Model zero trust
Model Zero Trust (ang. Zero Trust Model) – model bezpieczeństwa sieciowego, w którym założeniem jest brak zaufania do jakichkolwiek urządzeń, zarówno wewnętrznych, jak i zewnętrznych w stosunku do sieci przedsiębiorstwa.
Zasada działania[edytuj | edytuj kod]
Kluczową ideą modelu Zero Trust jest "nie ufaj, zawsze weryfikuj", co sugeruje, że użytkownikom i urządzeniom nie należy domyślnie ufać, nawet w zaufanych sieciach.
Zamiast polegać na tradycyjnym podejściu opartym na zabezpieczeniu granic sieci, model Zero Trust koncentruje się na zabezpieczaniu danych na poziomie indywidualnych zasobów. Kluczowymi elementami tego modelu są: uwierzytelnienie, autoryzacja oraz ciągłe monitorowanie dostępu do zasobów sieciowych. Model ten zakłada, że zagrożenia mogą pochodzić zarówno spoza, jak i wewnątrz organizacji, dlatego niezmiennie traktuje każdy próbę dostępu do zasobów z założeniem braku zaufania.
Historia[edytuj | edytuj kod]
1990: Podstawowa segmentacja sieci[edytuj | edytuj kod]
Pojawiają się początkowe próby segmentacji sieci przy użyciu VLAN-ów czy podsieci. Podejście to jest bardzo ograniczone - nie ma uwierzytelniania, minimalnych restrykcji i niewielu wewnętrznych możliwości zabezpieczania. Wprowadzone ograniczenia można łatwo obejść.
2001: Kontrola dostępu do sieci[edytuj | edytuj kod]
Stowarzyszenie Standardów IEEE publikuje protokół 802.1X do kontroli dostępu do sieci (NAC). Napędzany przez adaptację WLAN umożliwia uwierzytelnione połączenia sieciowe i daje dostęp na poziomie sieci (LAN/VLAN), ale jest skomplikowany i trudny do szerokiego wdrożenia.
2004 rok: Narodziny koncepcji Zero Trust[edytuj | edytuj kod]
W tym roku powstaje Forum Jericho, które promuje innowacyjne podejście do bezpieczeństwa określane jako deperymetryzacja[1]. Koncepcja ta kładzie nacisk na ochronę danych przedsiębiorstwa przemieszczających się w obrębie oraz poza sieć korporacyjną, zamiast utrzymywania tych danych wyłącznie w granicach sieci korporacyjnej. Ideą deperymetryzacji jest przekonanie, że zabezpieczenia sieci przedsiębiorstw powinny być stosowane nie tylko na granicach kontaktu z Internetem, ale również w każdym miejscu dostępowym wewnątrz sieci.
2009 rok: Forrester i narodziny modelu Zero Trust[edytuj | edytuj kod]
Termin "Model Zero Trust" został wprowadzony w 2009 roku przez Johna Kindervaga z Forrester. Kindervag w swoim przełomowym raporcie przedstawił trzy kluczowe koncepcje:
- Zapewnienie, że wszystkie zasoby są bezpiecznie dostępne, niezależnie od lokalizacji.
- Przyjęcie strategii minimalnego przywileju i ściśle kontrolowanej kontroli dostępu.
- Kontrola i rejestrowanie całego ruchu[2].
Nazwa "Zero Trust" została stworzona jako drwina w stosunku do kolegów Kindervaga z branży bezpieczeństwa, bazując na rosyjskim przysłowiu "ufaj, ale weryfikuj".
Raport Forrester z 2010 roku wprowadził dwa pomysły, które do dziś budzą kontrowersje w środowisku Zero Trust: "mikroperymetry" oraz zagrożenie ze strony wewnętrznego intruza.
2014 rok: Model bezpieczeństwa Google[edytuj | edytuj kod]
Po incydencie związanym z atakiem Operation Aurora, Google wprowadza inicjatywę BeyondCorp, której celem jest przemodelowanie architektury bezpieczeństwa. Inicjatywa ta doprowadza do implementacji koncepcji Zero Trust na skalę całej firmy[3].
2019 rok: Gartner i jego wkład w rozwój Zero Trust[edytuj | edytuj kod]
Analitycy z Gartnera przedstawiają koncepcję Secure Access Service Edge (SASE), dzięki której koncepcja Zero Trust zyskuje na znaczeniu[4]. Termin Zero Trust jest wówczas redefiniowany jako Zero Trust Network Access (ZTNA)[5][6].
2019 rok: NCSC i Zero Trust[edytuj | edytuj kod]
W 2019 roku, brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) zaleciło architektom sieciowym rozważenie zastosowania podejścia Zero Trust podczas nowych wdrożeń IT, zwłaszcza w przypadku planowanego intensywnego korzystania z usług chmurowych. NCSC proponuje również alternatywne, lecz spójne podejście, identyfikując kluczowe zasady leżące u podstaw architektury Zero Trust:
- Jedno silne źródło tożsamości użytkownika.
- Uwierzytelnianie użytkownika.
- Uwierzytelnianie maszyny.
- Dodatkowy kontekst, taki jak zgodność z polityką i stan urządzenia.
- Polityki autoryzacji dostępu do aplikacji.
- Polityki kontroli dostępu w obrębie aplikacji[7].
2020 rok: NIST i standardy w obszarze Zero Trust[edytuj | edytuj kod]
Amerykański Instytut Standardów i Technologii (NIST) opublikował dokument SP 800-207, który przedstawia zunifikowane podejście do architektury Zero Trust. To ważny krok, który sygnalizuje odejście[8].
2021 rok: Uznanie dla koncepcji Zero Trust rośnie[edytuj | edytuj kod]
W opublikowanym w 2021 roku raporcie Microsoftu pt. "Zero Trust Adoption Report", aż 96% z 1200 ankietowanych decydentów w obszarze bezpieczeństwa podkreśliło kluczową rolę strategii Zero Trust dla sukcesu ich organizacji[9]. Jako główne powody przyjęcia tej filozofii wskazali na potrzebę zwiększenia elastyczności w zakresie bezpieczeństwa i zgodności oraz na konieczność szybszego wykrywania i reagowania na zagrożenia. Również zmieniający się model pracy, kierujący się w stronę hybrydowej i zdalnej formy, szczególnie widoczny podczas pandemii COVID-19, miał wpływ na większe zainteresowanie podejściem Zero Trust, co potwierdza wspomniany raport.
Przypisy[edytuj | edytuj kod]
- ↑ N Bleech , Visioning White Paper, What is Jericho Forum? [online], 2005 [dostęp 2023-08-21] (ang.).
- ↑ John Kindervag , Build Security Into Your Network’s DNA: The Zero Trust Network Architecture [online], 5 listopada 2010 [dostęp 2023-08-21] (ang.).
- ↑ BeyondCorp: A New Approach to Enterprise Security | USENIX [online], www.usenix.org [dostęp 2023-08-21] .
- ↑ Definition of Secure Access Service Edge (SASE) - Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).
- ↑ Definition of Zero Trust Network Access (ZTNA) - Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).
- ↑ ZTNA – co to jest i dlaczego warto go wdrożyć? [online], sebitu.pl, 9 sierpnia 2023 [dostęp 2023-08-21] (pol.).
- ↑ Network architectures [online], www.ncsc.gov.uk [dostęp 2023-08-21] (ang.).
- ↑ Scott Rose i inni, Zero Trust Architecture [online], 11 sierpnia 2020 [dostęp 2023-08-21] (ang.).
- ↑ Vasu Jakkal , Zero Trust Adoption Report: How does your organization compare? [online], Microsoft Security Blog, 28 lipca 2021 [dostęp 2023-08-21] (ang.).