Identiteten är den nya perimetern – alltid verifiera, aldrig lita på
Enkelt uttryckt är kärnprincipen för Zero Trust att “aldrig lita på, alltid verifiera”. Detta säkerställer att rätt personer har rätt åtkomstnivå, rätt resurser, i rätt sammanhang, och att åtkomst utvärderas kontinuerligt – utan att för den skull försämra användarupplevelsen.
Zero Trust tar tid att implementera och målbilden får man jobba mot över en tid. Det finns några steg och mognadsgraden blir allt högre:
Zero Trust mognadskurva
Steg 0: fragmenterad identitet
För många organisationer börjar mognadskurvan med att det finns en blandning av lokala och molnbaserade applikationer. Dessa applikationer är inte integrerade tillsammans eller med lokala kataloger som Active Directory.
Detta innebär att identiteter hanteras på olika sätt i ett antal olika system. Dessutom hanteras ofta molnbaserade applikationer utan inblandning från IT eller deras vetskap.
Användarupplevelsen är inte den bästa utan många inloggningar baseras på många olika (troligen svaga) lösenord. Det finns ingen överskådlighet över vem som accessar vad och det finns potentiellt stora möjligheter för angripare för att utnyttja åtkomst till enskilda system
Steg 1: Enhetlig Identity and Access Management (IAM)
Det första steget för att lösa säkerhetsgapen, som det innebär att inte ha ett enhetligt sätt att hantera identiteter, är att konsolidera under ett IAM-system, omfattande såväl lokalt- som cloud. Denna steg 1-konsolidering, via single sign-on (SSO), är avgörande för att hantera åtkomst. Det borde därför inte begränsas till enbart interna användare utan i stället för alla användare som behöver tillgång till en tjänst, inklusive exempelvis entreprenörer och partners. Om du lägger en andra autentiseringsfaktor till den centraliserade åtkomstpunkten för identitet, hjälper det ytterligare till att mildra attacker som riktar sig mot identitetsinformation. Dessutom är enhetlig åtkomstpolicy mellan applikationer såväl som mot servrar, nyckeln till framgång.
Steg 2: Intelligent åtkomst
När IT har förenat IAM är nästa steg lager i kontextbaserad åtkomstpolicy. Detta innebär att samla in information om användaren (dvs. vem är de? Är de i en riskabel användargrupp?), applikationsinformation (dvs. vilken applikation användaren försöker komma åt), enhet som ansluter, plats och nätverk samt tillämpa policy för åtkomst baserat på den informationen. Till exempel kan en policy ställas inför att möjliggöra sömlös åtkomst till hanterade enheter från företagsnätverket, men enheter man inte hanterar och som loggar in från nya platser skulle bli ombedda att göra en Multifaktor Autentisering. Organisationer kan också välja att mixa flera faktorer i olika användargrupper för att öka autentiseringen baserat på en förståelse för dessa. Exempelvis kan användare med låg risk utan smartphones få använda engångskoder, medan andra användare som ska nå en applikation med företagskänsligt data, krävas att använda hårda tokens med hjälp av en särksild handskakning för att säkert autentisera till en tjänst.
Livscykelhantering av användare är viktig, exempelvis i de fall en roll förändras så ska automatiserade funktioner för åtkomst till de verktyg som han / hon behöver för att utföra sitt arbete ändras. Eller, i fallet med ett avslut på anställning när all åtkomst automatiskt ska återkallas. Detta minskar risken av lösa konton eller åtkomst efter en avslutad anställning.
Slutligen bör dessa rika åtkomstkontroller utvidgas till att omfatta all teknik som används av personalen, inklusive säker åtkomst till API:er som är byggstenarna för moderna applikationer men som kan exponera känslig data på webben.