Zero trust bezpečnost v praxi. Co očekávat?

by | Čvn 8, 2024 | Bezpečná firma, Cybernews, Nejnovější | 0 comments

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Co je to zero trust (nulová důvěra)

Zero trust je přístup k bezpečnosti vycházející z přesvědčení, že žádný uživatel, zařízení ani transakce nejsou automaticky důvěryhodné. Implicitní důvěru, které se uživatelé často těší ve firemních LAN sítích, je proto třeba eliminovat. V praxi to pak znamená například práci s identitou uživatelů, ověřování zabezpečení zařízení, autorizace přístupů a další techniky. Zero trust tedy není jedna konkrétní technologie, ale obvykle více různých nástrojů. Někteří dodavatelé samozřejmě umí technologie spojit a dodat jako celek.

Cílem zero trustu je snížit kybernetická rizika, eliminovat zranitelnosti, a pokud již k úspěšnému útoku dojde, zamezit napáchání zásadních škod.

Zero trust architektura kontrastuje s tradičním bezpečnostním modelem, který chrání zdroje za bezpečným perimetrem, ale používá jen málo bezpečnostních opatření uvnitř tohoto perimetru. Jakmile se potenciální útočník dostane přes hlavní obrannou linii, má více či méně volný přístup k infrastruktuře.

Co je to zero trust – analogie

Zero trust přístup k bezpečnosti si lze přiblížit na analogii fyzického zabezpečení budovy.

Představte si, že jdete na schůzku. V tradičním pojetí přijdete k recepci a řeknete: „Mám schůzku s paní/panem XY“. Recepční vám může dát nějaké instrukce, jak se k  dotyčné osobě dostat, ale poté už se můžete po budově pohybovat relativně volně, navštěvovat různé patra a chodby, a dokonce nakouknout do kanceláří, pokud nejsou zamčené.

Podle nulové důvěry však recepční nejprve ověří vaši totožnost, aby zjistil, zda vás někdo opravdu očekává (a jestli jste to skutečně vy, koho očekává), a poté vám vydá přístupovou kartu, která vás dostane pouze do kanceláře na schůzku a nikam jinam.

Základní prvky zero trust přístupu k bezpečnosti

Na trhu existuje řada různých zero trust řešení, všechny ale mají společné mechanismy, kterými se řídí.

 

Autentizace na základě identity

Autentizace na základě identity znamená, že uživatel musí s vysokou mírou jistoty prokázat, že je tím, za koho se vydává. K tomu je zapotřebí více mechanismů než jen uživatelské jméno a heslo.

Organizace k tomu často spoléhají na zdroj identity (IdP) používaný pro jednotné přihlašování (SSO) nebo platformu pro správu identit a přístupů (IAM) k vytvoření uživatelských identit.

Aby se snížilo riziko zneužití přihlašovacích údajů, využívá se i autentizace založená na kontextu, tedy multifaktorová autentizace, přičemž její přísnost se může lišit v závislosti na kontextu. Například zaměstnanec, který se přihlašuje mimo pracovní dobu, může být povinován poskytnout další faktory identity.

Zero Trust schéma. Zdroj obrázku: GoodAccess

 

Nakonec ZTNA autentizuje nejen uživatele, ale i jejich zařízení. Autentizace zařízení zahrnuje různé metody, jako jsou instalované certifikáty, hardwarové tokeny nebo klientské aplikace. Rovněž se provádí kontroly stavu zařízení, aby se identifikovala zařízení obsahující zranitelnosti.

 

Princip minimálních privilegií (Least privilege principle)

Princip nejmenších oprávnění (minimálních privilegií) znamená, že po úspěšné autentizaci získá uživatel přístup, ale jen ke zdrojům, které uživatel potřebuje pro svou práci. Například vývojáři budou mít přístup pouze ke svým vývojovým nástrojům a úložištím, ale ne k CRM nebo fakturačním systémům. Tento model je též známý jako segmentace na aplikační úrovni (mikrosegmentace).

Účelem je zabránit laterálnímu pohybu, pokud dojde k průniku do sítě útočníkem. Laterální pohyb znamená, že útočník prochází sítí a hledá nové zdroje, které může zneužít. Když je infrastruktura segmentována, hrozba zůstává omezena v rámci zdrojů dostupných pro kompromitovanou roli.

V rámci segmentace lze využít i segmentace infrastruktury na úrovni sítě. A to buď pomocí fyzických zařízení a spojení mezi nimi, nebo pomocí L2 dělení k rozdělení sítě na logické segmenty. To vyžaduje mnoho znalostí a dovedností v oblasti sítě. Moderní zero-trust řešení jsou bezhardwarová a umožňují mnohem jednodušší segmentaci a monitorování toku dat.

 

Zabezpečená spojení

Jakmile byl uživatel (a jeho zařízení) úspěšně autentizován a obdržel oprávnění, která jeho role umožňuje, může se připojit k firemním zdrojům. Zero trust vytváří spojení mezi uživatelem a konkrétní aplikací prostřednictvím zašifrovaného tunelu, který chrání data před odposlechy a zabraňuje jejich odchytávání.

To pomáhá zabránit útokům jako je útok man-in-the-middle a chrání uživatele před krádeží přihlašovacích údajů, což je dnes nejčastější příčina narušení bezpečnosti.

Michal Čížek, Zdroj: GoodAccess, Foto: GoodAccess
0 Comments
Submit a Comment
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.