Jump to content

Модель безопасности с нулевым доверием

Модель безопасности с нулевым доверием , также известная как архитектура нулевого доверия ( ZTA ), доступ к сети с нулевым доверием ( ZTNA ) и безопасность без периметра, описывает подход к стратегии, проектированию и внедрению ИТ-систем . Основная концепция модели безопасности с нулевым доверием — «никогда не доверяй, всегда проверяй». Это означает, что пользователям и устройствам не следует доверять по умолчанию, даже если они подключены к разрешенной сети, такой как корпоративная локальная сеть , и даже если они были ранее проверено.

ZTA реализуется путем установления строгой проверки личности, проверки соответствия устройства перед предоставлением доступа и обеспечения доступа с минимальными привилегиями только к явно авторизованным ресурсам. Большинство современных корпоративных сетей состоят из множества взаимосвязанных зон, облачных сервисов и инфраструктуры, подключений к удаленным и мобильным средам, а также подключений к нетрадиционным ИТ-средам, таким как устройства IoT .

Причина нулевого доверия заключается в том, что традиционный подход – доверять пользователям и устройствам внутри условного «корпоративного периметра» или пользователям и устройствам, подключенным через VPN – недостаточен в сложной среде корпоративной сети. Подход с нулевым доверием предполагает взаимную аутентификацию , включая проверку личности и целостности пользователей и устройств независимо от их местоположения, а также предоставление доступа к приложениям и службам на основе уверенности в личности пользователя и устройства и работоспособности устройства в сочетании с аутентификацией пользователя . [1] Архитектура нулевого доверия была предложена для использования в конкретных областях, таких как цепочки поставок. [2] [3]

Принципы нулевого доверия могут применяться к доступу к данным и к управлению данными. Это обеспечивает безопасность данных с нулевым доверием , когда каждый запрос на доступ к данным должен проходить динамическую аутентификацию и обеспечивать наименее привилегированный доступ к ресурсам. Чтобы определить, можно ли предоставить доступ, можно применить политики на основе атрибутов данных, того, кем является пользователь, и типа среды с использованием контроля доступа на основе атрибутов (ABAC) . Этот подход к обеспечению безопасности данных с нулевым доверием может защитить доступ к данным. [4]

История [ править ]

В апреле 1994 года термин «нулевое доверие» был придуман Стивеном Полом Маршем в его докторской диссертации по компьютерной безопасности в Университете Стерлинга . Работа Марша изучала доверие как нечто конечное, что можно описать математически, утверждая, что концепция доверия выходит за рамки человеческих факторов, таких как мораль , этика , законность , справедливость и суждение . [5]

Проблемы модели сети Smartie или M&M (предшественник депериметризации ) были описаны инженером Sun Microsystems в статье в журнале Network World в мае 1994 года, который описал защиту периметра брандмауэров как твердую оболочку вокруг мягкой оболочки. в центре, как яйцо Кэдбери. [6]

В 2001 году была выпущена первая версия OSSTMM (Руководство по методологии тестирования безопасности с открытым исходным кодом), в которой особое внимание уделялось доверию. Версия 3, вышедшая примерно в 2007 году, содержит целую главу о доверии, в которой говорится: «Доверие — это уязвимость» и рассказывается о том, как применять элементы управления OSSTMM 10 на основе уровней доверия.

В 2003 году проблемы определения периметра ИТ-систем организации были освещены на Иерихонском форуме этого года, на котором обсуждалась тенденция того, что тогда было названо « депериметризацией ».

В ответ на операцию «Аврора» , китайскую APT-атаку, проводившуюся в 2009 году, Google начала внедрять архитектуру нулевого доверия, известную как BeyondCorp .

В 2010 году термин «модель нулевого доверия» использовался аналитиком Джоном Киндервагом из Forrester Research для обозначения более строгих программ кибербезопасности и контроля доступа внутри корпораций. [7] [8] [9] Однако для того, чтобы архитектуры с нулевым доверием стали широко распространенными, потребуется почти десятилетие, отчасти благодаря более широкому внедрению мобильных и облачных сервисов. [ нужна ссылка ]

В 2018 году работа, проведенная в США исследователями кибербезопасности из NIST и NCCoE, привела к публикации NIST SP 800-207 – Архитектура нулевого доверия. [10] [11] В публикации нулевое доверие (ZT) определяется как совокупность концепций и идей, предназначенных для уменьшения неопределенности при обеспечении точных решений о доступе по каждому запросу в информационных системах и службах в условиях, когда сеть рассматривается как скомпрометированная. Архитектура нулевого доверия (ZTA) — это план кибербезопасности предприятия, который использует концепции нулевого доверия и включает взаимоотношения компонентов, планирование рабочих процессов и политики доступа. Таким образом, предприятие с нулевым доверием — это сетевая инфраструктура (физическая и виртуальная) и операционные политики, которые действуют для предприятия как продукт плана архитектуры с нулевым доверием.

Есть несколько способов реализовать все принципы ZT; полное решение ZTA будет включать в себя элементы всех трех:

  • Использование улучшенного управления идентификацией и контроля доступа на основе политик.
  • Использование микросегментации
  • Использование оверлейных сетей или программно-определяемых периметров

Соединенного Королевства В 2019 году Национальный центр кибербезопасности (NCSC) рекомендовал сетевым архитекторам рассмотреть подход с нулевым доверием для новых ИТ-развертываний, особенно там, где планируется значительное использование облачных сервисов. [12] Альтернативный, но последовательный подход применяется NCSC при определении ключевых принципов, лежащих в основе архитектур нулевого доверия:

  • Единый надежный источник идентификации пользователя
  • Аутентификация пользователя
  • Машинная аутентификация
  • Дополнительный контекст, например соответствие политике и работоспособность устройства.
  • Политики авторизации для доступа к приложению
  • Политики контроля доступа в приложении

См. также [ править ]

Ссылки [ править ]

  1. ^ «Взаимный TLS: защита микросервисов в Service Mesh» . Новый стек . 01.02.2021 . Проверено 20 февраля 2021 г.
  2. ^ Коллиер, Закари А.; Саркис, Джозеф (3 июня 2021 г.). «Цепочка поставок с нулевым доверием: управление рисками в цепочке поставок при отсутствии доверия» . Международный журнал производственных исследований . 59 (11): 3430–3445. дои : 10.1080/00207543.2021.1884311 . ISSN   0020-7543 . S2CID   233965375 .
  3. ^ ду Амарал, Тьяго Мело Штукерт; Гондим, Жоау Хосе Коста (ноябрь 2021 г.). «Интеграция нулевого доверия в кибербезопасность цепочки поставок» . Семинар 2021 года по сетям связи и энергосистемам (WCNPS) . стр. 1–6. дои : 10.1109/WCNPS53648.2021.9626299 . ISBN  978-1-6654-1078-6 . S2CID   244864841 .
  4. ^ Яо, Цигуй; Ван, Ци; Чжан, Сяоцзянь; Фэй, Цзясюань (04 января 2021 г.). «Динамическая система контроля доступа и авторизации на основе архитектуры нулевого доверия» . Международная конференция по управлению, робототехнике и интеллектуальным системам 2020 . ЦКРИС '20. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 123–127. дои : 10.1145/3437802.3437824 . ISBN  978-1-4503-8805-4 . S2CID   230507437 .
  5. ^ Марш, Стивен (1994), Формализация доверия как вычислительная концепция , с. 56 , получено 22 июля 2022 г.
  6. ^ «Интернет-хакеры, будьте осторожны: корпоративные локальные сети защищены» . Сетевой мир . IDG Network World Inc., 23 мая 1994 г. ISSN   0887-7661 - через Google Книги.
  7. ^ Лотен, Ангус (01 мая 2019 г.). «Akamai делает ставку на подход «нулевого доверия» к безопасности» . Уолл Стрит Джорнал . Проверено 17 февраля 2022 г.
  8. ^ Хиггинс, Келли Джексон. «Forrester продвигает модель «нулевого доверия» для обеспечения безопасности» . Мрачное чтение . Информация . Архивировано из оригинала 26 августа 2021 года . Проверено 17 февраля 2022 г.
  9. ^ Киндерваг, Джон (5 ноября 2010 г.). «Встройте безопасность в ДНК вашей сети: сетевая архитектура с нулевым доверием» (PDF) . Исследования Форрестера . Проверено 22 июля 2022 г.
  10. ^ Национальный центр передового опыта в области кибербезопасности . «Реализация архитектуры нулевого доверия» . НИСТ . Проверено 22 июля 2022 г.
  11. ^ Роуз, Скотт; Борхерт, Оливер; Митчелл, Стю; Коннелли, Шон. «Архитектура нулевого доверия» (PDF) . nvlpubs.nist.gov . НИСТ . Проверено 17 октября 2020 г.
  12. ^ «Сетевые архитектуры» . www.ncsc.gov.uk. ​Проверено 25 августа 2020 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Zero_trust_security_model&oldid=1230320726"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 119e8388b95e81e33b5e46dd8142327f__1719009600
URL1:https://arc.ask3.ru/arc/aa/11/7f/119e8388b95e81e33b5e46dd8142327f.html
Заголовок, (Title) документа по адресу, URL1:
Zero trust security model - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)