Hoe een Zero Trust beveiligingsstrategie te implementeren
Fortinet
Zero Trust is gebaseerd op de veronderstelling dat er zowel buiten als binnen het netwerk voortdurend bedreigingen zijn. Zero Trust gaat er ook van uit dat elke poging om toegang te krijgen tot het netwerk of een toepassing een bedreiging is. Het is een netwerkbeveiligingsfilosofie die stelt dat niemand binnen of buiten het netwerk mag worden vertrouwd totdat zijn identiteit grondig is geverifieerd. Deze aannames liggen ten grondslag aan de strategie van netwerkbeheerders en dwingen hen strikte, vertrouwenloze beveiligingsmaatregelen te ontwikkelen.
Er wordt maar al te vaak gedacht dat de implementatie van een zero-trust architectuur een complete revisie van het netwerk vereist. Zeker, er is wat zwaar tilwerk nodig, maar het is essentieel voor een succesvolle implementatie om over het juiste kader en de juiste hulpmiddelen te beschikken. Elke omgeving heeft een consistente zero-trust architectuur nodig. Het is een culturele verandering die vaak groter is dan een technologische verandering. Het gaat om een mentaliteit en een engagement om de manier te veranderen waarop toegang wordt verleend en hoe beveiliging wordt geleverd in de hele organisatie.
Een "zero trust" beveiligingsstrategie bepaalt de juiste toegang en vereisten
De eerste stap in het ontwikkelen van een "zero trust" architectuur is bepalen wie wat mag doen - en dit is waarschijnlijk de moeilijkste taak. Je moet bepalen wie waartoe toegang heeft, op basis van de middelen zodat elk individu zijn werk kan doen. En dan moet je ervoor zorgen dat de apparaten die mensen gebruiken goed beveiligd zijn.
Het opzetten van Zero Trust Access (ZTA) omvat end-to-end toegangscontroles voor applicaties, krachtige technologieën voor netwerktoegangscontrole en sterke authenticatiemogelijkheden. Een aspect van Zero Trust Access dat zich richt op het controleren van de toegang tot toepassingen is Zero Trust Network Access (ZTNA). ZTNA breidt de principes van ZTA uit om vóór elke applicatiesessie gebruikers en apparaten te verifiëren om te bevestigen dat zij voldoen aan het beleid van de organisatie voor toegang tot die applicatie. ZTNA ondersteunt multi-factor authenticatie om het hoogste niveau van verificatie te garanderen.
Met het zero-trust model voor applicatietoegang, of ZTNA, kunnen organisaties minder vertrouwen op traditionele virtual private network (VPN)-tunnels voor de beveiliging van bedrijfsmiddelen die op afstand worden benaderd. Een VPN biedt vaak onbeperkte toegang tot het netwerk, waardoor gecompromitteerde gebruikers of malware zich zijdelings op het netwerk kunnen bewegen en bronnen kunnen exploiteren. ZTNA past echter hetzelfde beleid toe, ongeacht of gebruikers zich op of buiten het netwerk bevinden. Een organisatie heeft dus dezelfde bescherming, ongeacht waarvandaan een gebruiker verbinding maakt.
Het implementeren van een effectief ZTA-beveiligingsbeleid moet veilige authenticatie omvatten. Veel inbreuken op de beveiliging zijn het gevolg van gecompromitteerde gebruikersaccounts en wachtwoorden, dus het gebruik van multi-factor authenticatie is van cruciaal belang. Gebruikers verplichten om twee of meer verificatiefactoren op te geven om toegang te krijgen tot een applicatie of andere netwerkbronnen voegt een extra beveiligingslaag toe om cyberbeveiligingsdreigingen tegen te gaan.
Het is ook belangrijk ervoor te zorgen dat gebruikers geen ongepaste of buitensporige toegangsrechten hebben. Toepassing van de ZTA-praktijk van "least privilege" als onderdeel van het toegangsbeheer betekent dat als een gebruikersaccount wordt gecompromitteerd, cyberaanvallers slechts toegang hebben tot een beperkte subset van de bedrijfsmiddelen. Dit is vergelijkbaar met netwerksegmentatie, maar dan per persoon. Gebruikers mogen alleen toegang krijgen tot de middelen die zij nodig hebben voor hun specifieke taak.
Zorg ervoor dat alle apparaten beveiligd zijn met Zero Trust
Apparaatbeveiliging speelt ook een sleutelrol bij het implementeren van een effectief Zero Trust-beveiligingsbeleid. Het is essentieel om ervoor te zorgen dat de apparaten die mensen gebruiken goed beveiligd zijn. Dit is vooral belangrijk nu IoT-apparaten steeds wijder verspreid raken en grotere doelwitten worden voor cyberaanvallers.
Omdat IoT-apparaten geen software kunnen installeren en geen ingebouwde beveiligingsfuncties hebben, zijn ze in wezen "headless". Met de technologische vooruitgang is ook de interconnectiviteit van IoT-ecosystemen met het bedrijfsnetwerk en het bredere internet toegenomen.
Deze nieuwe connectiviteit en de uitbreiding van IP-apparaten betekent dat IoT-apparaten een belangrijk doelwit zijn geworden voor cybercriminelen. De meeste IoT-apparaten zijn niet ontworpen met het oog op beveiliging, en veel apparaten hebben geen traditionele besturingssystemen, noch voldoende rekenkracht of geheugen om beveiligingsfuncties in te bouwen.
Een voordeel van ZTA is dat het endpoints en IoT-apparaten kan authenticeren om uitgebreide beheerscontrole in te stellen en te behouden en zichtbaarheid te garanderen van elke component die op het netwerk is aangesloten. Voor IoT-apparaten zonder headsets kunnen oplossingen voor netwerktoegangscontrole (NAC) zorgen voor ontdekking en toegangscontrole. Met behulp van NAC-beleid kunnen organisaties de zero-trustprincipes van de minste toegang toepassen op IoT-apparaten en alleen zoveel netwerktoegang verlenen als nodig is om hun taken uit te voeren. Ontwikkel een sterk Zero Trust-beveiligingsbeleid
Als het gaat om zero-trust beveiliging, moet u een plan ontwikkelen en uitvoeren dat zorgt voor consistente protocollen en beleidsregels die in het hele netwerk worden toegepast. Ongeacht wie, waar of wat ze proberen te bereiken, de regels moeten consistent zijn. Dit betekent dat u zero-trust beveiligingstools moet vinden die niet alleen voor de cloud zijn, want als u een hybride netwerk hebt, moet u dezelfde zero-trust regels toepassen op uw fysieke campus als op uw externe medewerkers/middelen. Ter vergelijking: er zijn maar weinig organisaties die alleen voor de cloud werken; de meeste hebben gekozen voor een hybride aanpak, en toch ontwikkelen veel leveranciers van zero-trustoplossingen alleen voor de cloud.
Het afgelopen jaar zijn organisaties steeds meer gaan vertrouwen op hybride en multi-cloudomgevingen om hun voortdurende digitale transformatiebehoeften te ondersteunen. Volgens een recent rapport van Fortinet gaf 76% van de ondervraagde bedrijven aan ten minste twee cloudproviders te gebruiken.
Een belangrijk aspect om rekening mee te houden zijn de verschillen tussen elk cloudplatform. Elk heeft verschillende ingebouwde beveiligingstools en -functies met verschillende mogelijkheden, commandostructuren, syntaxis en logica. Het datacenter is nog steeds een andere omgeving. Bovendien kunnen bedrijven in en uit de clouds migreren. Elke cloud biedt unieke voordelen en het is belangrijk dat de organisatie de clouds kan gebruiken die aan haar zakelijke behoeften voldoen; cyberbeveiliging mag dit niet in de weg staan. Aangezien elke cloudprovider echter verschillende beveiligingsdiensten aanbiedt met verschillende tools en benaderingen, wordt elk van uw clouds een onafhankelijke silo in een gefragmenteerde netwerkbeveiligingsinfrastructuur - geen ideale constellatie.
Als u echter een gemeenschappelijke beveiligingsoverlay hebt voor al deze datacenters en clouds, biedt u een abstractielaag bovenop elke tool die u inzicht geeft in en controle over de clouds, en de mogelijkheid om een gemeenschappelijke beveiligingshouding vast te stellen, ongeacht waar een applicatie zich bevindt of waarheen deze zich verplaatst.
Toepassingen kunnen dus overal zijn - op de campus, in een bijkantoor, in het datacenter of in de cloud. Daarom is het zo belangrijk ervoor te zorgen dat uw zero-trust-aanpak dezelfde protocollen kan leveren, ongeacht waar medewerkers zich fysiek bevinden en hoe ze toegang krijgen tot bedrijfsmiddelen.
Implementeer een Zero Trust-architectuur voor een betere beveiliging
Nu de netwerkgrenzen steeds verder vervagen, mede dankzij edge computing-technologieën en de wereldwijde verschuiving van werk op afstand, moeten organisaties elk beveiligingsvoordeel benutten dat er is. Dit houdt ook in dat ze moeten weten hoe ze een zero-trust beveiligingsstrategie moeten implementeren. Omdat er zoveel bedreigingen zijn, zowel extern als intern, is het zaak om elke persoon en elk ding dat toegang probeert te krijgen tot het netwerk en zijn toepassingen als een bedreiging te behandelen. Beveiligingsmaatregelen zonder vertrouwen vereisen geen volledige revisie van het netwerk, maar zullen resulteren in een sterkere netwerkbeveiliging. Door de moeite te nemen Zero Trust Access en de uitloper daarvan, Zero Trust Network Access, te implementeren, ontlast u uw IT-beveiligingsteam van extra werk en verhoogt u uw beveiligingsquotiënt aanzienlijk.