Zero Trust biztonság: miért nem elég már a hagyományos vállalati tűzfal?

A hagyományos informatikai védelem sokáig arra az elképzelésre épült, hogy a vállalati hálózaton kívül találhatók a veszélyek, a belső rendszerben lévő felhasználókban és eszközökben pedig meg lehet bízni. Az otthoni munkavégzés, a felhőalapú szolgáltatások, a mobileszközök és a külső partnerek hozzáférése azonban fokozatosan eltüntette a hálózat egyértelmű határait.

Egy alkalmazott ma akár otthonról, saját internethálózaton keresztül is elérheti a vállalati levelezést, dokumentumokat és üzleti alkalmazásokat. Emiatt önmagában már nem jelent megfelelő védelmet az, hogy egy felhasználó sikeresen belépett a céges hálózatba.

Erre a problémára kínál megoldást a Zero Trust, vagyis a „soha ne bízz, mindig ellenőrizz” megközelítés.

Mit jelent a Zero Trust?

A Zero Trust nem egyetlen szoftver vagy biztonsági termék. Inkább olyan informatikai szemlélet, amely szerint minden felhasználót, eszközt és hozzáférési kérést külön ellenőrizni kell.

A rendszer nem feltételezi automatikusan, hogy valaki megbízható csak azért, mert ismeri a megfelelő jelszót, vagy a vállalati hálózaton belülről próbál hozzáférni egy alkalmazáshoz.

Az ellenőrzés több tényező alapján történhet:

  • a felhasználó személyazonossága;
  • a használt eszköz állapota;
  • a bejelentkezés helye;
  • a hozzáférés időpontja;
  • a felhasználói viselkedés;
  • az elérni kívánt adat érzékenysége;
  • a korábbi biztonsági események.

A legkisebb jogosultság elve

A Zero Trust egyik alapja, hogy minden felhasználó csak azokhoz az adatokhoz és alkalmazásokhoz férjen hozzá, amelyekre valóban szüksége van a munkájához.

Egy marketinges munkatársnak például nincs feltétlenül szüksége a teljes pénzügyi adatbázis elérésére, egy külső rendszergazdának pedig nem kell állandó hozzáférést biztosítani minden szerverhez.

A jogosultságok korlátozása azért fontos, mert egy ellopott vagy feltört felhasználói fiókkal a támadó is csak korlátozott területen tud mozogni. Így egyetlen sikeres bejelentkezés nem jelenti automatikusan a teljes vállalati rendszer elvesztését.

Többlépcsős azonosítás nélkül nincs valódi védelem

A jelszavak továbbra is fontosak, de önmagukban nem nyújtanak megfelelő biztonságot. Adathalász támadásokkal, kártékony programokkal vagy korábbi adatszivárgásokból a támadók megszerezhetik a belépési adatokat.

A többtényezős hitelesítésnél a jelszó mellett egy második azonosítási módra is szükség van. Ez lehet:

  • hitelesítő alkalmazás által létrehozott kód;
  • fizikai biztonsági kulcs;
  • biometrikus azonosítás;
  • telefonon jóváhagyott bejelentkezés;
  • egyszer használatos biztonsági kód.

A vállalati rendszernek azt is ellenőriznie kell, hogy a hozzáférést kérő számítógép frissített, titkosított és megfelelően védett-e.

A hálózat felosztása mérsékli a károkat

A Zero Trust architektúrában a vállalati hálózat kisebb, egymástól elkülönített részekre osztható. Ezt mikro-szegmentációnak nevezik. Ha egy támadó bejut az egyik területre, nem tud automatikusan átlépni a többi rendszerbe.

A védelem fontos elemei:

  • rendszeresen felülvizsgált jogosultságok;
  • naprakész eszköznyilvántartás;
  • folyamatos eseménynaplózás;
  • rendellenes viselkedés felismerése;
  • gyors hozzáférés-visszavonás;
  • titkosított adatkapcsolatok.

A Zero Trust bevezetése nem egyszeri informatikai projekt, hanem folyamatos fejlesztési folyamat. Már a többtényezős azonosítás bevezetése, a felesleges jogosultságok megszüntetése és az eszközök rendszeres ellenőrzése is jelentősen javíthatja egy vállalkozás biztonságát.

Forrás: ITmozaik – informatikai hírek, útmutatók és technológiai trendek

Back To Top
A&A.hu
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.