5-8 minut

Pięć kroków do wdrożenia modelu zerowego zaufania

Koncepcja Zero Trust jest fundamentem, na którym budowane są nowoczesne rozwiązania bezpieczeństwa sieciowego. Jej skuteczne wdrożenie wymaga jednak dobrego przygotowania. Od czego zacząć?

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:
  1. W JAKIM STOPNIU ZERO TRUST POMAGA PRZECIWDZIAŁAĆ ZAGROŻENIOM CYBERBEZPIECZEŃSTWA?
  2. NA JAKIM ETAPIE WDROŻENIA ZASAD ZEROWEGO ZAUFANIA SĄ OBECNIE NAJWIĘKSZE ORGANIZACJE?
  3. JAK PRZYGOTOWAĆ PLAN IMPLEMENTACJI ZERO TRUST W FIRMIE?
  4. JAKIE WYZWANIA MOGĄ POJAWIĆ SIĘ PRZY WDRAŻANIU ZASAD ZEROWEGO ZAUFANIA?

Koncepcja zerowego zaufania (Zero Trust) zakłada budowanie polityki cyberbezpieczeństwa opartej na ścisłej kontroli dostępu i przyznawaniu minimalnych przywilejów w zależności od kontekstu. Najprościej można ją streścić słowami „nikomu nie ufaj, zawsze sprawdzaj”. W praktyce oznacza to, że lokalizacja urządzenia użytkownika wewnątrz sieci nie daje mu automatycznie żadnych uprawnień. Z drugiej strony – użytkownik łączący się zdalnie może taki dostęp uzyskać po poprawnej weryfikacji tożsamości, ale będzie mógł korzystać tylko z zasobów niezbędnych do wykonania zadania.

Taki model umożliwia skuteczne działanie organizacji intensywnie korzystających z technologii chmurowych; tych, w których obowiązuje praca hybrydowa lub zdalna, a także w firmach mających liczne oddziały. Przynosi również znaczące korzyści w obliczu coraz bardziej zaawansowanych zagrożeń ze strony cyberprzestępców, których celem jest kradzież danych – zmniejsza powierzchnię potencjalnego ataku i łagodzi skutki incydentów, dzięki funkcjom bardzo szczegółowej kontroli dostępu i segmentacji sieci. Według badania Cisco „Security Outcomes for Zero Trust”[1] organizacje, które wdrożyły koncepcję Zero Trust, dwukrotnie rzadziej zgłaszają incydenty bezpieczeństwa i są o 11 proc. mniej narażone na ataki ransomware.

Wreszcie – co dziś jest również bardzo istotne – pozwala dostosować poziom cyberbezpieczeństwa do obowiązujących wymogów legislacyjnych.

To wszystko sprawia, że koncepcja Zero Trust zyskuje coraz większą popularność. Z przywołanego wyżej badania Cisco wynika, że ponad 86 proc. organizacji rozpoczęło wdrażanie jakiejś formy tej strategii. Podobne wnioski płyną z ankiety Gartnera przeprowadzonej pod koniec 2023 roku – dwie trzecie największych firm zainwestowało już w implementację tego modelu[2].

Nie brakuje jednak wyzwań. Z danych zgromadzonych przez Cisco wynika, że jedynie

2 proc. firm skutecznie zakończyło implementację zasad Zero Trust. A Gartner zwraca uwagę, że w wielu organizacjach ta strategia obejmuje jedynie niewielkie części firmowych sieci, a na jej realizację przeznaczane są zbyt niskie budżety.

Jak zatem sprawić, aby ta inwestycja przyniosła pożądane efekty? Oto pięć kluczowych aspektów, które menedżer ds. bezpieczeństwa IT powinien rozważyć w związku z implementacją zasad Zero Trust.

Krok 1. Sprawdź kogo i co masz w sieci

Rozpocznij od identyfikacji wszystkich użytkowników korzystających z firmowej sieci. Oznacza to stworzenie listy pracowników, współpracowników, pracowników zdalnych, partnerów i osób z innych firm, które powinny mieć dostęp do cyfrowych zasobów organizacji. Określ – dla każdej z nich – do jakich danych powinna mieć dostęp i w jakich okolicznościach. To najważniejsza część całego procesu: od tego, jak precyzyjnie uda się te role i uprawnienia zdefiniować, zależy rezultat „operacji Zero Trust”.

Skataloguj również urządzenia korzystające z sieci. Tu nie wystarczy przeniesienie danych z ostatniej inwentaryzacji – wielu pracowników korzysta zapewne z własnych, prywatnych urządzeń do łączenia z niektórymi firmowymi aplikacjami. W części firm nie obowiązują pod tym względem żadne ograniczenia, inne chętnie stosują zasadę BYOD. Na liście należy uwzględnić nie tylko serwery, laptopy, telefony i tablety, ale również elementy infrastruktury sieciowej oraz urządzenia IoT.

Krok 2. Zidentyfikuj wrażliwe dane

Kolejnym etapem przygotowania do implementacji Zero Trust jest analiza, które dane są krytyczne dla funkcjonowania organizacji, a które mogą zostać zaklasyfikowana jako dane wrażliwe. Mogą to być dane osobowe – na co większość menedżerów i tak jest już wyczulona za sprawą RODO – ale także wszelkie informacje finansowe, plany, materiały chronione na mocy praw autorskich i pokrewnych czy jakiekolwiek dane istotne dla prowadzenia biznesu.

Na tę część przygotowań należy zwrócić szczególną uwagę w kontekście obowiązujących przepisów, bowiem właściwa identyfikacja takich zbiorów danych będzie istotna dla procedur zgodności.

Odpowiednia klasyfikacja znacznie ułatwi wdrożenie zasad dostępu – co jest przecież kluczem dla strategii zerowego zaufania. Może też dostarczyć informacji przydatnych w procesie mikrosegmentacji sieci – jednego z rozwiązań podnoszących odporność na ataki i pozwalającego zminimalizować ewentualne straty w wyniku incydentów bezpieczeństwa.

Krok 3. Stwórz zestaw zasad i architekturę Zero Trust

Po tych przygotowaniach można przystąpić do opracowania szczegółowych zasad architektury Zero Trust w organizacji. Powinny one obejmować m.in. sposób weryfikacji tożsamości użytkowników, reguły dostępu, metody ochrony urządzeń czy wykorzystania sieci.

Mikrosegmentacja pozwala podzielić całą sieć na mniejsze izolowane środowiska o własnych zasadach dostępu uwzględniające kontekst danych, aplikacji i użytkownika. Takie posunięcie umożliwia zablokowanie tej części sieci, która została skutecznie zaatakowana, co znacząco zmniejsza ryzyko dalszych szkód.

Zasada przyznawania minimalnych uprawnień zakłada przyznawanie dostępu tylko w zakresie niezbędnym do wykonania określonego zadania. Jej elementem jest również wycofywanie uprawnień wtedy, kiedy przestają być niezbędne. Należy pamiętać, że każda organizacja jest inna, a jej potrzeby zmieniają się w czasie – konieczne będą zatem regularne przeglądy i aktualizacje tych zasad.

Jako uzupełnienie tego kroku warto przypomnieć, że obecny standard, czyli uwierzytelnianie wieloskładnikowe (MFA) najczęściej oznacza… tylko dwa składniki. Przyjęło się, że silne uwierzytelnienie opiera się „na czymś, co wiesz” i „na czymś, co masz” – czyli np. login i hasło oraz dodatkowo klucz sprzętowy, SMS potwierdzający czy wygenerowany kod w aplikacji na smartfonie. Tymczasem MFA, zwłaszcza w przypadku żądania dostępu do szczególnie istotnych informacji, może opierać się dodatkowo na biometrii czy analizie behawioralnej.

Krok 4. Wybierz narzędzia niezbędne do wprowadzenia ZTNA

Mnogość rozwiązań Zero Trust Network Access (ZTNA) nie ułatwia wyboru dostawcy[3]. Według analityków Gartnera[4] to wciąż rozwijająca się technologia wymagająca więcej niż jednego partnera w celu spełnienia wymagań organizacji. Dlatego firmy, które korzystają z rozwiązania SD-WAN lub planują jej wdrożenie, powinny rozważyć kompleksowe rozwiązanie SASE (Secure Access Service Edge), które łączy nowoczesną sieć korporacyjną SD-WAN z mechanizmami bezpieczeństwa i zarządzaniem tożsamością. Organizacje działające w innym środowisku sieciowym wybiorą raczej rozwiązania SSE koncentrujące się wyłącznie na aspekcie kontroli dostępu i ochrony przed atakami. Więcej na ten temat można znaleźć w Strefie Wiedzy.

Analiza własnej sieci może na tym etapie przynieść zaskakujące wnioski – np. konieczność modernizacji wielu elementów sprzętowych czy zakupu oprogramowania umożliwiającego monitorowanie i wykrywanie ataków. Warto to zrobić w przemyślany sposób – tak, aby wszystkie te narzędzia współpracowały ze sobą. Kluczowymi elementami oceny będą tu: łatwość implementacji w istniejącym środowisku, wsparcie dla chmury, skalowalność, doświadczenie dostawcy, poziom świadczenia usługi i wreszcie cena.

Krok 5. Sprawdzaj, jak to działa

Uruchomienie systemu monitorującego zachowanie użytkowników, ruch sieciowy i potencjalne zagrożenia w czasie rzeczywistym jest jednym z ostatnich elementów całego procesu wdrażania zasady zerowego zaufania. Tu również można skorzystać z zewnętrznych usług centrów monitoringu bezpieczeństwa oferujących narzędzia analityczne, raportowanie, jak również reagowanie na incydenty.

Dla firm objętych nowymi regulacjami w obszarze ciągłości działania i bezpieczeństwa IT (przede wszystkim NIS2) konieczne będzie również prowadzenie regularnych audytów i testów. Tu również z pomocą mogą przyjść wyspecjalizowane firmy.

Podsumowanie

Wdrożenie koncepcji Zero Trust to proces wymagający czasu i nakładu pracy. To, jak długo potrwa, zależy od stopnia złożoności organizacji, szczegółowych rozwiązań w infrastrukturze IT i… determinacji zespołu. Mniejsze organizacje, dysponujące stosunkowo nowoczesnym sprzętem i rozwiązaniami infrastrukturalnymi poradzą sobie z tym w kilka miesięcy. Większe organizacje, w których działają systemy starszego typu (legacy) powinny przeznaczyć na ten proces co najmniej rok[5].

Istotne będą także szkolenia pracowników i zespołu IT. Kluczowe jest tu przekonanie użytkowników, że restrykcyjne zasady kontroli dostępu są korzystne dla bezpieczeństwa wszystkich – muszą zatem być tak skonstruowane, aby nie utrudniać pracy. W przeciwnym przypadku użytkownicy będą robili wszystko, aby wykonać stawiane przed nimi zadania i celowo ominą krępujące ich reguły bezpieczeństwa. Wdrożenie takiego rozwiązania własnymi siłami może też oznaczać spore nakłady oraz konieczność zatrudnienia dodatkowych specjalistów IT.

[1] https://www.cisco.com/c/en/us/products/security/zero-trust-outcomes-report.html

[2] https://www.gartner.com/en/newsroom/press-releases/2024-04-22-gartner-survey-reveals-63-percent-of-organizations-worldwide-have-implemented-a-zero-trust-strategy

[3] https://www.gartner.com/reviews/market/zero-trust-network-access

[4] https://www.gartner.com/en/documents/4719032

[5] https://www.nexusgroup.com/how-to-achieve-a-zero-trust-security-model-2/

SD-WAN

Ten artykuł dotyczy produktu

SD-WAN

Przejdź do produktu
SASE

Ten artykuł dotyczy produktu

SASE

Przejdź do produktu

Data publikacji: 29.11.2024

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail