ΠΡΟΪΟΝΤΑ

BeyondTrust. Αποκρυπτογραφώντας τις διαφορές μεταξύ Μηδενικής Εμπιστοσύνης, Αρχιτεκτονικής Μηδενικής Εμπιστοσύνης (ZTA) και της Δικτυακής Πρόσβασης Μηδενικής Εμπιστοσύνης (ZTNA)

Η έννοια της μηδενικής εμπιστοσύνης δεν είναι καινούργια. Στην πραγματικότητα, τα κύρια χαρακτηριστικά της αποτελούν βέλτιστες πρακτικές κυβερνοασφάλειας εδώ και δεκαετίες. Και το σημαντικότερο; H μηδενική εμπιστοσύνη δεν είναι ένα προϊόν ή κάτι που μπορείτε να αγοράσετε αλλά κυρίως μία στρατηγική, μία πολιτική και μία ροή εργασίας για την εφαρμογή πρόσβασης από τα εταιρικά στοιχεία στα δεδομένα, η οποία εμπεριέχει τα καλύτερα δυνατά χαρακτηριστικά ασφαλείας.

Η δημοτικότητα του κόνσεπτ της μηδενικής εμπιστοσύνης αυξήθηκε σημαντικά λόγω του εξελισσόμενου τοπίου απειλών που στοχεύει ευπάθειες, exploits, λανθασμένες ρυθμίσεις και την ασφάλεια ταυτότητας. Πλέον, αποτελεί τη κυρίαρχη τάση, καθώς τα παραδοσιακά μέτρα ασφαλείας αποδείχτηκαν ανεπαρκή και έπρεπε να βρεθεί μία καλύτερη μέθοδος για τον μετριασμό των κινδύνων που αντιμετωπίζει κάθε οργανισμός σήμερα.

Η μηδενική εμπιστοσύνη δεν αποτελεί απλώς ένα σύνθημα- είναι μία θεμελιώδης μετατόπιση στον τρόπο με τον οποίο προσεγγίζουμε την κυβερνοασφάλεια μακροπρόθεσμα. Το συγκεκριμένο άρθρο, έχει στόχο να αποσαφηνίσει τι είναι η μηδενική εμπιστοσύνη ορίζοντας τα βασικά συστατικά της: Zero Trust (ZT), Zero Trust Architecture (ZTA) και Zero Trust Network Access (ZTNA) δηλαδή Μηδενική Εμπιστοσύνη, Αρχιτεκτονική Μηδενικής Εμπιστοσύνης (ZTA) και Δικτυακή Πρόσβαση Μηδενικής Εμπιστοσύνης (ZTNA). Επιπλέον, εμβαθύνει στις αποχρώσεις της κάθε έννοιας, τονίζοντας τις διαφορές και τη σημασία τους για την ασφάλεια των σύγχρονων δικτύων, ανεξάρτητα από τη χρήση τους στις εγκαταστάσεις ή για απομακρυσμένη πρόσβαση.

Τι είναι η μηδενική εμπιστοσύνη (Zero Trust);

Στον πυρήνα της μηδενικής εμπιστοσύνης βρίσκεται ένα μοντέλο ασφάλειας που λειτουργεί με βάση την αρχή «να μην εμπιστεύεσαι ποτέ, να επαληθεύεις πάντα» παρέχοντας με αυτόν τον τρόπο ένα μέτρο εμπιστοσύνης. Σε αντίθεση με τα παραδοσιακά πρότυπα ασφάλειας που στηρίζονται σε άμυνες που βασίζονται στη δικτυακή περίμετρο και σε λίστες ελέγχου πρόσβασης (ACL), η μηδενική εμπιστοσύνη υποθέτει ότι οι απειλές μπορούν να υπάρχουν τόσο εκτός όσο και εντός της δικτυακής περιμέτρου του δικτύου και ότι τίποτα δεν είναι ασφαλές χωρίς επαλήθευση. Με απλά λόγια, αντιμετωπίζει κάθε απόπειρα πρόσβασης ως δυνητικά κακόβουλη μέχρι να αποδειχθεί το αντίθετο, ανεξάρτητα από τη τοποθεσία του χρήστη, το εταιρικό περιουσιακό στοιχείο ή τη ροή εργασίας του.

Η μηδενική εμπιστοσύνη είναι «υπέρμαχος» των κοκκομετρικών (εξαιρετικά λεπτομερών) ελέγχων πρόσβασης και της αυστηρής εφαρμογής της αρχής του ελάχιστου προνομίου για την ελαχιστοποίηση της επιφάνειας επίθεσης και τον μετριασμό των κινδύνων, ενώ παράλληλα παρακολουθεί αδιάκοπα όλες τις πτυχές για ανώμαλες επικοινωνίες και συμπεριφορές χρηστών. Ο πρωταρχικός στόχος, ευθέως διατυπωμένος, είναι ότι ακόμα και στην περίπτωση που υπάρξει οποιοδήποτε περιστατικό ασφαλείας μετά την εφαρμογή όλων των παραπάνω αρχών, θα είναι εφικτός ο περιορισμός και η διαχείριση του όπως και η αποτροπή κάποιας απόπειρας δημιουργίας «προγεφυρώματος» ή πλευρικής μετακίνησης (εσωτερικής μετακίνησης στο δίκτυο).

Τι είναι η αρχιτεκτονική μηδενικής εμπιστοσύνης (ZTA);

H αρχιτεκτονική μηδενικής εμπιστοσύνης περιλαμβάνει το πλαίσιο, τις αρχές και τις τεχνολογίες που επιτρέπουν στους οργανισμούς να εφαρμόσουν αποτελεσματικά το μοντέλο μηδενικής εμπιστοσύνης. Ουσιαστικά εφαρμόζει προϊόντα, λύσεις, πολιτικές και ροές εργασίας σε μια συνεκτική αρχιτεκτονική για την επίτευξη των στόχων της μηδενικής εμπιστοσύνης. Επομένως, στον σημερινό κόσμο, ένα μεμονωμένο προϊόν από έναν μοναδικό προμηθευτή δεν αντιπροσωπεύει τη μηδενική εμπιστοσύνη αλλά απλώς μια συνιστώσα του τελικού στόχου. Οι αρχιτεκτονικές μηδενικής εμπιστοσύνης επεκτείνονται πέρα από τους παραδοσιακούς ελέγχους ασφαλείας και ενσωματώνουν μια ολιστική στρατηγική ασφαλείας που περιλαμβάνει χρήστες, συσκευές, εφαρμογές και δεδομένα. Τα βασικά στοιχεία κάθε αρχιτεκτονικής μηδενικής εμπιστοσύνης περιλαμβάνουν:

  • Μικρο-τμηματοποίηση: Διαίρεση του δικτύου, της πρόσβασης, των δεδομένων και των εκτελούμενων διεργασιών σε μικρότερα τμήματα επιβάλλοντας παράλληλα μεταξύ τους αυστηρούς ελέγχους της πρόσβασης (προνόμια, άδειες, δικαιώματα και δικαιώματα) σε τοπικό επίπεδο για τον περιορισμό των παραβιάσεων και τον περιορισμό της «πλευρικής μετατόπισης» των επιτιθέμενων.
  • Διαχείριση ταυτότητας και πρόσβασης (IAM): Εφαρμογή ισχυρών μηχανισμών ελέγχου ταυτότητας, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και κεντρική διακυβέρνηση ταυτότητας και διαχείριση προνομίων για την παροχή υψηλού επιπέδου συνεχούς εμπιστοσύνης στις ταυτότητες των χρηστών.
  • Συνεχής παρακολούθηση: Αξιοποίηση αναλυτικών στοιχείων σε πραγματικό χρόνο και ανάλυση συμπεριφοράς για τον εντοπισμό ανωμαλιών, ύποπτων δραστηριοτήτων και πιθανών απειλών σε όλη την δικτυακή υποδομή.
  • Κρυπτογράφηση: Κρυπτογράφηση δεδομένων τόσο όταν βρίσκονται σε κατάσταση ηρεμίας όσο και κατά τη μεταφορά τους για να διασφαλιστεί η εμπιστευτικότητα και η ακεραιότητα τους ιδίως σε multi-cloud περιβάλλοντα, υβριδικά περιβάλλοντα ή κατά την απομακρυσμένη πρόσβαση, όταν οι παραδοσιακοί έλεγχοι ασφαλείας του δικτύου δεν μπορούν να επιβληθούν επαρκώς.
  • Ενορχήστρωση πολιτικών: Αυτοματοποίηση της επιβολής πολιτικών ασφαλείας με βάση δυναμικούς παράγοντες, όπως οι ρόλοι χρηστών, η στάση της συσκευής και οι πληροφορίες περιβάλλοντος σε όλα τα επίπεδα του συνόλου μίας ροής εργασίας.

Τι είναι η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης (ZTNA);

Το Zero Trust Network Access αναφέρεται συνήθως ως «ασφάλεια χωρίς περίμετρο» και αποτελεί μία εξειδικευμένη εφαρμογή του μοντέλου μηδενικής εμπιστοσύνης που επικεντρώνεται στη διασφάλιση της απομακρυσμένης πρόσβασης στα περιουσιακά στοιχεία (π.χ. εταιρικά δεδομένα, IP) ενός οργανισμού. Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης έχει το αμφιλεγόμενο προνόμιο να χαρακτηρίζεται ως προϊόν, αλλά όπως αναφέρθηκε και παραπάνω, αποτελεί ένα ακόμα «συστατικό» ενός πραγματικού περιβάλλοντος μηδενικής εμπιστοσύνης που διακυβερνά τη δικτυακή πρόσβαση.

Αυτές οι λύσεις αξιοποιούν τις αρχές του ελέγχου πρόσβασης με επίκεντρο την ταυτότητα και του ελαχίστου προνομίου για την αυθεντικοποίηση των χρηστών και τη χορήγηση πρόσβασης σε συγκεκριμένες εφαρμογές ή υπηρεσίες, ανεξάρτητα από την τοποθεσία τους ή το δικτυακό περιβάλλον. Από μόνες τους περιέχουν μόνο ένα μέρος της λίστας με τα χαρακτηριστικά που απαιτούνται για να αποτελέσουν ένα πλήρες οικοσύστημα μηδενικής εμπιστοσύνης, παρόλο που κάποιοι προμηθευτές τις προωθούν ως τέτοιες. Ως σημείο αναφοράς για τις δυνατότητές τους, τα παραδοσιακά Εικονικά Ιδιωτικά Δίκτυα (VPN) παρέχουν συνήθως γενικευμένη πρόσβαση στο σύνολο του δικτύου ενώ οι λύσεις δικτυακής πρόσβασης μηδενικής εμπιστοσύνης προσφέρουν αρκετά λεπτομερέστερο επίπεδο ελέγχου, μειώνοντας τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης και πλευρικής μετακίνησης από τους φορείς απειλών. 

Σε επίπεδο δικτύου, δεν μπορούν επίσης να παρακολουθούν τη συμπεριφορά των χρηστών ανά συνεδρία, να παρακολουθούν αδιάκοπα την εμπιστοσύνη στην ταυτότητα αλλά ούτε και να αποτρέπουν την εσωτερική μετακίνηση (ενός φορέας απειλής στο εταιρικό δίκτυο). Επομένως, οι λύσεις που κυκλοφορούν σήμερα στην αγορά παραμένουν μέρος του προβλήματος. 

Την ώρα που η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης αντιπροσωπεύει μόνο μια πιθανή εφαρμογή της μηδενικής εμπιστοσύνης και των αρχιτεκτονικών μηδενικής εμπιστοσύνης, οι επαγγελματίες ασφαλείας θα πρέπει να γνωρίζουν έχουν υπόψη τους ότι άλλες υλοποιήσεις θα μπορούσαν να περιλαμβάνουν πρόσβαση μηδενικής εμπιστοσύνης σε εφαρμογές, διαχείριση συνεδριών μηδενικής εμπιστοσύνης κ.λπ. Κάθε μία από αυτές ακολουθεί ένα ποσοστό των απαιτούμενων κατευθυντήριων γραμμών για να χαρακτηριστεί μηδενική εμπιστοσύνη και επιλύει μία μοναδική περίπτωση χρήσης για τεχνολογίες που βασίζονται στην πρόσβαση και στον έλεγχο ταυτότητας. 

Zero Trust vs ZTA vs ZTNA: συγκρίσεις και διαφορές

Την ώρα που η μηδενική εμπιστοσύνη, οι αρχιτεκτονικές μηδενικής εμπιστοσύνης και η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης έχουν τον πρωταρχικό στόχο της ενίσχυσης της στάσης κυβερνοασφάλειας (κάθε οργανισμού), διαφέρουν ως προς το πεδίο εφαρμογής, ως προς την έμφαση καθώς και ως προς την εφαρμογή:

 1. Πεδίο εφαρμογής:

Η μηδενική εμπιστοσύνη είναι ένα μοντέλο ασφάλειας που βασίζεται στην αρχή «να μην εμπιστεύεσαι ποτέ, να επαληθεύεις πάντα» και εφαρμόζεται σε όλες τις πτυχές της κυβερνοασφάλειας.

Οι αρχιτεκτονικές μηδενικής εμπιστοσύνης παρέχουν ένα ολοκληρωμένο πλαίσιο που περιλαμβάνει την τμηματοποίηση του δικτύου, τη διαχείριση ταυτότητας, την κρυπτογράφηση και την ενορχήστρωση πολιτικών για τη λειτουργική εφαρμογή του μοντέλου μηδενικής εμπιστοσύνης.

Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης είναι μόνο μία από τις πολλές πιθανές υλοποιήσεις μηδενικής εμπιστοσύνης που εστιάζει στην εξασφάλιση της απομακρυσμένης πρόσβασης σε εταιρικούς πόρους, δίνοντας έμφαση στους ελέγχους πρόσβασης με επίκεντρο την ταυτότητα και την αρχή του ελάχιστου προνομίου. Αυτό το κόνσεπτ αποτελεί μία από τις πρώτες αρχιτεκτονικές μηδενικής εμπιστοσύνης που αξιοποιήθηκαν εν μέρει σε εμπορικά προϊόντα. 

2.Έμφαση:

  • Η μηδενική εμπιστοσύνη επικεντρώνεται στον επαναπροσδιορισμό του παραδοσιακού μοντέλου ασφάλειας που βασίζεται στην περίμετρο, δίνοντας έμφαση στη συνεχή επαλήθευση και στην επιβολή αυστηρών ελέγχων πρόσβασης, ανεξάρτητα από την τοποθεσία που βρίσκονται τα περιουσιακά στοιχεία και τα δεδομένα, οι πηγές και οι προορισμοί.
  • Οι αρχιτεκτονικές μηδενικής εμπιστοσύνης δίνουν έμφαση στο σχεδιασμό και στην εφαρμογή ενός ολιστικού πλαισίου ασφάλειας που ευθυγραμμίζεται με τις αρχές της μηδενικής εμπιστοσύνης, περιλαμβάνοντας την ασφάλεια δικτύου, ταυτότητας, δεδομένων και εφαρμογών.
  • Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης είναι η πρώτη σημαντική πρακτική εφαρμογή που δίνει έμφαση στην ανάγκη ασφαλούς απομακρυσμένης πρόσβασης σε οργανωτικούς πόρους για όλες τις ταυτότητες, μαζί με την αρχή «επαλήθευση πρώτα, πρόσβαση μετά», ανεξάρτητα από την τοποθεσία του ή την αξιόπιστη συσκευή του.

3.Εφαρμογή:

  • Η μηδενική εμπιστοσύνη μπορεί να εφαρμοστεί μέσω ενός συνδυασμού αλλαγών πολιτικής, τεχνολογικών εφαρμογών και αλλαγών στη ροή εργασιών σε έναν οργανισμό.
  • Οι αρχιτεκτονικές μηδενικής εμπιστοσύνης μπορούν να εφαρμοστούν μέσω μιας δομημένης προσέγγισης που περιλαμβάνει τμηματοποίηση δικτύου, δεδομένων και εφαρμογών, διαχείριση ταυτότητας, κρυπτογράφηση, συνεχή παρακολούθηση και συνεχή έλεγχο επιβολής πολιτικών.
  • Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης μπορεί να υλοποιηθεί μέσω εξειδικευμένων λύσεων που πιστοποιούν την ταυτότητα των χρηστών, επιτρέπουν την πρόσβαση βάσει ταυτότητας και πλαισίου και επιβάλλουν την αρχή του ελάχιστο προνομίου για την απομακρυσμένη πρόσβαση. Να σας θυμίσουμε ότι αυτή είναι μία λίστα με μόνο μερικά από τα χαρακτηριστικά που απαιτούνται για την επίτευξη μηδενικής εμπιστοσύνης από άκρη σε άκρη για κάθε υφιστάμενη ροή εργασίας. 

Επιχειρηματοποίηση των Zero Trust, ZTA & ZTNA

Η μηδενική εμπιστοσύνη αντιπροσωπεύει μία διαφορετική προσέγγιση στην κυβερνοασφάλεια, υποστηρίζοντας μια προληπτική, «ταυτοτητο-κεντρική» προσέγγιση της ασφάλειας μέσω νέων ελέγχων πρόσβασης και συνεχούς παρακολούθησης της συμπεριφοράς της πρόσβασης και της ταυτότητας. Οι αρχιτεκτονικές μηδενικής εμπιστοσύνης παρέχουν το πλαίσιο και τις αρχές που απαιτούνται για την αποτελεσματική λειτουργία της μηδενικής εμπιστοσύνης μέσω οποιασδήποτε ροής εργασίας, από την απομακρυσμένη πρόσβαση έως την πρόσβαση στο νέφος και ακόμα παραπέρα. Ουσιαστικά, οποιαδήποτε ροή εργασίας πρόσβασης μπορεί να αντιστοιχηθεί σε ένα παράδειγμα μηδενικής εμπιστοσύνης.

Εν κατακλείδι, η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης προσφέρει μια εξειδικευμένη λύση για την εξασφάλιση της απομακρυσμένης πρόσβασης σε ένα ολοένα και πιο αποκεντρωμένο περιβάλλον με τη χρήση αυστηρής κρυπτογραφημένης πρόσβασης από σημείο σε σημείο. Με την κατανόηση των αποχρώσεων και των διαφορών μεταξύ της μηδενικής εμπιστοσύνης, των αρχιτεκτονικών μηδενικής εμπιστοσύνης και της δικτυακής πρόσβασης μηδενικής εμπιστοσύνης, οι οργανισμοί μπορούν να ξεκινήσουν να οικοδομούν μία περισσότερο ανθεκτική και προσαρμοστική στάση ασφαλείας απέναντι στις εξελισσόμενες απειλές στον κυβερνοχώρο. 

Πηγή: BeyondTrust