NSA null-usaldusjuhised keskenduvad segmenteerimisele

USA riiklik julgeolekuagentuur (NSA) esitas oma suunised null-usaldusvõrgu turvalisus sel nädalal, pakkudes konkreetsemat tegevuskava usalduse nulli vastuvõtmiseks. See on oluline püüdlus püüda ületada lõhet kontseptsiooni soovi ja elluviimise vahel.

Kuna ettevõtted viivad rohkem töökoormust pilve, on null-usaldusliku andmetöötluse strateegiad liikunud hoogsast hüppefaasist olulise turvalisuse olukorra nautimise poole. Kuid isegi nii on mõiste "kuni kontrollimiseni ebausaldusväärne” on reaalses maailmas endiselt aeglane (kuigi mõnes piirkonnas, näiteks Araabia Ühendemiraatides,null usalduse kasutuselevõtt kiireneb).

John Kindervag, kes oli esimene, kes määratles mõiste "null usaldus".  2010. aastal, kui ta oli Forrester Researchi analüütik, tervitas ta NSA sammu, märkides, et „väga vähesed organisatsioonid on mõistnud võrguturbe kontrolli tähtsust nullusalduskeskkondade loomisel ja see dokument aitab paljuski aidata organisatsioonidel mõista oma väärtus."

Lisaks "aitab see oluliselt erinevatel organisatsioonidel kogu maailmas hõlpsamini mõista võrgu turvakontrolli väärtust ning muudab usaldusevabade keskkondade loomise ja toimimise lihtsamaks," ütleb Kindervag, kes eelmisel aastal liitus Illumioga selle peaevangelistiks, kus ta jätkab reklaamimist. null-usalduse kontseptsioon.

Võrgu segmenteerimise null-usalduskeskused

NSA dokument sisaldab hulgaliselt soovitusi null-usalduse parimate tavade kohta, sealhulgas põhimõtteliselt võrguliikluse segmenteerimine, et blokeerida vastaste võrgus liikumine ja juurdepääs kriitilistele süsteemidele.

Kontseptsioon pole uus: IT-osakonnad on oma ettevõtte võrguinfrastruktuuri segmenteerinud aastakümneid ja Kindervag on propageerinud võrgu segmenteerimist alates oma algsest Forresteri aruandest, kus ta ütles, et "kõik tulevased võrgud tuleb vaikimisi segmenteerida."

Kuid nagu ütlesid Carlos Rivera ja Heath Mullins Forrester Researchist omaette aruanne eelmisest sügisest, "ükski lahendus ei suuda pakkuda kõiki tõhusa null-usaldusarhitektuuri jaoks vajalikke võimalusi. Möödas on ajad, mil ettevõtted elasid ja tegutsesid traditsioonilise perimeetripõhise võrgukaitse piirides.

Pilvede ajastul null-usaldus on eksponentsiaalselt keerulisem saavutada kui kunagi varem. Võib-olla on see põhjus, miks vähem kui kolmandik küsitlusele vastanutest Akamai's 2023. aasta aruanne segmenteerimise oleku kohta eelmise aasta sügisest on viimase aasta jooksul segmenteerunud enam kui kahe kriitilise ärivaldkonna vahel.

Valu leevendamiseks tutvustab NSA, kuidas võrgu segmenteerimise juhtelemente saab teostada mitme sammu kaudu, sealhulgas andmevoogude kaardistamine ja mõistmine ning rakendamine. tarkvaraga määratletud võrgundus (SDN). Iga samm võtab palju aega ja vaeva, et mõista, millised ärivõrgu osad on ohus ja kuidas neid kõige paremini kaitsta.

"Oluline asi, mida tuleb nulli usaldamata meeles pidada, on see, et see on teekond ja miski, mida tuleb rakendada metoodilise lähenemisviisi abil," hoiatab Garrett Weber, Akamai Enterprise Security Groupi valdkonna CTO.

Weber märgib ka, et segmenteerimisstrateegiates on toimunud nihe. "Kuni viimase ajani oli segmenteerimise juurutamine liiga keeruline, et seda ainult riistvaraga teha, " ütleb ta. "Nüüd, mis on üleminekul tarkvarapõhisele segmenteerimisele, näeme, et organisatsioonid suudavad oma segmenteerimiseesmärke saavutada palju lihtsamalt ja tõhusamalt."

Võrgu mikrosegmenteerimisega edasiminek

NSA dokumendis tehakse vahet ka makro- ja mikrovõrgu segmenteerimisel. Esimene juhib osakondade või töörühmade vahelist liiklust, nii et IT-töötajal puudub juurdepääs näiteks personaliserveritele ja andmetele.

Mikrosegmenteerimine eraldab liiklust veelgi, nii et kõigil töötajatel ei ole ühesuguseid andmetele juurdepääsu õigusi, kui see pole selgesõnaliselt nõutud. "See hõlmab kasutajate, rakenduste või töövoogude eraldamist üksikuteks võrgusegmentideks, et veelgi vähendada ründepinda ja piirata mõju rikkumise korral," seisab Akamai aruandes.

Turvahaldurid "peaksid võtma meetmeid, et kasutada mikrosegmenteerimist, et keskenduda oma rakendustele, tagamaks, et ründajad ei saaks kontrollidest mööda minna õõnestades ühe märgi juurdepääsu, kasutades külglaaditud kontosid või otsides viise andmete avaldamiseks välistele kasutajatele,” ütleb Brian Soby, AppOmni tehnoloogiadirektor ja kaasasutaja.

See aitab määratleda turbekontrolli iga konkreetse töövoo jaoks vajaliku järgi, nagu Akamai aruanne sätestab. "Segmenteerimine on hea, kuid mikrosegmenteerimine on parem," märkisid autorid.

See võib olla keeruline ettevõtmine, kuid mahla tasub pigistada: Akamai aruandes leidsid teadlased, et „sihikindlus tasub end ära. Segmenteerimisel on kaitsele muutev mõju nende jaoks, kes olid suurema osa oma kriitilistest varadest segmenteerinud, võimaldades neil lunavara leevendada ja ohjeldada 11 tundi kiiremini kui neil, kellel on segmenteeritud ainult üks vara.

Kindervag pooldab endiselt nulli usaldust. Osa selle atraktiivsusest ja pikaealisusest tuleneb sellest, et seda on lihtne mõista: inimesed ja lõpp-punktid ei pääse ligi teenustele, rakendustele, andmetele, pilvedele või failidele, kui nad ei tõesta, et neil on selleks volitus – ja isegi siis juurdepääs antakse ainult nii kauaks, kui see on vajalik.

"Usaldus on inimlik emotsioon," ütles ta. "Inimesed ei saanud sellest aru, kui ma selle esimest korda välja pakkusin, kuid see on pigem ohtude ohjamine, mitte risk ja turvaaukude sulgemine."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/remote-workforce/nsa-s-zero-trust-guidelines-focus-on-segmentation