Új szemlélet az IT-biztonságban - Zero Trust Model

Avagy a perimeter-alapú hálózati védekezés miért kevés?

Az utóbbi években bekövetkezett robbanásszerű IT-fejlődés komoly kihívás elé állítja az üzemeltetőket és cégvezetőket egyaránt. Elterjedtek a mobileszközök (laptopok, tabletek, okostelefonok), az olcsó internet gyakorlatilag közszolgáltatássá lépett elő, és ezek a folyamatok változást generáltak a felhasználók oldalán is.

Munkavállalói oldalon folyamatosan növekszik az igény, hogy a mobileszközöket céges hálózaton kívül is használhassák, vagy dolgozhassanak otthonról, esetleg munkavégzésre a saját eszközeiket is (BYOD) bevethessék. Alapvető elvárás lett, hogy a levelezést kezelhessék az okostelefonokon, utazás közben is tudjanak céges dokumentumokat megnyitni és így tovább. Az IT-mobilitás megteremtése kvázi kötelező feladat lett.

Ennek a nyomásnak a szervezetek igyekeznek is megfelelni, a felhős megoldások bevezetésével egyre könnyebbé válik a szolgáltatások elérése (például Exchange Online, Microsoft Teams), már akár az otthoni tableten is gond nélkül lehet követni a céges levelezést. Az eszközök védelmét is igyekeznek úgy-ahogy megoldani, általában antivírus megoldás bevezetésével (főleg laptopok esetén, mobiltelefonoknál nem jellemző).

Ettől függetlenül azonban a szervezeteknél még mindig kardinális kérdés maradt a klasszikus céges hálózat védelme. Ez érthető, hiszen a nagyon új, "felhőben született" cégeket leszámítva, mindenki rendelkezik földi infrastruktúrával, ott található az identitás-középpont (Active Directory), és a céges erőforrások nagy része is. A védelemre jellemzően nagy figyelmet fordítanak, robosztus tűzfalrendszer-megoldások, IDS/IPS, DDOS védelem, bonyolult VPN-es megoldások, ezekre hajlamosak milliókat is költeni. Sok esetben csak annyi a gondolatmenet, hogy "mi védettek vagyunk, minket nem lehet feltörni"

A gond ott kezdődik, hogy ezek a védelmi megoldások csak "kintről", az internet felől élnek. Mi történik, ha egy mobilkliens bekerül a céges hálózatba? Semmi, hiszen a határon belül van, nem vonatkozik rá védelmi policy. Sok terméknél a belső hálózat esetén leold minden védelem, az eszköz "szabaddá válik".

(Természetesen, vannak megoldások a belső hálózat védelmére, kliensek szűrésére. Régen a Microsoft Network Access Protection tudta ellátni ezt a feladatot, illetve a Cisco-nak is van ilyen terméke)

A céges adatok, adatvagyon védelme viszont ugyanúgy lényeges, nem számít, honnan érik el a kliensek, külső vagy belső hálózatból. Itt jön a képbe a Zero Trust megközelítés:

"Állandó ellenőrzés, bizalom nélkül!"

A Zero Trust három alapelve:

  1. az identitás (felhasználó hitelesítése) ellenőrzése
  2. az eszköz védelme (egészségi állapota legyen megfelelő)
  3. hozzáférés ellenőrzése (csak annyi jogosultsága legyen a felhasználónak, és csak azokhoz, ami éppen szükséges)

Hogyan biztosíthatók ezek?

  1. Identitás védelmének erősítése és megkövetelése: többfaktoros hitelesítés megkövetelésével, biometrikus azonosítási megoldásokkal, jelszavak felszámolásával
  2. Eszköz állapota: az eszközök MDM-megoldásba bevonásával, megfelelő egészség-állapot megkövetelésével (device health)
  3. Least privileged user rights: senkinek ne legyen több jogosultsága, mint szükséges


A fenti három tétel megvalósításával (vonatkozzon ez külső-belső hálózatra) nagy lépés lehet tenni a biztonság növelésére.

A Microsoft Zero Trust architektúráját a lenti ábra szemlélteti:

Microsoft Zero Trust Model architektúra


A megoldás lényege: a felhasználó az Azure AD-ban hitelesíti magát (MFA-val), az eszközének felügyeletét az Intune látja el. Az Itune előír egy bizonyos egészség-állapotot az eszköz számára (pl. kötelező lennie vírusirtó megoldásnak, vagy PIN kód és eszköztitkosítás megléte). Az Azure AD Conditional Access megköveteli, felhasználó esetén kockázati szint nem lehet magas (azaz nem kompromittálódott az accountja, nem voltak gyanús bejelentkezési kísérletei több országból stb.). Szintén megkövetelhető, hogy milyen alkalmazásokkal lehet elérni a céges erőforrásokat. A Conditional Access segítségével ez a végtelenségig variálható, a szervezet igényei szerint.

Az utolsó jobboldali kockán látjuk az Azure Application Proxy megnevezést. Ennek segítségével földi (on-premise) erőforrásokat tudunk biztonságosan publikálni, adott esetben a földi SharePoint elérését is a fenti feltételrendszerhez köthetjük. Még akkor is, ha a kliens és az SP szerver egy hálózatban vannak!

Összefoglalva: az Azure AD-Intune-Azure Application Proxy segítségével megvalósulhat a Zero Trust Model, amellyel valós időben szűrhető-engedhető-tiltható, hogy milyen erőforrást milyen felhasználó, milyen feltételekkel érhet el.

A Zero Tust Model felé elmozdulás nagyon ajánlott minden szervezet számára, megfelelő feltételek biztosításával kielégíti a biztonsági és felhasználói élmények iránti igényeket.


Istvánffy Zoltán

Microsoft Cloud Solution Architect, Microsoft Certified Trainer
Qualysoft Informatikai Zrt.

zoltan.istvanffy@qualysoft.com |My LinkedIn Profile

Előző

Mit lehet tenni, ha egy kolléga jelszócserét kér vagy elfelejtette azt?

2020. nov. 18. 15:22
#

Sok szervezetnél teszem fel az alábbi kérdést: “van password reset megoldásotok?” A válasz szinte minden esetben egy magabiztos “Igen! Ott az OWA felületünk, vagy akár az ADFS-en” Elsőre jónak hangzik, de nézzük meg közelebbről. Technikailag a jelszócsere és reset esetén is ugyanaz történik: megváltozik a jelszó. Az odavezető út azonban már árnyaltabb.

További információk
Következő

Üzleti értékteremtés egy modern ERP segítségével

2019. nov. 28. 11:45
#

Minden cég vagy szervezet, bármilyen iparág, akármilyen méretben végzi tevékenységét előbb-utóbb érzi a szükségét, hogy működésének adatait feljegyezze olyan formában, amihez képes hatékonyan hozzáférni, ellenőrizni és az ebből származó információk alapján döntéseket hozni, felügyelni a tevékenység folyamatát.

További információk