„Termin »zero zaufania« jest obecnie używany tak często i tak powszechnie, że prawie stracił swoje znaczenie” tak brzmi teza artykułu Kevina Townsenda opublikowanego w Securityweek. O czym jeszcze czytamy w tym niezwykle interesującym artykule?
Na początek trochę historii. Dostęp do sieci o zerowym zaufaniu (ZTNA) jest ewolucją oryginalnej pracy Johna Kindervaga nad modelem zerowego zaufania.
Zero zaufania to termin ukuty przez Kindervag z firmy Forrester w 2010 roku. Około 2017 roku analitycy Gartnera bawili się pokrewną, ale inną ideą: ciągłą adaptacyjną oceną ryzyka i zaufania (CARTA). CARTA została zaprojektowana w tym samym celu, co zerowe zaufanie Kindervaga – aby zastąpić niejawną akceptację zaufania wbudowaną w początki Internetu wymaganiem wyraźnego udowodnionego zaufania.
Steve Riley był jednym z analityków Gartnera pracujących nad tym zagadnieniem. Było to mniej więcej w czasie, gdy wyłoniło się pojęcie „oprogramowanie zdefiniowane” od Cloud Security Alliance (CSA) i Google BeyondCorp. Pierwotnie utworzonego jeszcze wcześniej w 2009 roku w odpowiedzi na operację Aurora. Miały one podobieństwa do pracy Gartnera nad „ciągłym zaufaniem adaptacyjnym” – gdzie „zero” było tylko punktem wyjścia.
Przypomnijmy, że Operacja Aurora była serią cyberataków przeprowadzanych przez zaawansowane grupy takie jak Elderwood Group z siedzibą w Pekinie, powiązana z Armią Ludowo-Wyzwoleńczą. Po raz pierwszy publicznie ujawniony przez Google w dniu 12 stycznia 2010 r. w poście na blogu. Ataki rozpoczęły się w połowie 2009 r. i trwały do grudnia 2009 r.
Do 2019 r. Riley był gotowy do napisania raportu rynkowego Gartnera na temat CARTA, ale przekonał swoich kolegów, że Zero Trust Network Access (ZTNA) będzie łatwiej rozpoznawalnym tytułem tematycznym. Jego raport rynkowy z 2019 roku jest źródłem tego, co jest obecnie jednym z najczęściej używanych zastosowań w dziedzinie cyberbezpieczeństwa oryginalnej koncepcji zerowego zaufania Kindervag.
Czym jest zero zaufania?
Przypomnijmy, może trochę nieskromnie, że my na kapitanie hacku opisywaliśmy podejście do koncepcji zero trust zainspirowani raportem Microsoftu już w 2019 roku tutaj, ale po kolei. W 2017 roku Gartner mówił o koncepcji, którą nazwał „ciągłą adaptacyjną oceną ryzyka i zaufania”. Riley dostosował tę koncepcję do zerowego zaufania i ukuł frazę dostęp do sieci z zerowym zaufaniem (ZTNA) w 2019 roku. Po czasie Riley żałuje, że nie użył terminu dostęp do aplikacji z zerowym zaufaniem (ZTAA), ale teraz uważa, że jest za późno na zmianę. Sieć bazowa jest niemal incydentalna w stosunku do wymogu zerowego zaufania stosowanego do dostępu do poszczególnych aplikacji działających w sieci – co jest prawdziwym celem ZTNA.
Termin „zero zaufania” jest teraz przymiotnikiem zbiorowym. Sam w sobie jest bez znaczenia bez towarzyszącego rzeczownika lub frazy nominalnej. Świat odszedł od rewolucyjnej i wartościowej koncepcji Kindervaga polegającej na braku zaufania do wszystkiego, teraz jest to „brak zaufania na arenie bez odpowiedniego i ciągłego upoważnienia”.
Chociaż zero zaufania można zastosować do innych obszarów – takich jak dostęp do poczty e-mail z zerowym zaufaniem (ZTEA) lub dostęp do danych z zerowym zaufaniem (ZTDA), jest to być może coś na przyszłość. Tutaj koncentrujemy się na ZTNA/ZTAA. W definicji Rileya obejmuje ideę ciągłej adaptacyjnej oceny ryzyka i zaufania jako użytecznego kompromisu w celu zapewnienia maksymalnego możliwego bezpieczeństwa bez wpływu na użyteczność.
Rola brokera zaufania
Kluczową koncepcją w ZTNA jest rola brokera zaufania. Broker zaufania, który znajduje się poza siecią, zapewnia uwierzytelnionym użytkownikom odpowiedni poziom zaufania w celu uzyskania dostępu do określonej aplikacji. Takie podejście ma wiele celów.
Po pierwsze, zapobiega wszelkim komunikacjom przychodzącym od kogokolwiek innego niż uwierzytelniony, godny zaufania użytkownik. Aplikacja informuje brokera, kto może zostać uwierzytelniony w celu uzyskania dostępu do jakich aplikacji. Bez tego zewnętrznego brokera, mówi Riley, „napastnicy mogliby się połączyć i nigdy nie zawracać sobie głowy przesyłaniem sekwencji uwierzytelniania. Mogą po prostu rzucić na usługę co tylko chcą i sprawdzić, czy uda im się sprawić, że serwis będzie się zachowywać w sposób nieprzewidywalny, ale korzystny dla atakującego. Broker zmienia paradygmat z „połącz (z siecią), a następnie uwierzytelnij” na „uwierzytelnij, a następnie połącz (z pojedynczą określoną aplikacją)”.
Broker może sprawdzić stan urządzenia, jego geolokalizację i inne behawioralne dane biometryczne użytkownika. Generuje wynik zaufania. Jeżeli ocena zaufania jest odpowiednia dla określonej aplikacji, użytkownik uzyskuje dostęp za pośrednictwem brokera.
Ten bit jest krytyczny – użytkownik ma dostęp tylko do określonej aplikacji. Każdy użytkownik, który chce uzyskać dostęp do innej aplikacji, musi ponownie uwierzytelnić się dla tej aplikacji, a wymagania dotyczące uwierzytelniania mogą być inne. Zapobiega to ruchowi bocznemu w sieci, czy to przez pracownika, czy atakującego.
Czy możliwe jest wprowadzenie „prawdziwego zero trust”?
Jedną z trudności w zrozumieniu koncepcji zerowego zaufania jest to, że wszyscy wiedzą, że zerowe zaufanie i użyteczność wzajemnie się wykluczają. Jedynym sposobem na zagwarantowanie zerowego zaufania jest przysłowiowa metoda odłączenia komputera, owinięcia go sześciometrowym betonem wyłożonym ołowiem i wrzucenia go do głębokiego oceanu. Ale jak się zapewne domyślasz Drogi Czytelniku, może to utrudnić użyteczność.
Zero zaufania to zastosowanie najmniejszego możliwego zaufania, które nadal zapewnia praktyczny stopień użyteczności. Zwiększanie jednej strony tego równania odbywa się niestety kosztem drugiej strony.
Drugą potencjalną słabością jest broker. Jeśli broker zostanie naruszony, osoby atakujące będą mogły uzyskać dostęp do wybranych aplikacji. Jest to problem, który Riley rozważał od początku swojej pracy nad koncepcją ZTNA jeszcze w Gartnerze. Jego wniosek był taki, że broker pozostaje najlepszą opcją dostępu z zewnątrz. Alternatywą byłoby poleganie na zaporze sieciowej między siecią a Internetem (a wiemy, że to nie działa) lub korzystanie z VPN.
„VPN to rzecz, która jedną nogą siedzi w Internecie, a drugą w sieci korporacyjnej” – powiedział Riley. „Większość koncentratorów VPN czai się w kącie piwnicy i nigdy nie jest aktualizowana. Nie możesz go aktualizować, ponieważ wszyscy go ciągle używają”.
Gdzie zmierza zero zaufania?
Według Kevina Townsenda warto pamiętać, że „zero zaufania” to tylko przymiotnik. Bez rzeczownika, który opisuje, nie ma znaczenia. W tym artykule przyjrzeliśmy się zerowemu zaufaniu do dostępu do aplikacji lub ZTNA opartemu na jego zastosowaniu przez analityka Gartnera, który zdefiniował ten temat w 2019 r. Jest to prawdopodobnie najważniejszy obszar koncepcji zerowego zaufania.
Ale to nie jedyny potencjalny obszar. Zero zaufania powinno być stosowane do każdego obszaru, który obecnie cierpi z powodu nadużyć dostępu.
Obecnie jednym z kierunków cyberbezpieczeństwa jest zwiększenie granulacji. Dobrym przykładem jest ruch w kierunku „bezpieczeństwa zorientowanego na dane”. Podstawowym celem wszystkich zabezpieczeń jest ochrona danych korporacyjnych – więc pytanie brzmi, czy powinniśmy spodziewać się w przyszłości dążenia do zerowego dostępu do danych (ZTDA)?
„Użyjmy jako przykładu tabeli bazy danych w chmurze” — powiedział Riley. „Zamiast postawić maszynę wirtualną na, powiedzmy, Microsoft Azure i uruchomić tam serwer bazy danych, wystarczy użyć SQL Azure i udostępnić tę tabelę jako adres URL. Istnieją mechanizmy, dzięki którym można umieścić kontrolę dostępu w poszczególnych polach lub wierszach, lub kolumnach dla całej tabeli”.
Niezależnie od wymaganej szczegółowości kontrole dostępu mogą być częścią strategii. Celowo opracowanej w taki sposób by eliminować brak zaufania wszędzie i zawsze wymagając uwierzytelniania i autoryzacji dla dowolnej formy dostępu do dowolnego podmiotu.
„Lubię, aby te rzeczy były abstrakcyjne”, powiedział Riley. „Chcę wyeliminować ukryte zaufanie z każdej warstwy: z sieci, z aplikacji, z maszyn wirtualnych i z obiektów danych. Zamiast tego chcę sytuacji, w której każda interakcja ma pośrednika, a poziom zaufania do tej interakcji jest mierzony kontekstem i otoczeniem sygnału”.
Krótko mówiąc, dodał: „Myślę, że ostatecznie »Zero Trust« będzie obejmować dostęp do danych z zerowym zaufaniem”.