyto údaje pomohou rozdělení prvků do funkčních skupin a také následné tvorbě bezpečnostních politik.
Tady opět pomůže automatizace, která z veškerých již existujících zdrojů dohledá informace a přiřadí je k jednotlivým aktivům.
3. Identifikace kritických systémů
Model zero trust se zaměřuje na koncept zabezpečení inside-out (nejprve chráníme nejdůležitější systémy) oproti standardně používané ochraně outside-in (perimetrový model). K tomu, aby bylo možné chránit kritické systémy, je potřeba nejprve tyto systémy identifikovat.
Jako kritické jsou nejčastěji systémy obsahující citlivá data, jejichž únik by byl pro společnost velmi významným problémem, řídicí systémy a služby, na jejichž dostupnosti závisejí ostatní systémy, nebo činnost společnosti.
4. Namapování kritických systémů na zjištěné síťové prvky
Po nalezení všech prvků v síti a identifikaci kritických systémů a dat je třeba uskutečnit spárování těchto dvou důležitých součástí modelu zero trust. Jde o poměrně komplikovanou fázi projektu, kdy musíme určit, kde přesně jsou citlivá data a kritické systémy umístěné, z jakých prvků se skládají a na kterých prvcích závisí jejich činnost.
5. Zmapování, identifikace a klasifikace toků mezi kritickými systémy a externím prostředím i uvnitř kritických systémů
Zero trust model se ze svého principu zaměřuje na zabezpečení datových toků. K tomu, aby bylo možné definovat velice striktní politiky, je třeba znát komunikaci kritických systémů.
V této fázi dochází k mapování datových toků, přicházejících „z“ a „do“ kritického systému z externího prostředí, i toků uvnitř samotného kritického systému. Nesmí existovat byť jen jediný tok, jehož význam bychom neznali.
6. Návrh segmentace a mikrosegmentace
Správným návrhem segmentace, potažmo mikrosegmentace, lze izolovat potenciální útok pouze v jedné části systému, bez možnosti šíření a přístupu ke kritickým částem firemních aktiv. Cílem zero trustu není tvořit pravidla mezi existujícími segmenty, ale rozdělit systémy do takových úseků, abychom byli schopní řídit toky identifikované v předchozí fázi.
7. Tvorba a následná správa pravidel
Počet pravidel nasazením strategie zero trust výrazně vzroste. Tato pravidla je třeba vytvořit, ale hlavně následně udržovat v aktuálním stavu. Ani jedna z těchto činností však není v silách současných správců, pokud nedojde ke změně správy.
V tuto chvíli se o slovo opět hlásí automatizace a propojení se stále aktuálním seznamem aktiv. Automatizace pravidla vytvoří na základě identifikovaných toků.
Ve chvíli, kdy je zařízení ze sítě odstraněné, se odstaví i z pravidel. Jakmile dojde k zapojení nového koncového bodu nebo spuštění virtuálního serveru, po profilaci se zařadí do správné skupiny v rámci bezpečnostních pravidel.
Jak začít
Ve chvíli, kdy se budete rozhodovat, kde se strategií zero trust začít, jsou sítě jednoznačným vítězem. Důvody jsou zřejmé. Přes datovou síť prochází veškerá komunikace a zároveň existuje jasná metodika, která nás nasazením provede.
Cesta to nebude jednoduchá. Vyžaduje mnoho plánování, analýz a konfigurace. Pokud ovšem zvolíte vhodný nástroj, je reálné zero trust nejen nasadit, a ohromným způsobem tak zvýšit zabezpečení společnosti, ale také ulehčit svým správcům rutinní činnosti a poskytnout jim prostor pro rozvoj spravovaných systémů i jich samotných.
Autor pracuje jako security architect ve společnosti H-Square ICT Solutions