Zero-trust beveiliging voegt noodzakelijke ingrediënten toe

Het huidige bedreigingslandschap bestaat uit bekwame, georganiseerde en goed gefinancierde slechte acteurs. Ze hebben veel doelen, waaronder het exfiltreren van gevoelige gegevens voor politieke of economische motieven. Om deze meerdere bedreigingen te bestrijden, moet de markt voor cyberbeveiliging nog sneller uitbreiden.

De IT-leiders moeten hun beveiligingskader ontwikkelen als ze de cyberdreigingen voor willen blijven. De evolutie in beveiliging waar we getuige van zijn, kantelt naar het Zero-Trust-model en de softwaregedefinieerde perimeter (SDP), ook wel een "Black Cloud" genoemd. Het principe van het ontwerp is gebaseerd op het need-to-know-model.

Het Zero-Trust-model zegt dat iedereen die toegang probeert te krijgen tot een bron eerst moet worden geverifieerd en geautoriseerd. Gebruikers kunnen nergens verbinding mee maken omdat niet-geautoriseerde bronnen onzichtbaar zijn en in het duister worden gelaten. Voor extra bescherming kan het Zero-Trust-model worden gecombineerd met machine learning (ML) om het risicovolle gebruikersgedrag te ontdekken. Bovendien kan het worden gebruikt voor voorwaardelijke toegang.

In wezen zorgt de één-op-één-segmentering van Zero-Trust voor de minste toegang tot privileges en wordt het aanvalsoppervlak tot een absoluut minimum beperkt. Het voorkomt zijdelingse bewegingen binnen het netwerk en elimineert daardoor veel bekende netwerkaanvallen, waaronder serverscanning, denial of service, SQL-injectie, besturingssysteem, misbruik van toepassingskwetsbaarheden en man-in-the-middle om er maar een paar te noemen. . De één-op-één-segmentatie is niet alleen IP-adres naar IP-adres, maar ook naar services (poorten) en applicaties.

Laterale beweging is een veel voorkomende techniek die slechte acteurs gebruiken om tussen of binnen segmenten te navigeren met de bedoeling waardevolle activa in gevaar te brengen. Ze bewegen voorzichtig en blijven vaak maanden, zo niet jaren onopgemerkt. Een hacker zou apparaten in een netwerk ontdekken, identificeren en vervolgens targeten. Doorgaans zou een hacker de apparaten (niet-gepatchte servers) targeten en gemakkelijk compromitteren en vervolgens plaatsmaken voor waardevollere activa. Hoewel "de voordeur" van een server kan worden beveiligd, bestaan ​​er veel achterdeuren die ook moeten worden beveiligd op het gebied van beheer, logboekregistratie en ander verkeersgebruik.

Wanneer we ons verleden onderzoeken, zien we dat we belangrijke stappen hebben gezet in de evolutie van ons denken met betrekking tot veiligheid. Zo zijn we overgestapt van single-factor authenticatie naar two-factor authenticatie en nu naar multi-factor authenticatie. We zijn ook overgestapt van niet-versleutelend verkeer in beweging naar versleuteling van verkeer in beweging, wat ertoe leidt dat een hoog percentage van de applicaties wordt versleuteld met transportlaagbeveiliging (TLS). 

Zero-Trust is die volgende grote megatrend waarmee we ons kunnen verdedigen tegen interne en externe cybercriminelen. De technologische markt is gestaag opgekomen. Als je de eerdere beveiligingsarchitecturen bekijkt, zou je kunnen zeggen dat we geen andere keus hadden dan hier aan te komen. Bedrijfsdoelstellingen moeten voldoen aan beveiligingsoplossingen en alleen al omdat je een hamer hebt, wil nog niet zeggen dat alles een spijker is. Het is een algemene aanname dat veel inbreuken een interne vector hebben waarbij een gebruiker of malware een externe actor in staat stelt toegang te krijgen.

Eerdere verouderde architecturen

Traditionele architecturen met toegangsbeheer voor het netwerk (NAC) en virtuele privénetwerken (VPN) worden verondersteld dat de buitenwereld slecht is en de binnenkant goed; zonder bedreigingen.

De realiteit is dat het aantal succesvolle aanvallen met een kwaadaardige component snel is toegenomen, of dat nu een gebruiker van binnen is of een gecompromitteerd apparaat. We hebben dus niet langer een vertrouwd netwerk en duidelijke afbakeningspunten. Het is nogal ongelukkig en bedroevend om te zeggen dat gebruikers binnen een netwerk niet betrouwbaarder zijn dan degenen buiten het netwerk. 

De perimeter terwijl deze nog bestaat, is vloeiender dan in het verleden. Het uitgangspunt van de traditionele architectuur was om een ​​vaste perimeter te hebben. De perimeter zou alleen maar vloeibaarder worden, niet alleen met de introductie van nieuwe technologieën, maar ook met de vooruitgang van nieuwe bedrijfsmodellen, zoals het hebben van een aantal API's bij verschillende leveranciers. De afbakeningspunten van het bedrijf en hun oplossingen zijn een stuk vager geworden dan in het verleden.

Zero-Trust is een realiteit, niet alleen een PowerPoint-presentatie. Er zijn echte producten zoals SDP, een werkgroep en voorgestelde architectuur die Zero-Trust op de markt brengt.

Software-gedefinieerde perimeter (SDP)

De SDP van de groep pusht de beveiliging van Zero-Trust. Hun doel is om een ​​oplossing te ontwikkelen om netwerkaanvallen tegen de applicatie te voorkomen. Aanvankelijk was dit het werk dat in 2007 werd uitgevoerd door het Defense Information Systems Agency (DISA) in het kader van het Global Information Grid (GIG) Black Core Network-initiatief.

Hun aanvankelijke concepten waren gebaseerd op een overlay-netwerk en een softwareclient, waarbij Identity and Access Management (IAM) niet fundamenteel werd geïntegreerd met het onderliggende IP-netwerk. Ze pleiten echter voor veel principes die worden gebruikt in het Zero-Trust-model.

Het commerciële product bestaat uit een aantal componenten zoals een SDP-client, controller en gateway.

De SDP-client verwerkt een breed scala aan functies, variërend van het verifiëren van apparaat- en gebruikersidentiteit tot het routeren van op de witte lijst geplaatste lokale applicaties tot geautoriseerde beschermde externe applicaties. Het is in realtime geconfigureerd om ervoor te zorgen dat de op certificaten gebaseerde wederzijdse TLS VPN alleen verbinding maakt met services waarvoor de gebruiker toestemming heeft gegeven.

De SDP-controller fungeert als vertrouwensmakelaar tussen de client en backend-beveiligingscontroles. De controller heeft een certificeringsinstantie (CA) en de identiteitsprovider (IP) heeft functies. Na validatie door de klant stelt de controller beide in; de SDP-client en gateway in realtime om een ​​wederzijdse TLS-verbinding tot stand te brengen.

De afsluiting op de controller is vergelijkbaar met het concept van signalering op spraaknetwerken. Tegenwoordig ontvangen we in telefoonnetwerken aanvankelijk het signaal en wordt er een oproep opgezet voordat we de media toestaan ​​door te gaan.

Dit komt overeen met het hebben van een Session Initiation Protocol (SIP) en een Transmission Control Protocol (TCP) -sessie. We voeren de signalering uit om ervoor te zorgen dat we geauthenticeerd en geautoriseerd zijn. Alleen dan mogen we communiceren met het externe uiteinde.

Dan hebben we de SDP-gateway. Het wordt aanbevolen om de SDP-gateway topologisch in te zetten, dichter bij de beveiligde applicatie.

De SDP-architectuur biedt een aantal waardevolle beveiligingseigenschappen wanneer ze samen worden gecombineerd:

  • Informatie verbergen: Bij VPN's gebruikt u een DNS-naam van de VPN-server, maar bij SDP krijgt u nooit de DNS-naam van het eindpunt te zien omdat de SDP-controller in het midden zit en fungeert als tunnelmakelaar.
  • Toegankelijkheid: Geen DNS-informatie of zichtbare poorten van beveiligde applicatie zijn toegankelijk. In wezen worden SDP-beschermde activa als 'donker' beschouwd, wat betekent dat ze niet kunnen worden gedetecteerd.
  • Pre-authenticatie: SDP verifieert en valideert de verbindingen vooraf. De apparaatidentiteit wordt geverifieerd voordat connectiviteit wordt verleend. Dit kan worden bepaald via een MFA-token dat is ingebed in de TCP- of TLS-verbinding die is ingesteld.
  • Pre-autorisatie: Gebruikers krijgen alleen toegang tot applicaties die geschikt zijn voor hun rol terwijl ze synchroon lopen met de beleidstoewijzing.
  • Toegang tot de applicatielaag: Het is een één-op-één-verbinding tussen de gebruikers en bronnen. De gebruikers krijgen alleen toegang op een applicatielaag en niet tot het hele netwerk de onderliggende lagen.
  • Uitbreidbaarheid: SDP is gebouwd op bewezen, op standaarden gebaseerde componenten, zoals wederzijdse TLS-, SAML- en X.509-certificaten. Op standaarden gebaseerde technologie zorgt voor eenvoudige integratie met andere beveiligingssystemen, zoals gegevensversleuteling.

Voor Zero-Trust komen andere real-world use-cases in de vorm van segmentering van verkooppunten en het verlenen van toegang van derden tot uw netwerkinfrastructuur.

Gebruiksvoorbeeld: segmentering van verkooppunten

De huidige netwerksegmentatietechnologieën zijn beperkt vanwege hun open systemen interconnection model (OSI) laag 2 & 3 afhankelijkheden. VxLAN is de segmentatiekeuze binnen het datacenter. Daarom bevinden virtuele LAN's (VLAN's) zich in kantoren en virtuele routing en forwarding (VRF's) via het wide area network (WAN). Het probleem met deze segmenteringsmechanismen van laag 2 en 3 is echter dat ze alleen het mediatoegangscontroleadres (MAC) of IP-adressen gebruiken en geen intelligentere variabelen voor beleidsvorming.

Het probleem met bijvoorbeeld VLAN-segmentatie is dat je alleen segmenteert naar een specifiek apparaat. Als u echter een PCI-server (Payment Card Industry) heeft, wilt u het PCI-verkeer mogelijk gescheiden houden van het andere verkeer, bijvoorbeeld de directory of Office 356. In principe kunt u met ZT toekomstig verkeer binnen een apparaat segmenteren op service- / toepassingsniveau.

ZT is een-op-een segmentatie van gebruikersapparaat en service / applicatie. Het kiest een apparaat en maakt een één-op-één-toewijzing van een service en geen applicatie. Het kan netwerkverkeer segmenteren, niet alleen op basis van het MAC- of IP-adres van het apparaat, maar het kan ook verkeer segmenteren op basis van gebruikersservice en applicatie.

Gebruikssituatie: toegang door derden

Stel dat we een externe partij hebben die technische ondersteuning biedt voor een organisatie. Een bank heeft mogelijk een Oracle-database met belangrijke applicaties, waarmee ze problemen hebben. Daarom is er een externe partner nodig om toegang te krijgen tot de situatie. Hoe doe je dit op een manier dat het externe ondersteuningslid niets anders kan zien of doen in het datacenter?

Met het Zero-Trust-model heeft die persoon op een specifiek tijdstip toegang tot die server met een specifieke MFA en een specifiek probleemkaartnummer. Daarom, als ze binnen 4 uur terugkomen, krijgen ze geen toegang.

Dit is in vergelijking met de huidige gangbare toegang van derden. Zodra u VPN-toegang tot LAN heeft, kunt u al het andere zien en gaan. Met Zero-Trust kunt u isoleren tot één specifieke server met één IP-adres en poortnummer vanaf een specifieke bronpoort en IP-adres.

Bovendien zijn er zoveel andere variabelen waarmee het rekening kan houden. Zero-Trust is multivariabel, dynamisch en niet statisch. Het geeft gebruikers eenmalige toegang tot een aangevraagde applicatie terwijl alle andere bronnen worden verhuld zonder toegang te verlenen tot het hele netwerk.

Google's BeyondCorp-project

Het BeyondCorp-initiatief van Google gaat over op een model dat afziet van een bevoorrecht bedrijfsnetwerk. In plaats daarvan hangt de toegang uitsluitend af van de inloggegevens van het apparaat en de gebruiker, ongeacht de netwerklocatie van een gebruiker.

Alle toegang tot de bedrijfsbronnen is volledig geverifieerd, geautoriseerd en
versleuteld, op basis van apparaatstatus en gebruikersgegevens. Hierdoor kunnen alle medewerkers vanuit elk netwerk werken en is er geen traditionele VPN-verbinding nodig.

De overstap naar een Zero-Trust heeft drie belangrijke voordelen. De eerste is het opheffen van openbare en particuliere netwerkgrenzen en het behandelen van alle particuliere en openbare IP-netwerken met hetzelfde Zero-Trust-beleid. Dit is de wereld waarin we vandaag leven en daarom moeten we dienovereenkomstig handelen.

De tweede is de ontkoppeling van beveiliging van het onderliggende IP-netwerk en het toevoegen van de OSI-laag 5-intelligentie aan de uiterste rand van netwerken. Deze architectuur is een stap in de goede richting om cybercriminelen te bestrijden. Het vereist echter dat we heroverwegen hoe we beveiliging vandaag kunnen implementeren. Net zoals NG-Firewalls steeds hoger op de stapel komen, moeten de routers van de volgende generatie hetzelfde doen.

Realistisch gezien zijn VPN's niet langer in zwang. Gebruikers willen geen tijd besteden aan het instellen ervan en bovendien gaan de beveiligingsbeheerders over op een Zero-Trust-model. Google heeft bijvoorbeeld al zijn werknemers gefaciliteerd om overal te kunnen werken zonder VPN's. Ze hebben deze toegankelijkheidsfunctie al een paar jaar op hun plaats en het is zeer succesvol geweest om een ​​hoog niveau van beveiliging te garanderen en gebruikers in staat te stellen overal te werken.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.