Zero trust má bez inšpekcie TLS slepé miesta

Written by

Posted on

Ako ochrániť užívateľov pred modernými, neviditeľnými kybernetickými hrozbami? Zodpovedné firmy majú a napĺňajú bezpečnostné stratégie, lenže tie sú vždy tak silné ako ich najslabší článok. Bez ohľadu na to, ako rozsiahla je ochrana vašej siete, ak je v nej iba jedno slepé miesto, ste stále zraniteľní. To platí aj pre model nulovej dôvery (zero trust), ktorý je jadrom modernej kyberbezpečnosti. Existuje pritom spôsob, ako to vyriešiť.

Model nulovej dôvery: Takmer perfektnej bezpečnostnej stratégie

Bezpečnostný model zero trust sa stal kritickým prvkom obrany siete. Jeho vzostup spôsobilo ako inak zastaranie tradičných koncepcií zabezpečených zón, perimetrov a segmentácie siete ( „vnútorné“ i „vonkajšie“). Koniec koncov nemôžete sa spoľahnúť, že vás okolité steny ochránia pred útokmi zvnútra od insiderov s legitímnym prístupom, že zabránia viacúrovňovým útokom, ktorých cieľom je zhodiť sieť, alebo že zastavia postranné útoky skryté za ten hlavný.

Model nulovej dôvery (zero trust) reaguje na tie to zmeny zavedením prístupu „never nikomu“ vnútri, ani mimo vašej siete. Kyberbezpečnostné stratégie sú tak upravené podľa týchto štyroch princípov:

  • Vytvorenie sieťových mikrosegmentov a mikroperimetrov, ktoré zakážu prevádzku „východ-západ“ a obmedzia nadmerné užívateľské práva a prístup, ako len je to možné.
  • Posilnenie detekcie a reakcie na incident s využitím rozsiahlej analytiky a automatizácie.
  • Hladká integrácia riešení naprieč multi-vendorskými sieťami, aby perfektne fungovali a umožňovali dosiahnutie zhody s predpismi a zjednotenej bezpečnosti. Riešenie by sa malo tiež ľahko používať a odstraňovať ďalšie zložitosti.
  • Poskytnutie komplexnej a centralizovanej viditeľnosti do správania užívateľov, zariadení, dát, sietí a workflow.

V zásade to znie dobre. Dokonca aj názov „zero trust“ pôsobí upokojujúcim dojmom – má absolútne pojmy, ktoré naznačujú úplnú ochranu. Ale je tu háčik: Model nulovej dôvery funguje, len ak máte úplný prehľad o ľuďoch a ich činnostiach. Ak je niečo v sieti neviditeľné, neexistuje spôsob, ako zabezpečiť, aby to nepredstavovalo riziko. A to platí pre drvivú väčšinu sieťovej prevádzky, ktorá je dnes šifrovaná.

Slepé miesto nulovej dôvery

Šifrovanie je dnes na internete všadeprítomné. Google hlási, že viac ako 90 percent prevádzky prechádzajúcej jeho službami je šifrovaných a čísla sú podobné aj u ostatných poskytovateľov. Z hľadiska ochrany osobných údajov je tento trend viac než vítaný – ale z hľadiska bezpečnosti kuriózne rizikový, či už implementujete zero trust alebo iný model. Vzhľadom k tomu, že pre staršie riešenie je šifrovaná prevádzka v podstate neviditeľná, môže byť technologický stack zabezpečenie vašej siete celkom k ničomu.

V reakcii na to mnoho bezpečnostných výrobcov začleňuje do svojich riešení inšpekciu SSL/TLS. V praxi to znamená, že dešifrujú prevádzku, skontrolujú ju a potom ju pred odovzdaním ďalej opäť zašifrujú. Tento prístup „distribuovanej kontroly TLS“, v ktorej sa dešifrovanie a opätovné šifrovanie deje zvlášť na každom zariadení, však prináša ďalšie problémy. Úzke hrdlá v sieti a problémy s výkonom zvyčajne ohrozujú kvalitu služieb z pohľadu firemných užívateľov i zákazníkov – to je v dnešnom konkurenčnom obchodnom prostredí neprijateľné. A čo viac, potreba používať súkromné kľúče na viacerých miestach súčasne naprieč rôznymi výrobcami na a ich zariadení v bezpečnostnej infraštruktúre ešte zvyšuje riziko útoku a smeru, odkiaľ môže prísť.

Aby model nulovej dôvery naplnil očakávania organizácií, potrebujú nájsť spôsob, ako eliminovať slepé miesto, bez toho aby obetovali kvalitu služieb.

Ako do podnikového zabezpečenia priniesť plnú viditeľnosť do šifrovanej prevádzky

Inšpekcia TLS v modelu zero trust Zdroj: A10 Networks

Technológie A10 Networks ošetrujú slepé miesto v modeli zero trust vo forme dedikovaného zariadení pre centralizované dešifrovanie SSL/TLS prevádzky. Podniková bezpečnostná infraštruktúra tým získa plnú viditeľnosť. Koncept je veľmi jednoduchý – Thunder SSL umožní celé bezpečnostnej infraštruktúre kontrolovať kompletnú dátovou prevádzku v clear texte a vo vysokej rýchlosti, čím eliminuje dopady šifrovania na výkon i nadmernú zložitosť.

Štyri kľúčové princípy zero trust sú zaistené nasledujúcimi funkciami:

  • Riadenie prístupu užívateľov – SSL Insight môže vynucovať zásady overovania a autorizácie pre obmedzenie prístupu používateľov, logovať podrobné informácie o ich prístupoch a umožňovať použitie rôznych zásad zabezpečenia podľa ID používateľa a skupiny. Ďalšie bezpečnostné služby vrátane filtrovania URL adries, aplikačné viditeľnosti a kontroly, threat intelligence a vyšetrovania hrozieb pomáhajú posilniť účinnosť zabezpečenia celej podnikovej siete.
  • Mikrosegmentácia ­– granulárne riadenie prevádzky, riadenie premávky založené na ID užívateľa a skupiny a podpora multitenance uľahčujú mikrosegmentáciu.
  • Rýchla detekcia a reakcia na incidenty – Aplikácia Harmony Controller poskytuje  celkovú, centralizovanú viditeľnosť a schopnosť vzdialene spravovať všetky nasadenia SSL Insight z jedného miesta, čo zaisťuje uplatnenie jednotných zásad v celej organizácii.
  • Flexibilné nasadenie a integrácia – SSL Insight sa ľahko integruje s existujúcimi bezpečnostnými zariadeniami tým, že je umiestni do bezpečnej dešifrovacej zóny.
  • Jednoduché použitie – SSL Insight možno nasadiť v priebehu niekoľkých minút v akomkoľvek sieťovom prostredí, bez toho aby došlo k výpadkom alebo narušeniu chodu siete. Centralizovaná správa umožňuje plnú viditeľnosť, jednotné presadzovanie bezpečnostných zásad, zjednotenú analýzu a viditeľnosť do SaaS prevádzky naprieč všetkými implementáciami SSL Insight.

Bez centralizovanej a špecializovanej kontroly SSL/TLS nie je model zero trust schopný naplniť to, na čo bol navrhnutý – chrániť naše siete, užívateľov a dáta pred hrozbami vnútri aj mimo siete. Preto A10 Networks vyvíja SSL Insight ako kompletné riešenie, ktoré nielen umožňuje kontrolu všetkej prichádzajúcej a odchádzajúcej prevádzky, ale poskytuje tiež ďalšie bezpečnostné služby, ktoré môžu posilniť stratégiu nulovej dôvery.

Ak sa chcete o odstránení slepého miesta v modeli nulovej dôvery dozvedieť viac, prečítajte si dokument Zero Trust is Incomplete Without TLS Decryption.

Autor: Babur Khan, A10 Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: TLS Inspection and Zero Trust Security