← Atpakaļ uz Izglītošanos
EDUCATION · ZERO TRUST · ARCHITECTURE

🛡️ Zero Trust ceļvedis - nulles uzticības arhitektūra

Sešas sadaļas par Zero Trust starptautiskajā praksē: pamatprincipi (NIST SP 800-207), arhitektūras komponentes (PEP, PDP), CISA pieci pīlāri, brieduma līmeņi, pakāpenisks pārejas modelis un saistība ar NIS2 21. panta prasībām. Piemēri ir izdomāti, paredzēti mācībām.

Septiņi pamatprincipi

NIST SP 800-207 §2.1 - neuzticies, vienmēr pārbaudi

Zero Trust paradigma No perimetra modeļa uz Zero Trust: izzūd iekšēja/ārēja tīkla nodalīšana, katrs piekļuves pieprasījums tiek autentificēts un autorizēts dinamiski. Paradigmas maiņa: perimetrs → Zero Trust VECAIS MODELIS perimetra (castle & moat) Iekšējais tīkls = uzticams VPN/firewall → "viss iekšā ir drošs" EVOLŪCIJA ZERO TRUST never trust, always verify POLICY katrs pieprasījums verificēts dinamiski
01
Visi resursi

Visi datu avoti un aprēķinu pakalpojumi tiek uzskatīti par resursiem - serveri, datu bāzes, API, SaaS, BYOD ierīces, IoT.

02
Aizsargāta komunikācija

Visa komunikācija ir nodrošināta (TLS, mTLS) neatkarīgi no tīkla atrašanās - LAN nav uzticamāks par internetu.

03
Sesijas-bāzēta piekļuve

Piekļuvi katram resursam piešķir uz atsevišķu sesiju - autentifikācija/autorizācija pirms sesijas atvēršanas, ne pastāvīga.

04
Dinamiska politika

Lēmums ņem vērā identitāti, ierīces stāvokli, lokāciju, laika logu, anomāliju signālus - ne tikai lietotājvārdu/paroli.

05
Nepārtraukta uzraudzība

Organizācija nepārtraukti mēra savu un saistīto resursu integritāti un drošības stāvokli (CDM, EDR, posture).

06
Stingra izpilde

Autentifikācija un autorizācija ir dinamiska un strikti piespiedu kārtā pirms piekļuves piešķiršanas - katru reizi no jauna.

07
Telemetrijas vākšana

Organizācija vāc datus par aktīvu stāvokli, tīkla infrastruktūru un komunikāciju, lai uzlabotu drošības stāvokli.

Pielietojums

Septiņi principi ir Zero Trust definīcija - katra arhitektūra, kas tos neievēro, nav 'īsta' Zero Trust, bet tikai mārketinga termins.

Atsauce

NIST SP 800-207 §2.1 (2020) - "Tenets of Zero Trust" · Identitāte kā jaunais perimetrs.

Drošības piezīme

Zero Trust nav produkts, ko nopirkt. Tā ir stratēģija - prasa identitātes, ierīču, tīkla un datu kontroles saskaņotu darbību gadu garumā.

Loģiskās komponentes

PEP / PDP - kā politika kļūst par lēmumu

Zero Trust arhitektūra PDP centrā ar PE un PA, kontekstuālo datu avoti sānos (CDM, ID Mgmt, PKI, Threat Intel, Data Policy, SIEM). Datu plakne (Subjekts → PEP → Resurss) zem PDP. Kontroles plakne starp PEP un PDP. Zero Trust arhitektūras komponentes NIST SP 800-207 §3 - kontroles plakne (augšā) un datu plakne (apakšā) CDM aktīvu stāvoklis posture, patches ID Management IdP, MFA, SSO RBAC, ABAC PKI sertifikāti mTLS, identitāte PDP - Policy Decision Point kontroles plakne PE - Policy Engine pieņem lēmumu (allow / deny) trust algorithm PA - Policy Administrator izveido / nojauc sesiju tokens, akreditācijas Threat Intel draudu signāli IoC, KEV katalogs Data Policy klasifikācija DLP, marķējumi SIEM / Logs audita ieraksti aktivitāšu analīze Subjekts lietotājs · ierīce pakalpojuma konts PEP Policy Enforcement Point proxy · gateway · sidecar Resurss aplikācija · API datu bāze · fails request allow / token query decision Signāli (pelēkie sānos) plūst uz PDP · datu plūsma horizontāli caur PEP · PDP nekad nav datu ceļā

Pielietojums

PEP ir vārti, kas apstājas pie katra pieprasījuma; PDP ir lēmuma centrs, kas atbild 'jā/nē/pamatkrāsu' atbilstoši politikai un kontekstam.

Atsauce

NIST SP 800-207 §3 - "Logical Components of ZTA" · CDM = Continuous Diagnostics & Mitigation.

Drošības piezīme

PDP ir vienots kļūmes punkts (single point of failure). Tam jābūt augsti pieejamam, ar dublētiem mezgliem un offline 'break-glass' procedūru.

CISA Zero Trust Maturity Model v2

Pieci pīlāri ar šķērsgriezuma pamatiem

CISA Zero Trust pieci pīlāri Pieci pīlāri (Identitāte, Ierīces, Tīkli, Aplikācijas, Dati) ar trim šķērsgriezuma pamatiem (Redzamība, Automatizācija, Pārvaldība). CISA ZTMM v2 - pīlāri un šķērsgriezuma pamati 1. Identitāte Identity MFA, FIDO2, SSO IdP, JIT access privileged ID risk-based auth PE signāls #1 2. Ierīces Devices EDR, MDM posture: patch, OS device certificates BYOD politika PE signāls #2 3. Tīkli Networks mikrosegmentācija ZTNA, SDP šifrēta plūsma SASE/CASB PE signāls #3 4. Aplikācijas Applications & Workloads CI/CD drošība workload identity RASP, WAF SBOM, secure dev PE signāls #4 5. Dati Data klasifikācija, marķējumi DLP, šifrēšana rights management data lineage PE signāls #5 Šķērsgriezuma pamats #1: Redzamība un analītika · Visibility & Analytics Šķērsgriezuma pamats #2: Automatizācija un orķestrācija · Automation & Orchestration Šķērsgriezuma pamats #3: Pārvaldība · Governance

Pielietojums

Pieci pīlāri ir tehnoloģijas pamats. Visi pieci raida signālu uz PDP, lai lēmums balstītos uz pilnu kontekstu, nevis tikai vienu (piem., paroli).

Atsauce

CISA Zero Trust Maturity Model v2 (2023) · DoD Zero Trust Reference Architecture (2022) - līdzīga pieeja ar septiņiem pīlāriem.

Lakmusa tests

Ja kāds no pīlāriem nedod signālu PDP - tas vēl nav Zero Trust, bet 'identitātes ZT' vai 'tīkla ZT' fragments.

Četri brieduma līmeņi

Traditional → Initial → Advanced → Optimal

Zero Trust brieduma līmeņi Četri brieduma posmi - no tradicionāla perimetra modeļa līdz pilnībā automatizētai dinamiskai ZT arhitektūrai. CISA ZTMM v2 brieduma līmeņi Pārejas vērtējums katram pīlāram atsevišķi - var atrasties dažādos līmeņos vienlaicīgi Traditional Tradicionāls Perimetrs + statisks · VPN + paroles · Manuāla piekļuves pārvaldība · Atsevišķi rīki · Maz redzamības · Reaktīvs incidentu menedžments starta punkts Initial Sākotnējais MFA + segmentācija · MFA visiem · Tīkla segmentācija · Centrāls IdP/SSO · EDR uz endpoints · Manuālā politika · Logu centralizēšana ~12-18 mēneši Advanced Paplašināts Dinamiska politika · Risk-based MFA · Mikrosegmentācija · Device posture · DLP + klasifikācija · SIEM + SOAR · JIT/JEA piekļuve ~2-3 gadi Optimal Optimāls Pilna automatizācija · Passwordless · Continuous auth · Dinamiski lēmumi · ML/AI signāli · Automatizēta atbilde · Šifrēti dati visur strateģisks mērķis Vērtējumu veic katram pīlāram atsevišķi - identitāte var būt Advanced, kamēr dati joprojām Initial

Pielietojums

Brieduma matrica palīdz objektīvi novērtēt, kur organizācija atrodas, un noteikt prioritātes nākamajiem 12-24 mēnešiem. Vērtējumu veic katram pīlāram atsevišķi.

Atsauce

CISA ZTMM v2 (2023) · M-22-09 (OMB ZT memorandum) · DoD Zero Trust Strategy (2022).

Drošības piezīme

Lēkt no Traditional uz Optimal nedrīkst - katrs solis prasa procesu pārkārtojumus, komandas apmācību un budžetu. Reālistiska ceļa karte ir 3-5 gadi.

Pakāpeniska ieviešana

No perimetra uz Zero Trust - reālistiska ceļa karte

Zero Trust pārejas modelis Septiņu posmu pakāpeniska pāreja no perimetra modeļa uz pilnu Zero Trust arhitektūru. Pakāpenisks pārejas modelis - NIST SP 800-207 §7 1. Inventarizācija aktīvu, subjektu, plūsmu un biznesa procesu CMDB, SBOM, datu kart. 2-4 mēneši 2. Identitāte + MFA centrāls IdP, FIDO2 visiem (arī servisiem) passwordless ceļš 3-6 mēneši 3. Ierīču posture EDR, MDM, atjauninājumi device certificates posture → PE signāls 6-12 mēneši 4. Mikrosegmentācija aplikāciju izolēšana ZTNA aizvieto VPN least privilege tīklā 12-18 mēneši 5. Datu klasifikācija marķējumi, DLP šifrēšana miera stāvoklī data-aware politika 12-18 mēneši 6. Politikas dzinējs PDP centralizēts dinamiskas lēmumu kļ. trust algorithm 18-24 mēneši 7. Automatizācija SOAR, continuous auth ML/AI risku signāli self-healing politika 24-36 mēneši ∞ Nepārtraukti mērīt, uzlabot, atjaunot brieduma vērtējumi drošības stāvoklis visā laikā Posmi pārklājas - 2. solis turpinās arī, kad sākas 3.; "ātri uzvarēt" projekti dod redzamu rezultātu jau pirmajā gadā Sākotnējais ROI: MFA + IdP centralizēšana = 60-80% phishing risku samazinājums (CISA mērījumi)

Pielietojums

Karte palīdz plānot budžetu un komandas slodzi. Pirmie soļi (inventarizācija, MFA) dod tiešu drošības ieguvumu jau pirmajā gadā - nav jāgaida 'pilnās' Zero Trust.

Atsauce

NIST SP 800-207 §7 - "Migrating to a Zero Trust Architecture" · M-22-09 (OMB termiņi ASV federālajām iestādēm).

Pirmais solis

Sāc ar aktīvu un identitātes inventarizāciju. Bez tā pārējie soļi paliek uz nezināmā pamata - nevar aizsargāt to, ko nepazīst.

Atbilstības ietvars

Zero Trust kā NIS2 21. panta tehniskais īstenojums

Zero Trust un NIS2 saistība NIS2 direktīvas 21. panta 2. punkta apakšpunkti un atbilstošās Zero Trust kontroles. Zero Trust kontroles un NIS2 21. panta prasību kartēšana Zero Trust nav obligāts; tā ir viena no atzītām metodēm NIS2 21. panta riska pārvaldības pasākumu izpildei 21(2)(a) riska analīze + drošības politika 21(2)(b) incidentu pārvaldība 21(2)(d) piegādes ķēdes drošība 21(2)(e) tīkla/sistēmu iegādes un izstrādes droš. 21(2)(f) atbilstības novērtēšanas politika 21(2)(i) aktīvu un personāla drošība 21(2)(j) MFA / nepārtrauktas autentifikācijas risin. PDP politika + risk-based lēmumi dinamiska riska analīze katrā sesijā SIEM + SOAR + sesijas atsaukšana PA nekavējoties atsauc tokenu pie anomālijas Workload identity + SBOM + supply chain ZT trešās puses arī iziet caur PEP Secure dev + CI/CD politikas + RASP/WAF aplikāciju pīlārs CDM + posture mērījumi + audita ieraksti nepārtraukta atbilstības verifikācija Inventarizācija + JIT/JEA + privileged ID least privilege visiem aktīviem FIDO2 + passwordless + continuous auth tieša NIS2 21(2)(j) izpilde tehniskā kartēšana

Pielietojums

Zero Trust nav tieši pieprasīts NIS2, bet tās komponentes precīzi atbilst 21. panta riska pārvaldības pasākumu apjomam - viena un tā pati arhitektūra var pamatot atbilstību bez atsevišķiem 'NIS2 specifiskiem' rīkiem.

Atsauce

Direktīva (ES) 2022/2555 21. pants · NKDL transponējums · Komisijas Īstenošanas regula (ES) 2024/2690 (tehniskās prasības digitālo pakalpojumu sniedzējiem).

Drošības piezīme

Atbilstība nav drošība. Zero Trust ar formāli ievērotām NIS2 prasībām var saturēt nepilnības - kartējumu izmantot kā struktūru, ne kā 'check-the-box' sarakstu.