A Zero Trust termék vagy filozófia?

Mindkét. A filozófia jól meghatározott (NIST 800-207). Az azt megvalósító termékek egy veremet alkotnak: identitásszolgáltató, eszközkezelés, hozzáférési proxy, házirend-motor, telemetria. Az eladók darabokat adnak el; A „Zero Trust” a belőlük összeállított architektúra.

A Zero Trust megszünteti a tűzfalak szükségességét?

Nem teljesen. A tűzfalak továbbra is hasznosak a durva hálózati szűréshez és a DDoS-ellenállósághoz. De már nem ők az elsődleges hozzáférés-szabályozási réteg; a hozzáférési proxy az. A legtöbb Zero Trust telepítés még mindig rendelkezik tűzfallal; szerepük „a” védelemről „egy” védelemre tolódott el.

Egy kisvállalkozás alkalmazhatja a Zero Trust-ot?

Igen, könnyebben, mint valaha. A Cloudflare Access ingyenes szinttel rendelkezik; A Tailscale bőséges ingyenes csomaggal rendelkezik; A Google Workspace és a Microsoft 365 Zero Trust funkciókat kínál az üzleti előfizetők számára. Az akadály már nem költség; ez az összes alkalmazás házirend-kezelőjének működési változása.

A Zero Trust csak a SASE / SSE / ZTNA / SDP / [következő mozaikszó]?

Ezek egymáshoz kapcsolódó kategóriák. A SASE (Secure Access Service Edge) a felhőalapú hálózati + biztonsági platform. Az SSE (Security Service Edge) a csak biztonsági részhalmaz. A ZTNA (Zero Trust Network Access) az adott alkalmazás-hozzáférési egység. Az SDP (Software-Defined Perimeter) egy régebbi kifejezés ugyanennek az ötletnek. A Zero Trust a filozófia; ezek olyan termékek, amelyek ezt megvalósítják.

Mennyi ideig tart a Zero Trust migráció?

Vállalkozásnak: 2-5 év. A munka nem a technológia – minden alkalmazás azonosítása, minden szolgáltatás-szolgáltatás áramlás, minden örökölt hitelesítési mechanizmus, és mindegyik áttelepítése az új modellre. Azok a vállalatok, amelyek „Zero Trust”-nak mondják magukat, általában azt jelentik, hogy a legtöbb alkalmazáshoz identitástudatos proxyjuk van, és még mindig a hosszú farkán dolgoznak.

Zero Trust Architecture magyarázata: A biztonsági modell, amely felváltotta a hálózati kerületet

A Zero Trust az a biztonsági modell, amely feltételezi, hogy a hálózat egyetlen része sem megbízható, és minden hozzáférési kérelmet hitelesíteni és engedélyeztetni kell, függetlenül attól, hogy honnan érkezett. A kemény külső kerület régi elképzelését egy puha belsővel váltotta fel, miután egy évtizedes támadások bebizonyították, hogy a kerület soha nem volt olyan kemény, mint ahogy hirdették.

A cikk teljes szövege alább olvasható angol nyelven.

Zero Trust Architecture (ZTA) egy olyan biztonsági modell, amely kifejezett ellenőrzést igényel minden egyes erőforráshoz való hozzáférési kísérletnél, anélkül, hogy a hálózati hely alapján adná meg a bizalmat. „Soha ne bízz, mindig ellenőrizd” – a hívószó elfáradt, de az elv érvényes. A modell John Kindervag 2010-es Forrester-kutatásából jött létre, és most a NIST SP 800-207 kóddal van kódolva.

Mit váltott fel?

A hagyományos modell – „kastély és vizesárok” – feltételezve:

A fenyegetések kívülről származnak; ha már bent van, megbízik benned
A tűzfalak és a VPN-ek határozzák meg a kerületet
A hálózat a biztonsági határ.

Ez addig működött, amíg meg nem. Kompromittált hitelesítő adatok, ellátási lánc támadások, rosszindulatú bennfentesek és távoli munkavégzés mind megkerülték a határt. A 2010-es évek hírhedt jogsértései – Target, OPM, Anthem, Sony, Equifax – mind egy támadót érintettek, aki bejutott a kerületbe, majd szabadon mozgott. A kerület volt az egyetlen hibapont.

Zero Trust azt mondja: tételezzük fel, hogy a támadó már bent van. Hitelesítsen és engedélyezzen minden kérést, mintha ellenséges hálózatból származna. A védelem nem függ a kerülettől.

Az alapelvek

NIST hét alapelve:

Minden adatforrás és számítástechnikai szolgáltatás erőforrás. Nincs speciális rendszerállapot a „belső” számára. a kommunikáció a hálózati helytől függetlenül biztonságos. Mindig titkosítja az átvitelt; ne bízzon csak azért, mert a forgalom a tűzfalon belül van.
Az egyes erőforrásokhoz való hozzáférés munkamenetenkénti alapon történik. Erőforrásonkénti hitelesítés, kérésenként, hálózati bejegyzésenként nem egyszer.
A hozzáférési irányelvek +Z3 eszközkörnyezetX határozzák meg +PL3. kockázati pontszám, nem csak „a 10.0.x.x alhálózatban van”.
A vállalat felügyeli és méri az összes tulajdonban lévő és kapcsolódó eszköz integritását. Folyamatos eszközállapot-ellenőrzés.
Minden erőforrás4Z dinamikus hitelesítéshez és engedélyezéshez7 szigorúanX. A munkamenetek megszakíthatók, ha a testtartás megváltozik.
A vállalat a lehető legtöbb információt összegyűjti az eszközök állapotáról, a hálózati infrastruktúráról és a kommunikációról. A telemetria táplálja a kockázati döntést.

Hogyan néz ki valójában a gyakorlatban?Z5PLZ655AXX? egyesíti:
Iidentitásszolgáltató (Okta, Microsoft Entra, Google Workspace) – az igazság egyetlen forrása, hogy ki vagy.
Eszközkezelés (Jamf, Intune, Chrome Enterprise) – tudja, mely eszközök egészségesek, és kompatibilis.
Access proxy (Cloudflare Access, Zscaler, Tailscale, BeyondCorp) – minden belső alkalmazás előtt áll, és minden kérésnél érvényesíti a szabályzatot.
– A forgalom hitelesítése a megbízhatósághoz, a PLZ3-szolgáltatáshoz sem kapcsolódikX a hálózaton belül.
Policy engine — minden kérést az identitást, eszközt és kontextust kombináló szabályok alapján értékel ki.
A felhasználók számára az eredmény láthatatlan: nyissa meg az Outlookot, nyomja meg a Salesforce-t, szerkesszen egy Confluence oldalt – minden tranzakció, amely a hozzáférési proxykon és az eszközökön áthalad. A felhasználó nem látja a házirend-motort; látják az egyszeri bejelentkezést, és az alkalmazások csak működnek.
BeyondCorp: a modell
A Google BeyondCorp kezdeményezése (2009-ben indult belsőleg, 2014–2017-ben jelent meg) volt az első nagyszabású Zero Trust bevezetés. A Google eltávolította a vállalati VPN-t, és minden belső alkalmazást közvetlenül elérhetővé tett a nyilvános interneten keresztül – amelyet egy identitástudatos proxy őrzött, amely minden kérésnél ellenőrizte a felhasználót, az eszközt és a környezetet. A modell bebizonyította, hogy a Zero Trust nagy méretekben is működhet, és a Google termékesítette, mivel a GCP.
BeyondCorp sikere hajtotta az iparágat. A legtöbb nagyvállalat legalább megkezdte a Zero Trust útját, még akkor is, ha az átállás lassú, mert sok örökölt dolog épült a régi peremmodell köré.
Zero Trust és VPNs
Zero Trust néha „a VPN halálaként” emlegetik. Részben igaz. A hagyományos vállalati VPN-ek hozzáférést biztosítanak a hálózathoz, amely után a felhasználó bármit elérhet, amire jogosult. A Zero Trust bizonyos alkalmazásokhoz biztosít hozzáférést, nem pedig a hálózathoz – jelentősen csökkentve a feltört felhasználó behatolási sugarát.
A modern alternatívák közé tartozik az Tailscale (amely VPN, de alkalmazásonkénti ACL-ekkel és identitástudatos hozzáféréssel – gyakorlatilag egy kisméretű Zero Trust), a Cloudflare Access és a különböző ZTNA (Zero Trust Network Access) termékek.
Ahol a Zero Trust keményXPLXZ4 részek:
Régi alkalmazások. Azok az alkalmazások, amelyek elvárják, hogy megbízható hálózaton legyenek, gyakran nem rendelkeznek megfelelő hitelesítéssel. Utólag be kell szerelni vagy proxyzni kell őket.
Szolgáltatások közötti hitelesítés. Az egymással beszélgető mikroszolgáltatások jelentős támadási felületet jelentenek, és az mTLS plusz identitástudatos szolgáltatási háló működési szempontból összetett.
Policy-per-app-8 a kontextusonkénti irányelvek sok szabályt tartalmaznak. A kiforrott telepítések absztrakciókat (csoportokat, szerepköröket, attribútumokat) használnak, de a kognitív terhelés valós.
Migrációs költség. A kerületi alapú vezérlők zéró bizalmi vezérlőkkel való helyettesítése minden nagy szervezet számára több éves út. A legtöbb már félkész.
Zéró bizalom az egyének számára
Az alapelvek leépülnek. Magánszemélyként:
Erős hitelesítést használjon mindenhol – jelszavak + 2FA vagy jelkulcsok
Ne bízzon az otthoni hálózatában – titkosítson mindent a tranzitban.
Futtassa a legkevesebb jogosultsággal rendelkező fiókokat az eszközökön (alapértelmezés szerint nem adminisztrátor3, mivel XXPLZ35) A feltört végpontok a leggyakoribb Zero Trust megsértése
A böngészőmunkameneteket alapértelmezés szerint nem megbízhatóként kezeli – homokozóban, tartalomszűréssel
Ön nem telepíthet Zero Trust architektúrát otthon, de a gondolkodásmód – feltételezi, hogy bármelyik réteg meghibásodhat – a PLZ42 közvetlenül fordítja.

Gyakran ismételt kérdések

A Zero Trust termék vagy filozófia?: Mindkét. A filozófia jól meghatározott (NIST 800-207). Az azt megvalósító termékek egy veremet alkotnak: identitásszolgáltató, eszközkezelés, hozzáférési proxy, házirend-motor, telemetria. Az eladók darabokat adnak el; A „Zero Trust” a belőlük összeállított architektúra.
A Zero Trust megszünteti a tűzfalak szükségességét?: Nem teljesen. A tűzfalak továbbra is hasznosak a durva hálózati szűréshez és a DDoS-ellenállósághoz. De már nem ők az elsődleges hozzáférés-szabályozási réteg; a hozzáférési proxy az. A legtöbb Zero Trust telepítés még mindig rendelkezik tűzfallal; szerepük „a” védelemről „egy” védelemre tolódott el.
Egy kisvállalkozás alkalmazhatja a Zero Trust-ot?: Igen, könnyebben, mint valaha. A Cloudflare Access ingyenes szinttel rendelkezik; A Tailscale bőséges ingyenes csomaggal rendelkezik; A Google Workspace és a Microsoft 365 Zero Trust funkciókat kínál az üzleti előfizetők számára. Az akadály már nem költség; ez az összes alkalmazás házirend-kezelőjének működési változása.
A Zero Trust csak a SASE / SSE / ZTNA / SDP / [következő mozaikszó]?: Ezek egymáshoz kapcsolódó kategóriák. A SASE (Secure Access Service Edge) a felhőalapú hálózati + biztonsági platform. Az SSE (Security Service Edge) a csak biztonsági részhalmaz. A ZTNA (Zero Trust Network Access) az adott alkalmazás-hozzáférési egység. Az SDP (Software-Defined Perimeter) egy régebbi kifejezés ugyanennek az ötletnek. A Zero Trust a filozófia; ezek olyan termékek, amelyek ezt megvalósítják.
Mennyi ideig tart a Zero Trust migráció?: Vállalkozásnak: 2-5 év. A munka nem a technológia – minden alkalmazás azonosítása, minden szolgáltatás-szolgáltatás áramlás, minden örökölt hitelesítési mechanizmus, és mindegyik áttelepítése az új modellre. Azok a vállalatok, amelyek „Zero Trust”-nak mondják magukat, általában azt jelentik, hogy a legtöbb alkalmazáshoz identitástudatos proxyjuk van, és még mindig a hosszú farkán dolgoznak.