(Ne)důvěryhodný síťový perimetr

Tradiční bezpečnostní koncept na bázi ochrany síťového perimetru je model, který se zaměřuje na zabezpečení prostřednictvím stanovení a ochrany hranic sítě (interní síť, DMZ atd.). Bezpečnost je zajištěna nasazením firewallů, sítí VPN či dalších bezpečnostních opatření, aby se zabránilo neoprávněnému přístupu zvenčí. Uvnitř sítě pak mohou být nasazeny další technologie pro kontrolu síťového provozu – například IDS (Intrusion Detection System). Ve skutečnosti se ale předpokládá, že vše uvnitř sítě je důvěryhodné a vše mimo ni důvěryhodné není.

V dnešním velmi dynamickém IT prostředí není možné bezpečnostní perimetr ohraničit stěnami budovy, kanceláře či vnitropodnikovou sítí. Datová úložiště a mailové servery, dříve centralizovaně běžící ve vaší serverovně, jsou nahrazovány moderními cloudovými nástroji. Zaměstnanci pracují hybridně a k firemním zdrojům se připojují z různých míst a z různých zařízení, včetně soukromých. Rychlá a efektivní spolupráce mezi interními uživateli, externími dodavateli a zákazníky se stala nezbytností. Komunikace ve většině případů probíhá skrze veřejný internet.

Tyto faktory zásadně ovlivňují bezpečnost vašeho IT prostředí. Kyberzločincům se nabízí mnohonásobně více možností ke kompromitaci vašich identit či zařízení, k infiltraci do vašeho prostředí, ke zcizení dat či k poškození vaší reputace. Různé studie také uvádí, že útoky nepřicházejí vždy pouze zvenčí firem, ale zhruba 30 % útoků je vedeno zevnitř organizace. Ať už se jedná o úmyslné chování či nedbalost.

Apriori důvěra v interní prostředí, ve firemní zařízení či v identitu zaměstnance je tedy velmi iluzorní.

Zero Trust aneb koncept nulové důvěry

Koncept nulové důvěry je založen na tvrzení, že samotná důvěra je zranitelnost. Slogan „nikomu nevěř, vždy ověřuj“ jasně signalizuje, že tento bezpečnostní model je přímým opakem perimetrické ochrany.

Nejedná se přitom o módní výstřelek posledního roku či dvou. První reálné nasazení tohoto konceptu v enterprise prostředí společnosti Google (iniciativa BeyondCorp) se datuje do roku 2009. Bezpečnostní model se od té doby stále více rozšiřuje a je považován za efektivní reakci na komplexitu a proměnlivost kybernetických hrozeb. Zároveň nejde o pouhou sadu konkrétních technologií, ale holistický bezpečnostní přístup, který prostupuje každý aspekt infrastruktury organizace a proaktivně ji chrání před vyvíjejícími se kybernetickými hrozbami.

Co jsou klíčové principy Zero Trustu?

• Explicitní ověřování – Před udělením přístupu k firemním zdrojům musí být každý uživatel a zařízení ověřeno a autorizováno. Bez ohledu na lokaci.
• Minimální oprávnění – Uživatelům a zařízením je udělena pouze minimální úroveň přístupu nezbytná k provádění jejich úkolů, což snižuje potenciální dopad v případě kompromitace.
• Mikrosegmentace – Nikdy není udělen plošný přístup. Pohyb mezi síťovými zónami či různými firemními aplikacemi je neustále ověřován a autorizován.
• Nepřetržité monitorování – Aktivita je nepřetržitě monitorována, aby bylo možné detekovat a reagovat na podezřelé chování v reálném čase.

Ochrana je navrhována jako vícevrstvá a velmi důležitou roli v ní hraje schopnost úzké integrace mezi použitými technologiemi.

Cesta k rovnováze

Při adopci nové bezpečnostní strategie je vždy třeba hledat správnou rovnováhu mezi absolutní bezpečností a uživatelskou zkušeností a produktivitou. Velkou roli ve fázi návrhu hraje jasně definovaná a managementem podporovaná IT strategie a znalost existujících procesů. Zároveň není v silách žádné organizace přijmout všechny principy a technologie v jeden okamžik. Proto je neméně důležité plánování a koncepční postup. Dobře provedená adopce může dramaticky posílit bezpečnost organizace a zároveň i zlepšit uživatelskou zkušenost. Nesprávné nasazení může naopak vést k velké nespokojenosti uživatelů, záměrnému obcházení bezpečnostních pravidel a pozdějším nekoncepčním ústupkům. Kde tedy začít?

Základním stavebním kamenem Zero Trustu je uživatelská identita, přesněji systémy řízení identit a přístupů – Identity and Access Management (IAM). Ty vám umožní jak čistě cloudovou správu, tak i snadnou integraci s tradičním prostředím založeným na Microsoft Active Directory doméně. Budete s to centralizovat správu všech účtů, zavést moderní způsoby autentizace s využitím multi-faktorového ověřování a zajistit jednotné přihlašování a řízení přístupu do všech firemních aplikací. Snadno propojíte zaměstnance, obchodní partnery i zákazníky a umožníte jim efektivní a bezpečnou spolupráci odkudkoli. Samoobslužné funkce pro reset hesla ušetří čas vašemu Helpdesku, případně se hesel úplně zbavíte přechodem na bezheslové ověřování (passwordless).

Dalším krokem bývá zavedení správy všech typů zařízení pomocí MDM (Mobile Device Management) či UEM (Unified Endpoint Management). V rámci nulové důvěry se moderní správa zařízení (koncových bodů) stala kritickým prvkem první linie obrany, protože každé zařízení představuje potenciální vstupní bránu útočníka do vašeho prostředí. Zatímco u mobilních platforem je dnes MDM správa celkem běžnou záležitostí, zejména u počítačů s Windows stále u firem přetrvávají obavy. Dobře naplánovaný přechod z tradiční správy na moderní může být přitom bezbolestný a s minimálním dopadem na uživatele. MDM technologie usnadňují nejen nasazení, konfiguraci a správu všech firemních zařízení, ale nabízí organizacím také dohled nad využitím soukromých zařízení v režimu BYOD a zajišťuje shodu s firemními bezpečnostními politikami. Velkým benefitem je, že to vše zvládnete s pouhým připojením k internetu. Tedy kdekoli na světě, bez VPN a viditelnosti na doménový řadič. Na závěr byste neměli zapomenout na integraci MDM s IAM, která hraje klíčovou roli při autorizaci každého přístupu ze zařízení na firemní zdroje.

K plnohodnotné ochraně zařízení dnes ovšem potřebujete víc než MDM. Dokonce i víc než klasický antivir. Díky MDM budete schopni velmi snadno a rychle nasadit pokročilý systém EDR (Endpoint Detection and Response). Ten bude neustále monitorovat vaše koncové body, zda nevykazují známky kompromitace. Špičkové technologie dnes umí také analyzovat a vyhodnocovat anomálie za pomocí strojového učení (ML) a umělé inteligence (AI). Díky tomu jsou schopny zabránit ransomware a dalším dosud neznámým typům útoků, využívajících zero-day zranitelnosti.

XDR (Extended Detection and Response) nástroje dále rozšiřují funkcionalitu EDR o ochranné mechanismy na úrovni síťové, cloudové a aplikační vrstvy. Ochrání vás před phishingem a malware v emailové komunikaci či proti škodlivému kódu nahranému v cloudových úložištích.

V Zero Trust konceptu není prostor pro důvěru. Řízení toku dokumentů a ochrana organizace před únikem dat je dalším důležitým bezpečnostním prvkem. Dnešní systémy umožňují automatizovanou klasifikaci a ochranu emailů a dokumentů. Tu provádí na základně výskytu klíčových slov, definovaných textových vzorů či typu úložiště a zabraňují nepovolenému sdílení informací mimo organizaci anebo okruh definovaných příjemců.

V případě, že stále potřebujete vzdálený přístup do vašeho datacentra, může technologie ZTNA (Zero Trust Network Access) nahradit vaši současnou VPN (Virtual Private Network). Namísto širokého přístupu na úrovni sítě klade důraz na mikrosegmentaci a moderní tunelování komunikace na úrovni aplikací. Tuto technologii můžete navíc použít i v kombinaci s cloudovými aplikacemi pro oddělení kritické komunikace od méně důležité. Díky klasifikaci a inspekci síťového provozu je dispozici také ochrana před širokým spektrem internetových hrozeb.

Na pomyslném vrcholu pyramidy bezpečnostních nástrojů pak stojí systémy SIEM (Security Information and Event Management), které slouží k centrálnímu sběru aplikačních a systémových logů a auditních záznamů. Ty jsou dále zpracovávány pro účely analýzy či zajištění governance a compliance organizace. Jsou to oči a uši, které prosévají velké množství získaných informací, aby v nich rozeznaly potenciální hrozby. Platformy SOAR (Security Orchestration, Automation and Response) doplňují SIEM zavedením automatizace a orchestrace do procesu odezvy a reakce na vzniklý incident. V dnešní době opět s využitím umělé inteligence. Tyto systémy je ovšem ideální plánovat a nasazovat až ve chvíli, kdy jsou položeny základy bezpečnosti popsané výše.

Ladislav Blažek Autor článku je technickým ředitelem společnosti System4u a.s.