NSA споделя насоки за нулево доверие с цел ограничаване на противниците в мрежата

NSA споделя насоки за нулево доверие с цел ограничаване на противниците в мрежата

Националната агенция за сигурност споделя нови насоки, които помагат на организациите да ограничат движението на противника във вътрешната мрежа, като възприемат принципите на рамката за нулево доверие.

Архитектурата за сигурност с нулево доверие изисква строг контрол за достъп до ресурсите в мрежата, независимо дали са във или извън физическия периметър, за да се сведе до минимум въздействието на пробива.

В сравнение с традиционния модел на ИТ сигурност, който предполага, че всичко и всички в мрежата са доверени, дизайнът с нулево доверие приема, че заплахата вече съществува и не позволява свободна намеса в мрежата.

Напредването в зрелостта на нулевото доверие се извършва постепенно чрез разглеждане на различни компоненти или стълбове, които участниците в заплахата могат да използват при атака.

The seven pillars of the zero-trust architecture
Седемте стълба на архитектурата с нулево доверие
Източник: Национална агенция за сигурност

Днес NSA публикува насоки (pdf, English) за нулево доверие за компонента „мрежа и среда“, който включва всички хардуерни и софтуерни активи, неперсонифицирани субекти и протоколи за взаимовръзка.

Моделът на нулево доверие осигурява задълбочена мрежова сигурност чрез картографиране на потоците от данни, макро- и микросегментация и софтуерно дефинирани мрежи.

За всеки от тях организацията трябва да достигне определено ниво на зрялост, което ѝ позволява да продължи да изгражда според принципите на нулевото доверие.

„Стълбът „Мрежа и среда“ изолира критичните ресурси от неоторизиран достъп чрез определяне на достъпа до мрежата, контрол на мрежовите потоци и потоците от данни, сегментиране на приложенията и работните натоварвания и използване на криптиране от край до край.“ – заключава Агенцията за национална сигурност

Картографирането на потоците от данни започва с определяне на това къде и как се съхраняват и обработват данните. Напредналата зрялост в този случай се постига, когато организацията има пълен опис и видимост на потока и може да смекчи всички настоящи, нови или аномални маршрути.

Чрез макросегментация организациите могат да ограничат страничното движение в мрежата, като създадат мрежови зони за потребителите във всеки отдел.

Например някой в счетоводството не се нуждае от достъп до мрежовия сегмент, посветен на човешките ресурси, освен ако това не е изрично необходимо, така че атакуващият би имал ограничена повърхност за атака, към която да се насочи.

При микросегментацията управлението на мрежата се разделя на по-малки компоненти и се прилагат строги политики за достъп, за да се ограничат страничните потоци от данни.

NSA обяснява, че „микросегментацията включва изолиране на потребителите, приложенията или работните процеси в отделни мрежови сегменти, за да се намали допълнително повърхността за атака и да се ограничи въздействието в случай на пробив“.

По-подробен контрол върху микросегментацията се постига чрез софтуерно дефинирани мрежови компоненти (SDN), които могат да осигурят персонализирано наблюдение на сигурността и предупреждаване.

SDN позволява контролиране на маршрутизирането на пакети от централизиран контролен център, осигурява по-добра видимост в мрежата и позволява прилагане на политики за всички мрежови сегменти.

За всеки от четирите компонента в стълба „Мрежа и среда“ на архитектурата с нулево доверие NSA описва четири нива на зрялост – от подготвителния етап до напредналата фаза, в която се прилагат обширни системи за контрол и управление, позволяващи оптимална видимост, мониторинг и осигуряване на растежа на мрежата.

Проектирането и изграждането на среда с нулево доверие е сложна задача, която изисква систематично преминаване през етапите на зрялост.

Извършена правилно, резултатът е корпоративна архитектура, която може да се противопостави, да идентифицира и да реагира на заплахите, опитващи се да се възползват от слабостите.

През февруари 2021 г. NSA публикува първото ръководство за рамката на нулевото доверие (Embracing a Zero Trust Security Model), в което се описват моделът и предимствата на принципите, които стоят зад него.

През април 2023 г. агенцията публикува ръководство за достигане на зрелостта на потребителския компонент в рамката за нулево доверие – Advancing Zero Trust Maturity Throughout the User Pillar.

 

Източник: e-security.bg

Сподели в:

Категории:

Следвай ни в: