Специалисты напоминают: есть еще более надежный метод, чем «доверяй, но проверяй».
Агентство национальной безопасности США (АНБ) опубликовало новое руководство по внедрению концепции Zero Trust (нулевое доверие) — передовой модели защиты корпоративных сетей и данных. Документ поможет коммерческим и государственным организациям по максимум обезопасить свои системы от киберугроз.
Архитектура нулевого доверия коренным образом отличается от классического подхода, при котором все внутри локальной сети считается заведомо безопасным. Вместо этого она предполагает строжайший контроль доступа ко всем сетевым ресурсам, вне зависимости от их местоположения — внутри или за пределами периметра. То есть система изначально считает, что угроза есть и нельзя допускать свободного перемещения по инфраструктуре.
Внедрение полноценной модели Zero Trust происходит поэтапно. Важно последовательно решать задачи в компонентах, которые потенциально могут послужить плацдармом для кибератак. Рекомендации АНБ посвящены укреплению компонента «network and environment» (сеть и средa), охватывающего всю аппаратную и программную инфраструктуру организации, а также протоколы их взаимодействия.
Zero Trust обеспечивает многоуровневую защиту благодаря тщательному картированию потоков данных, макро- и микросегментации, а также применению программно-определяемых сетевых решений. Для каждого из этих направлений в руководстве описаны четыре уровня зрелости — от начальной подготовки до продвинутой стадии с широким внедрением средств контроля, мониторинга и управления сетью.
На первом этапе компании необходимо полностью визуализировать существующие потоки данных — где и как они хранятся, перемещаются и обрабатываются. Высокий уровень зрелости подразумевает исчерпывающую инвентаризацию и возможность отслеживать любые новые или нетипичные маршруты.
Макросегментация позволяет ограничить боковое перемещение по сети путем создания обособленных сегментов для каждого подразделения. К примеру, сотрудники бухгалтерии не должны иметь доступ к ресурсам отдела кадров, если этого не требуется для выполнения их прямых обязанностей. Таким образом сужается пространство для распространения вредоносного ПО.
Следующим шагом является микросегментация — разбиение сети на мелкие разделы с жесткими правилами доступа между ними.
Как поясняют эксперты АНБ, микросегментация подразумевает изоляцию пользователей, приложений или рабочих процессов в отдельные сегменты сети для дальнейшего сокращения поверхности атаки и локализации ущерба от взлома.
Максимальный контроль на уровне микросегментации обеспечивается с помощью программно-определяемых сетевых решений (SDN). Они позволяют централизованно управлять маршрутизацией трафика, обеспечивают повышенную видимость сетевой активности и возможность гибко настраивать правила для каждого сегмента.
Спроектированная по принципам нулевого доверия архитектура способна выдерживать, обнаруживать и адекватно реагировать на попытки злоумышленников эксплуатировать уязвимости и распространяться по сети.
Эти рекомендации АНБ продолжают целую серию руководств по Zero Trust. Ранее агентство выпустило документы, описывающие общие принципы этой концепции и ее реализацию применительно к компоненту «user» (пользователь).
От классики до авангарда — наука во всех жанрах