Przenieśmy to powiedzenie na grunt nowoczesnej architektury systemów IT w naszej organizacji. Koncepcja Zero Trust Architecture (ZTA) ewoluuje już od ponad dziesięciu lat. Ostatnio zaczęła nabierać tempa w praktycznych wdrożeniach, ponieważ coraz więcej firm docenia poziom bezpieczeństwa, jaki pomaga osiągnąć.
Spójrzmy na rzeczywistość. Włamania do sieci firmowych zdarzają się często, zdecydowanie za często (nawet do tych bardzo dobrze zabezpieczonych). W wielu przypadkach czytamy o przebiegu takiego ataku jako o powtarzającym się schemacie.
Taka sytuacja nie powinna mieć miejsca przy zastosowaniu koncepcji i zaleceń ZTA.
Telefon? To mój prywatny
Dodatkowo, powiedzmy sobie otwarcie, nowoczesne środowiska pracy to coraz bardziej złożone zagadnienie – urządzenia mobilne, usługi w chmurze, zewnętrzne aplikacje wymagające osobnego logowania, internet rzeczy (IoT). Wszystkie te elementy są ze sobą połączone i wymieniają dane oraz usługi.
Przyznajmy również, że powszechną praktyką jest wykorzystywanie urządzeń prywatnych do uzyskiwania dostępu do zasobów firmowych (i odwrotnie). Tradycyjny model zabezpieczeń z podziałem na firewalle i bezpieczną strefę sieci wewnętrznej nie jest już skuteczny i niesie ze sobą znane i powszechne ryzyka.
Dokumenty poproszę
W koncepcji ZTA zakładamy, zgodnie z regułą ograniczonego zaufania, że dopóki ktoś nie udowodni bez żadnej wątpliwości, kim jest i że ma prawo (wręcz konieczność) dostępu do danego zasobu, to jako domyślnie podejrzany (!) jest skutecznie blokowany. To jedno z kluczowych założeń.
Kontrola musi być potrójna. Sprawdzamy tożsamość użytkownika: 1) czy to rzeczywiście jest ta osoba, 2) weryfikujemy, czy ma uprawnienia do danej czynności, oraz 3) weryfikujemy urządzenie, z którego aktualnie korzysta. Tożsamość i uprawnienia powinniśmy kontrolować przy każdym kroku.
Użytkownikowi przyznajemy po weryfikacji dostęp do tej jednej usługi, która jest niezbędna do wykonania zadania, ale jeżeli chce skorzystać z kolejnej, musi od nowa się uwierzytelnić.
W wariancie maksymalnym staramy się weryfikować użytkownika na poziomie mikrousługi, z której chce skorzystać. Jak wyjaśnia Artur Ścigajło, architekt projektujący systemy transakcyjne, architektura mikrousługowa to obecnie najpowszechniej stosowany wzorzec architektoniczny.
Jednak z punktu widzenia bezpieczeństwa zdecydowanie za rzadko implementuje się zalecane podejście wymuszonego uwierzytelniania na tak atomowym poziomie, chociaż dopiero taka konstrukcja zapewnia zalecane zabezpieczenia na wypadek niechcianego lub świadomego naruszenia bezpieczeństwa teleinformatycznego.
NIST zauważył zagadnienie i od kilku lat publikuje w swoich raportach zalecenia dotyczące stosowania ZTA.
- Wszystkie źródła danych i usługi są chronionymi zasobami. Każde osobno.
- Cała komunikacja, każde wywołanie jest tak samo zabezpieczane, niezależnie od tego, czy jest to komunikacja przychodząca z zewnątrz, czy pomiędzy systemami w sieci firmowej.
- Każdy dostęp jest przyznawany tylko na czas pojedynczej sesji. Zapewnienie dostępu do danego zasobu nie gwarantuje dostępu do kolejnego.
- Zarządzanie przyznawanymi zgodami jest realizowane dynamicznie i kontekstowo, co oznacza, że stosowane mają być analizy typowych zachowań użytkownika, w tym urządzeń, wersji systemów, z jakich korzysta, oraz powinny być budowane i aktualizowane wzorce behawioralne (ile czasu, w jakich godzinach, z jakich lokalizacji i urządzeń dany użytkownik zwykle korzysta). Odstępstwa od rutynowych działań powinny być monitorowane, rejestrowane, a w przypadku istotnej niezgodności dostęp wstrzymany do wyjaśnienia ryzyka.
- Firma prowadzi ciągłą rejestrację i monitorowanie wszystkich wykorzystywanych urządzeń (firmowych i prywatnych).
- Zarządzanie dostępami jest dynamiczne i skrupulatnie realizowane. Odbywa się to w permanentnym cyklu weryfikowania, oceny sytuacji, ryzyka i adaptacyjnego podejmowania decyzji w sprawie zaufania do trwającej komunikacji.
Wszystko to oznacza konieczność wprowadzenia w naszych systemach wielu punktów decyzyjnych. Jest to poważne wyzwanie dla IT pod kątem wydajności, ale również trzeba uwzględnić wpływ na wygodę użytkownika – konieczność weryfikowania tożsamości tak często może doprowadzić do frustracji nawet najbardziej cierpliwe osoby, jeżeli nie zostało to zrobione z uwzględnieniem komfortu pracy.
Tomasz Jakuczun
dyrektor rozwoju w Primaris
Od ponad 20 lat realizuje projekty IT w największych instytucjach finansowych.
