Η Υπηρεσία Εθνικής Ασφάλειας μοιράζεται νέες οδηγίες για να βοηθήσει τους οργανισμούς να περιορίσουν την κίνηση ενός αν
τι
πάλου στο εσωτερικό δίκτυο υιοθετώντας αρχές πλαισίου μηδενικής εμπιστοσύνης.
Μια αρχιτεκτονική ασφάλειας μηδενικής εμπιστοσύνης απαιτεί αυστηρούς ελέγχους για την πρόσβαση σε πόρους στο δίκτυο, είτε εντός είτε εκτός της φυσικής περιμέτρου, για να ελαχιστοποιηθεί ο αντίκτυπος μιας παραβίασης.
Σε σύγκριση με το παραδοσιακό μοντέλο ασφάλειας
πληροφορική
ς, το οποίο προϋποθέτει ότι τα πάντα και όλοι στο δίκτυο είναι αξιόπιστα, ο σχεδιασμός μηδενικής εμπιστοσύνης προϋποθέτει ότι υπάρχει ήδη μια
απε
ιλή και δεν επιτρέπει τον ελεύθερο έλεγχο μέσα στο δίκτυο.
Η προώθηση της ωριμότητας μηδενικής εμπιστοσύνης γίνεται σταδιακά με την αντιμετώπιση διαφόρων συνιστωσών ή πυλώνων, που οι φορείς απειλής μπορούν να αξιοποιήσουν σε μια επίθεση.
Οι επτά πυλώνες της αρχιτεκτονικής μηδενικής εμπιστοσύνης
πηγή: Υπηρεσία Εθνικής Ασφάλειας
Η NSA κυκλοφόρησε σήμερα καθοδήγηση μηδενικής εμπιστοσύνης για το στοιχείο δικτύου και περιβάλλοντος, το οποίο περιλαμβάνει όλα τα στοιχεία υλικού και λογισμικού, μη προσωπικές οντότητες και πρωτόκολλα ενδοεπικοινωνίας.
Το μοντέλο μηδενικής εμπιστοσύνης παρέχει σε βάθος ασφάλεια δικτύου μέσω χαρτογράφησης ροής δεδομένων, τμη
ματ
οποίησης μακροεντολών και μικροσκοπικών τμημάτων και δικτύωσης που καθορίζεται από λογισμικό.
Για καθένα από αυτά, ένας οργανισμός πρέπει να φτάσει σε ένα συγκεκριμένο επίπεδο ωριμότητας που του επιτρέπει να συνεχίσει να χτίζει σύμφωνα με τις αρχές της μηδενικής εμπιστοσύνης.
“Ο πυλώνας δικτύου και περιβάλλοντος απομονώνει κρίσιμους πόρους από μη εξουσιοδοτημένη πρόσβαση ορίζοντας πρόσβαση στο δίκτυο, ελέγχοντας τις ροές δικτύου και δεδομένων, τμηματοποιώντας εφαρμογές και φόρτους
εργασία
ς και χρησιμοποιώντας κρυπτογράφηση από άκρο σε άκρο” –
Εθνική Υπηρεσία Ασφαλείας
(PDF)
Η χαρτογράφηση ροής δεδομένων ξεκινά με τον προσδιορισμό του πού και πώς αποθηκεύονται και επεξεργάζονται τα δεδομένα. Η προηγμένη ωριμότητα σε αυτήν την περίπτωση επιτυγχάνεται όταν ο οργανισμός έχει πλήρη απογραφή και ορατότητα της ροής και μπορεί να μετριάσει όλες τις τρέχουσες, νέες ή ανώμαλες διαδρομές.
Μέσω της μακροτμηματοποίησης, οι οργανισμοί μπορούν να περιορίσουν την πλευρική κίνηση στο δίκτυο δημιουργώντας περιοχές δικτύου για τους χρήστες σε κάθε τμήμα.
Για παράδειγμα, κάποιος στη λογιστική δεν χρειάζεται πρόσβαση στο τμήμα δικτύου που είναι αφιερωμένο στους ανθρώπινους πόρους, εκτός εάν απαιτείται ρητά, επομένως ένας παράγοντας απειλής θα έχει περιορισμένη επιφάνεια επίθεσης για να περιστραφεί.
Με την μικροτμηματοποίηση, η διαχείριση του δικτύου αναλύεται σε μικρότερα στοιχεία και εφαρμόζονται αυστηρές πολιτικές πρόσβασης για τον περιορισμό των πλευρικών ροών δεδομένων.
Η NSA εξηγεί ότι «η μικροτμηματοποίηση περιλαμβάνει την απομόνωση χρηστών, εφαρμογών ή ροών εργασίας σε μεμονωμένα τμήματα δικτύου για περαιτέρω μείωση της επιφάνειας επίθεσης και περιορισμό των επιπτώσεων σε περίπτωση παραβίασης».
Ο πιο λεπτομερής έλεγχος της μικροτμηματοποίησης επιτυγχάνεται μέσω των στοιχείων δικτύωσης που καθορίζονται από λογισμικό (SDN), τα οποία μπορούν να παρέχουν προσαρμόσιμη παρακολούθηση και ειδοποίηση ασφαλείας.
Το SDN επιτρέπει τον έλεγχο της δρομολόγησης πακέτων από ένα κεντρικό κέντρο ελέγχου, παρέχει καλύτερη ορατότητα στο δίκτυο και επιτρέπει την επιβολή πολιτικών για όλα τα τμήματα του δικτύου.
Για καθένα από τα τέσσερα στοιχεία του πυλώνα του δικτύου και του περιβάλλοντος της αρχιτεκτονικής μηδενικής εμπιστοσύνης, η NSA περιγράφει τέσσερα επίπεδα ωριμότητας, από το στάδιο προετοιμασίας έως την προχωρημένη φάση όπου εφαρμόζονται εκτεταμένοι έλεγχοι και συστήματα διαχείρισης για τη βέλτιστη ορατότητα, παρακολούθηση, και να εξασφαλίσει την ανάπτυξη του δικτύου.
Ο σχεδιασμός και η οικοδόμηση ενός περιβάλλοντος μηδενικής εμπιστοσύνης είναι μια πολύπλοκη εργασία που απαιτεί συστηματική διέλευση από στάδια ωριμότητας.
Εάν γίνει σωστά, το αποτέλεσμα είναι μια αρχιτεκτονική επιχείρησης που μπορεί να αντισταθεί, να εντοπίσει και να ανταποκριθεί σε απειλές που επιχειρούν να εκμεταλλευτούν τις αδυναμίες.
Η NSA κυκλοφόρησε τον πρώτο οδηγό για το πλαίσιο μηδενικής εμπιστοσύνης τον Φεβρουάριο του 2021 (
Αγκαλιάζοντας ένα μοντέλο ασφάλειας μηδενικής εμπιστοσύνης
), το οποίο περιγράφει το μοντέλο και τα πλεονεκτήματα των αρχών πίσω από αυτό.
Τον Απρίλιο του 2023, η εταιρεία δημοσίευσε οδηγίες για την επίτευξη της ωριμότητας του στοιχείου χρήστη στο πλαίσιο μηδενικής εμπιστοσύνης –
Προώθηση της ωριμότητας μηδενικής εμπιστοσύνης σε όλο τον πυλώνα χρήστη
.
VIA:
bleepingcomputer.com
