Styrk jeres forsvar med Zero Trust – bryd koblingen mellem fysisk netværk og sikkerhed
I dag er langt de fleste danske virksomhedsnetværk primært beskyttet af en firewall, mens sikkerheden inden i netværket er lav. Problemet med denne traditionelle forsvarsstrategi er, at selv den bedste firewall kan have sårbarheder.
Eller sagt på en anden måde: Vi kan ikke vinde kampen mod cyberkriminalitet ved at bygge højere mure rundt om vores netværk. I stedet bør vi tilrette vores forsvar efter, at cyberkriminelle før eller siden vil trænge gennem det ydre forsvar.
Det er dog lettere sagt end gjort. Nord/syd-trafikken ind og ud af netværket er forholdsvis enkel at kontrollere, for her kender vi trafikkens retning, og ved hvor vi skal indsætte sikkerhedskontrol.
Anderledes ser det ud med øst/vest-trafikken inde i netværket, fordi den er både langt større og langt mere kompleks. Her kan det være særdeles vanskeligt og tidskrævende at indføre sikkerhedskontrol – med nedetid til følge.
Dette problem kan løses ved at segmentere netværket, så cyberkriminelle kun får adgang til en meget begrænset del af det, selvom de trænger gennem det ydre forsvar. Metoden vinder terræn i takt med Gartners og Forresters anbefaling af at indføre Zero Trust, men hvordan implementerer man mikrosegmentering?
Det nytter kun at segmentere sit netværk, hvis man kan gøre det, uden at administrationsbyrden eksploderer, og reaktionstiden på angreb stiger. De cyberkriminelle opererer hurtigt og agilt. Det skal forsvaret afspejle. Så længe det hæmmes af at være stramt bundet til selve infrastrukturen, et utal af IP-adresser og tunge change management-processer, har de kriminelle en åbenlys taktisk fordel.
Nye teknologier som Software Defined Microsegmentation kan implementeres helt uafhængigt af den underliggende infrastruktur. Her klassificeres alle servere/workloads med en eller flere labelnøgler baseret på miljø, applikation eller rolle. Det har den meget store fordel, at man administrativt afkobler sig fra netværks fysiske kompleksitet. Øst/vest-trafikken sikkerhedskontrolleres i stedet ud fra de kommunikerende enheders forretningsmæssige roller frem for deres fysiske placeringer i infrastrukturen.
Gartner og Forrester definerer begrebet Zero Trust som en kombination af access og segmentering. Dvs. sikker, kontinuerlig brugeridentificering kombineret med styring af hvilke netværkssegmenter hver enkelt bruger har adgang til.
Det begrænser ikke alene de cyberkriminelles muligheder, men gør det også langt nemmere at tilpasse eller opstille nye sikkerhedspolitikker i tilfælde af angreb. Fx ved at sætte trusler i spontan karantæne, eller ved at isolere forretningskritiske applikationer når trusselsniveauet er højt.
Det centrale omdrejningspunkt i Software Defined Segmentation er de omtalte labelnøgler, som udtrykker den forretningsmæssige kontekst for hver server eller workload. Fx:
Miljø (produktion eller test)
Applikation (applikationens navn)
Rolle (webserver eller database)
Når alle netværkets servere eller workloads er tildelt labelnøgler, bliver sikkerheden meget lettere at administrere ved hjælp af labelgrupper. En sikkerhedspolitik kan fx være:
”ERP-systemets webservere i produktionsnetværket må kun tilgås af medarbejdere i økonomiafdelingen.”
En anden væsentlig fordel ved Software Defined Segmentation er, at de fleste ændringer af sikkerhedspolitikker kan klares ved blot at sikre, de rette labelnøgler er knyttet til de rette servere.
Derefter kan infrastrukturen ændres eller migreres, uden at det påvirker segmenteringen eller medfører nedetid. Det skaber med andre ord kolossale fordele, hvis en server fx skal oprettes/nedlægges, skifte IP-adresse, migreres til cloud, eller hvis større dele af netværket skal omlægges.
På grund af de helt åbenlyse fordele i både sikkerhed og administration, er det vores anbefaling at indføre Zero Trust. Dette gøres bedst med Software Defined Microsegmentation, fordi teknologien bryder den kobling mellem fysisk netværk og sikkerhed, som hidtil har forhindret mange virksomheder i at indføre bedre kontrol af deres interne datatrafik.