5 простых проектов для продвижения внедрения нулевого доверия
Внедрение нулевого доверия является сложной задачей, но начинать с этого необязательно.
Внедрение безопасности с нулевым доверием широко признано трудным путем. Во многих отношениях такая репутация вполне заслуженна. Нулевое доверие требует работы, к которой службы безопасности и ИТ относятся с оправданной осторожностью: переосмысления политик разрешения по умолчанию и архитектуры сети на основе периметра, обеспечения совместной работы между функционально разными командами и доверия к новым службам безопасности. Организации могут отложить это преобразование по целому ряду причин, в том числе:
- Ограничения пропускной способности конкурирующих проектов
- Различия в предложениях поставщиков с нулевым доверием
- Неопределенность относительно того, где в сети существуют различные приложения и ресурсы
- Снижение производительности сотрудников
Платформа нулевого доверия в целом довольно сложна — полная дорожная карта к архитектуре нулевого доверия состоит из 28 комплексных проектов. Однако некоторые проекты требуют сравнительно небольших усилий даже для небольших команд с ограниченным временем.
Поэтапное внедрение нулевого доверия
В сетевом контексте безопасность с нулевым доверием требует, чтобы каждый запрос, поступающий в корпоративную сеть, из нее или внутри нее, проверялся, аутентифицировался, шифровался и регистрировался. Она основана на идее, что ни одному запросу не следует безоговорочно доверять, независимо от того, откуда он исходит и куда направляется.
Скорейший прогресс в направлении нулевого доверия означает создание этих возможностей там, где их в настоящее время нет. Для организаций, начинающих с нуля, это часто означает расширение возможностей за пределы одного ‘периметра сети’.
Вот пять самых простых проектов внедрения нулевого доверия: сосредоточение внимания на защите пользователей, приложений, сетей и интернет-трафика. Они сами по себе не приведут к полному нулевому доверию, но они предлагают немедленные выгоды и могут создать ранний импульс для более широких преобразований.
ПРОЕКТ 1
Обеспечение многофакторной аутентификации для критически важных приложений
При подходе с нулевым доверием сеть должна быть предельно уверена в том, что запросы поступают от доверенных объектов. Организациям необходимо установить меры предосторожности против кражи учетных данных пользователей посредством фишинга или утечки данных. Многофакторная аутентификация (MFA) является лучшей защитой от такой кражи учетных данных. Хотя полное внедрение MFA может занять значительное время, сосредоточение внимания на наиболее важных приложениях является более простым, но все же эффективным решением.
Организации, у которых уже есть поставщик идентификационных данных, могут настроить MFA непосредственно внутри этого поставщика — например, с помощью одноразовых кодов или приложений push-уведомлений, отправляемых на мобильные устройства сотрудников. Для приложений, не интегрированных напрямую с вашим поставщиком идентификационных данных (IdP), рассмотрите возможность использования обратного прокси-сервера приложения перед приложением для обеспечения соблюдения MFA.
Организации, в которых нет поставщика удостоверений, могут использовать другой подход к MFA. Использование социальных платформ, таких как Google, LinkedIn и Facebook, или одноразовых паролей (OTP) может помочь перепроверить личности пользователей. Это распространенные способы самостоятельного доступа для сторонних подрядчиков без добавления их к поставщику корпоративной идентификации, и эти стратегии также могут применяться внутри самой компании.
ПРОЕКТ 2
Применение политики нулевого доверия для критически важных приложений
Обеспечение нулевого доверия означает нечто большее, чем просто проверку личности пользователя. Приложения также должны быть защищены политиками, которые всегда проверяют запросы, учитывают различные поведенческие и контекстуальные факторы перед аутентификацией и постоянно отслеживают активность. Как и в проекте 1, реализация этих политик упрощается при применении к первоначальному списку критически важных приложений.
Этот процесс зависит от типа используемого приложения:
- Частные автономные приложения (адресуемые только в корпоративной сети)
- Общедоступные автономные приложения (адресуемые через Интернет)
- SaaS-приложения
ПРОЕКТ 3
Отслеживайте приложения электронной почты и отфильтровывайте попытки фишинга
Электронная почта – это способ общения номер один для большинства организаций, наиболее используемое приложение SaaS и наиболее распространенная точка входа для злоумышленников. Организациям следует применять принципы нулевого доверия к электронной почте в дополнение к их стандартным фильтрам угроз и проверкам.
Кроме того, в целях безопасности следует рассмотреть возможность использования изолированного браузера для карантина ссылок, которые не являются достаточно подозрительными для полной блокировки.
ПРОЕКТ 4
Закройте все входящие порты, открытые для Интернета, для доставки приложений
Открытые входящие сетевые порты являются распространенным вектором атаки, и им следует предоставить защиту с нулевым доверием, принимая трафик только из известных, надежных и проверенных источников.
Эти порты можно найти с помощью технологии сканирования. Затем обратный прокси-сервер с нулевым доверием может безопасно предоставлять веб-приложению доступ к общедоступному Интернету, не открывая никаких входящих портов. Единственная общедоступная запись приложения — это его DNS-запись, которая может быть защищена с помощью аутентификации с нулевым доверием и возможностей ведения журнала.
В качестве дополнительного уровня безопасности можно использовать внутреннюю / частную DNS с помощью решения для доступа к сети с нулевым доверием.
ПРОЕКТ 5
Блокируйте DNS-запросы к известным угрозам или рискованным направлениям
DNS-фильтрация – это практика предотвращения доступа пользователей к веб-сайтам и другим интернет-ресурсам, которые известны или предположительно являются вредоносными. Она не всегда включается в диалог с нулевым доверием, поскольку не включает проверку трафика или протоколирование. Однако в конечном итоге ИТ может контролировать, где пользователи (или группы пользователей) могут передавать и выгружать данные, что хорошо согласуется с более широкой философией нулевого доверия.
DNS-фильтрация может быть применена через конфигурацию маршрутизатора или непосредственно на компьютере пользователя.
Понимание более широкой картины нулевого доверия
Реализация этих пяти проектов может быть относительно простым шагом к нулевому доверию. И любая организация, которая завершит эти проекты, добьется значительного прогресса в направлении улучшения и повышения уровня безопасности.
Более широкое внедрение нулевого доверия остается сложной задачей. Чтобы помочь, мы разработали независимую от поставщика дорожную карту для всего пути к нулевому доверию, охватывающую эти пять проектов и другие подобные им. Некоторые из них займут гораздо больше времени, чем несколько дней, но дорожная карта может внести большую ясность в то, что означает внедрение нулевого доверия.
Все эти сервисы встроены в Cloudflare connectivity cloud: унифицированную платформу облачных сервисов, призванную помочь организациям восстановить контроль над своей ИТ-средой. Cloudflare – ведущая компания по подключению к облачным технологиям. Это позволяет организациям сделать своих сотрудников, приложения и сети быстрее и безопаснее повсюду, одновременно снижая сложность и затраты. Опираясь на одну из крупнейших в мире и наиболее взаимосвязанных сетей, Cloudflare ежедневно блокирует миллиарды онлайн-угроз для своих клиентов.
Author: admin
Related Posts
Эксперты отмечают растущую роль нулевого доверия в усилении кибербезопасности и снижении рисков атак
Архитектура с нулевым доверием: краеугольный камень современной кибербезопасности
