Zero Trust Networks - Zero Trust Networks

Sítě s nulovým vztahem důvěry (také síťová architektura s nulovým vztahem důvěryhodnosti, model zabezpečení s nulovým vztahem důvěryhodnosti, ZTA, ZTNA), v oblasti Informační technologie (IT) popisuje přístup k návrhu a implementaci sítí IT. Hlavní koncept nulové důvěryhodnosti spočívá v tom, že síťovým zařízením, jako jsou notebooky, by ve výchozím nastavení nemělo být důvěryhodné, i když jsou připojeny ke spravované podnikové síti, jako je podniková LAN a to i v případě, že byly dříve ověřeny. Ve většině moderních podnikových prostředí se podnikové sítě skládají z mnoha vzájemně propojených segmentů, cloudové služby a infrastruktura, připojení ke vzdáleným a mobilním prostředím a stále častěji připojení k nekonvenčním IT, jako např IoT zařízení. Kdysi tradiční přístup důvěryhodných zařízení v rámci fiktivního podnikového obvodu nebo zařízení k němu připojených prostřednictvím VPN, dává v takových vysoce rozmanitých a distribuovaných prostředích menší smysl. Místo toho síťový přístup s nulovou důvěrou prosazuje kontrolu identity a integrity zařízení bez ohledu na umístění a poskytování přístupu k aplikacím a službám na základě důvěryhodnosti identity zařízení a stavu zařízení v kombinaci s uživatelem ověřování.

Pozadí

Mnoho konceptů podporujících nulovou důvěru není nových. Výzvy při definování perimetru IT systémů organizace byly zdůrazněny Jericho fórum v roce 2003, diskutovat o trendu tehdejší razené de-perimiterizace. V roce 2009, Google implementoval architekturu nulové důvěryhodnosti označovanou jako BeyondCorp, část ovlivněna open-source projekt kontroly přístupu.[1] Pojem nulová důvěra byl přičítán Johnu Kindervagovi, průmyslovému analytikovi společnosti Forrester, jehož reporting a analýza pomohly krystalizovat koncepty nulové důvěry v IT komunity. Trvalo by však téměř deset let, než by se rozšířila architektura nulové důvěryhodnosti, a to částečně díky většímu přijetí mobilních a cloudových služeb.

V polovině roku 2014 navrhl švýcarský bezpečnostní technik Gianclaudio Moresi první systém využívající princip anti-sériového připojení brány firewall, aby chránil každého klienta před novými nebezpečnými viry (Zero Day Protection with Zero Trust Network). Nová architektura založená na síti Untrust-Untrust Network byla zveřejněna ve Švýcarském federálním institutu duševního vlastnictví 20. února 2015.[2]

Do roku 2019 bude britský národní technický úřad, Národní centrum kybernetické bezpečnosti doporučovali, aby síťoví architekti zvážili u nových nasazení IT přístup nulové důvěry, zejména tam, kde je plánováno významné využití cloudových služeb[3]. Do roku 2020 bude mít většina předních prodejců IT platforem i poskytovatelé kybernetické bezpečnosti dobře zdokumentované příklady architektur nebo řešení s nulovou důvěrou. Tato zvýšená popularizace zase vytvořila řadu definic nulové důvěryhodnosti, což vyžaduje úroveň standardizace uznanými orgány, jako je NCSC a NIST.

Definice zásad

Od konce roku 2018 budou práce prováděné Národní institut pro standardy a technologie (NIST) a Národní centrum excelence pro kybernetickou bezpečnost (NCCoE) vědci v oblasti kybernetické bezpečnosti vedli k vydání speciální publikace NIST 800-207, Architektura nulové důvěryhodnosti[4][5]. Publikace definuje zero trust (ZT) jako soubor konceptů a nápadů určených ke snížení nejistoty při prosazování přesných rozhodnutí o přístupu na žádost v informačních systémech a službách tváří v tvář síti považované za kompromitovanou. Architektura nulové důvěryhodnosti (ZTA) je podnikový plán kybernetické bezpečnosti, který využívá koncepty nulové důvěryhodnosti a zahrnuje vztahy komponent, plánování pracovního toku a zásady přístupu. Proto je podnik s nulovým vztahem důvěryhodnosti síťová infrastruktura (fyzická a virtuální) a provozní zásady, které jsou pro podnik zavedeny jako produkt plánu architektury nulové důvěryhodnosti.

NCSC zaujímá alternativní, ale důsledný přístup[3], při identifikaci klíčových principů za architekturami nulové důvěryhodnosti:

  1. Jediný silný zdroj identity uživatele
  2. Ověření uživatele
  3. Ověřování stroje
  4. Další kontext, například dodržování zásad a stav zařízení
  5. Zásady autorizace pro přístup k aplikaci
  6. Zásady řízení přístupu v aplikaci

Reference

  1. ^ cogolabs / dále, Cogo Labs, 2020-08-21, vyvoláno 2020-08-25
  2. ^ G.C. Moresi, architektura pro zabezpečené připojení mezi klientem a serverem (Untrust-Untrust) Patent č. CH 710 768 A2, 20. února 2015
  3. ^ A b „Síťové architektury“. www.ncsc.gov.uk. Citováno 2020-08-25.
  4. ^ "Zero Trust Architecture | NCCoE". www.nccoe.nist.gov. Citováno 2020-08-25.
  5. ^ Rose, Scott; Borchert, Oliver; Mitchell, Stu; Connelly, Seane. „Zero Trust Architecture“ (PDF). nvlpubs.nist.gov. NIST. Citováno 17. října 2020.