Jak ochránit uživatele před moderními, neviditelnými kybernetickými hrozbami? Zodpovědné firmy mají a naplňují bezpečnostní strategie, jenže ta je vždy tak silná jako její nejslabší článek. Bez ohledu na to, jak rozsáhlá je ochrana vaší sítě, pokud je v ní pouze jedno slepé místo, jste stále zranitelní. To platí i pro model nulové důvěry (zero trust), který je jádrem moderní kyberbezpečnosti. Existuje přitom způsob, jak to vyřešit.

Model nulové důvěry: Téměř perfektní bezpečnostní strategie

Bezpečnostní model zero trust se stal kritickým prvkem obrany sítě. Jeho vzestup způsobilo jak jinak zastarání tradičních koncepcí zabezpečených zón, perimetrů a segmentace sítě („vnitřní“ i „vnější“). Koneckonců nemůžete se spolehnout, že vás okolní zdi ochrání před útoky zevnitř od insiderů s legitimním přístupem, že zabrání víceúrovňovým útokům, jejichž cílem je shodit síť, nebo že zastaví postranní útok skrytý za ten hlavní.

Model nulové důvěry (Zero Trust) reaguje na ty to změny zavedením přístupu „nevěř nikomu“ uvnitř, ani vně vaší sítě. Kyberbezpečnostní strategie jsou tak přepracovány podle těchto čtyř principů:

• Vytvoření síťových mikrosegmentů a mikroperimetrů, které zakážou provoz „východ-západ“ a omezí nadměrná uživatelská práva a přístup, jak jen je to možné.
• Posílení detekce a reakce na incident s využitím rozsáhlé analytiky a automatizace.
• Hladká integrace řešení napříč multi-vendorskými sítěmi, aby perfektně fungovaly a umožňovaly dosažení shody s předpisy a sjednocené bezpečnosti. Řešení by se měla také snadno používat a odstraňovat další složitosti.
• Poskytnutí komplexní a centralizované viditelnosti do chování uživatelů, zařízení, dat, sítí a workflow.

V zásadě to zní dobře. Dokonce i název „zero trust“ působí uklidňujícím dojmem – má  absolutní pojmy, které naznačují naprostou ochranu. Ale je tu háček: Model nulové důvěry funguje, pouze pokud máte úplný přehled o lidech a jejich činnostech. Pokud je něco v síti neviditelné, neexistuje způsob, jak zajistit, aby to nepředstavovalo riziko. A to platí pro drtivou většinu síťového provozu, který je dnes šifrovaný.

Slepé místo nulové důvěry

Šifrování je dnes na internetu všudypřítomné. Google hlásí, že více než 90 procent provozu procházejícího jeho službami je šifrováno a čísla jsou podobná i u ostatních poskytovatelů. Z hlediska ochrany osobních údajů je tento trend více než vítaný – ale z hlediska bezpečnosti kuriozně rizikový, ať už implementujete zero trust nebo jiný model. Vzhledem k tomu, že pro starší řešení je šifrovaný provoz v podstatě neviditelný, může být technologický stack zabezpečení vaší sítě celkem k ničemu.

V reakci na to mnoho bezpečnostních výrobců začleňuje do svých řešení inspekci SSL/TLS. V praxi to znamená, že dešifrují provoz, zkontrolují jej a poté jej před předáním dál opět zašifrují. Tento přístup „distribuované kontroly TLS“, ve kterém se dešifrování a opětovné šifrování děje zvlášť na každém zařízení, však přináší další problémy. Úzká hrdla v síti a problémy s výkonem obvykle ohrožují kvalitu služeb z pohledu firemních uživatelů i zákazníků – to je v dnešním konkurenčním obchodním prostředí nepřijatelné. A co víc, potřeba používat soukromé klíče na více místech současně napříč různými vendory a jejich zařízeními v bezpečnostní infrastruktuře ještě zvyšuje riziko útoku a směru, odkud může přijít.

Aby model nulové důvěry naplnil očekávání organizací, potřebují najít způsob, jak eliminovat slepé místo, aniž by obětovaly kvalitu služeb.

Jak do podnikového zabezpečení přinést plnou viditelnost do šifrovaného provozu

Technologie A10 Networks ošetřují slepé místo v modelu zero trust ve formě dedikovaného zařízení pro centralizované dešifrování SSL/TLS provozu. Podniková bezpečnostní infrastruktura tím získá plnou viditelnost. Koncept je velmi jednoduchý – Thunder SSL umožní celé bezpečnostní infrastruktuře kontrolovat kompletní datový provoz v clear textu a ve vysoké rychlosti, čímž eliminuje dopady šifrování na výkon i nadměrnou složitost.

Čtyři klíčové principy Zero Trust jsou zajištěny následujícími funkcemi:

• Řízení přístupu uživatelů – SSL Insight může vynucovat zásady ověřování a autorizace pro omezení přístupu uživatelů, logovat podrobné informace o jejich přístupech a umožňovat použití různých zásad zabezpečení podle ID uživatele a skupiny. Další bezpečnostní služby včetně filtrování URL adres, aplikační viditelnosti a kontroly, threat intelligence a vyšetřování hrozeb pomáhají posílit účinnost zabezpečení celé podnikové sítě.
• Mikrosegmentace – granulární řízení provozu, řízení provozu založené na ID uživatele a skupiny a podpora multitenance usnadňují mikrosegmentaci.
• Rychlá detekce a reakce na incidenty – Aplikace Harmony Controller poskytuje celkovou, centralizovanou viditelnost a schopnost vzdáleně spravovat všechna nasazení SSL Insight z jednoho místa, což zajišťuje uplatnění jednotných zásad v celé organizaci.
• Flexibilní nasazení a integrace – SSL Insight se snadno integruje se stávajícími bezpečnostními zařízeními tím, že je umístí do bezpečné dešifrovací zóny.
• Snadné použití – SSL Insight lze nasadit během několika minut v jakémkoli síťovém prostředí, aniž by došlo k výpadkům nebo narušení chodu sítě. Centralizovaná správa umožňuje plnou viditelnost, jednotné prosazování bezpečnostních zásad, sjednocenou analýzu a viditelnost do SaaS provozu napříč všemi implementacemi SSL Insight.

Bez centralizované a specializované kontroly SSL/TLS není model zero trust schopný naplnit to, na co byl navržen – chránit naše sítě, uživatele a data před hrozbami uvnitř i vně sítě. Proto A10 Networks vyvíjí SSL Insight jako kompletní řešení, které nejen umožňuje kontrolu veškerého příchozího a odchozího provozu, ale poskytuje také další bezpečnostní služby, které mohou posílit strategii nulové důvěry.

Chcete-li se o odstranění slepého místa v modelu nulové důvěry dozvědět více, přečtěte si dokument Zero Trust is Incomplete Without TLS Decryption.

Autor: Babur Khan, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC
Zdroj: TLS Inspection and Zero Trust Security