Model zero trust

Model zero trust (ang. zero trust model) – model bezpieczeństwa sieciowego, w którym założeniem jest brak zaufania do jakichkolwiek urządzeń, zarówno wewnętrznych, jak i zewnętrznych w stosunku do sieci przedsiębiorstwa.

Zasada działania

Kluczową ideą modelu Zero Trust jest "nie ufaj, zawsze weryfikuj", co sugeruje, że użytkownikom i urządzeniom nie należy domyślnie ufać, nawet w zaufanych sieciach.

Zamiast polegać na tradycyjnym podejściu opartym na zabezpieczeniu granic sieci, model zero trust koncentruje się na zabezpieczaniu danych na poziomie indywidualnych zasobów. Kluczowymi elementami tego modelu są: uwierzytelnienie, autoryzacja oraz ciągłe monitorowanie dostępu do zasobów sieciowych. Model ten zakłada, że zagrożenia mogą pochodzić zarówno spoza jak i wewnątrz organizacji, dlatego niezmiennie traktuje każdy próbę dostępu do zasobów z założeniem braku zaufania.

Historia

1990: Podstawowa segmentacja sieci

Pojawiają się początkowe próby segmentacji sieci przy użyciu VLAN-ów czy podsieci. Podejście to jest bardzo ograniczone – nie ma uwierzytelniania, minimalnych restrykcji i niewielu wewnętrznych możliwości zabezpieczania. Wprowadzone ograniczenia można łatwo obejść.

2001: Kontrola dostępu do sieci

Stowarzyszenie Standardów IEEE publikuje protokół 802.1X do kontroli dostępu do sieci (NAC). Napędzany przez adaptację WLAN umożliwia uwierzytelnione połączenia sieciowe i daje dostęp na poziomie sieci (LAN/VLAN), ale jest skomplikowany i trudny do szerokiego wdrożenia.

2004 rok: Narodziny koncepcji Zero Trust

W tym roku powstaje Forum Jericho, które promuje innowacyjne podejście do bezpieczeństwa określane jako deperymetryzacja^[1]. Koncepcja ta kładzie nacisk na ochronę danych przedsiębiorstwa przemieszczających się w obrębie oraz poza sieć korporacyjną, zamiast utrzymywania tych danych wyłącznie w granicach sieci korporacyjnej. Ideą deperymetryzacji jest przekonanie, że zabezpieczenia sieci przedsiębiorstw powinny być stosowane nie tylko na granicach kontaktu z Internetem, ale również w każdym miejscu dostępowym wewnątrz sieci.

2009 rok: Forrester i narodziny modelu Zero Trust

Termin model zero trust został wprowadzony w 2009 roku przez Johna Kindervaga z Forrester. Kindervag w swoim przełomowym raporcie przedstawił trzy kluczowe koncepcje:

Zapewnienie, że wszystkie zasoby są bezpiecznie dostępne, niezależnie od lokalizacji.
Przyjęcie strategii minimalnego przywileju i ściśle kontrolowanej kontroli dostępu.
Kontrola i rejestrowanie całego ruchu^[2].

Nazwa "Zero Trust" została stworzona jako drwina w stosunku do kolegów Kindervaga z branży bezpieczeństwa, bazując na rosyjskim przysłowiu "ufaj, ale weryfikuj".

Raport Forrester z 2010 roku wprowadził dwa pomysły, które do dziś budzą kontrowersje w środowisku Zero Trust: "mikroperymetry" oraz zagrożenie ze strony wewnętrznego intruza.

2014 rok: Model bezpieczeństwa Google

Po incydencie związanym z atakiem Operation Aurora, Google wprowadza inicjatywę BeyondCorp, której celem jest przemodelowanie architektury bezpieczeństwa. Inicjatywa ta doprowadza do implementacji koncepcji Zero Trust na skalę całej firmy^[3].

2019 rok: Gartner i jego wkład w rozwój Zero Trust

Analitycy z Gartnera przedstawiają koncepcję Secure Access Service Edge (SASE), dzięki której koncepcja Zero Trust zyskuje na znaczeniu^[4]. Termin Zero Trust jest wówczas redefiniowany jako Zero Trust Network Access (ZTNA)^[5]^[6].

2019 rok: NCSC i Zero Trust

W 2019 roku, brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) zaleciło architektom sieciowym rozważenie zastosowania podejścia Zero Trust podczas nowych wdrożeń IT, zwłaszcza w przypadku planowanego intensywnego korzystania z usług chmurowych. NCSC proponuje również alternatywne, lecz spójne podejście, identyfikując kluczowe zasady leżące u podstaw architektury Zero Trust:

Jedno silne źródło tożsamości użytkownika.
Uwierzytelnianie użytkownika.
Uwierzytelnianie maszyny.
Dodatkowy kontekst, taki jak zgodność z polityką i stan urządzenia.
Polityki autoryzacji dostępu do aplikacji.
Polityki kontroli dostępu w obrębie aplikacji^[7].

2020 rok: NIST i standardy w obszarze Zero Trust

Amerykański Instytut Standardów i Technologii opublikował dokument SP 800-207, który przedstawia zunifikowane podejście do architektury Zero Trust. To ważny krok, który sygnalizuje odejście^[8].

2021 rok: Uznanie dla koncepcji Zero Trust rośnie

W opublikowanym w 2021 roku raporcie Microsoftu pt. "Zero Trust Adoption Report", aż 96% z 1200 ankietowanych decydentów w obszarze bezpieczeństwa podkreśliło kluczową rolę strategii Zero Trust dla sukcesu ich organizacji^[9]. Jako główne powody przyjęcia tej filozofii wskazali na potrzebę zwiększenia elastyczności w zakresie bezpieczeństwa i zgodności oraz na konieczność szybszego wykrywania i reagowania na zagrożenia. Również zmieniający się model pracy, kierujący się w stronę hybrydowej i zdalnej formy, szczególnie widoczny podczas pandemii COVID-19, miał wpływ na większe zainteresowanie podejściem Zero Trust, co potwierdza wspomniany raport.

Przypisy

↑ NN. Bleech NN., Visioning White Paper, What is Jericho Forum? [online], 2005 [dostęp 2023-08-21] (ang.).
↑ JohnJ. Kindervag JohnJ., Build Security Into Your Network’s DNA: The Zero Trust Network Architecture [online], 5 listopada 2010 [dostęp 2023-08-21] (ang.).
↑ BeyondCorp: A New Approach to Enterprise Security | USENIX [online], www.usenix.org [dostęp 2023-08-21] .
↑ Definition of Secure Access Service Edge (SASE) – Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).
↑ Definition of Zero Trust Network Access (ZTNA) – Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).
↑ ZTNA – co to jest i dlaczego warto go wdrożyć? [online], sebitu.pl, 9 sierpnia 2023 [dostęp 2023-08-21] (pol.).
↑ Network architectures [online], www.ncsc.gov.uk [dostęp 2023-08-21] (ang.).
↑ ScottS. Rose ScottS. i inni, Zero Trust Architecture [online], 11 sierpnia 2020 [dostęp 2023-08-21] (ang.).
↑ VasuV. Jakkal VasuV., Zero Trust Adoption Report: How does your organization compare? [online], Microsoft Security Blog, 28 lipca 2021 [dostęp 2023-08-21] (ang.).

[1] NN. Bleech NN., Visioning White Paper, What is Jericho Forum? [online], 2005 [dostęp 2023-08-21] (ang.).

[2] JohnJ. Kindervag JohnJ., Build Security Into Your Network’s DNA: The Zero Trust Network Architecture [online], 5 listopada 2010 [dostęp 2023-08-21] (ang.).

[3] BeyondCorp: A New Approach to Enterprise Security | USENIX [online], www.usenix.org [dostęp 2023-08-21] .

[4] Definition of Secure Access Service Edge (SASE) – Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).

[5] Definition of Zero Trust Network Access (ZTNA) – Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).

[6] ZTNA – co to jest i dlaczego warto go wdrożyć? [online], sebitu.pl, 9 sierpnia 2023 [dostęp 2023-08-21] (pol.).

[7] Network architectures [online], www.ncsc.gov.uk [dostęp 2023-08-21] (ang.).

[8] ScottS. Rose ScottS. i inni, Zero Trust Architecture [online], 11 sierpnia 2020 [dostęp 2023-08-21] (ang.).

[9] VasuV. Jakkal VasuV., Zero Trust Adoption Report: How does your organization compare? [online], Microsoft Security Blog, 28 lipca 2021 [dostęp 2023-08-21] (ang.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]