Onko Zero Trust tuote vai filosofia?

Molemmat. Filosofia on hyvin määritelty (NIST 800-207). Sen toteuttavat tuotteet muodostavat pinon: identiteetin tarjoaja, laitehallinta, pääsyvälityspalvelin, käytäntömoottori, telemetria. Myyjät myyvät kappaletta; "Zero Trust" on niistä koottu arkkitehtuuri.

Poistaako Zero Trust palomuurien tarpeen?

Ei kokonaan. Palomuurit ovat edelleen hyödyllisiä karkeaan verkkosuodatukseen ja DDoS-sietokykyyn. Mutta ne eivät enää ole ensisijainen pääsynhallintakerros; pääsyvälityspalvelin on. Useimmissa Zero Trust -asetuksissa on edelleen palomuurit; heidän roolinsa on siirtynyt "puolustuksesta" "puolustukseen".

Voiko pienyritys ottaa käyttöön Zero Trustin?

Kyllä, helpommin kuin koskaan. Cloudflare Accessilla on ilmainen taso; Tailscalella on runsas ilmainen paketti; Google Workspace ja Microsoft 365 yhdistävät Zero Trust -ominaisuudet yritystilaajille. Este ei enää maksa; se on jokaisen sovelluksen käytäntöjen hallinnan toiminnallinen muutos.

Onko Zero Trust vain SASE / SSE / ZTNA / SDP / [seuraava lyhenne]?

Ne ovat toisiinsa liittyviä luokkia. SASE (Secure Access Service Edge) on pilven kautta toimitettu verkko + suojausalusta. SSE (Security Service Edge) on vain tietoturvan osajoukko. ZTNA (Zero Trust Network Access) on erityinen sovelluskäyttöön tarkoitettu osa. SDP (Software-Defined Perimeter) on vanhempi termi samalle ajatukselle. Zero Trust on filosofia; nämä ovat tuotteita, jotka toteuttavat sen.

Kuinka kauan Zero Trust -siirto kestää?

Yritykselle: 2-5 vuotta. Työ ei ole tekniikkaa – se tunnistaa jokaisen sovelluksen, jokaisen palveluiden välisen kulun, jokaisen vanhan todennusmekanismin ja siirtää jokaisen uuteen malliin. Yritykset, jotka sanovat olevansa "Zero Trust", tarkoittavat yleensä, että heillä on identiteettitietoinen välityspalvelin useimmille sovelluksille ja ne työskentelevät edelleen pitkän hännän läpi.

Zero Trust -arkkitehtuuri selitetty: suojausmalli, joka korvasi verkon kehän

Zero Trust on suojausmalli, jossa oletetaan, että mikään verkon osa ei ole luotettava ja että jokainen pääsypyyntö on todennettu ja valtuutettava riippumatta siitä, mistä se tulee. Se korvasi vanhan ajatuksen kovasta ulkokehästä pehmeällä sisäpinnalla, kun vuosikymmenen hyökkäykset osoittivat, että kehä ei koskaan ollut niin kova kuin mainostettiin.

Artikkelin koko runko on englanniksi alla.

Zero Trust Architecture (ZTA) on suojausmalli, joka vaatii nimenomaisen vahvistuksen jokaiselle pääsyyritykselle jokaiselle resurssille, ilman verkon sijainnin perusteella myönnettyä implisiittistä luottamusta. "Älä koskaan luota, tarkista aina" - lause on kyllästynyt, mutta periaate pätee. Malli syntyi John Kindervagin vuoden 2010 Forrester-tutkimuksesta, ja se on nyt kodifioitu NIST SP 800-207:ään.

Mikä korvasi minkä

Perinteinen malli – "linna ja vallihauta" - oletetaan:

Uhat tulevat ulkopuolelta; kun olet sisällä, sinuun luotetaan
Palomuurit ja VPN:t määrittävät kehyksen
Verkko on turvaraja

Tämä toimi, kunnes se ei toiminut. Vaaralliset tunnistetiedot, toimitusketjun hyökkäykset, haitalliset sisäpiiriläiset ja etätyö ohittivat kaikki rajat. 2010-luvun pahamaineisiin rikkomuksiin – Target, OPM, Anthem, Sony, Equifax – liittyi hyökkääjä, joka pääsi kehän sisäpuolelle ja liikkui sitten vapaasti. Kehä oli ainoa vikapiste.

Zero Trust sanoo: Oletetaan, että hyökkääjä on jo sisällä. Todenna ja valtuuta jokainen pyyntö ikään kuin ne olisivat tulleet vihamielisestä verkosta. Puolustus ei riipu kehästä.

Ydinperiaatteet

NISTin seitsemän periaatetta:

Kaikki tietolähteet ja laskentapalvelut ovat resursseja. Ei erityistä järjestelmän tilaa "Z22XXA":lle3PLZXXll. viestintä on suojattu verkon sijainnista riippumatta. Salaa aina siirron aikana; älä luota vain siksi, että liikenne on palomuurin sisällä.
Pääsy yksittäisiin resursseihin myönnetään istuntokohtaisesti. Todennus resurssikohtaisesti, pyyntöä kohden, ei kerran verkkomerkintää kohti.
Pääsydynaaminen kontekstiX määräytyy +PL3-laitteen kontekstin mukaan. riskipisteet, ei vain "on aliverkossa 10.0.x.x".
Yritys tarkkailee ja mittaa kaiken omistaman ja siihen liittyvän omaisuuden eheyttä. Jatkuva laitteen kunnontarkistus.
Kaikki dynaamiset resurssien todennus ja valtuutus7X. Istunnot voidaan lopettaa, kun asento muuttuu.
Yritys kerää mahdollisimman paljon tietoa resurssien tilasta, verkkoinfrastruktuurista ja viestinnästä. Telemetria syöttää riskipäätöksen.

Miltä se käytännössä näyttää käytännössä? yhdistää:
Iidentiteetin tarjoaja (Okta, Microsoft Entra, Google Workspace) – yksi totuuden lähde siitä, kuka olet.
Laitehallinta (Jamf, Intune, Chrome Enterprise) – tietää, mitkä laitteet ovat terveitä ja yhteensopiva.
Access-välityspalvelin (Cloudflare Access, Zscaler, Tailscale, BeyondCorp) — istuu jokaisen sisäisen sovelluksen edessä ja valvoo käytäntöjä jokaisessa pyynnössä.
XPllicittruen, ei myöskään liikennettä-luottamusta, PLZ-3servationX verkon sisällä.
Käytäntömoottori — arvioi jokaisen pyynnön identiteetin, laitteen ja kontekstin yhdistävien sääntöjen mukaan.
Käyttäjille tulos on näkymätön: avaa Outlook, paina Salesforcea, muokkaa Confluence-sivua – jokainen tapahtuma ja laite reitittää pääsyn välityspalvelimen kautta. Käyttäjä ei näe käytäntömoottoria; he näkevät SSO:n ja sovellukset vain toimivat.
BeyondCorp: malli
Googlen BeyondCorp-aloite (aloitettu sisäisesti vuonna 2009, julkaistu 2014–2017) oli ensimmäinen laajamittainen Zero Trust -käyttöönotto. Google poisti yrityksen VPN:n ja asetti kaikki sisäiset sovellukset saataville suoraan julkisen Internetin kautta – identiteettitietoisen välityspalvelimen suojaamana, joka tarkisti käyttäjän, laitteen ja kontekstin jokaisen pyynnön yhteydessä. Malli osoitti, että Zero Trust voi toimia suuressa mittakaavassa, ja Google tuotteistasi sen, koska GCP.
BeyondCorpin menestys vei alan Identity-Aware Proxy. Useimmat suuret yritykset ovat ainakin aloittaneet Zero Trust -matkan, vaikka siirtyminen on hidasta, koska vanhan kehämallin ympärille rakennettiin niin paljon vanhaa tavaraa.
Zero Trust ja VPNs
Zero Trust kutsutaan joskus "VPN:n kuolemaksi". Osittain totta. Perinteiset yritysten VPN-verkot myöntävät pääsyn verkkoon, minkä jälkeen käyttäjä voi tavoittaa kaiken, mihin hänellä on valtuutus. Zero Trust antaa pääsyn tiettyihin sovelluksiin, ei verkkoon – vähentää merkittävästi vaarantuneen käyttäjän räjähdyssädettä.
Nykyaikaisia vaihtoehtoja ovat Tailscale (joka on VPN, mutta jossa on sovelluskohtaiset ACL:t ja identiteettitietoinen pääsy – käytännössä pienimuotoinen Zero Trust), Cloudflare Access ja erilaiset ZTNA (Zero Trust Network Access) -tuotteet.
Missä Zero Trust on kovaaXPLZPLXZ4 osat:
Vanhat sovellukset. Sovelluksilla, jotka odottavat olevansa luotetussa verkossa, ei useinkaan ole asianmukaista todennusta. Ne on asennettava jälkikäteen tai välityspalvelimella.
Palvelusta huoltoon -todennus. Toistensa kanssa puhuvat mikropalvelut muodostavat tärkeän hyökkäyksen pinnan, ja mTLS plus identiteettitietoinen palveluverkko on toiminnallisesti monimutkainen.
Policy-per-sovellus. kontekstikohtaisissa politiikoissa on paljon sääntöjä. Aikuiset käyttöönotot käyttävät abstraktioita (ryhmiä, rooleja, attribuutteja), mutta kognitiivinen kuormitus on todellinen.
Siirtokustannukset. Kehäpohjaisten ohjausobjektien korvaaminen Zero Trust -ohjaimilla on monen vuoden matka mille tahansa suurelle organisaatiolle. Useimmat ovat puolivälissä.
Nolla luottamusta yksilöille
Periaatteet pienenevät. Yksityishenkilönä:
Käytä vahvaa todennusta kaikkialla – salasanat + 2FA tai salasanat
Älä luota kotiverkkoosi – salaa kaikki siirron aikana vaarantuneet päätepisteet ovat yleisin Zero Trust -rikkomus
Kohtele selainistuntoja oletuksena epäluotettavina – hiekkalaatikolla, sisällön suodatuksella
Et ota käyttöön Zero Trust -arkkitehtuuria kotona, mutta ajattelutapa – oletetaan, että mikä tahansa kerros voi epäonnistua.PLZ42 kääntää suoraanX.

Usein kysytyt kysymykset

Onko Zero Trust tuote vai filosofia?: Molemmat. Filosofia on hyvin määritelty (NIST 800-207). Sen toteuttavat tuotteet muodostavat pinon: identiteetin tarjoaja, laitehallinta, pääsyvälityspalvelin, käytäntömoottori, telemetria. Myyjät myyvät kappaletta; "Zero Trust" on niistä koottu arkkitehtuuri.
Poistaako Zero Trust palomuurien tarpeen?: Ei kokonaan. Palomuurit ovat edelleen hyödyllisiä karkeaan verkkosuodatukseen ja DDoS-sietokykyyn. Mutta ne eivät enää ole ensisijainen pääsynhallintakerros; pääsyvälityspalvelin on. Useimmissa Zero Trust -asetuksissa on edelleen palomuurit; heidän roolinsa on siirtynyt "puolustuksesta" "puolustukseen".
Voiko pienyritys ottaa käyttöön Zero Trustin?: Kyllä, helpommin kuin koskaan. Cloudflare Accessilla on ilmainen taso; Tailscalella on runsas ilmainen paketti; Google Workspace ja Microsoft 365 yhdistävät Zero Trust -ominaisuudet yritystilaajille. Este ei enää maksa; se on jokaisen sovelluksen käytäntöjen hallinnan toiminnallinen muutos.
Onko Zero Trust vain SASE / SSE / ZTNA / SDP / [seuraava lyhenne]?: Ne ovat toisiinsa liittyviä luokkia. SASE (Secure Access Service Edge) on pilven kautta toimitettu verkko + suojausalusta. SSE (Security Service Edge) on vain tietoturvan osajoukko. ZTNA (Zero Trust Network Access) on erityinen sovelluskäyttöön tarkoitettu osa. SDP (Software-Defined Perimeter) on vanhempi termi samalle ajatukselle. Zero Trust on filosofia; nämä ovat tuotteita, jotka toteuttavat sen.
Kuinka kauan Zero Trust -siirto kestää?: Yritykselle: 2-5 vuotta. Työ ei ole tekniikkaa – se tunnistaa jokaisen sovelluksen, jokaisen palveluiden välisen kulun, jokaisen vanhan todennusmekanismin ja siirtää jokaisen uuteen malliin. Yritykset, jotka sanovat olevansa "Zero Trust", tarkoittavat yleensä, että heillä on identiteettitietoinen välityspalvelin useimmille sovelluksille ja ne työskentelevät edelleen pitkän hännän läpi.