To ni nova tehnologija ali magičen produkt, ki ga lahko kupite od dobavitelja. Prav tako ni kontrolni seznam dejanj, ki ga uporabljamo in temu sledimo. Zero Trust je varnostni model za IT okolje.
Pa stopimo korak nazaj in razmislimo o sestavi in samem namenu IT okolja. IT okolje ima veliko različnih sestavnih delov kot na primer; delovne postaje, strežniki, baze podatkov, omrežne naprave, aplikacije. Pozabili pa smo en najpomembnejši del – to je uporabnik. Eden izmed izzivov s katerim se sooča ekipa IT oddelka, je torej zagotoviti, da lahko vsaka oseba vidi in uporablja točno tiste podatke, aplikacije in druge vire, ki jih potrebuje za opravljanje svojega dela.
To je namen dobrega varnostnega modela; določa niz načel načrtovanja sistema, kontrol in procesov, za zagotavljane CIA Triade, ki po definiciji pomeni zaupnost, celovitost in razpoložljivost vseh IT sredstev. Z vzpostavljenim varnostnim modelom lahko oblikujete IT arhitekturo, ki izpolnjuje varnostne cilje, hkrati pa ohranja produktivnost uporabnikov.
Zakaj organizacije potrebujejo varnostni model?
Zero Trust ni prvi ali edini varnostni model. Temelji na dolgi zgodovini varnosti informacijske tehnologije. Zakaj torej strokovnjaki priporočajo, da ga podjetja sprejmejo? Preprosto povedano, varovanje okolja informacijske tehnologije je z leti postalo vse težje. Pojav prenosnih računalnikov in delo na daljavo sta spremenila vse. Sedaj se uporabniki povezujejo na mreže podjetij iz drugih lokacij, nad katerimi pa informatiki nimajo veliko nadzora, kar povečuje možnosti, da bi nepridipravi hitreje prišli v omrežje.
Ne zaupajte skrbniškim računom: Zagotovite privilegirane dostope samo za časovno določena obdobja.
Računi, ki so stalni in imajo veliko dostopov so sami po sebi najbolj nevarni. Skrbniki, ki namerno ali po naključju zlorabljajo svoje pravice, lahko povzročijo ogromno škode.
Model Zero Trust pravi, da se višji nivo pravic dodeli le skrbnikom, ki to potrebujejo in samo za tako dolgo časovno obdobje, da opravi delo. Obstaja več načinov za »pravočasno« stopnjevanje privilegijev v aktivnem imeniku (AD) vključno z naslednjimi:
- Izboljšano varnostno skrbniško okolje (ESAE – Red Forest model) – več let je Microsoft podpiral model skrbniškega okolja z izboljšano varnostjo (ESAE), v katerem so računi s privilegiranim dostopom shranjeni v posebnem, zelo varnem skrbniškem gozdu, ki se običajno imenuje »rdeči gozd« (Red Forest). Struktura ESAE je zapletena in običajno učinkovita samo za tiste AD račune, ki imajo največ pravic. Zato Microsoft v večini strank ne priporoča več ESAE modela. Izjeme so kakšna podjetja, ki se ukvarjajo z občutljivimi podatki.
- Začasno članstvo v skupini – računi iz aktivnega imenika navadno niso dodeljeni neposredno; namesto tega dobijo svoje privilegije s članstvom v določenih skupinah. Vedno se je lahko implementirala programska oprema, ki omogoča članstvo v skupini za določeno obdobje, vendar pa je to pustilo račun z dovoljenji, ki so ostala tudi po tem, ko zaposlenega ni bilo več v podjetju. Windows 2016 je to spremenil in je mogoče dodeliti vrednost »obdobje« s sinhroniziranim potekom tega članstva.
- Začasni skrbniški računi – sistemi za upravljanje privilegiranih identitet uporabljajo sistem prijave/odjave, tako da privilegirani računi ne predstavljajo groženj.
Ne glede na to, katero metodo izberete za stopnjevanje privilegijev modela Zero Trust se morate vprašati »kdo lahko naredi kaj in kdaj«. Razmislite tudi o uporabi programske opreme kot je Change Auditor za Aktivni imenik (AD), da lahko natančno nadzirate dejavnosti tako privilegiranih kot navadnih uporabniških računov in celo preprečite nenamerne ali namerne spremembe kritičnih subjektov v AD.
Te tri najboljše prakse zagotavljajo trdne temelje za izvajanje modela Zero Trust. Implementacija katerega koli varnostnega modela dejansko ni stvar sprejemanja najboljših praks ali uvajanje ene programske rešitve; namesto tega zahteva izgradnjo večplastnega varnostnega ogrodja, ki vključuje široko paleto tehnologij, procesov in politik – ter njegovo nenehno ocenjevanje in izboljševanje, ko se vaše IT okolje, poslovne zahteve in okolje razvijajo. Ne pozabite, da je Zero Trust model, tako kot varnost Active Directory, potovanje in ne cilj.