Zero Trust: skydda användarna, applikationerna och nätverket

I slutet på mars så håller vi ett frukostseminarium runt Zero Trust tillsammans med Cisco. Zero Trust är en teoretisk arkitektur och blir lätt lite fluffigt som begrepp, detta gör också att begreppet kan tolkas på flera olika sätt. För att sätta scenen lite inför frukostseminariet så tänkte jag i denna artikeln bryta ner ZT-konceptet lite, förklara de olika delarna och vad hur vi övergripande använder dessa.

Lite kort historia – Zero Trust

Problemen runt perimeterskydd diskuterades redan runt 2004 i det så kallade Jericho forumet men det var först run 2010 som begreppet Zero Trust myntades av Forrester. 2014 lanserade Google sin Zero Trust lösning BeyondCorp och runt 2017 utvecklade Forrester Zero Trust och kallade den Zero Trust eXtended ZTX. Zero Trust eXtended är det som vi använder som grund för att ta fram en fungerande arkitektur.

Vad är en Zero Trust Arkitektur, ZTA

I det traditionella nätverket så pratar vi ofta om perimeterskydd, segmentering och zoner. Man delar in nätverket i olika delar och användaren behöver ofta en högre behörighet för att få access längre in i infrastrukturen. Till detta använder olika produkter för att upptäcka och stoppa hot mot användare och infrastruktur, något man kan kalla Security in-depth.

Utmaningen man får med traditionella skyddet är att när man väl har fått rättigheterna för den aktuella zonen så finns det normalt inget som omvärderar dessa. Om en hacker lyckas få en användare att till exempel öppna ett farligt epostmeddelande så kan han få användarens dator att prata utåt för att ta över den. Hur många företag blockerar till exempel https utgående?

Zero Trust arkitekturen skiljer sig från det traditionella nätverket genom ett par olika påståenden om säkerheten.

  • Ditt nätverk ska alltid ses som fientligt.
  • Varje enhet och användare ska autentiseras.
  • Varje transaktion, varje flöde, i nätverket ska auktoriseras.
  • Varje enhet, använder och transaktion ska styras av dynamiska policys.
  • Alla policys ska uppdateras kontinuerligt och beräknas från nuläget i nätverket.

Man kan säga att det traditionella skyddet blir en hot-centrerad modell medans en Zero Trust arkitektur fokuserar på att skydda data. ZTA gör det genom att kontinuerligt analysera användare, enheter och applikationer och ge dessa ett så kallat trust score, ett värde som används för att evaluera rättigheter.

Trusted Access

Ska man övervaka och styra alla delarna i en Zero Trust arkitektur så blir det både komplext och kostsam att införa, om det ens är fullt möjligt att göra idag. Det gör att många idag ser Zero Trust arkitekturen som ett mål som är svårt att nå och som ligger långt in i framtiden.

För att göra det lättare har Cisco tagit fram en variant av ZTA, ett koncept som man kallar Trusted Access och som innebär att man kan starta sin resa mot Zero Trust med de verktygen som finns tillgängliga idag.

Trusted Access delas upp i tre delar så kan vi på ett enklare sätt ta ett komplext koncept och föra över det på olika delar i infrastrukturen. När vi pratar Trusted Access så använder vi ofta följande indelning:

  • Workforce – Användarna
  • Workload – Applikationerna
  • Workplace – Nätverket

Workforce – hur skyddar vi användarna

Zero Trust-Skydda anvandarna - Conscia Cisco

Workforce är att skydda användarna och deras applikationer. Vi vill hur man kan använda multifaktorsautentisering, MFA, i praktiken för att styra access till olika applikationer i organisationens nätverk, men också om man kan skydda SaaS applikationer som ligger i det publika molnet.

Workload – att skydda applikationerna

Zero Trust-Skydda applikationerna - Conscia Cisco Trusted Access

Workload går ut på att säkra applikationerna och den trafiken som går mellan olika system. Denna typen av trafikflöden kan vara automatiserade och svåra att hantera med till exempel en MFA-lösning.

För att ha koll på dessa flöden så är det första steget mot ZTA visibilitet, vi vill veta vad som finns i nätverket och hur applikationer kommunicerar med varandra. Genom att titta på metadata som genereras av trafikflöden i nätverket så kan man få fram vem kommunicerar med vem och hur. Vidare så analysera datan och information som tas fram kan användas för att öka säkerheten.

Workplace – Nätverket

Zero Trust-Skydda natverket - Conscia Cisco Trusted Access

Med Workplace så menar vi att man även ska ha kontroll och styra access till nätverket. Som exempel så finns en hel del enheter i nätverket som inte riktigt kan delta i en Zero Trust modell eftersom de inte har någon användare som kan autentisera och auktorisera varje flöde.

Detta är enheter som som vi använder oss av dagligen och som vi är beroende av för att sköta olika typer av uppgifter på vår arbetsplats. Dessa IoT och IIoT enheter har varierande nivå av säkerhet inbyggt vilket gör att nätverket och segmentering fortfarande är viktigt idag för att säkerställa rätt åtkomst för maskiner.

Lär dig mer – kom till vår Zero Trust-frukost i mars!

Vill du veta mer om hur din verksamhet med befintliga och kompletterande verktyg kan börja tillämpa Trusted Access idag? Besök ett av våra frukostseminarier där jag, Cisco och Duo Security föreläser och besvarar frågor kring detta:

Malmö 19 mars:

Plats: Radisson Blu Hotel, Östergatan 10, Malmö
Tid: 08:30-10:00 (frukost från 08:00)

Anmälan Malmö 

Göteborg 24 mars:

Plats: Elite Park Avenue Hotel,  Kungsportsavenyn 36, Göteborg
Tid: 08:30-10:00 (frukost från 08:00)

Anmälan Göteborg

Stockholm 27 mars:

Plats: Scandic Continental Hotel, Vasagatan, Stockholm
Tid: 08:30-10:00 (frukost från 08:00)

Anmälan Stockholm

 

Conscia_Mikael_Web_002Mikael Gustafsson, CCIE Security #51822, CISSP, är senior nätverks- och säkerhetskonsult på Conscia Sverige. Mikael har 15 års erfarenhet som konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer. Mikael skriver på IDG Expert och även Conscias blogg (exempelvis här och här).

 

Kontakta oss!
Svar inom 24h