Jak krásné by bylo, kdyby existoval software Zero Trust 1.2, který by nám umožnil po instalaci automaticky využívat veškeré výhody principů Zero Trust. Bohužel nic takového neexistuje. Zero Trust je soubor principů, které v moderní době chrání naše aplikace a data.
Proč vlastně potřebujeme Zero Trust?
Dříve jsme se pohybovali ve firemní síti s firemním počítačem, který měl jen ověřený software a lokální intranet, který nám dával izolaci v rámci firmy a nikdo na mě nemohl. V dnešní době tento model už vůbec neplatí. Máme obrovské množství cloudových služeb běžících přes internet, sami se chceme připojovat k pracovním aplikacím a do Azure odkudkoliv a hlavně přes internet a veřejné sítě v kavárně apod. To má za následek úplně jiné požadavky na bezpečnost. A proto vznikly principy Zero Trust, které staví do popředí bezpečnost, ale zároveň dostupnost a otevřenost pro každého a odkudkoliv.
Principy Zero Trust
- Verify explicitly - v každém možném okamžiku vždy ověřujeme všechno jako jsou spojení, identity, zařízení, virtuálky, IoT apod.
- Least Privilege - Dávat jen taková oprávnění, která jsou nutná pro práci uživatele a to jen po nutnou dobu. Žádná permanentní administrátorská oprávnění.
- Assume Breach - předpokládáme, že jsou tu všude na síti hackeři, kteří se snaží ukrást identitu, data, aplikace atd.
Identity
Pokud přemýslíme o Zero Trust, pak identity jsou vstupní dveře do naší sítě a pokud chceme přístup do aplikace či virtuálky, pak moje identita je tím hlavním. Může to být uživatel, aplikace, managed identity. Nechceme mít 20 identit, které se těžko ovládají. Chceme mít jednu identitu, která bude dobře chráněná. Můžeme uvažovat o SSO - Single Sign on. Doporučení je mít zapnutý MFA pro všechny uživatele (Authenticator v mobilu) a s tím paswordless autentizaci jako je Hello for Business apod. Díky těmto dvěma službám odfiltrujete až 99 % všech útoků. Jako je například Hello for Business apod.
Endpoint
Endpoint může být mobilní telefon, tablet, korporátní i soukromý notebook nebo IoT zařízení. Jak zajistím, aby zařízení, na kterém chci pracovat, bylo zabezpečené?
Mohu na zařízeních instalovat certifikát, který se mi bude neustále ověřovat oproti mému serveru a aplikaci (verify explicitly) i s pomocí TLS a zaručuje mi, že je to oprávněný device, který může být připojený. Pokud se mi něco nelíbí, pak mohu certifikát zneplatnit a device odstřihnout od sítě z bezpečnostních důvodů.
Mohu také použít registraci zařízení, které se stane ovládané z mé strany a já mohu zařízení ochránit pomocí bezpečnostních záplat, nainstalovat antivirus, anti malware, firewall apod. Pokud zařízení veškeré moje požadavky splní, pak se stává "compliant" a uživatel na něm může pracovat odkudkoliv.
Řešení, které můžeme pro koncová zařízení použít je několik jako Microsoft endpoint management, Intune, Defender for endpoint apod.
Network
Nevěříme ničemu, co se pohybuje po internetu a chceme být chráněni a zároveň předpokládáme v každém okamžiku prolomení naší bezpečnosti zvenčí. Každá interakce, každý přenos dat se musí ověřovat. Jak to udělat?
Jako první nás určitě napadne zašifrování dat po celou dobu přenosu z bodu A do bodu B. Může to být TLS nebo IPsec.
Mikro-segmentace je další možnost zabezpečení. Je to metoda vytvoření bezpečných zón v datových centrech (DC) a cloudu, které umožní izolovat pracovní zátěže od sebe navzájem a individuálně je zabezpečit. Je zaměřena na zajištění větší granulity sítě.
V modelu zabezpečení typu Zero Trust můžeme nastavit zásady, které například určí, že zdravotní přístroje mohou komunikovat jen s dalšími zdravotními přístroji. Cílem je snížit prostor pro síťové útoky. Použitím pravidel segmentace pro pracovní zátěž či aplikaci lze snížit riziko, že by se útočník dostal z jedné zkompromitované zátěže či aplikace na jinou.
V Azure je pro mikro-segmentaci například NSG (Network security group) nebo ASG (application security group), kde mohu segmentovat neboli filtrovat komunikaci z jedné virtuálky do druhé apod.
Signály
Ze všech zařízení, sítě a identit můžeme sbírat signály, které dále jsme schopni vyhodnocovat a vyvozovat z nich kontext a úroveň rizika, které nám hrozí. Další možností je, že zjistíme, kde jsme zranitelní a kde můžeme zajistit mnohem lepší zabezpečení.
Můžeme pomocí těchto signálů kontrolovat přístup do aplikací či do naší vnitřní sítě. Je tento uživatel důvěryhodný a ověřený nebo potřebuje dodatečnou autentizaci pomocí MFA?
K tomu nám slouží nástroje jako jsou CAP - conditional access policy, kde můžeme na základě risk policy buď udělit přístup, nebo vyžádat dodatečnou autentizaci jako je MFA nebo zablokovat přístup, protože je riskantní povolit přístup k databázi uživateli, který je zrovna v kavárně. CAP je pouze aktivní pro Azure AD licence P1 a P2.
Infrastructure
V rámci naší infrastruktury můžeme zabezpečit přístup ke službám jako jsou virtuálky, abychom snížili riziko útoku. Máme možnost limitovat počet adminů pouze na jednoho a také existuje JIT (Just in time) access, kdy se nám zpřístupní virtuálka pouze na omezenou dobu a poté se přístup zavře. Port na RDP se otevře jen na max. 3 hodiny. Můžeme použít Azure Bastion k přístupu do svých služeb. Ze všech služeb můžeme sbírat signály a pomocí Azure Sentinel analyzovat rizika a odhalovat slabá místa.
Data
Data jsou v dnešní době to hlavní a neustále cestují z jedné strany světa na druhou. Zabezpečení je zapotřebí jak u dat, které jsou v klidu, tak i u těch, která jsou na síti. Ale jak to udělat v rámci Zero Trust?
Jako první je zapotřebí rozdělit data na ty, které chceme chránit a na ty, které není třeba. Jste ve firmě, kde takovou klasifikaci dat mají? Jakmile máme klasifikaci dat hotovou, pak je zapotřebí umístit na ně značky (labels) a pomocí nich rozeznat, co komu mohu poslat a s jakými daty může kdo manipulovat. Mohu aplikovat "Dynamic Data Masking", zašifrovat data apod.
Závěr
Lze říci, že v dnešní době se Zero trust model zaměřuje na tři základní moderní principy a dohání moderní dobu z hlediska požadavků zaměstnanců, kteří dnes už nechtějí sedět v práci u, na vnitřní síti připojeného počítače, kde nemají adminská prává a kde mohou vykonávat jen povolené činnosti dle svých přístupových práv. Chtějí váce volnosti a proto se musí bezpečnost vydat i tímto směrem a umožnit větší flexibilitu. Jsem si jistý, že s tímto nástrojem jste schopni bezpečně dát lidem svobodu se do firemní sitě připojit odkudkoliv.