Yhä useammat yritykset kautta maailman käyvät läpi digitaalista transformaatiota, mikä tarkoittaa, että yhä suurempia datamääriä säilytetään ja käytetään sähköisesti. Tätä taustaa vasten Zero Trust on osoittautunut tehokkaaksi kehykseksi, jonka avulla voidaan ratkaista monia pilvi- ja hybridiympäristöihin ja etätyöntekijöihin liittyviä ongelmia. Lue lisää, niin saat tietää, miten organisaatiot voivat Zero Trust -suojausmallin avulla vähentää haavoittuvuuksia, torjua uhkia ja hallita sitä, miten niiden henkilöstö käyttää dataa ja mitä oikeuksia käyttöön tarvitaan.
Mitä tarkoittaa Zero Trust?
Zero Trust -malli määrittää prosessit uudelleen siten, että jokaisen käyttäjän oletetaan joka tapahtuman aluksi olevan epäluotettava. Näin ollen järjestelmät todentavat ja tarkistavat kunkin käyttäjän valtuutukset automaattisesti, ennen kuin käyttäjälle annetaan pääsy mihinkään sovellukseen, tietokantaan tai yritysresurssiin. Lisäksi käyttäjän valtuutustilaa valvotaan jatkuvasti sovellusten ja datan käytön aikana.
Yhä useammat yritykset ja viranomaiset toimivat pilvi- ja hybridiympäristöissä, joten tarve Zero Trust -kehyksen käytölle on kasvamassa. Näissä ympäristöissä yritysten on entistä vaikeampi päätellä, keille käyttäjille ja mille laitteille voi antaa käyttöoikeuden verkkoihin ja sovelluksiin. Siksi yleistymässä ovat arkkitehtuuri ja strategia, jotka eivät edellytä käyttäjän luotettavuuden olettamista etukäteen lainkaan.
Painopisteessä ovat käyttäjän työnkulku ja helppokäyttöisyys. Suorituskyky ei heikkene, sillä oikein laaditun kehyksen ansiosta kaikki tarkistusprosessit tapahtuvat nopeasti taustalla. Käyttäjä tuskin huomaa häiriötä, mutta yrityksen tietoturva vahvistuu merkittävästi.
Termiä "Zero Trust -suojausmalli" käytetään joskus synonyyminä sellaisille vastaaville tai läheisille käsitteille kuin Zero Trust -arkkitehtuuri, Zero Trust -verkkoarkkitehtuuri, Zero Trust -verkkokäyttöoikeus tai ulkokehätön tietoturva.
Miten Zero Trust toimii?
Zero Trust -suojausmalli perustuu joukkoon keskeisiä periaatteita, joiden avulla käyttäjät ja heidän aikomuksensa voidaan tunnistaa luotettavasti. Zero Trust -periaatteita ovat seuraavat:
Hyökkääjiä on kaikkialla
Jos oletetaan, että hakkereita on sekä verkon sisä- että ulkopuolella, koneisiin tai käyttäjiin ei voida koskaan luottaa oletuksena.
Päätepisteet eivät ole luotettavia
Jos laitteella on käytössä riittävät suojauksen hallintatoimet, päätepisteen hallinta tarkistaa ne. Päästepisteiden suojauksen tulisi ulottua myös todentajaan sen varmistamiseksi, että käytetään vain hyväksyttyjä laitteita ja yksityinen avainaineisto on suojattu kunnolla.
Käyttäjien pitäisi saada mahdollisimman suppeat käyttöoikeudet
Antamalla käyttäjille vain heidän tarvitsemansa oikeudet minimoit käyttäjien pääsyn verkon arkaluonteisiin osiin. Tämä poikkeaa "luota kaikkiin sisäpuolella oleviin"- tai
"luota mutta varmista" -lähestymistapoihin.
Ylläpidä suojausta mikrosegmentoinnilla
Mikrosegmentointi tarkoittaa suojausparametrien jakamista pienemmille alueille verkon eri osissa dataluokituksen perusteella. Kullekin alueelle annetaan omat käyttöoikeutensa. Näin varmistetaan,
että käyttäjät eivät voi käyttää verkon eri alueita ilman lisätodennusta.
Käytönhallinta minimoi verkon hyökkäyspinnat
Hallitsemalla tiukasti käyttäjien ja laitteiden käyttöoikeuksia organisaatio voi minimoida verkon hyökkäyspinnat. On tärkeää valvoa, kuinka laitteet pääsevät verkkoon, jotta luvaton käyttö
voidaan estää. Käytönhallinnan pitäisi suojata keskeisiä järjestelmiä antamalla jokaiselle käyttäjälle suppeimmat tehtävän suorittamiseen tarvittavat käyttöoikeudet.
Monivaiheinen todennus on olennaista
Käyttäjien käyttöoikeudet vahvistetaan vahvoilla todennusmenetelmillä ennen pääsyn sallimista. Kaksivaiheista todennusta pidetään monivaiheista todennusta heikompana, ja se voi heikentää Zero Trust
-suojausta todentamalla käyttäjiä virheellisesti.
Vahvaan todennukseen tarvitaan kolme keskeistä elementtiä
Ensinnäkin: se ei saa perustua vain jaettuihin salaisuuksiin tai symmetrisiin avaimiin, kuten koodeihin, salasanoihin tai turvakysymyksiin. Toiseksi: siinä on käytettävä laitteistoa
käyttötietojen kalastelun tai toiseksi tekeytymisen torjumiseksi. Kolmanneksi: ratkaisun on oltava skaalautuva ja helppokäyttöinen. Kaikki monivaiheiseksi todennukseksi nimitetyt menetelmät eivät välttämättä täytä kaikkia näitä ehtoja.
Miten Zero Trust -suojausmalli otetaan käyttöön?
Zero Trust -kehys auttaa yrityksiä toimimaan turvallisesti ja tehokkaasti silloinkin, kun käyttäjät ja data sijaitsevat hajallaan eri sijainneissa ja ympäristöissä. Kehyksen käyttöönottoon ei kuitenkaan ole olemassa joka tilanteeseen sopivaa lähestymistapaa, joten useimmat yritykset aloittavat jakamalla käyttöönoton kolmeen vaiheeseen.
1. Visualisoi organisaatio
Ensimmäinen vaihe Zero Trust -suojausmallin käyttöönotossa on, että organisaatio visualisoi eri osansa ja sen, miten ne liittyvät toisiinsa. Tämä edellyttää organisaation resurssien ja niiden käytön sekä niihin liittyvien riskien tarkkaa arviointia Esimerkiksi talousosaston on mahdollisesti käytettävä tietokantaa, joka sisältää yksityisten asiakkaiden tietoja, ja tähän yhteyteen liittyvät haavoittuvuudet altistavat yrityksen riskeille.
Visualisoinnin ja arvioinnin on oltava jatkuvaa organisaation resurssien ja niiden käyttötarpeen kasvaessa organisaation mukana. Myös näiden komponenttien tärkeys ja niihin liittyvät riskit muuttuvat. Siksi Zero Trust -verkon käyttöönottoa suunnittelevien organisaatioiden on aloitettava osasta, joka arvioidaan tärkeimmäksi ja haavoittuvimmaksi kehyksen käyttöönoton aloittamishetkellä.
2. Vähennä riskejä ja huolenaiheita
Edellisessä vaiheessa tunnistettiin mahdolliset haavoittuvuudet sekä niihin kohdistuvat uhat ja hyökkäysreitit. were identified in the previous stage, the mitigation phase addresses those concerns in order of priority. Riskien vähentämisvaiheessa nämä huolenaiheet käsitellään tärkeysjärjestyksessä.
Tässä vaiheessa organisaatio luo prosessit ja työkalut, joiden avulla uudet haavoittuvuudet ja uhat voidaan tunnistaa automaattisesti. Tarvitaan myös prosesseja, jotka pysäyttävät uhat automaattisesti tai, jos se ei ole mahdollista, vähentävät niistä aiheutuvien seurausten vaikutuksia (esimerkiksi rajoittamalla paljastuneiden tietojen määrää) mahdollisimman paljon.
3. Optimoi toteuttaminen
Zero Trust -kehyksen käyttöönoton kolmannessa vaiheessa organisaatiot laajentavat prosessit ja protokollat koskemaan kaikkia IT-toimintoja. Tämän käyttöönoton nopeus riippuu täysin organisaation monimutkaisuudesta ja prosessiin investoitujen resurssien laajuudesta.
Tärkeintä on, että kehyksen toimivuutta ja käytettävyyttä testataan säännöllisesti samalla, kun sitä laajennetaan yrityksen infrastruktuurin eri osiin. Jos organisaatio ei aseta käyttäjäkokemusta etusijalle ottaessaan käyttöön Zero Trust -suojauskehystä tai vastaavaa, tuloksena on todennäköisesti ongelmia: käytäntöjä ei noudateta ja yleinen tuottavuus laskee.
.
Zero Trust -mallin edut
Zero Trust -kehys parantaa digitaalista transformaatiota läpikäyvien organisaatioiden tietoturvaa ja auttaa pilvipalvelujen pitkäaikaista käyttöönottoa harkitsevien organisaatioiden sopeutumista tuleviin haasteisiin. Tämän vuoksi Zero Trust -lähestymistapa on relevantti varsinkin SaaS-yrityksille sekä eri alojen kasvuyrityksille. Siitä on hyötyä erityisesti organisaatioille, joilla on etätyöntekijöitä tai jotka ylläpitävät usean pilven ympäristöä. Keskeiset edut:
Tehokas käytönhallinta
Zero Trust -suojausmalli käyttää päätepisteiden suojauksen, henkilöllisyyden todentamisen, mahdollisimman suppeiden käyttöoikeuksien, mikrosegmentoinnin ja muiden ehkäisytekniikoiden yhdistelmää torjuakseen hyökkääjät
ja rajoittaakseen heidän pääsyään sovelluksiin, dataan ja verkkoihin. Tämän ansiosta se on yksi tehokkaimmista organisaatioille tarjolla olevista käytönhallintamenetelmistä.
Rajaton strategia
Etätyöskentelyn yleistyessä kautta maailman verkon päätepisteiden määrä kasvaa
ja infrastruktuuri laajenee sisältämään pilvipohjaiset palvelimet ja sovellukset. Suojatun ulkokehän valvonta ja ylläpitäminen on siksi yhä hankalampaa. Zero Trust -lähestymistapa vastaa tähän haasteeseen mahdollistamalla rajattoman laite- ja käyttäjämäärän
ja järeän tietoturvan kautta linjan.
Tarkemmat tiedot
Pilviperustainen Zero Trust -malli voi tarjota paremman kuvan verkkoliikenteestä, kun palveluntarjoajat valvovat, hallitsevat, analysoivat, korjaavat ja päivittävät infrastruktuuria. Mallin tulisi sisältää tiedot päätepisteiden
tietoturvan tilasta ja todentajista.
Vähentynyt riski
Zero Trust -malli vähentää organisaation hyökkäyspintoja rajoittamalla käyttäjien pääsyä ja segmentoimalla verkon. Tämän ansiosta malli vähentää tietomurtojen havaitsemiseen kuluvaa aikaa, mikä auttaa organisaatioita minimoimaan vahingot ja vähentämään menetettyjen tietojen määrää.
Tehokkaampi käyttäjäkokemus
Zero Trust -malli voi parantaa käyttäjäkokemusta, koska käyttöoikeuskäytännöt ja riskinarviointi voivat tehdä päivän mittaan tapahtuvasta uudelleentodentamisesta tarpeetonta. Mekanismit, kuten kertakirjautuminen
(SSO) ja vahva monivaiheinen todennus, vähentävät tarvetta muistaa monimutkaisia salasanoja.
Säännöstenmukaisuus
Zero Trust -kehys helpottaa sisäisten ja ulkoisten määräysten ja säännösten noudattamista. Se suojaa kaikkia käyttäjiä, resursseja ja työtehtäviä ja helpottaa siksi auditointia ja standardien, kuten PCI DSS ja NIST
800-207, noudattamista.
Zero Trust -käyttötapaukset
Nykyisessä ympäristössä kaikki organisaatiot voivat hyötyä Zero Trust -suojausmallista. Esimerkkikäyttötapauksissa on kuitenkin kyse organisaatioista, joiden infrastruktuuri sisältää
- hybridi- tai etätyöntekijöitä
- vanhoja järjestelmiä
- hallitsemattomia laitteita
- SaaS-sovelluksia.
Keskeisiä uhkia, joita Zero Trust -mallilla torjutaan, ovat
- sisäpiiriuhat
- toimitusketjuhyökkäykset
- Kiristysohjelmat
Zero Trust -mallista on hyötyä organisaatioille, joiden on
- mukauduttava alakohtaisten tai muiden sääntöjen vaatimuksiin
- varmistettava kybervakuutuksensa ehtojen täyttyminen
- huolehdittava käyttäjäkokemuksesta erityisesti monivaiheisen todentamisen osalta
- vastattava riittävän kyberturvallisuusasiantuntemuksen hankkimisesta ja säilyttämisestä maailmanlaajuisesta osaajapulasta huolimatta.
Joka organisaatiolla on omat haasteensa, jotka vaihtelevat toimialan, maantieteellisen sijainnin, digitaalisen transformaation vaiheen ja valitun tietoturvastrategian mukaan. Zero Trust -suojausmallia voidaan kuitenkin yleensä mukauttaa organisaation tarpeiden mukaisesti.
Zero Trust ja kyberkestävyys
Siirtyminen hybridityöskentelyyn ja kyberuhkien lisääntynyt määrä ja monimutkaisuus ovat nostaneet kyberkestävyyden etusijalle organisaatioiden asialistalla. Kyberkestävyysajattelussa painotetaan kyberhyökkäysten estämisen sijaan niiden väistämättömyyden hyväksymistä nykymaailmassa – ja ennen kaikkea sen varmistamista, että organisaatio on valmistautunut hyökkäyksiin mahdollisimman hyvin ja pystyy reagoimaan ja toipumaan niistä nopeasti ja tehokkaasti. Zero Trust -kehyksellä on keskeinen rooli kyberkestävyyden parantamisessa.
Yksi esteistä Zero Trust -suojausmallin käyttöönotolle monissa yrityksissä ovat toisistaan eristetyt datakeskeiset työkalut. Hybridityöpaikka on saanut tietoturvatiimit ottamaan käyttöön uusia päätepisteratkaisuja, mikä on lisännyt datan suojaustyökalujen määrää entisestään. Tämä työkalujen moninaisuus – sekä niiden soveltamat säännöt ja analytiikka arkaluonteisten datan ja käyttäjien, sovellusten ja laitteiden risteyskohdissa – voi aiheuttaa ongelmia Zero Trust -suojausmallille. Tämä johtuu siitä, miten ne häiritsevät datan virtaamista, heikentävät näkyvyyttä ja lisäävät virheellisesti määritettyjen käytäntöjen riskiä.
Ratkaisu on yhdistää datakeskeiset prosessit tietoturva-alustaksi. Alusta parantaa kokonaisuuden hallintaa keskitetyllä käytäntömoottorilla, joka kattaa kaikki datakeskeiset prosessit. Prosessien integrointi ja jatkuvuuden varmistaminen poistaa siilot, mikä parantaa näkyvyyttä dataan ja yhdenmukaistaa seurantaa. Tämä puolestaan mahdollistaa entistä laajemman automatisoinnnin ja läpinäkyvyyden käyttäjien kannalta.
Hyvä tietoturva-alusta yhdistää datan noutamisen, luokittelun ja hallinnan yhteen paikkaan ja ehkäisee datan menetystä ja hämärtymistä. Sen pitäisi myös mahdollistaa infrastruktuuri, jonka ansiosta tietoturvatiimien on helpompaa ottaa Zero Trust -malli käyttöön koko organisaation hybridityöpaikan laajuudelta.
Usein kysyttyä Zero Trust -tietoturvasta
Usein kysyttyjä kysymyksiä Zero Trust -suojausmallista:
Mitä ovat Zero Trust -tietoturvan periaatteet?
Zero Trust -tietoturvan perusperiaate on "älä koskaan luota, vaan vahvista aina". Zero Trust -arkkitehtuuri ottaa käyttöön kontekstipohjaisia käyttöoikeuskäytäntöjä, jotka voivat perustua käyttäjän työrooliin tai sijaintiin, käytettyyn laitteeseen tai pyydettyihin tietoihin. Näiden avulla se estää luvattoman käytön. Zero Trust -suojausmallin tarkoitus on suojata nykyaikaisia ympäristöjä ja mahdollistaa digitaalinen transformaatio käyttämällä vahvoja todennusmenetelmiä, verkon segmentointia, sivuttaisen liikkumisen estämistä ja mahdollisimman suppeita käyttöoikeuksia.
Mitä ovat Zero Trust -mallin tärkeimmät edut?
Zero Trust -mallin tärkein etu on, että se vähentää liiketoimintaan liittyvää riskiä. Sovelluksia ja dataa eivät ole käytettävissä vaan pysyvät suojassa, kunnes käyttäjä on todennettu ja saanut luvan niiden käyttöön. Tämä puolestaan parantaa käytönhallintaa, sillä se kannustaa organisaatioita arvioimaan käytön sallimiseen käytettäviä menetelmiä uudelleen ja tiukentamaan käyttötapauskohtaisesti annettujen valtuutusten keston hallintaa. Yleisesti ottaen Zero Trust -suojausmallin edut voittavat ylivoimaisesti sen käyttöönotossa ilmenevät hankaluudet.
Miten Zero Trust -malli otetaan käyttöön?
Zero Trust -arkkitehtuuria suunniteltaessa tietoturvatiimit keskittyvät yleensä kahteen kysymykseen. Mitä halutaan suojata? Ja keneltä sitä halutaan suojata? Zero Trust -suojausmallin käyttöönottotapa perustuu näiden kysymysten tuottamiin vastauksiin. Monet organisaatiot ottavat Zero Trust -mallin käyttöön vaiheittain alkaen joko kaikkein kriittisimmistä resursseista tai ei-kriittisillä resursseilla suoritetuista testeistä ennen suojausmallin ulottamista koko verkon laajuudelle.
Suositellut tuotteet
- Kaspersky Hybrid Cloud Security
- Kaspersky Managed Detection and Response
- Kaspersky Threat Intelligence
Lisätietoja