Rekomendacje dla modelu „zero zaufania”
Narodowe Standardy Cyberbezpieczeństwa
Typowa infrastruktura informatyczna w różnego rodzaju organizacjach staje się coraz bardziej złożona. Pojedynczy podmiot może obsługiwać kilka sieci wewnętrznych, zdalne biura z własną infrastrukturą lokalną, zdalnych i/lub mobilnych użytkowników oraz usługi w chmurze. Złożoność tych rozwiązań wymaga odpowiedniego modelu ochrony, gdyż dotychczasowe metody bezpieczeństwa sieci, oparte na ochronie granic systemów, są już niewystarczające. Cyberprzestępca łamiąc jedną granicę bez problemu dostanie się do innych systemów wykorzystywanych w organizacji. Zapewnianie bezpieczeństwa różnym rozwiązaniom jednocześnie może zapewnić zastosowanie modelu „zero zaufania”.
„Zero zaufania” (ang. Zero Trust) - to model, który koncentruje się przede wszystkim na ochronie danych i usług, ale może też zostać rozszerzony na wszystkie aktywa organizacji, jak: urządzenia, elementy infrastruktury, aplikacje, elementy wirtualne oraz chmurę, jak również użytkowników końcowych i podmioty zewnętrzne. Model „zero zaufania" zakłada obecność napastnika w środowisku organizacji, jak również to, że środowisko będące własnością organizacji nie różni się od innych, zewnętrznych środowisk. W tak przyjętym założeniu nie zakłada się żadnego, nawet najmniejszego zaufania oraz stale analizuje się i ocenia ryzyka dla swoich aktywów i funkcji biznesowych. Kolejnym krokiem jest wprowadzanie adekwatnych zabezpieczeń w celu ograniczania identyfikowanych zagrożeń. W warunkach braku zaufania ochrona polega przede wszystkim na ograniczeniu do minimum dostępu do zasobów (jak: dane i zasoby obliczeniowe oraz aplikacje lub usługi) tylko do tych użytkowników i aktywów, które zostały zidentyfikowane jako wymagające dostępu oraz na ciągłym uwierzytelnianiu i autoryzacji tożsamości oraz stanu bezpieczeństwa każdego użytkownika wnioskującego o dostęp.
Rekomendacje w zakresie architektury bezpieczeństwa systemów informatycznych w modelu „zero zaufania” stanowią jeden ze standardów Narodowych Standardów Cyberbezpieczeństwa, dostępna jest do pobrania pod linkiem NSC-800-207_wer.1.0.pdf 1.54MB. Zachęcamy również do zapoznania się z pozostałymi rekomendacjami składającymi się na Narodowe Standardy Cyberbezpieczeństwa.