Националната агенция за сигурност споделя нови насоки, които помагат на организациите да ограничат движението на противника във вътрешната мрежа, като възприемат принципите на рамката за нулево доверие.
Архитектурата за сигурност с нулево доверие изисква строг контрол за достъп до ресурсите в мрежата, независимо дали са във или извън физическия периметър, за да се сведе до минимум въздействието на пробива.
В сравнение с традиционния модел на ИТ сигурност, който предполага, че всичко и всички в мрежата са доверени, дизайнът с нулево доверие приема, че заплахата вече съществува и не позволява свободна намеса в мрежата.
Напредването в зрелостта на нулевото доверие се извършва постепенно чрез разглеждане на различни компоненти или стълбове, които участниците в заплахата могат да използват при атака.
Седемте стълба на архитектурата с нулево доверие
Източник: Национална агенция за сигурност
Днес NSA публикува насоки (pdf, English) за нулево доверие за компонента „мрежа и среда“, който включва всички хардуерни и софтуерни активи, неперсонифицирани субекти и протоколи за взаимовръзка.
Моделът на нулево доверие осигурява задълбочена мрежова сигурност чрез картографиране на потоците от данни, макро- и микросегментация и софтуерно дефинирани мрежи.
За всеки от тях организацията трябва да достигне определено ниво на зрялост, което ѝ позволява да продължи да изгражда според принципите на нулевото доверие.
„Стълбът „Мрежа и среда“ изолира критичните ресурси от неоторизиран достъп чрез определяне на достъпа до мрежата, контрол на мрежовите потоци и потоците от данни, сегментиране на приложенията и работните натоварвания и използване на криптиране от край до край.“ – заключава Агенцията за национална сигурност
Картографирането на потоците от данни започва с определяне на това къде и как се съхраняват и обработват данните. Напредналата зрялост в този случай се постига, когато организацията има пълен опис и видимост на потока и може да смекчи всички настоящи, нови или аномални маршрути.
Чрез макросегментация организациите могат да ограничат страничното движение в мрежата, като създадат мрежови зони за потребителите във всеки отдел.
Например някой в счетоводството не се нуждае от достъп до мрежовия сегмент, посветен на човешките ресурси, освен ако това не е изрично необходимо, така че атакуващият би имал ограничена повърхност за атака, към която да се насочи.
При микросегментацията управлението на мрежата се разделя на по-малки компоненти и се прилагат строги политики за достъп, за да се ограничат страничните потоци от данни.
NSA обяснява, че „микросегментацията включва изолиране на потребителите, приложенията или работните процеси в отделни мрежови сегменти, за да се намали допълнително повърхността за атака и да се ограничи въздействието в случай на пробив“.
По-подробен контрол върху микросегментацията се постига чрез софтуерно дефинирани мрежови компоненти (SDN), които могат да осигурят персонализирано наблюдение на сигурността и предупреждаване.
SDN позволява контролиране на маршрутизирането на пакети от централизиран контролен център, осигурява по-добра видимост в мрежата и позволява прилагане на политики за всички мрежови сегменти.
За всеки от четирите компонента в стълба „Мрежа и среда“ на архитектурата с нулево доверие NSA описва четири нива на зрялост – от подготвителния етап до напредналата фаза, в която се прилагат обширни системи за контрол и управление, позволяващи оптимална видимост, мониторинг и осигуряване на растежа на мрежата.
Проектирането и изграждането на среда с нулево доверие е сложна задача, която изисква систематично преминаване през етапите на зрялост.
Извършена правилно, резултатът е корпоративна архитектура, която може да се противопостави, да идентифицира и да реагира на заплахите, опитващи се да се възползват от слабостите.
През февруари 2021 г. NSA публикува първото ръководство за рамката на нулевото доверие (Embracing a Zero Trust Security Model), в което се описват моделът и предимствата на принципите, които стоят зад него.
През април 2023 г. агенцията публикува ръководство за достигане на зрелостта на потребителския компонент в рамката за нулево доверие – Advancing Zero Trust Maturity Throughout the User Pillar.