Промышленное производство
Промышленный Интернет вещей | Промышленные материалы | Техническое обслуживание и ремонт оборудования | Промышленное программирование |
home  MfgRobots >> Промышленное производство >  >> Industrial Internet of Things >> Интернет вещей

Принятие модели безопасности с нулевым доверием

Мы погрузимся в концепцию безопасности с нулевым доверием и обсудим, как можно внедрить его в своей организации.
(Источник:rawpixel.com @ freepik.com)

Реальность распределенной рабочей силы изменила понятие параметра корпоративной безопасности. Организации больше не просто охраняют простое офисное здание. Это становилось реальностью еще до того, как пандемия вынудила компании удаленно перемещать свою рабочую силу.

Современным организациям требуется комплексная стратегия безопасности для управления сегодняшними технологическими сложностями, и безопасность с нулевым доверием удовлетворяет эту потребность. Он предполагает, что каждый сетевой запрос является нарушением, и проверяет его, как если бы он исходил из неаутентифицированного источника. Поскольку кибератаки, такие как программы-вымогатели, становятся все более дерзкими, мы больше не можем позволить себе предполагать, что все, что стоит за параметрами корпоративной безопасности, находится в безопасности.

Сегодня мы углубимся в концепцию безопасности с нулевым доверием и обсудим, как вы можете реализовать ее в своей организации.

Зачем нам нужно нулевое доверие?

В наши дни компании позволяют сотрудникам получать доступ к важным бизнес-активам с удаленных устройств и облачного программного обеспечения. Подключения к этим ценным ресурсам компании должны быть защищены независимо от того, откуда они исходят. Безопасность должна развиваться вместе с тем, как мы используем технологии, и традиционные статические параметры безопасности, на которые мы когда-то полагались, теперь недостаточны.

Все больше организаций обнаруживают, что им необходимо постоянно обмениваться ценными данными между облачными приложениями, удаленными устройствами, устройствами Интернета вещей и центрами обработки данных. Все эти движущиеся части значительно облегчают жизнь киберпреступников, но усложняют жизнь специалистам по безопасности.

Из-за множества доступных точек входа организациям может потребоваться несколько месяцев или даже лет для выявления нарушений и вторжений. В это время киберпреступники могли красть важные данные, нанося огромный ущерб активам компании. Более открытый цифровой ландшафт в бизнесе может способствовать повышению производительности из любого места, но необходимо предпринять соответствующие шаги для поддержания безопасности компании без ощутимых периметров.

Основы нулевого доверия

Национальный институт стандартов и технологий (NIST) предоставляет исчерпывающее руководство по архитектуре Zero-Trust, но здесь мы подробно рассмотрим основы. По своей сути архитектура с нулевым доверием основана на трех основных принципах:

Каждый запрос должен быть полностью аутентифицирован, авторизован и зашифрован перед предоставлением доступа, и эта строгая проверка личности должна основываться на всех доступных точках данных. По умолчанию ни одна рабочая нагрузка или пользователь не заслуживают доверия, независимо от их местонахождения (внутри или за пределами безопасных границ организации).

Независимо от того, находятся ли сотрудники в домашнем офисе или на каком-то далеком тропическом острове, сильная политика лежит в основе нулевого доверия. Они позволяют обеспечить мобильную рабочую силу, обеспечивая при этом максимальную производительность. Чтобы обеспечить эффективную стратегию нулевого доверия, необходимо обеспечить минимальный доступ к ресурсам и информации, основанный на законных деловых целях.

Таким образом, организациям следует ограничить доступ пользователей к службам и приложениям, реализовав:

Фирмы, занимающиеся разработкой программного обеспечения, и технологические компании должны придерживаться подхода нулевого доверия на ранних этапах разработки. Это может включать в себя сдвиг безопасности влево и разработку таких продуктов, как микропрограммное обеспечение, подтверждающее нулевое доверие.

Конечно, это потребует от компаний найма новых способных сотрудников или повышения квалификации нынешних сотрудников. Вы можете рассчитывать заплатить от 60 до 80 долларов в час опытному разработчику-фрилансеру, который разбирается в кибербезопасности. Вы также захотите обучить каждого сотрудника хорошей кибергигиене и философии нулевого доверия, чтобы они понимали, почему вносятся изменения.

До нулевого доверия:старая парадигма

Чтобы еще больше подчеркнуть, как архитектура нулевого доверия изменила ландшафт безопасности, давайте рассмотрим, как компании обычно обеспечивали удаленный доступ к программным сервисам в прошлом.

Традиционная модель будет состоять из сервисов, размещенных локально или на удаленном сервере, над которым компания полностью контролирует. Часто подключения к этим службам обеспечивались виртуальной частной сетью (VPN), а VPN размещалась в демилитаризованной зоне (DMZ). Пользователи должны будут предоставить учетные данные для доступа к VPN, обычно в форме имени пользователя и пароля.

Это было до того, как стала популярна многофакторная аутентификация (MFA), когда веб-сайты и веб-сервисы были защищены с помощью комплексного решения. VPN предоставит пользователю IP-адрес после завершения процесса проверки. Это позволит пользователю получить доступ во внутреннюю сеть компании, где размещены приложения и сервисы.

Поскольку большинство нарушений происходит из-за кражи или ненадежности паролей, было ясно, что однофакторная аутентификация больше не является жизнеспособной. Кроме того, одна из самых больших проблем VPN с точки зрения безопасности заключается в том, что она часто дает пользователям неограниченный доступ к другим внутренним сетевым ресурсам. Например, если пользователь входит на SSH-сервер, он может переключаться на другие места в сети. Если у вас нет других мер безопасности в сети, которые обеспечивают смягчение или ограничивают контроль, это может стать опасным вектором для потенциальной кибератаки.

Как нулевое доверие меняет парадигму

Один из самых больших недостатков архитектуры, ориентированной на облако, - это ограниченная видимость, которую решает модель с нулевым доверием. Чтобы обновить предыдущий пример с использованием принципов нулевого доверия, нам сначала нужно заменить традиционный VPN на обратный прокси. Он будет отвечать за посредничество при доступе во внутреннюю сеть.

Кроме того, мы также добавим шлюз единой регистрации. Самый популярный и эффективный протокол для решений с единой подписью - это язык разметки утверждения безопасности (SAML). Когда пользователи пытаются получить доступ к локальным ресурсам, им необходимо подключиться к обратному прокси-серверу с помощью браузера или локального приложения. Обратный прокси-сервер подключит их к шлюзу единой регистрации. Затем шлюз единой регистрации будет связываться с настроенным компанией источником идентификации (например, с локальным каталогом), чтобы помочь аутентифицировать пользователя.

Если ресурсы расположены в облаке, шлюз единой регистрации предоставит им прямой доступ. Поскольку аутентификация выполняется на шлюзе, который контролируется компанией, компания может определить, какие политики применяются для входа. Это позволяет компании применять к облачным приложениям те же политики, что и к локальным сервисам. Однако есть небольшая разница в том, как обратный прокси-сервер обрабатывает подключения к локальным ресурсам.

Обычно прокси-сервер подключает пользователя к шлюзу единой регистрации, аутентифицирует соединение и затем отправляет его обратно брокеру. После проверки прокси будет туннелировать пользователя в каждую отдельную службу или приложение, к которому у него есть права доступа.

Для организаций, использующих гибридное облако, переход происходит плавно и незаметно для конечных пользователей. Они не смогут отличить облачные сервисы от локальных ресурсов. Обратный прокси-сервер и шлюз единой регистрации будут обрабатывать аутентификацию для обоих.

Ни один из локальных ресурсов не будет принимать никаких подключений, если они не туннелируются через обратный прокси-сервер.

Таким образом, подход с нулевым доверием будет ограничивать пользователей от перехода от ресурса к ресурсу. По сути, мы не просто проверяем пользователя и его устройство; мы также проверяем отдельные сетевые компоненты, к которым им разрешен доступ.

Заключение

Организации должны проектировать свои системы таким образом, чтобы отдельные компоненты не подвергались опасности со стороны злоумышленника, влияющего на другие функции. Это должно происходить с учетом разумного допущения риска.

Кроме того, организациям следует использовать телеметрию, аналитику и бизнес-аналитику для повышения прозрачности и скорости обнаружения. Они должны идентифицировать все ценные активы и формировать микросегменты для создания множества точек контроля. Это не позволит злоумышленникам переключаться между активами. Эти инструменты позволят им реагировать на угрозы в режиме реального времени.

Независимо от того, оцениваете ли вы готовность вашего бизнеса к нулевому доверию или строите планы по улучшению защиты вашей личности, устройств, приложений, данных, инфраструктуры и сетей, "никогда не доверяйте, всегда проверяйте" - это мантра, которую следует принять.


Интернет вещей

  1. Путь к промышленной безопасности Интернета вещей
  2. Новый взгляд на безопасность микропрограмм
  3. Управление безопасностью IIoT
  4. Mouser поставляет аппаратное решение безопасности Infineon OPTIGA Trust X
  5. Trust Platform предлагает готовую аппаратную безопасность
  6. Безопасность Интернета вещей - кто за это отвечает?
  7. Все идет IoT
  8. Безопасность Интернета вещей - препятствие для развертывания?
  9. Модернизация системы кибербезопасности
  10. Защита Интернета вещей с помощью обмана