Реализация концепции Zero Trust становится приоритетной инициативой для всех, кто заинтересован в обеспечении корпоративной информационной безопасности. Подход Zero Trust интуитивно понятен: абсолютное доверие как таковое — это уязвимость, используя которую злоумышленники могут латерально двигаться по сети и получать доступ к данным. Подход Zero Trust — это попытка снизить подобные риски, устранив абсолютное доверие из корпоративной ИТ-среды. До сегодняшнего дня концепция Zero Trust в основном реализовывалась на сетевом уровне путем перестраивания инфраструктуры и разделения сети на множество микропериметров с помощью сегментации. Однако в последнее время набирает популярность новый способ реализации такого подхода, основанный на уровне учетных данных (Identity), а не на сетевом аспекте.
Принцип действия модели Zero Trust на основе учетных данных состоит в оценке уровня доверия и применении политик доступа всякий раз, когда пользователь пытается получить доступ к корпоративному ресурсу. В основе этого подхода лежит контроль за каждым запросом доступа — независимо от месторасположения пользователя или актива, который может находиться как в локальной инфраструктуре, так и в облаке, а также оценка риска, связанного с запросом, и применение на основе этого риска адаптивных политик по всей сети организации, локальной или гибридной. Доступ предоставляется только после скрупулезного анализа пользовательских действий по аутентификации и рисков, которые они могут представлять, и действителен для конкретного запроса. Данный анализ должен выполняться при каждой попытке получить доступ к данным.
Краткая справка: что такое концепция Zero Trust?
Модель безопасности Zero Trust не предполагает абсолютного доверия к какому-либо элементу, узлу или сервису, и вместо этого требует непрерывной проверки текущей обстановки на основе информации, поступающей в реальном времени из множества источников для разрешения или запрещения доступа и других реакций системы. Что может дать такой подход?
В рамках модели Zero Trust предполагается, что злоумышленник уже проник в систему. Нужно признать, что настойчивый и опытный злоумышленник все-таки сумеет обойти некоторые СЗИ и закрепиться в сети организации. Следующая фаза атаки — латеральное движение по этой сети и заполучение доступа к дополнительным ресурсам до тех пор, пока атакующий не достигнет своей цели. Именно на этой фазе развития атаки модель Zero Trust должна защищать корпоративную сеть. Таким образом, ее действие ориентировано не на то, чтобы удерживать злоумышленников за периметром, а на то, чтобы, оказавшись внутри него, атакующие не смогли причинить ущерба компании.
До сегодняшнего дня стратегия Zero Trust в основном применялась в корпоративных средах на сетевом уровне. Для этого требуется перестроить сетевую инфраструктуру, разделив ее на микросегменты ради контроля за доступом к ресурсам сети. Однако реализация Zero Trust на уровне учетных данных имеет много преимуществ, и она также необходима для обеспечения комплексной защиты, как и Zero Trust на уровне сети.
Что такое модель Zero Trust на основе учетных данных?
Zero Trust используется для предотвращения злонамеренного доступа к корпоративным ресурсам изнутри сети. Хотя доступ предоставляется через сетевое устройство, для его получения также запускается аутентификация пользователя. В среде с абсолютным доверием, если учетная запись этого пользователя скомпрометирована, игра окончена — хакер может использовать ее для латерального движения по сети и для доступа к любому ресурсу. Но что, если проводить детальную проверку не сетевого подключения, а самой аутентификации?
С точки зрения безопасности это был бы еще один способ достичь конечную цель Zero Trust — блокировать попытку злонамеренного доступа. Правила сегментации сети и политики аутентификации на основе уровня риска являются надежными мерами защиты, и можно сказать, что второй способ легче реализовать, а во многих случаях он может обеспечить более гранулярную детализацию политик и возможности обнаружения рисков.
Как работает Zero Trust на основе учетных данных?
Современная корпоративная среда включает разные виды ресурсов: физические и виртуальные серверы и контейнеры, SaaS-приложения, облачные ресурсы, файловые серверы, приложения в локальной среде и многие другие. Реализация Zero Trust на основе учетных записей означает соответствие следующим критериям:
- предполагается, что каждая пользовательская учетная запись скомпрометирована, т. е. ненадежна, пока не будет доказано обратное;
- учетная запись считается безопасной только после ее проверки и получает доступ только к одному ресурсу;
- после того, как запрос на доступ был одобрен, при попытке пользователя получить доступ к другому ресурсу он должен снова подтвердить свою подлинность.
Например, удаленный пользователь подключился к корпоративному VPN, пройдя аутентификацию. Оказавшись внутри периметра, этот пользователь пытается получить доступ к файловому серверу. Функция Zero Trust на основе учетных записей проведет анализ этого нового запроса и определит, не скомпрометирован ли данный пользователь. Одной успешной аутентификации при подключении к VPN недостаточно для того, чтобы данному пользовательскому аккаунту можно было доверять.
Процесс оценки запроса на доступ в рамках модели Zero Trust на основе учетных записей предполагает следующее:
- Непрерывный мониторинг, т. е. отслеживание каждого запроса доступа всех учетных записей ко всем локальным и облачным ресурсам, а также создание подробного журнала аудита.
- Анализ рисков, когда при каждой отдельной попытке получить доступ считается, что пользователь мог быть действительно скомпрометирован. Проводится анализ поведения пользователя, журнала аудита, а также различных контекстных параметров.
- Применение политики доступа в реальном времени, т. е. в зависимости от степени риска данной учетной записи, доступ ей разрешается, запрещается или требуется предоставить дополнительный фактор аутентификации.
Представим себе, что происходит с пользователем в гибридной локальной и облачной корпоративной среде, если в ней реализован принцип Zero Trust на основе учетных записей.
На диаграмме показано, как каждый отдельный запрос доступа подвергается детальному анализу рисков. В зависимости от существующей политики доступ разрешается, запрещается или требуется дополнительный фактор аутентификации.
Преимущества модели Zero Trust на основе учетных данных
Zero Trust на основе учетных записей имеет значительные преимущества как с точки зрения обеспечения безопасности, так и внедрения такого подхода:
- Простое и удобное развертывание, не требующее никаких изменений инфраструктуры и связанных с этим простоев в отличие от реализации Zero Trust на уровне сети; полная сохранность вашей среды, в ней ничего не нужно «ломать» и заменять;
- Высокая степень детализации, внимание направлено на пользователя, а не на сегмент сети, что гарантирует анализ рисков для каждого запроса доступа к ресурсам, в отличие от сетевого подхода, при котором можно запустить эту проверку только на шлюзе сегмента и нельзя увидеть фактических ресурсов внутри него самого;
- Улучшенное обнаружение аномалий и угроз, т. к. движение злоумышленника в корпоративной среде выделяется на фоне поведения легитимных пользователей; выполнение проверки безопасности для каждого запроса доступа к ресурсам увеличивает вероятность обнаружения скрытой вредоносной активности.
Обратите внимание: очень важно, чтобы у вас была возможность отслеживать, анализировать и применять политику доступа в реальном времени при каждой попытке доступа для всех пользователей, устройств и интерфейсов доступа. Это главное условие, без выполнения которого нельзя получить полноценную защиту и оценить все преимущества Zero Trust.
Вот почему стоит задуматься о внедрении платформы унифицированной защиты учетных записей Silverfort.
Платформа унифицированной защиты учетных записей Silverfort: Zero Trust на основе учетных записей на практике
Silverfort разработал первую в мире платформу унифицированной защиты учетных записей, которая консолидирует СЗИ в корпоративных и облачных средах для блокирования атак с использованием учетных записей. Благодаря инновационной технологии без агентов и прокси, решение Silverfort бесшовно интегрируется со всеми существующими IAM-решениями (такими как AD, ADFS, RADIUS, Azure AD, Okta, Ping Identity, AWS IAM и т. д.). Silverfort охватывает активы, которые раньше невозможно было защитить, например, самописные и устаревшие приложения, ИТ-инфраструктуру, файловые серверы, инструменты командной строки, коммуникации «машина-машина», сервисные УЗ и многое другое. Платформа непрерывно отслеживает получение доступа всех пользовательских и служебных учетных записей как в облачной, так и в локальной среде, анализирует риски в реальном времени с помощью механизма на основе ИИ и реализует адаптивную аутентификацию и политики доступа.
Платформа унифицированной защиты учетных записей Silverfort, созданная специально для защиты от атак с использованием скомпрометированных УЗ, является единственным решением, способным реализовать архитектуру Zero Trust на основе учетных записей в современной корпоративной среде.
Узнайте больше о платформе Silverfort
Закажите демонстрацию, расчет цен или тестирование Silverfort прямо сейчас.
