Модель безопасности с нулевым доверием

Модель безопасности нулевого доверия (также нулевая архитектура доверия ( ZTA ) и безопасность без периметра ) описывает подход к стратегии, проектированию и внедрению ИТ -систем . Основная концепция модели безопасности нулевого доверия - «никогда не доверяйте, всегда проверьте», что означает, что пользователям и устройствам не следует доверять по умолчанию, даже если они подключены к разрешенной сети, такой как корпоративная локальная сеть , и даже если они были ранее подтверждено.

ZTA реализуется путем установления сильной проверки личности, проверки соответствия устройствам до предоставления доступа и обеспечения доступа наименьшего привилегического доступа только к явно авторизованным ресурсам. Большинство современных корпоративных сетей состоят из многих взаимосвязанных зон, облачных сервисов и инфраструктуры, соединений с удаленными и мобильными средами, а также подключений к нетрадиционным ИТ, таким как IoT устройства .

Рассуждение о Zero Trust заключается в том, что традиционный подход - доверяющий пользователям и устройствам в рамках условного «корпоративного периметра» или пользователей и устройств, подключенных через VPN - недостаточно в сложной среде корпоративной сети. Подход Zero Trust выступает за взаимную аутентификацию , включая проверку идентификации и целостности пользователей и устройств без уважения к местоположению, а также предоставление доступа к приложениям и услугам на основе доверия идентификации пользователей и устройств и здоровья устройств в сочетании с аутентификацией пользователя . ^{[ 1 ]} Архитектура нулевого доверия была предложена для использования в определенных областях, таких как цепочки поставок. ^{[ 2 ]}^{[ 3 ]}

Принципы нулевого доверия могут быть применены к доступу данных и к управлению данными. Это приводит к нулевой безопасности данных о доверии , когда каждый запрос на доступ к данным должен быть динамически аутентифицировать и обеспечить наименее привилегированный доступ к ресурсам. Чтобы определить, можно ли предоставить доступ, могут применяться политики на основе атрибутов данных, кто является пользователем, и типа среды с использованием контроля доступа на основе атрибутов (ABAC) . Этот подход безопасности данных с нулевым дозом может защитить доступ к данным. ^{[ 4 ]}

Zero Trust Network Access ( ZTNA ) не является синонимом модели безопасности нулевого доверия или архитектуры нулевого доверия. Вместо этого это рынок, который состоит из продуктов удаленного доступа, созданных с нулевыми принципами доверия, в основном полученных из спецификации по периметру, разработанной программным обеспечением , разработанной Альянсом облачной безопасности (CSA). ^{[ 5 ]}^{[ 6 ]}

История

В апреле 1994 года термин «Zero Trust» был придуман Стивеном Полом Маршем в его докторской диссертации по компьютерной безопасности в Университете Стерлинга . Работа Марша изучала доверие как нечто конечное, которое можно описать математически, утверждая, что концепция доверия выходит за рамки человеческого фактора, такого как мораль , этика , законность , справедливость и суждение . ^{[ 7 ]}

Проблемы модели сети Smartie или M & M (описание предшественника де -периметеризации ) были описаны инженером Sun Microsystems в статье сети мира в мае 1994 года, который описал защиту периметра брандмауэров как твердая оболочка вокруг мягкой Центр, как яйцо Cadbury. ^{[ 8 ]}

В 2001 году была выпущена первая версия OSSTMM (руководство по методологии безопасности с открытым исходным кодом), и это было некоторое внимание на доверии. Версия 3, которая вышла примерно в 2007 году, имеет целую главу о доверии, в которой говорится, что «доверие - это уязвимость» и рассказывает о том, как применять элементы управления OSSTMM 10 на основе уровней доверия.

В 2003 году проблемы определения периметра для ИТ-систем организации были подчеркнуты Иерихоном форума этого года, обсуждая тенденцию того, что тогда было дано название « депериметеризация ».

В ответ на операцию Aurora , китайская атака APT в 2009 году, Google начал реализовать архитектуру нулевого достопримечательности, называемую BeyondCorp .

использовал термин «Zero Trust» В 2010 году аналитик Johnervag из Forrester Research для обозначения более строгих программ кибербезопасности и контроля доступа в корпорациях. ^{[ 9 ]}^{[ 10 ]}^{[ 11 ]} Тем не менее, для того, чтобы Zero Trust Architecture стали преобладать, понадобится почти десятилетие, отчасти благодаря увеличению внедрения мобильных и облачных сервисов. ^{[ Цитация необходима ]}

В 2018 году работа, проведенная в Соединенных Штатах исследователями кибербезопасности в NIST и NCCOE, привела к публикации NIST SP 800-207-Zero Trust Architecture. ^{[ 12 ]}^{[ 13 ]} Публикация определяет Zero Trust (ZT) как набор концепций и идей, предназначенных для снижения неопределенности в обеспечении точных, решений о доступе в области доступа в информационных системах и услугах перед лицом сети, рассматриваемой как скомпрометированной. Архитектура Zero Trust (ZTA) - это план киберпрессовой безопасности предприятия, который использует концепции нулевого доверия и включает в себя компонентные отношения, планирование рабочего процесса и политики доступа. Следовательно, нулевое трастовое предприятие - это сетевая инфраструктура (физическая и виртуальная) и операционная политика, которые существуют для предприятия в качестве продукта плана нулевого доверия.

Есть несколько способов реализации всех принципов ZT; Полное решение ZTA будет включать элементы всех трех:

Использование улучшенного управления идентификацией и контроля доступа на основе политики.
Используя микросегментацию
Использование наложных сетей или программных периметров

Великобритании В 2019 году Национальный центр кибербезопасности (NCSC) рекомендовал, чтобы сетевые архитекторы рассмотрели подход с нулевым доверием для новых развертываний ИТ, особенно там, где планируется значительное использование облачных услуг. ^{[ 14 ]} Альтернативный, но последовательный подход используется NCSC , при определении ключевых принципов, лежащих в основе Zero Trust Architectures:

Единый сильный источник пользователя
Аутентификация пользователя
Аутентификация машины
Дополнительный контекст, такой как соблюдение политики и здоровье устройств
Политики авторизации для доступа к заявлению
Политики контроля доступа в приложении

Смотрите также

Доверьтесь, но проверьте - русская пословица
Радиус взрыва
Усталость пароля
Край службы безопасного доступа
Обнаружение угрозы идентичности и ответ

Ссылки

^ «Взаимные TLS: закрепление микросервисов в сервисной сетке» . Новый стек . 2021-02-01 . Получено 2021-02-20 .
^ Кольер, Захари А.; Саркис, Джозеф (2021-06-03). «Цепочка поставок нулевого доверия: управление риском цепочки поставок в отсутствие доверия» . Международный журнал производственных исследований . 59 (11): 3430–3445. doi : 10.1080/00207543.2021.1884311 . ISSN 0020-7543 . S2CID 233965375 .
^ До -Амарал, Тиаго Мело Штукерт; Гондим, Жуао Хосе Коста (ноябрь 2021 г.). «Интеграция нулевого доверия в безопасность цепочки кибер -поста» . 2021 Семинар по сетям связи и энергосистемам (WCNP) . С. 1–6. doi : 10.1109/wcnps53648.2021.9626299 . ISBN 978-1-6654-1078-6 Полем S2CID 244864841 .
^ Яо, Цигуи; Ван, Ци; Чжан, Сяоцзян; Fei, Jiaxuan (2021-01-04). «Система управления динамическим доступом и авторизации, основанная на архитектуре нулевого достопримечательностей» . 2020 Международная конференция по контролю, робототехнике и интеллектуальной системе . Ccris '20. Нью -Йорк, штат Нью -Йорк, США: Ассоциация по компьютерной технике. С. 123–127. doi : 10.1145/3437802.3437824 . ISBN 978-1-4503-8805-4 Полем S2CID 230507437 .
^ «Определение Zero Trust Network Access (ZTNA)» . Гартнер . Получено 2024-07-30 .
^ «Руководство по рынку для Zero Trust Network Access» . Гартнер , требуется подписка . Получено 2024-07-30 .
^ Марш, Стивен (1994), формализация доверия как вычислительную концепцию , с. 56 , получен 2022-07-22
^ «Интернет -хакеры остерегаются: корпоративные лан защищены» . Сетевой мир . IDG Network World Inc. 23 мая 1994 года. ISSN 0887-7661 -через Google Books.
^ Loten, Angus (2019-05-01). «Акамай делает ставки на подход« Zero Trust »к безопасности» . Wall Street Journal . Получено 2022-02-17 .
^ Хиггинс, Келли Джексон. «Forrester подталкивает модель« Zero Trust »для безопасности» . Темное чтение . Информация . Архивировано из оригинала 26 августа 2021 года . Получено 2022-02-17 .
^ Kindervag, John (2010-11-05). «Построить безопасность в ДНК вашей сети: архитектура Zero Trust Network» (PDF) . Forrester Research . Получено 2022-07-22 .
^ Национальный центр превосходства кибербезопасности . «Реализация нулевой архитектуры доверия» . Нист . Получено 2022-07-22 .
^ Роуз, Скотт; Борхерт, Оливер; Митчелл, Стю; Коннелли, Шон. «Архитектура нулевого доверия» (PDF) . nvlpubs.nist.gov . Нист . Получено 2020-10-17 .
^ «Сетевые архитектуры» . www.ncsc.gov.uk. Получено 2020-08-25 .

[1] «Взаимные TLS: закрепление микросервисов в сервисной сетке» . Новый стек . 2021-02-01 . Получено 2021-02-20 .

[2] Кольер, Захари А.; Саркис, Джозеф (2021-06-03). «Цепочка поставок нулевого доверия: управление риском цепочки поставок в отсутствие доверия» . Международный журнал производственных исследований . 59 (11): 3430–3445. doi : 10.1080/00207543.2021.1884311 . ISSN 0020-7543 . S2CID 233965375 .

[3] До -Амарал, Тиаго Мело Штукерт; Гондим, Жуао Хосе Коста (ноябрь 2021 г.). «Интеграция нулевого доверия в безопасность цепочки кибер -поста» . 2021 Семинар по сетям связи и энергосистемам (WCNP) . С. 1–6. doi : 10.1109/wcnps53648.2021.9626299 . ISBN 978-1-6654-1078-6 Полем S2CID 244864841 .

[4] Яо, Цигуи; Ван, Ци; Чжан, Сяоцзян; Fei, Jiaxuan (2021-01-04). «Система управления динамическим доступом и авторизации, основанная на архитектуре нулевого достопримечательностей» . 2020 Международная конференция по контролю, робототехнике и интеллектуальной системе . Ccris '20. Нью -Йорк, штат Нью -Йорк, США: Ассоциация по компьютерной технике. С. 123–127. doi : 10.1145/3437802.3437824 . ISBN 978-1-4503-8805-4 Полем S2CID 230507437 .

[5] «Определение Zero Trust Network Access (ZTNA)» . Гартнер . Получено 2024-07-30 .

[6] «Руководство по рынку для Zero Trust Network Access» . Гартнер , требуется подписка . Получено 2024-07-30 .

[7] Марш, Стивен (1994), формализация доверия как вычислительную концепцию , с. 56 , получен 2022-07-22

[8] «Интернет -хакеры остерегаются: корпоративные лан защищены» . Сетевой мир . IDG Network World Inc. 23 мая 1994 года. ISSN 0887-7661 -через Google Books.

[:1-9] Loten, Angus (2019-05-01). «Акамай делает ставки на подход« Zero Trust »к безопасности» . Wall Street Journal . Получено 2022-02-17 .

[:2-10] Хиггинс, Келли Джексон. «Forrester подталкивает модель« Zero Trust »для безопасности» . Темное чтение . Информация . Архивировано из оригинала 26 августа 2021 года . Получено 2022-02-17 .

[11] Kindervag, John (2010-11-05). «Построить безопасность в ДНК вашей сети: архитектура Zero Trust Network» (PDF) . Forrester Research . Получено 2022-07-22 .

[:3-12] Национальный центр превосходства кибербезопасности . «Реализация нулевой архитектуры доверия» . Нист . Получено 2022-07-22 .

[:4-13] Роуз, Скотт; Борхерт, Оливер; Митчелл, Стю; Коннелли, Шон. «Архитектура нулевого доверия» (PDF) . nvlpubs.nist.gov . Нист . Получено 2020-10-17 .

[:0-14] «Сетевые архитектуры» . www.ncsc.gov.uk. Получено 2020-08-25 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]