Zero Trust Networking (ZTN) vertrouwt niets

John Kindervag, voormalig analist van Forrester Research, introduceerde in 2010 als eerste het Zero-Trust-model. De focus lag toen meer op de applicatielaag. Toen ik echter eenmaal hoorde dat Sorell Slaymaker van Techvision Research het onderwerp op netwerkniveau pushte, kon ik het niet laten om hem te bellen om de generaals op Zero Trust Networking (ZTN) te bespreken. Tijdens het gesprek belichtte hij tal van bekende en onbekende feiten over Zero Trust Networking die voor iedereen nuttig zouden kunnen zijn. 

De traditionele netwerkwereld begon met statische domeinen. Het klassieke netwerkmodel verdeelde klanten en gebruikers in twee groepen: vertrouwd en niet-vertrouwd. De vertrouwde zijn die binnen het interne netwerk, de niet-vertrouwde zijn extern van het netwerk, dat kunnen mobiele gebruikers of partnernetwerken zijn. Om het niet-vertrouwde te herschikken om vertrouwd te worden, zou men normaal gesproken een virtueel particulier netwerk (VPN) gebruiken om toegang te krijgen tot het interne netwerk.

Het interne netwerk wordt dan opgedeeld in een aantal segmenten. Een typische verkeersstroom zou de gedemilitariseerde zone (DMZ) binnenkomen voor inspectie en van daaruit zou toegang kunnen worden verkregen tot interne middelen. De gebruikers krijgen toegang tot de presentatielaag. De presentatielaag zou dan communiceren met de applicatielaag, die op zijn beurt toegang zou krijgen tot de databaselaag. Uiteindelijk vertoonde deze architectuur veel verkeer van noord naar zuid, wat betekent dat het meeste verkeer het datacenter zou binnenkomen en verlaten.

De geboorte van virtualisatie heeft veel veranderd, omdat het een opmerkelijke impact had op de verkeersstromen. Er was nu een groot aantal applicaties in het datacenter waarvoor cross-communicatie nodig was. Dat veroorzaakte een nieuwe verkeersstroom, bekend als oost naar west. De uitdaging voor het traditionele model is dat het geen bescherming biedt voor de verkeersstromen van oost naar west.

Traditionele netwerken zijn onderverdeeld in verschillende segmenten die doorgaans als zones worden beschouwd. Het was gebruikelijk om vergelijkbare servertypes te groeperen in zones zonder beveiligingsmaatregelen om het interne verkeer te filteren. Meestal kunnen servers binnen een bepaalde zone vrij met elkaar praten en een gemeenschappelijk uitzenddomein delen.

Als een slechte acteur een kwetsbaarheid vindt in een van uw databaseservers in die zone, kan de slechte acteur gemakkelijk verhuizen om te proberen andere databaseservers in gevaar te brengen. Zo ontstond het netwerk- en beveiligingsmodel. Helaas is het nog steeds de gangbare bedrijfsarchitectuur die tegenwoordig wordt gebruikt. Het is verouderd en niet veilig, maar wordt nog steeds het meest gebruikt. In deze tijd moet je aan de goede kant van de beveiliging staan.

Slechte acteurs zullen altijd op jacht gaan naar de zwakste schakel en als de link eenmaal is gecompromitteerd, gaan ze onopgemerkt op zoek naar hogere doelactiva. Daarom moet u niet alleen het verkeer van noord naar zuid beschermen, maar ook van oost naar west. Om de kloof te overbruggen hebben we een aantal fasen doorlopen.

Microsegmentatie

De huidige beste en meest geprefereerde praktijk om het verkeer van oost naar west te beschermen, is microsegmentatie. Microsegmentatie is een mechanisme waarmee u de gevirtualiseerde berekening van de gebruikers segmenteert. Het verkleint het aanvalsoppervlak verder door het aantal apparaten en gebruikers op een bepaald segment te verminderen. Als een slechte acteur toegang krijgt tot één segment in de gegevenszone, mag hij andere servers binnen die zone niet compromitteren.

Laten we het eens vanuit een ander perspectief bekijken. Stel je voor dat internet is zoals ons wegennet en dat alle huizen en appartementen de computers en apparaten op de weg zijn. In dit scenario definieert microsegmentatie de buurt en het aantal mensen dat in de buurt woont. Iedereen in de buurt kan naar uw deur navigeren en proberen toegang te krijgen tot uw huis. Hier moeten we aannemen dat hoe minder mensen in de buurt, hoe kleiner de kans dat uw huis wordt beroofd.

Evenzo hebben we in het geval van microsegmentatie niet alleen onze applicaties en diensten gesegmenteerd, maar zijn we ook de gebruikers gaan segmenteren. Het segmenteert verschillende gebruikers die verschillende netwerken gebruiken in verschillende segmenten. Het was een stap in de goede richting, aangezien het vandaag zowel de noord naar zuid als oost naar west verkeersbewegingen regelt, waardoor de omvang van omroepdomeinen verder wordt geïsoleerd.

Het heeft ook enkele nadelen. Een van de grootste gebreken is dat het IP-adres centraal staat, vertrouwt op VPN- of NAC-clients die niet compatibel zijn met het internet der dingen en vertrouwt op binaire regels. We maken gebruik van een binair besluitvormingsproces; ofwel toestaan ​​of weigeren. Een ACL doet niet echt veel. U kunt een IP- of poortnummer toestaan ​​of weigeren, maar het is een statisch, binair proces.

Feitelijk moeten we voor de toepassingen van vandaag intelligentere systemen gebruiken, waarbij aanvullende criteria kunnen worden gebruikt, samen met toestaan ​​of weigeren. Ter vergelijking: NextGen-firewalls kunnen intelligentere beslissingen nemen. Ze bestaan ​​uit regels waarmee bijvoorbeeld een bron- en bestemmingspaar alleen tijdens bepaalde kantooruren en vanuit bepaalde netwerksegmenten kunnen communiceren. Ze zijn gedetailleerder en kunnen ook worden geregistreerd als de gebruiker het multi-factor authenticatie (MFA) -proces heeft doorstaan.

De sessielaag

Waar vindt al het intelligente werk plaats? De sessielaag! De sessielaag biedt het mechanisme voor het openen, sluiten en beheren van een sessie tussen eindgebruikers en applicaties. Sessies zijn stateful en end-to-end.

Het is de sessielaag waarmee de staat en beveiliging worden gecontroleerd. De reden dat we firewalls hebben, is dat routers de staat niet beheren. Middleboxes worden toegevoegd om de staat te beheren, het is op het niveau van de staat waar al uw beveiligingsbeheer wordt afgesloten, zoals codering, authenticatie, segmentatie, identiteitsbeheer en anomaliedetectie om er maar een paar te noemen.

Om een ​​zeer veilig netwerk van Zero-Trust te hebben, moet het netwerk slimmer worden, het moet laag-5-bewust worden om de staat en beveiliging te beheren. Aangezien dit netwerkspecifiek is, moet u nog steeds de juiste beveiligingsmaatregelen hoger in de stapel hebben.

Op een bepaald moment, in plaats van de bevestiging op al deze "middleboxes" te vereisen, moeten netwerkrouters deze functies native leveren in de volgende generatie softwaregedefinieerde netwerken (SDN), die het gegevensvlak van het besturingsvlak scheiden.

Vandaag zien we veel aandacht in de SD-WAN-markt. SD-WAN gebruikt echter tunnels en overlays zoals IPsec en virtual extensible LAN (VXLAN) die end-to-end applicatieprestaties en beveiligingsmaatregelen missen.

Binnen een SD-WAN heb je niet veel beveiligingsmaatregelen. Tunnels zijn point-to-point, niet end-to-end. Alle sessies gaan door een enkele tunnel en in de tunnel; u heeft geen beveiligingscontroles voor dat verkeer.

Hoewel er vooruitgang wordt geboekt en we de goede kant opgaan, is dat niet genoeg. We moeten gaan nadenken over de volgende fase: Zero Trust Networking. We moeten er rekening mee houden dat in een ZTN-wereld al het netwerkverkeer niet wordt vertrouwd.

Introductie van Zero Trust Networking

Het doel van Zero Trust Networking is om kwaadaardig verkeer aan de rand van het netwerk te stoppen voordat het andere netwerkapparaten mag ontdekken, identificeren en targeten.

Zero-Trust in zijn eenvoudigste vorm heeft verbeterde segmentatie naar een een-op-een model. Het brengt segmentatie helemaal tot aan de absolute eindpunten van elke gebruiker, apparaat, service en applicatie op het netwerk.

Binnen dit model kunnen de beschermde elementen gebruikers, 'dingen', services of applicaties zijn. De echte definitie is dat er geen gebruikersdatagramprotocol (UDP) of transmissiebeheerprotocol (TCP) mag worden opgezet zonder voorafgaande authenticatie en autorisatie.

We doen segmentatie helemaal tot aan het eindpunt. In een Zero-Trust-wereld is de eerste regel om alles te ontkennen. Letterlijk vertrouw je niets en dan begin je een witte lijst te openen, die zo dynamisch en gedetailleerd kan worden als nodig is.

Mijn eerste reactie op Zero Trust Networking was dat dit type een-op-een model een serieuze bijdrage moet leveren aan het netwerk, dat wil zeggen het vertragen, latentie toevoegen enz. Maar dat is eigenlijk niet het geval, je hebt alleen de mogelijkheid nodig om de eerste set pakketten beheren. U hoeft alleen de sessie toe te staan. In de TCP-wereld is dit het TCP SYN- en SYN-ACK-proces. De rest van de sessie kun je buiten het datapad blijven.

Een netwerkbeheerder moet de tijd besteden om de gebruikers, dingen, services, applicaties en gegevens op hun netwerk echt te begrijpen. Bovendien moet de manager peilen wie toegang heeft tot wat. Het goede nieuws is dat veel van deze informatie al bestaat in de IAM-mappen die alleen in het gerouteerde netwerk moeten worden toegewezen.

Hoe meet u de beveiliging?

Het zou een goed idee zijn om jezelf af te vragen. Hoe meet ik mijn beveiligingskwetsbaarheid? Als u het niet kunt meten, hoe kunt u het dan beheren? We moeten het aanvalsoppervlak kunnen berekenen.

Met ZTN hebben we nu een formule die in feite het netwerkaanvaloppervlak berekent. Dit is een effectieve manier om de beveiligingsrisico's van netwerktoegang te meten. Hoe lager het aanvalsoppervlak, hoe veiliger de netwerkactiva zijn.

Voorafgaand aan Zero-Trust was een van de variabelen voor het aanvalsoppervlak het uitzenddomein. Het was een eindhost die een broadcast address resolution protocol (ARP) kon verzenden om te zien of er nog iets op het netwerk was. Dit was een aanzienlijk aanvalsoppervlak.

Het aanvalsoppervlak bepaalt in wezen hoe open het netwerk is voor de aanval. Als u bijvoorbeeld een IoT-bewakingscamera installeert, mag de camera alleen een transportlaagbeveiligingssessie (TLS) naar een geselecteerde set servers kunnen openen. Onder dit model is het aanvalsoppervlak 1. Met de automatische verspreiding van malware met miljoenen onveilige IoT-apparaten is het een noodzaak in de huidige tijd.

Het beste aantal aanvallen is natuurlijk 1, maar het aantal slecht ontworpen netwerken kan aanzienlijk hoger zijn. Als u bijvoorbeeld een IoT-bewakingscamera toevoegt aan een magazijn-LAN met 50 andere aangesloten apparaten en de camera heeft 40 open poorten, maar deze is niet gecodeerd, en er zijn geen richtingsregels voor wie een sessie mag starten. Dit resulteert in een aanvalsoppervlak tot 200.000 keer, wat een enorme opening in het aanvalsoppervlak is. Deze kloof is het niveau van blootstelling aan risico.

De perimeter lost op

De perimeter heeft uw gebruikers, dingen, services, applicaties ontbonden en de gegevens zijn overal. Terwijl de wereld naar de cloud, mobiel en het IoT beweegt, is de mogelijkheid om alles in het netwerk te beheren en te beveiligen langer beschikbaar.

Traditionele beveiligingsmaatregelen zoals Network Access Control (NAC), firewalls, inbraakbeveiliging en Virtual Private Networks (VPN) zijn allemaal gebaseerd op de aanname dat er een veilige perimeter is. Zodra u toegang krijgt tot het LAN, wordt aangenomen dat alles automatisch wordt vertrouwd. Dit model gaat er ook van uit dat alle eindpunten dezelfde VPN- of NAC-client gebruiken, wat moeilijk te handhaven is in deze gedistribueerde digitale wereld.

Zero-Trust beweert het tegendeel. Alles, binnen of buiten, valt buiten het domein van vertrouwen. In wezen wordt niets op het netwerk vertrouwd. Elke sessie die een gebruiker met andere gebruikers of applicaties maakt, moet worden geverifieerd, geautoriseerd en verantwoord aan de rand van het netwerk waar de netwerksessie wordt opgezet.

Tegenwoordig kan iedereen zijn huis verlaten, naar je huis reizen en aan de deur kloppen. Hoewel ze misschien niet de sleutels hebben om de deur te openen, kunnen ze wachten op een kwetsbaarheid zoals een open raam.

In tegendeel, de ZTN zegt dat niemand hun huis mag verlaten en bij u aanklopt zonder de juiste authenticatie en autorisatie. Het begint met het uitgangspunt dat kwaadaardig verkeer moet worden gestopt bij de oorsprong, niet nadat het in het netwerk is binnengedrongen en probeert toegang te krijgen tot een eindpunt of applicatie.

Overzicht

Het definiëren van een netwerkbeveiligingshouding waarbij standaard alle netwerktoegang wordt geweigerd en vervolgens witte lijsten worden samengesteld, zal uiteindelijk het risico op DDoS-aanvallen, schadelijke software-infecties en datalekken verminderen.

Als een slechte acteur niet eens bij de 'voordeur' van een item kan komen, dan hebben ze niet de mogelijkheid om naar de volgende stap te gaan en proberen die te doorbreken! De oude tijd van "plug & pray" werkt niet in de huidige tijd. Daarom moeten de netwerken intelligent genoeg worden om alleen geauthenticeerde en geautoriseerde bronnen toe te staan. In een digitale wereld mag niets worden vertrouwd.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.