Zero Trust: skydda användarna, applikationerna och nätverket

Zero Trust är en teoretisk arkitektur och blir lätt lite fluffigt som begrepp, detta gör också att begreppet kan tolkas på flera olika sätt. För hjälpa till att reda ut begrepp och koncept tänkte jag i denna artikeln bryta ner Zero Trust lite, förklara de olika delarna och vad hur vi övergripande använder dessa.

Lite kort historia – Zero Trust

Problemen runt perimeterskydd diskuterades redan runt 2004 i det så kallade Jericho forumet men det var först run 2010 som begreppet Zero Trust myntades av Forrester. 2014 lanserade Google sin Zero Trust lösning BeyondCorp och runt 2017 utvecklade Forrester Zero Trust och kallade den Zero Trust eXtended ZTX. Zero Trust eXtended är det som vi använder som grund för att ta fram en fungerande arkitektur.

Vad är en Zero Trust Arkitektur, ZTA

I det traditionella nätverket så pratar vi ofta om perimeterskydd, segmentering och zoner. Man delar in nätverket i olika delar och användaren behöver ofta en högre behörighet för att få access längre in i infrastrukturen. Till detta använder olika produkter för att upptäcka och stoppa hot mot användare och infrastruktur, något man kan kalla Security in-depth.

Utmaningen man får med traditionella skyddet är att när man väl har fått rättigheterna för den aktuella zonen så finns det normalt inget som omvärderar dessa. Om en hacker lyckas få en användare att till exempel öppna ett farligt epostmeddelande så kan han få användarens dator att prata utåt för att ta över den. Hur många företag blockerar till exempel https utgående?

Zero Trust arkitekturen skiljer sig från det traditionella nätverket genom ett par olika påståenden om säkerheten.

Ditt nätverk ska alltid ses som fientligt.
Varje enhet och användare ska autentiseras.
Varje transaktion, varje flöde, i nätverket ska auktoriseras.
Varje enhet, använder och transaktion ska styras av dynamiska policys.
Alla policys ska uppdateras kontinuerligt och beräknas från nuläget i nätverket.

Man kan säga att det traditionella skyddet blir en hot-centrerad modell medans en Zero Trust arkitektur fokuserar på att skydda data. ZTA gör det genom att kontinuerligt analysera användare, enheter och applikationer och ge dessa ett så kallat trust score, ett värde som används för att evaluera rättigheter.

Trusted Access

Ska man övervaka och styra alla delarna i en Zero Trust arkitektur så blir det både komplext och kostsam att införa, om det ens är fullt möjligt att göra idag. Det gör att många idag ser Zero Trust arkitekturen som ett mål som är svårt att nå och som ligger långt in i framtiden.

För att göra det lättare har Cisco tagit fram en variant av ZTA, ett koncept som man kallar Trusted Access och som innebär att man kan starta sin resa mot Zero Trust med de verktygen som finns tillgängliga idag.

Trusted Access delas upp i tre delar så kan vi på ett enklare sätt ta ett komplext koncept och föra över det på olika delar i infrastrukturen. När vi pratar Trusted Access så använder vi ofta följande indelning:

Workforce – Användarna
Workload – Applikationerna
Workplace – Nätverket

Workforce – hur skyddar vi användarna

Workforce är att skydda användarna och deras applikationer. Vi vill hur man kan använda multifaktorsautentisering, MFA, i praktiken för att styra access till olika applikationer i organisationens nätverk, men också om man kan skydda SaaS applikationer som ligger i det publika molnet.

Workload – att skydda applikationerna

Workload går ut på att säkra applikationerna och den trafiken som går mellan olika system. Denna typen av trafikflöden kan vara automatiserade och svåra att hantera med till exempel en MFA-lösning.

För att ha koll på dessa flöden så är det första steget mot ZTA visibilitet, vi vill veta vad som finns i nätverket och hur applikationer kommunicerar med varandra. Genom att titta på metadata som genereras av trafikflöden i nätverket så kan man få fram vem kommunicerar med vem och hur. Vidare så analysera datan och information som tas fram kan användas för att öka säkerheten.

Workplace – Nätverket

Med Workplace så menar vi att man även ska ha kontroll och styra access till nätverket. Som exempel så finns en hel del enheter i nätverket som inte riktigt kan delta i en Zero Trust modell eftersom de inte har någon användare som kan autentisera och auktorisera varje flöde.

Detta är enheter som som vi använder oss av dagligen och som vi är beroende av för att sköta olika typer av uppgifter på vår arbetsplats. Dessa IoT och IIoT enheter har varierande nivå av säkerhet inbyggt vilket gör att nätverket och segmentering fortfarande är viktigt idag för att säkerställa rätt åtkomst för maskiner.

Vill du veta mer? Hör av dig!

Kontakta oss

Mikael Gustafsson, CCIE Security #51822, CISSP, är senior nätverks- och säkerhetskonsult på Conscia Sverige. Mikael har 15 års erfarenhet som konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer. Mikael skriver på IDG Expert och även Conscias blogg (exempelvis här och här).

Zero Trust: skydda användarna, applikationerna och nätverket

NYHETSBREV

Kostnadsfria guider (pdf)

Whitepaper: Ryska hackare med statligt stöd

Whitepaper: Den mänskliga faktorn i din cybersäkerhet

Whitepaper: Cyberhoten från Ukrainakriget – vad du behöver veta

Vad är AIOps? En guide till AI för IT-avdelningen

TLS: Så skyddar du dig när Internet blir mörkt

Relevanta webinarer

Inspelat webinar: Zero Trust säkerhetswebinar med Cisco 27/3 – Nolltillit du KAN lita på

Inspelat webinar: Skydda och förbättra interaktion mellan IoT, OT och IT

Inspelat webinar: Skydda dina hybrida medarbetare med Palo Alto Prisma Access

Områden

Kategorier

Lite kort historia – Zero Trust

Vad är en Zero Trust Arkitektur, ZTA

Trusted Access

Workforce – hur skyddar vi användarna

Workload – att skydda applikationerna

Workplace – Nätverket

Relevant innehåll

Vad kan vi lära oss av cyberattackerna mot Okta?

5 tips från Cisco för bättre cyber-resiliens

KRITISK sårbarhet i Palo Alto Gateway

Cybersäkerhet med Palo Alto Cortex – så får du överblick och tar kontroll

Kontakta oss!