Kui keegi koputab uksele, siis kas sa avad selle kohe ilma enne veendumata, kes üldse ukse taga koputas? Kui jah, siis sa ei kasuta kindlasti Zero Trust põhimõtet, mis on praegu üsna levinud ja aina olulisemaks saamas ettevõtete võrkude ligipääsu kaitsel. Eriti tähtis on selle põhimõtte rakendamine siis, kui paljud töötajad teevad tööd väljaspool kontorit, näiteks kodust.
Zero Trust ei tähenda siiski, et kõik, kellel vaja oma tööasjadele sisevõrgus ligi pääseda, on nagu võõrad tänavalt. Pigem tähendab see valvurit uksel, kes kontrollib kõiki sisenejaid, mitte ainult neid, kes kahtlaselt käituvad. Sest ka igati ontlik tegelane võib olla lihtsalt hästi näitlev pahalane, kes proovib läbipääsust läbi lipsata ning just selliste jaoks ongi kasulik lauskontroll.
Zero Trust on seega turvalahenduse selline mudel, mis muutus eriti oluliseks just siis, kui töötajad hakkasid sisevõrkudesse ühendama oma isiklikke seadmeid ja koduseadmeid ning tegid tööd erinevatest asukohtadest. Nüüd ühenduvad need töötajate endi isiklikud seadmed tihti ka üle VPN-i otse ettevõtte sisevõrku ehk siis saavad ligi firma äri selgroole. Kui “vanal heal ajal” usaldati kõiki arvuteid, mis kontori uksest sisse pääsesid ja mille keegi kuhugi LAN pessa takistusteta ühendada sai (sest võõraid ju kabinettidesse ei lubatud), siis nüüd enam sellisele kontori enda füüsilisele turvalisusele kindel olla ei saa. Kontori mõiste on palju laiem ja inimesed töötavad sisevõrgus nii reisil, kohvikus, kodus kui maamajas olles.
Zero Trust Microsofti lahendustega – mitu ust sisenemiseks
Microsofti turvalahendused kasutavad samuti Zero Trust põhimõtet nii kontodele sisselogimiseks kui ka ligipääsu tagamiseks ükskõik millistelt seadmetelt ja ükskõik millisest võrgust, kui kasutaja tõestab, et teda saab usaldada.
Microsoft nimetab kolm põhimõtet, millest nad Zero Trust lähenemises lähtuvad:
Võimalikult mitmetasemeline autentimine
Microsofti kasutajakontod tuleb alati võimalikult mitmefaktoriliselt autentida ja autoriseerida. Näiteks kasutaja identiteedi, asukoha, seadme, teenuse ja tingimusliku ligipääsu alusel.
Teisisõnu küsitakse näiteks kasutajalt, mida ta teab (parooli, kasutajanime) ja mida ta omab (näiteks logib sisse turvalisest seadmest või omab koodiäppi). Tal võib ka olla füüsiline võti, mille saab pista arvuti USB-pessa.
Turvalisuse tagab selge ülevaade, millised kasutajad milliste seadmete ja milliste asukohtadega on sisevõrgus ning neile mitmeastmelise tuvastamise määramine.
Privileege jaga minimaalselt.
Kuigi mõnedel administraatori õigustega kasutajatel on vaja rohkematele asjadele ligi pääseda, tähendab Zero Trust ligipääs, et ka neile antakse ainult minimaalselt vajalikud õigused oma töö tegemiseks. Microsoft soovitab oluliste kontode puhul kasutada piiratud ligipääsu ja tingimuslikku ligipääsu. Näiteks andes juurdepääsu kindlal ajal, kindlast võrgust või seadmest või muude riskipõhiste adaptiivsete poliitikate ja andmekaitse reeglitega. Alati just nii palju, kui hädapärast vaja, mitte rohkem. Piltlikult tähendab see, et administraator ei käi ringi kogu maja uksi avava suure võtmekimbuga, vaid võtab kaasa ainult need võtmed, kuhu ruumidesse tal hetkel vaja sisse pääseda. Turvaseadetes aitab sellele kaasa vastavate poliitikate ja reeglite õige seadistamine.
“Plahvatuse” perimeetri piiramine.
Ükskõik, mis ka ei juhtuks – toimub andmeleke, kuritahtlik andmete krüpteerimine, pahavararünnak, kogemata andmete kustutamine – Zero Trust lähtub sellest, et kasutaja peab saama võimalikult vähe kahju tekitada ehk kui midagi toimub kas kasutaja süül või sissetungijate tõttu, ei levi see kahju kaugemale. See tähendab ka andmete krüpteerimist, turvalise kanali (VPN) loomist üle avaliku võrgu ning piiratud ligipääsu vaid vajaminevatele andmetele ja pilveteenustele.
Vaata Microsofti turvalahenduste kohta lähemalt siit.
Fortineti Zero Trust Access kaitseb võrku seadmete ja kasutajate lauskontrolliga
Fortineti turvalahendustes lähtutakse samuti Zero Trust põhimõttest ja selle abiga saab kaitsta võrku nii, et sinna pääseksid vaid usaldusväärsed kasutajad usaldusväärsete seadmetega. Vaikimisi ei usaldata kedagi ega anta niisama ligipääsu ühelegi seadmele.
Fortinet soovitab võrkude ja rakenduste kaitsmiseks võrguadministraatoritele Zero Trusti rakendamist samamoodi nii juurdepääsu täiendaval kontrollimisel kui ka võimalikult minimaalselt juurdepääsuõigusi jagades.
Kõlab küll paranoiliselt, kuid usaldusvaba juurdepääsu rakendamine annab kokkuvõttes parema ja lihtsama turvalisuse. See hõlmab tugevamate autentimisvõimaluste, võimsamate võrgujuurdepääsu kontrollimise tööriistade ja rakenduste juurdepääsupoliitikate kasutamist.
Zero Trust lähenemist kasutavad Fortineti võrguligipääsu lahendused (Network Access Control), mille kohta saab lähemalt lugeda siit.