Kwestia zaufania

W tym pierwszym rozdziale dwuczęściowego bloga Thorsten Kurpjuhn, menadżer Zyxel odpowiedzialny za rozwój rozwiązań zabezpieczających w Europie, wyjaśnia, dlaczego obecnie więcej osób pracuje z domu i zdalnie oraz dlaczego ważne jest, aby mieć pewność, że wiesz dokładnie kto się loguje do Twojej sieci z zewnątrz.


Czy wpuściłbyś nieznajomego do swojego domu? Oczywiście nie zrobiłbyś tego, chyba że byliby z agencji rządowej czy policji. Nawet wtedy chciałbyś zobaczyć identyfikator, zanim pozwolisz im przekroczyć próg.


Podobnie, nie pozwolisz nikomu dołączyć do swojej wewnętrznej sieci biznesowej. Chcesz się upewnić, że wiesz, kim są i że mają ważny powód, by uzyskać dostęp do aplikacji i danych oraz korzystać z zasobów.


W obu przypadkach jest to kwestia zaufania. Jeśli kogoś znasz lub ma on oficjalne stanowisko, z pewnością wpuścisz go do środka. Jeśli kogoś nie znasz i nie jesteś pewny kim jest - a zatem jakie mogą być jego intencje - nie ryzykujesz przepuszczenia go przez próg.


Wiedza wewnętrzna


Gdy wszyscy pracowali w biurze i łączyli się za pomocą przewodowego kabla Ethernet lub wewnętrznej sieci bezprzewodowej, łatwiej było monitorować i kontrolować, kto dołącza do sieci. Mogliśmy być pewni, że do sieci nie będzie się logować niechciany gość.


Każdy, kto ma złe zamiary, musiałby najpierw dostać się do budynku - lub przynajmniej znaleźć się w zasięgu sieci Wi-Fi. Musiałby wtedy albo skorzystać z czyjejś stacji roboczej, albo włamać się do wewnętrznej sieci bezprzewodowej, co w przypadku jeśli zabezpieczenia są odpowiednio skonfigurowane - nie powinno być łatwe. Nawet wtedy musiałby znajdować się wystarczająco blisko koncentratora lub punktu dostępu, aby połączyć się bez podejrzeń o podstęp.


Bez limitów


Jednak dzisiejsza sieć wykracza daleko poza fizyczne ograniczenia biura. Jest wysoce prawdopodobne, że w przyszłości co najmniej połowa osób w sieci będzie połączona zdalnie, z domu lub z odległej lokalizacji czy podczas przemieszczania się.


To znacznie utrudnia uwierzytelnianie. Nie ma fizycznych barier do pokonania, a użytkownik zdalny musi po prostu być online i wiedzieć, jak się zalogować. Jeśli chodzi o administratora sieci, może to być każdy.


Następnie pojawia się problem braku wiedzy, czy urządzenie używane do logowania jest odpowiednio bezpieczne i zabezpieczone. Jest to ważne, ponieważ nawet jeśli możesz ufać indywidualnemu użytkownikowi tego urządzenia i jesteś w stanie go uwierzytelnić, nie wiesz, czy samo urządzenie jest wystarczająco chronione. Na przykład, że ma zainstalowany program antywirusowy i aktywną zaporę ogniową.


Bez wątpliwości


Chodzi o ocenę stopnia, w jakim możesz zaufać komuś, kto próbuje uzyskać dostęp do Twojej sieci. To tak, jakbyś zaprosił kogoś do domu. Przede wszystkim musisz ich znać lub być w stanie potwierdzić, że są tym, za kogo się podają, bez żadnych poważnych wątpliwości. Dopiero wtedy otworzysz drzwi i wpuścisz ich do środka.


Podczas gdy możesz mieć stuprocentowe zaufanie do swojej rodziny i przyjaciół, sąsiadów i oficjalnych przedstawicieli instytucji publicznych lub organizacji usługowych, jeśli pewnego dnia przed Twoimi drzwiami pojawią się nieznajomi, poziom zaufania do nich wyniesie zero.


Zero trust


Ale jeśli ktoś jest na wyciągnięcie ręki, możesz go przynajmniej zobaczyć. Jeśli natomiast zdalny użytkownik próbuje uzyskać dostęp do Twojej sieci, nie jest to już oczywiste. Może to być każdy, a nawet jeśli jest autentyczny, mogą nieumyślnie zostawić otwarte tylne drzwi, które pozwolą tym, którzy mają złe zamiary, na infiltrację sieci.


Jest to dylemat, o którym mówimy, kiedy używamy terminu „zero trust”. Chodzi o to, że musisz zacząć od sytuacji, w której ktokolwiek próbuje zalogować się do Twojej sieci, jest zupełnie obcy. A zanim ich wpuścisz, musisz zrobić wszystko, co możliwe, aby upewnić się, że mają dobre intencje i prawdziwy powód, aby tam być.


Na następnym blogu wyjaśnię, w jaki sposób Zyxel radzi sobie z wyzwaniem zerowego zaufania dzięki najnowszej wersji naszego oprogramowania systemowego dla serii urządzeń zabezpieczających USG Flex.