Národná bezpečnostná agentúra USA (NSA) oznámila spustenie novej webovej stránky Zero Trust Implementation Guidelines (ZIG), ktorá má pomôcť organizáciám plánujúcim alebo implementujúcim architektúru Zero Trust (ZT). Iniciatíva je určená predovšetkým pre vlastníkov systémov národnej bezpečnosti (NSS), obranného priemyslu (DIB) a Ministerstva obrany USA (DoD).
Podľa NSA nová stránka ZIG zjednodušuje viac než 1 000 strán technickej dokumentácie do interaktívnej a prispôsobiteľnej platformy, čím robí odporúčania pre Zero Trust dostupnejšími a jednoduchšie použiteľnými v prevádzkovom prostredí.
Platforma má organizáciám pomôcť organizovať a prioritizovať investície do kybernetickej bezpečnosti a bezpečnostných operácií, pričom zabezpečuje komplexné pokrytie kritických bezpečnostných funkcií. Zjednodušením implementačných odporúčaní chce NSA urýchliť prijímanie princípov Zero Trust naprieč vládnymi a obrannými systémami.
Organizácie, ktoré sa chcú dozvedieť viac, môžu navštíviť oficiálnu stránku ZIG, kde nájdu ďalšie zdroje a implementačné odporúčania.
Prehľad
Zero Trust je:
„Súbor konceptov a myšlienok navrhnutých na minimalizáciu neistoty pri presadzovaní presných rozhodnutí o prístupe na princípe najnižších oprávnení pre každú jednotlivú požiadavku v informačných systémoch a službách v prostredí, kde sa na sieť pozerá ako na potenciálne kompromitovanú.“
(NIST SP 800-207)
Koncepty Zero Trust vychádzajú z predpokladu, že narušenie bezpečnosti je nevyhnutné alebo už pravdepodobne nastalo. Implementácie preto neustále monitorujú anomálne alebo škodlivé aktivity a priebežne overujú a obmedzujú prístup s cieľom automaticky minimalizovať škody spôsobené incidentom.
Aby bolo možné neustále overovať a obmedzovať prístup, Zero Trust sa zameriava na to, aby k sieťovým zdrojom pristupovali iba autorizované entity. Rozhodnutia o prístupe a ich vynucovanie musia byť čo najdetailnejšie a najpresnejšie.
Úvod do smerníc Zero Trust
Účelom dokumentu Primer je poskytnúť prehľad a prepojenie na hlavné odporúčania vydané Ministerstvom obrany USA (DoD), agentúrou CISA a organizáciou NIST pre dosiahnutie cieľovej úrovne architektúry Zero Trust.
Primer poskytuje usmernenia pre používanie dokumentov ZIG, ktoré opisujú kroky potrebné na implementáciu technológií a procesov umožňujúcich dosiahnuť cieľové schopnosti, aktivity a očakávané výsledky definované v rámci Zero Trust Framework Ministerstva obrany USA.
Dokument tiež vysvetľuje metodiku rozdelenia jednotlivých Zero Trust aktivít tak, aby vlastníci systémov a bezpečnostní odborníci lepšie pochopili, ako ZIG efektívne využívať.
Primer slúži ako doplnok k dokumentom ZIG, ktoré sú naviazané na cieľovú implementáciu Zero Trust definovanú DoD.
Fáza Discovery – Zero Trust Framework DoD
Fáza Discovery je navrhnutá na zhromažďovanie kritických informácií o aktuálnom IT prostredí.
Zahŕňa identifikáciu a dokumentáciu:
- dát,
- aplikácií,
- aktív,
- služieb (DAAS),
- používateľov,
- privilegovaných entít (PE),
- neprivilegovaných entít (NPE).
Táto základná fáza zabezpečuje komplexné pochopenie prevádzkového prostredia a podporuje informované rozhodovanie a strategické plánovanie.
Ministerstvo obrany definovalo 14 základných schopností (Core Capabilities), ktoré riadia hodnotenie a pochopenie existujúceho prostredia.
Fáza 1 – DoD Zero Trust Framework
Dokumenty ZIG sú navrhnuté tak, aby zodpovedali viacfázovej implementačnej stratégii Zero Trust definovanej DoD.
Fáza 1 zahŕňa:
- 36 aktivít,
- ktoré umožňujú 30 schopností špecifických pre túto fázu.
Aktivity vo fáze 1 rozširujú a spresňujú existujúce prostredie organizácie s cieľom vytvoriť bezpečný základ pre implementáciu Zero Trust schopností.
Fáza 2 – DoD Zero Trust Framework
Fáza 2 zahŕňa:
- 41 aktivít,
- ktoré umožňujú 34 schopností špecifických pre túto fázu.
Tieto aktivity predstavujú prvotnú integráciu základných Zero Trust riešení v prostredí organizácie.
Zvyšné aktivity a schopnosti sú riešené v ďalších dokumentoch ZIG, najmä vo fáze Discovery a Phase One.
Pilier používateľov (User Pillar)
Pilier používateľov sa zameriava na zabezpečenie a riadenie prístupu k autoritatívnym zdrojom údajov Ministerstva obrany zo strany ľudí aj neľudských entít.
Zdôrazňuje používanie:
- viacfaktorovej autentifikácie (MFA),
- správy privilegovaných účtov (PAM).
Organizácie musia:
- priebežne autentifikovať používateľov,
- autorizovať ich prístup,
- monitorovať ich správanie.
Cieľom je zabezpečiť, aby všetky interakcie boli kontrolované, chránené a v súlade s princípmi Zero Trust.
Pilier zariadení (Device Pillar)
Pilier zariadení sa zameriava na zabezpečenie a správu všetkých zariadení komunikujúcich s podnikovými zdrojmi.
Dôraz sa kladie na:
- priebežnú autentifikáciu,
- kontrolu,
- hodnotenie stavu zariadenia v reálnom čase.
Používajú sa technológie ako:
- Mobile Device Management (MDM),
- Comply to Connect (C2C),
- Trusted Platform Module (TPM).
Každá požiadavka na prístup by mala spúšťať kontrolu zariadenia vrátane:
- stavu kompromitácie,
- verzie softvéru,
- bezpečnostných mechanizmov,
- šifrovania,
- integrity konfigurácie.
Zero Trust vyžaduje schopnosť identifikovať, autentifikovať, inventarizovať, autorizovať, izolovať, zabezpečiť a spravovať všetky zariadenia v prostredí.
Pilier aplikácií a pracovných záťaží (Application and Workload Pillar)
Tento pilier sa zameriava na zabezpečenie všetkých aplikácií a služieb, či už bežia lokálne alebo v cloude.
Zahŕňa ochranu:
- aplikácií,
- virtuálnych strojov,
- kontajnerov.
Zero Trust sa implementuje pomocou bezpečných doručovacích mechanizmov, ako sú proxy technológie, ktoré slúžia ako rozhodovacie a vynucovacie body prístupu.
Bezpečnosť sa začína už počas vývoja softvéru, kde sa využívajú princípy DevSecOps na kontrolu zdrojového kódu a zdieľaných knižníc.
Pilier dát (Data Pillar)
Pilier dát sa zameriava na ochranu autoritatívnych zdrojov údajov organizácie.
Úspešná architektúra Zero Trust vyžaduje dôkladné pochopenie:
- kritickosti dát,
- citlivosti dát,
- spôsobu ich používania.
Organizácie musia implementovať robustnú dátovú stratégiu zahŕňajúcu:
- zber validných údajov,
- klasifikáciu,
- tvorbu schém,
- šifrovanie dát v pokoji aj počas prenosu.
Dôležitú úlohu zohrávajú technológie:
- DRM,
- DLP,
- Software Defined Environment,
- detailné označovanie dát.
Pilier siete a prostredia (Network and Environment Pillar)
Tento pilier sa zameriava na ochranu internej aj externej infraštruktúry prostredníctvom segmentácie a izolácie.
Pomocou:
- makrosegmentácie,
- mikrosegmentácie,
môžu organizácie presadzovať detailné bezpečnostné politiky a lepšie chrániť kritické zdroje dát.
Pilier zdôrazňuje:
- správu privilegovaných prístupov,
- monitorovanie interných a externých tokov dát,
- prevenciu laterálneho pohybu útočníkov v sieti.
Pilier automatizácie a orchestrácie (Automation and Orchestration Pillar)
Tento pilier sa zameriava na nahradenie manuálnych bezpečnostných úloh automatizovanými procesmi riadenými politikami.
Integráciou platforiem:
- SOAR,
- SIEM,
môžu organizácie zjednotiť a zefektívniť bezpečnostné operácie.
Automatizované reakcie umožňujú:
- proaktívne riadenie bezpečnosti,
- rýchlejšiu reakciu na incidenty,
- posilnenie celkovej bezpečnostnej úrovne organizácie.
Pilier viditeľnosti a analytiky (Visibility and Analytics Pillar)
Tento pilier poskytuje organizáciám kontextové informácie o výkonnosti, správaní a aktivitách vo všetkých ostatných pilieroch Zero Trust.
Vyššia viditeľnosť umožňuje:
- odhaľovať anomálie,
- dynamicky upravovať bezpečnostné politiky,
- prijímať rozhodnutia o prístupe v reálnom čase.
Organizácie využívajú:
- telemetriu,
- údaje zo senzorov,
- monitorovacie systémy.
Zero Trust prostredie ide ešte ďalej a analyzuje komunikáciu až na úroveň jednotlivých paketov, nielen základných sieťových tokov.
Priebežné pozorovanie a analýza zabezpečujú, že bezpečnostné rozhodnutia zostávajú informované, adaptívne a v súlade s princípmi Zero Trust.
NSA Zero Trust Guidance – Cybersecurity Information Sheets (CSI)
Počiatočná séria dokumentov CSI sa zameriava na Zero Trust a poskytuje prehľad všetkých siedmich pilierov, ako aj úvodný dokument vysvetľujúci samotný model Zero Trust.
Spoločne tieto dokumenty poskytujú komplexné bezpečnostné odporúčania pre:
- systémy národnej bezpečnosti,
- Ministerstvo obrany USA,
- ďalších vlastníkov a prevádzkovateľov sietí.
Tieto príručky podporujú implementáciu princípov Zero Trust a postupné zvyšovanie úrovne kybernetickej bezpečnosti, schopností reakcie na incidenty a prevádzkovej odolnosti organizácií.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/nsa-launches-new-webpage-zero-trust-implementation-hucte