Hopp til hovedinnhold

Sikkerhetsarkitekturen Zero Trust Del 2 av 2

Logo letter
Evelon AS
Zero trust

Første del av innlegget trakk en kjapp parallell mellom tradisjonell nettverkssikkerhet og festningsverk i middelalderen. Forestillingen om at alt på innsiden er trygt og beskytter mot en utrygg ytterverden, var allerede feil den gangen. Fienden kunne oppholde seg innenfor borgmuren. Her gjelder det ytterligere å inndele borgen eller nettverket i soner for å begrense skadeomfanget ved et angrep. Dessuten er det ingen grunn til å anta at såkalt tiltrodde personer er de individene de utgir seg for. Det kan være trusselaktører som logger seg på med stjålen legitimasjon og figurerer som gyldige brukere.

Tillit ble behandlet som sårbarhet. Det ble satt opp en foreløpig definisjon av Zero Trust med utgangspunkt i de tre grunnleggende prinsippene: Bekreft eksplisitt (aldri stol på noe, alltid verifiser), Bruk minste privilegerte tilgang og Anta sikkerhetsbrudd. Zero Trust ble plassert i historisk lys og satt i sammenheng med Microsofts fortolkning. Den sentrale policymotoren er Betinget tilgang, som fungerer som beslutnings- og håndhevelsespunkt. I denne bloggen går vi videre på å vise hvordan Microsoft bygger opp Zero Trust til en omfattende og sammenhengende arkitektur.

Zero Trust i hele ditt digitale miljø

Zero Trust gir anledning til automatisk å administrere unntak og varsler, så du lettere oppdager trusler, svarer på dem og hindrer eller blokkerer uønskede hendelser på tvers av virksomheten. Zero Trust-tilnærmingen i Microsofts utforming kan organiseres rundt sju sentrale teknologiske søyler.

Zero trust digitalt miljø

Identiteter er enten personer, tjenester eller IoT-enheter og definerer Zero Trust-kontrollplanet. Når en identitet prøver å få tilgang til en ressurs, må du verifisere forespørselen med sterk autentisering og forsikre deg om at tilgangen er typisk for vedkommende. Følg prinsippet om minste privilegium. Du kobler sammen alle brukere og apper for å gi adgang til bedriftsressurser på en trygg måte med én enkelt identitet. Det gir forbedret kontroll og synlighet. Dine ansatte trenger bare ett sett med påloggingsopplysninger for alle skyapper og lokale applikasjoner. For å beskytte brukeridentiteter må du som minimum bruke MFA, helst passordløst med biometrisk godkjenning.

Endepunkter må være ved god helse og i samsvar for sikker tilgang. Når en identitet har fått adgang til en ressurs, kan data flyte til en rekke forskjellige endepunkter – fra administrerte maskiner til mobilenheter, fra lokale nyttelaster til servere i skyen. Mangfoldet skaper en massiv angrepsflate. Alle enheter skal være innrullert i Intune og forsynt med avansert endepunktsbeskyttelse. De må være herdet mot angrep. Enheter deltar i godkjennings- og autoriseringsprosessen. Pålogging fra ikke-forvaltede enheter avvises. Et unntak er om du knytter betinget tilgang til administrerte apper med appbeskyttelsespolicyer på mobilenheter med Android eller iOS/iPadOS.

Applikasjoner og APIer danner grensesnittet for å konsumere data. Bruk kontroller for å avdekke skygge-IT og godkjenn eller avvis skyapper ansatte har tatt i bruk uten IT-avdelingens vitende. Aksepterte applikasjoner bør integreres i Azure AD for å operere med færrest mulig identitetstjenester. Tilganger og tillatelser i applikasjonene må sikres basert på analyser i sanntid. Overvåk unormal atferd og brukerhandlinger. Valider om konfigurasjonene er sikre.

Nettverk sørger for tilgang til data. Nettverkskontroller er kritiske for å forbedre synlighet og forhindre at angripere beveger seg sidelengs. Segmenter nettverk (med dypere mikrosegmentering) og implementer trusselbeskyttelse i sanntid, ende-til-ende-kryptering, overvåking og analyser.

Infrastruktur – enten med lokale eller skybaserte servere, containere eller mikrotjenester – representerer en kritisk trusselvektor. Vurder versjon, konfigurasjon og akkurat-i-tide-tilgang for å styrke forsvaret. Bruk telemetri for å oppdage angrep og uregelmessigheter. Blokker automatisk og flagg risikoatferd. Iverksett beskyttende handlinger.

Data er til sjuende og sist dét vi ønsker å beskytte. Få en oversikt over alle data som er lagret i virksomheten. Der det er mulig, bør data forbli trygge selv om de forlater enhetene, appene, infrastrukturen og nettverkene organisasjonen kontrollerer. Klassifiser, merk og krypter data, og begrens tilgang basert på disse attributtene. Sett opp retningslinjer for hindring av datatap (DLP).

Synlighet, automatisering og orkestrering på tvers av miljøet øker din sikkerhet, gir bedre data for å ta tillitsbeslutninger. Siden hvert av de individuelle områdene genererer sine egne relevante varsler, trenger vi en integrert metode for å håndtere den resulterende tilstrømningen av logger for å bedre forsvaret mot trusler og validere tilliten til transaksjoner.

Nye regler for en ny virkelighet

Bedriftsnettverk

Jericho-forumets begrep om deperimeterisering og de første ansatsene til Zero Trust vokste frem av en gammel virkelighet. Nettverkskontrollene var ikke tilstrekkelig for å hindre avanserte angrep verken fra innsiden eller utsiden. I mellomtiden har bruken av skytjenester økt. Ansatte jobber på tvers av organisasjoner og utenfor huset. Stadig flere er sjelden eller aldri innom lokalnettet. Der ute utspiller det seg et intrikat flettverk av brukeridentiteter og enheter, samarbeidspartnere og kunder, tjenester og skyapper. Det eneste konstante er brukerne, som jobber når som helst, hvor som helst, på nær sagt hva som helst. Dette gjør identiteten til det nye kontrollnivået og er grunnlaget for Microsofts Zero Trust-modell, sammen med enhetene brukere logger på fra. Sikkerhetsmodellen ser på alle ressurstilganger som om de befinner seg på et åpent, fiendtligsinnet nettverk – også IT-ressurser sikret bak brannmurene i bedriftsnettverket.

Betegnelsen Zero Trust kan være noe misvisende. Det dreier seg ikke om «null» tillit, men om null iboende eller implisitt tillit. Det handler om omhyggelig å bygge opp et grunnlag for tillit, øke denne for til slutt å tillate et passende tilgangsnivå til rett tid. Det kunne saktens ha blitt kalt «opptjent tillit», «tilpasset tillit» eller «null implisitt tillit» -- noe som kunne vært mer i overensstemmelse med filosofien. Men det er mer smell i uttrykket Zero Trust.

NISTs referansearkitektur for Zero Trust

National Institute of Standards and Technology har til oppgave å fremme amerikansk innovasjon og industriell konkurranseevne. Aktivitetene er organisert i laboratorieprogrammer, så som vitenskap og teknologi i nanoskala, ingeniørfag og informasjonsteknologi. Referansearkitekturen har ikke inspirert Microsoft, men er utviklet parallelt – tanker i tiden, diskurser på tvers av løsningsalternativer. Det kan være et poeng å se nærmere på NISTs modell for å forstå Microsofts tilnærming bedre.

Control plane

Det trekkes opp et skille mellom kontroll- og dataplan. Et subjekt/system er ikke klarert og skal ha tilgang til en bedriftsressurs. Det må gjennom et policyhåndhevelsespunkt som styres av et sentralt policybeslutningspunkt. Policymotoren (PE) er ansvarlig for beslutningen om å gi tilgang til en ressurs. Policyadministrator (PA) har ansvar for å etablere eller stenge kommunikasjonen mellom subjekt og ressurs. Policyhåndhevelsespunktet (PEP) aktiverer, overvåker og avslutter forbindelsen mellom dem. PEP kommuniserer med PA for å videresende forespørsler og/eller motta oppdaterte policyer fra PA.

I tillegg til kjernekomponentene i Zero Trust-arkitekturen gir flere datakilder input og policyregler som brukes av policymotoren når den tar tilgangsbeslutninger:

  • System for kontinuerlig diagnostikk og utbedring (CDM – Continuous Diagnostics and Mitigation) samler inn informasjon om enheters helsetilstand (OS, godkjent/ikke-godkjent programvare, antivirus, oppdateringsstatus mm.)
  • System som sikrer at virksomheten forblir i samsvar med regulatoriske regimer den måtte falle inn under, som offentlige lover, reguleringer og bransjestandarder.
  • Feeder fra trusseletterretning fra interne eller eksterne kilder som hjelper policymotoren med å ta tilgangsbeslutninger, som informasjon om nylig oppdagede angrep eller sårbarheter.
  • Nettverks- og systemaktivitetslogger som i eller nær sanntid gir tilbakemeldinger om status for enheter og informasjonssystemer.
  • Datatilgangspolicyer for tilgang til bedriftsressurser som gir tilgangsrettigheter for kontoer og applikasjoner/tjenester i bedriften.
  • Infrastruktur for offentlige sertifikater (PKI), som skaper, utsteder og tilbakekaller sertifikater i foretaket.
  • System for å administrere identiteter for å opprette, lagre og forvalte brukerkontoer
  • System for sikkerhetsinformasjon og hendelseshåndtering (SIEM), som samler inn sikkerhetsbasert informasjon for senere analyse. Disse dataene brukes så til å avgrense policyer og advare om mulige angrep mot bedriftsressurser.

Zero Trust med Microsoft-teknologier

Alle disse komponentene inngår i Microsofts Zero Trust-arkitektur. Betinget tilgang er policymotoren og fungerer både som sentralt policybeslutnings- og policyhåndhevelsespunkt. NISTs arkitektur åpner riktig nok for flere håndhevelsespunkter, noe som for øyeblikket ikke er tilgjengelig i Microsofts modell. Microsoft Intune og Defender for Endpoint sørger for kontinuerlig diagnostikk og utbedring av endepunkter. Microsoft Purview leverer en omfattende plattform for samsvar. Trusseletterretning inngår i flere av Defender-produktene for å berike hendelsesinformasjonen. Selskapet har til og med et eget produkt, Defender Threat Intelligence, som gir tilgang til de samme signalene selskapet fanger opp. I Microsoft 365 foretas det utstrakt logging av nettverks- og systemaktivitetslogger.

Sikkerhet og samsvar

Azure AD håndterer datatilgangspolicyer for tilgang til bedriftsressurser som gir rettigheter for kontoer og applikasjoner/tjenester i bedriften. I Microsoft 365 genereres det en rekke sertifikater i bakgrunnen for forskjellige tjenester og holdes automatisk oppdatert. For en egen infrastruktur for offentlige sertifikater (PKI) kan du benytte Active Directory Certificate Services. Azure AD er systemet for å administrere identiteter for å opprette, lagre og forvalte brukerkontoer. Microsoft Sentinel er selskapets skyopprinnelige SIEM-løsning. I noe mer begrenset grad kan Microsoft 365 Defender gjøre tilsvarende nytte.

Azure AD har en rekke andre mekanismer som ytterligere bidrar til å gjøre Zero Trust-arkitekturen mer robust og motstandsdyktig mot angrep. Det omfatter passordbeskyttelse og selvbetjent tilbakestilling av passord, betinget tilgang med multifaktor-autentisering (MFA) og passordløs godkjenning. En robust identitetsbeskyttelse sørger å flagge og blokkere kompromitterte brukerkontoer og mistenkelige pålogginger. Privilegert identitetsadministrasjon gir akkurat-i-tide-tilgang til admin-kontoer.

Defender for Identity er en skybasert sikkerhetsløsning som utnytter lokale Windows AD-signaler for å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnete insider-handlinger rettet mot virksomheten din. Den avdekker fasene i en cyberdrapskjede. Microsoft 365 Defender er en enhetlig forsvarsløsning som håndterer hendelser før og etter sikkerhetsbrudd. Den koordinerer oppdagelse, forebygging, etterforskning og respons på tvers av endepunkter, identiteter, e-post og applikasjoner for å gi integrert beskyttelse mot sofistikerte angrep.

Microsoft Intune bidrar til å redusere angrepsflaten ved hjelp av konfigurasjonsprofiler og anbefalte grunnlinjer for sikkerhet. Krav til samsvar bestemmer om brukere kan logge på fra enhetene. Defender for Cloud sikrer, overvåker og beskytter hybridmiljøer og skyressurser. Microsoft Purview Information Protection er en omfattende løsning og rammeverk for databeskyttelse. Defender for Cloud Apps er en sikkerhetsmegler for trygg skytilgang som opererer på flere skyer. Den gir rik synlighet, kontroll over datareiser og sofistikerte analyser for å identifisere og bekjempe trusler på tvers av alle skytjenestene dine. Den bidrar til å avdekke skygge-IT.

Kom i gang med Zero Trust

Microsoft har en Zero Trust Rapid Modernization Plan (RaMP). Den gir en prioritert liste over tiltak som bør settes i verk for å modernisere sikkerheten med Zero Trust. Rangeringen er basert på hva som gir den høyeste positive uttelling. Øverst står Brukertilgang og produktivitet. Så følger Data, samsvar og informasjonsstyring. Sist kommer Moderne sikkerhetsoperasjoner.

Brukertilgang og produktivitet

  • Brukerkontoer. Konfigurer passordløs autentisering eller godkjenning med flere faktorer (MFA). Kontroller bruker- og påloggingsrisiko med trusseletterretning og atferdsanalyse.
  • Endepunkter. Krev at enheter er i samsvar med virksomhetens retningslinjer før det gis tilgang, først med tanke på konfigurasjon, så på XDR-signaler.
  • Applikasjoner. Aktiver forenklet engangspålogging (SSO) for alle skyapper og VPN-autentisering. Bruk Azure AD Application Proxy for lokale eller eldre apper som ikke støtter integrasjon i Azure AD.
  • Nettverk. Sett opp trafikkfiltrering og segmentering for å isolere forretningskritiske eller sårbare ressurser.

Data, samsvar og styring

  1. Beredskap for løsepengevirus. Sørg for at sikkerhetskopier er validerte, uforanderlige og sikre for å muliggjøre en rask gjenoppretting.
  2. Data. Oppdag og beskytt sensitive data med Microsoft Purview Information Protection, Defender for Cloud Apps og Conditional Access App Control.

Moderne sikkerhetsoperasjoner

  1. Strømlinjeform responser på vanlige angrep med XDR for Endpoint, Office 365 og Identity med Microsoft 365 Defender-produktene.
  2. Foren synlighet med moderne sikkerhetsinformasjon og hendelsesadministrasjon (SIEM med Microsoft Sentinel).
  3. Reduser manuell innsats – bruk automatisert etterforskning/utbedring (SOAR), håndhevelse av varsler og proaktiv trusseljakt.

Utvidet deteksjon og respons eller Extended Detection and Response (XDR) er en sikkerhetsteknologi som overvåker og reduserer cybersikkerhetstrusler ved å trekke inn flere sikkerhetsprodukter, så du kan forfølge en angrepskjede. SIEM står for Security Information and Event Management eller sikkerhetsinformasjon og hendelseshåndtering. Den sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en sentralisert oversikt over sikkerheten i din IT-infrastruktur. Ved å svare på spørsmålene under modenhetsmodeller kan du måle hvor du står i din Zero Trust-reise.

Modenhetsmodeller

Første etappe (komme i gang). Reduserer du passordrisikoen med sterke autentiseringsmetoder som MFA, og gir du SSO-tilgang til skyapper? Har du innsyn i enhetssamsvar, skymiljøer og pålogginger for å oppdage unormal aktivitet? Er nettverkene dine segmentert for å forhindre ubegrenset sidelengs bevegelse innenfor brannmurens omkrets?

Betydelig fremgang (avansert). Bruker du sanntids risikoanalyse for å vurdere brukeratferd og enhetshelse for å ta smartere avgjørelser? Kan du korrelere sikkerhetssignaler på tvers av flere sikkerhetsområder for å oppdage avanserte trusler og raskt iverksette tiltak? Finner og fikser du proaktivt sårbarheter i feilkonfigurasjoner og manglende oppdateringer for å redusere trusselvektorer?

Mest modne stadium (optimalt). Er du i stand til å håndheve retningslinjer dynamisk etter at tilgang er gitt for å beskytte mot sikkerhetsbrudd? Er miljøet ditt beskyttet ved hjelp av automatisert trusseldeteksjon og respons på tvers av sikkerhetsområder for å reagere raskere på avanserte trusler? Analyserer du produktivitets- og sikkerhetssignaler for å bidra til å optimalisere brukeropplevelsen ved selvhelbredende og handlingskraftige innsikter?

Avsluttende ord

Zero Trust er effektivt tilpasset kompleksiteten i våre moderne miljøer. Det omfavner mobilt arbeid og beskytter mennesker, enheter, applikasjoner og data – uansett hvor de oppholder seg. I stedet for å tro at alt på innsiden av bedriftens brannmur er trygt, antar Zero Trust-modellen sikkerhetsbrudd og verifiserer hver forespørsel som om den stammer fra et åpent fiendtligsinnet nettverk: «Aldri stol på noe, alltid verifiser.»

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!