Zero Trust sollte nicht die neue Normalität sein
[ad_1]
Die Personen rühmen gerne SP 800-207 von NIST an [Zero Trust Architecture] wie dies heiße neue Dingens, hingegen Tatsache ist, zero-Vertrauensnetzwerkmodelle gibt es seitdem hoch einem Jahrzehnt. Google hat mit seinem BeyondCorp-Vorbild Zero-Trust weit hoch die Proof-of-Concept-Winkel hinausgebracht, und wie dies Jahr 2010 herumrollte, hatte dies Unternehmen dies funktionalste Zero-Trust-Netzwerk welcher Welt.
Spulen Sie ein zwölf Jahre vor, und Zero Trust ist wieder einmal dies Wahnsinn welcher Cybersicherheitsbranche. Die Frage ist: Sollte es sein?
Zero Trust ist nicht die Wunderwaffe, die es viele gibt, und Zero Trust sollte nicht die neue Normalität sein.
Welches ist dies Problem mit Zero Trust?
Von kurzer Dauer gesagt: Zero Trust setzt vorn, dass keiner Netzwerkverbindung, weder intern noch extern, vertraut werden kann. Jeder Benutzer authentifiziert sich mit Multi-Kennzeichen, die Authentifizierung jedes Systems wird vielfach im Netzwerk überprüft und die Standard-Zugriffsrichtlinie für jedes was auch immer ist „verweigern“.
Die wichtigsten Methoden zum Gliederung und zur Aufrechterhaltung von Zero Trust sind Mikrosegmentierung, Overlay-Netzwerke, verbesserte Identitätsverwaltung und richtlinienbasierte Zugriffskontrollen.
Es sei denn von den Problemen und den Wert, die mit welcher Integration von Zero Trust in ein bestehendes Netzwerk verbunden sind, beginnt dies Zero-Trust-Vorbild zu erodieren, wenn die Ressourcen zweier Unternehmen gut zusammenspielen zu tun sein. Föderierte Aktivitäten, die von welcher Authentifizierung solange bis hin zum Cloud-Verbund in Ressourcenpools reichen, vertragen sich nicht gut mit Zero Trust.
Hier sehen wir viele Handbewegungen, wie man Utensilien zum Laufen bringt. Die Kompromisse, Abkürzungen und Todesopfer, die Organisationen am Finale können, um eine Föderation im Rahmen eines Zero-Trust-Modells zu zuteilen, sollten selbst dem hartgesottensten CIO zu denken spendieren.
Andererseits noch wichtiger ist, dass dies Problem mit Zero Trust darin besteht, dass Menschen nicht aufwärts Zero-Trust-Weise funktionieren, und dies wohlweislich. Es ist eine Verschwendung von Zeit und Ressourcen, die Identität einer Person immer wieder neu zu gegenzeichnen, wenn sie den Raum noch nicht einmal verlassen hat. Unser menschlicher Vertrauenszyklus beruht aufwärts Logik, Wahrscheinlichkeit und gelegentlicher Observation, um die Identitäten intrinsisch eines beobachtbaren Bereichs festzustellen und zu verfolgen. Interaktionen mit geringem oder keinem Vertrauen werden tendenziell wie geringwertig oder sogar feindselig beliebt.
Welche Genre von Vertrauensmodell kann darum die Föderation vollwertig integrieren und menschlichere und verlässlichere Vertrauenszyklen modellieren?
Welches ist mit Identity-First-Networking?
Um die Genre des „informierten Vertrauens“-Modells, dies Menschen Tag für Tag verwenden, sinnvoll nachzuahmen, zu tun sein wir dies gesamte roter Faden von Zero Trust aufwärts den Kopf stellen. Dazu zu tun sein Netzwerkinteraktionen risikobewertet werden.
Hier kommt dies Identity-First-Networking ins Spiel. Damit eine Netzwerkanfrage akzeptiert wird, gesucht sie sowohl eine Identität wie untergeordnet eine explizite Autorisierung; Um dies zu gelingen, wird System for Cross-Domain Identity Management (SCIM)-basierte Synchronisation verwendet. Im Zuge dessen wird welcher Wandlung einer Benutzeridentität zwischen Cloud-Anwendungen, verschiedenen Netzwerken und Dienstanbietern sicher automatisiert.
Betrachten Sie es wie eine Föderation, die aufwärts eine völlig neue Stand gebracht wurde. Oder vielleicht ein neues Schicht. Die Identität wird aufwärts welcher Netzwerktransportschicht hergestellt. Dasjenige bedeutet, dass die Zugriffsebenen einiger welcher traditionell am schwierigsten zu sichernden Ressourcen (Datenbanken, Container-Cluster usw.) zentral verwaltet werden können, während sie mit einem vertrauenswürdigen Identitätsanbieter integriert werden.
Identität ist untrennbar mit dem roter Faden des Vertrauens verbunden. Aufgebraucht Netzwerkaktivitäten werden unaufgefordert identitätsindiziert, welches bedeutet, dass Nutzungsmuster leichtgewichtig nachverfolgt werden können und sämtliche Versuche eines unbefugten Zugriffs sofort gemeldet werden. Wenn ein Benutzer oder Prozess versucht, aufwärts irgendetwas Ungewöhnliches zuzugreifen, werden sie wie ein wunder Daumen herausragen. DNS-Filter erledigen die meiste Arbeit.
Dasjenige Risiko welcher Identitätsfälschung wird stark reduziert, da welcher ID-Lieferant wie die einzig wahre Wissensquelle fungiert. Welcher Angreifer würde dies Root-Zertifikat des ID-Anbieters benötigen, um effektiv zu sein, ein höchst unwahrscheinlicher Ungemach.
Rechnerisch ist dieser Prozess weitaus günstiger wie Zero Trust. Im Kasus von Zero Trust summiert sich die Arbeit, die Authentifizierung mehrmals während einer bestimmten Transaktion zu testen und erneut zu testen. Im Kasus von Identity-First schafft es dies Päckchen ohne die richtige Identität und die damit verbundenen Berechtigungen nicht durch die Haustür (oder irgendwelche Türen mittendrin, soweit es um intern gefälschte Pakete geht).
Zum Besten von Identity-First-Networking ist eine Multi-Kennzeichen-Authentifizierung erforderlich, hingegen dies ist heutzutage kaum noch eine schlechte Sache. Die Einbindung von Identity-First macht VPNs verzichtbar, welches für jedes die VPN-Lieferant nur eine traurige Vergangenheit ist.
Zero Trust sollte nicht extensiv sein
Es gibt Orte, an denen Zero Trust durchaus opportun ist. Es gibt sicherlich Anwendungen in welcher Regierung, welcher Landesverteidigung und im Finanzsektor, unter denen Zero Trust glänzt.
Andererseits wenn Sie Ihr Netzwerk nicht von Grund aufwärts neu erstellen, erfordert Zero Trust wenige teure Umrüstungen, um es vollwertig zu implementieren. Dies macht es für jedes viele KMU sowie für jedes jede Organisation untauglich, die möglichst ein Vorbild aufwärts welcher Grundlage einer starken Föderation übernehmen würde.
Theoretisch werden die Wert von Zero Trust durch die geringeren Wert pro Sicherheitsverletzung pari. Andererseits wenn eine Methode wie Identity-First-Networking die Arbeit erledigen kann, gibt es eine neue Wert-Sinn-Resümee, die aufwärts einer pro-Organisation-Fundament durchgeführt werden muss.