ה-Zero Trust של סימנטק
מאת: ואדים לנדר
בסימנטק, שמהווה היום חטיבה של ברודקום, אנו מבינים כי העולם נעשה מורכב יותר מרגע לרגע. הדבר נכון שבעתיים לגבי אבטחת רשת, שכן אפליקציות נמצאות בעננים ובמחשוב הקצה, גבולות הארגון (perimeters) הולכים ונעלמים, והמשתמשים עובדים ברחבי העולם.
לשם הפשטה ניתן ללמוד ממה שבוני ספינות עושים: בכלי שייט קיימות מחיצות, אשר מבודדות ומונעות מעבר מים מתא שנפגע לתאים אחרים, וכך נמנעת טביעה של האוניה כולה. כך גם עם ארכיטקטורת רשת מודרנית ומאובטחת, שזקוקה להפרדה כדי שגם אם "תא" אחד נפגע – הארגון כולו יוכל להמשיך ולתפקד.
עד כה, בהתאם לפרוטוקולי אבטחה, נבדקת הזהות של המשתמשים ולאחר אימות רב-גורמי (Multi Factor Authentication – MFA) נרחב הם הורשו להיכנס למערכות. מדובר בבדיקה חד-פעמית, ולאחר מכן, משתמש יכול בדרך כלל לנוע בחופשיות בסביבת הרשת. החשיבה החדשה מחייבת אותנו להתבונן, לבדוק ולבקר ללא הרף את התנהגות המשתמשים בזמן אמת – ולשאול שאלות נוספות.
אל תסמוך על אף אחד
הדברים אמנם נשמעים חמורים, אך הכל נסמך על הגדרה מדויקת של הפרדה ובקרת גישה לפי צורך או שימוש. לכולנו יש משאבים מוגבלים וצריך לקבוע למי הזכות לקבל גישה? ומתי אני מנתק או מצמצם את הגישה?
הגנה על משאבים אינה דבר חדש. כדוגמה מעשית ניתן לקחת את המגבלה היומית על כמות המזומנים המירבית שניתן למשוך מחשבון עובר ושב באמצעות כספומט. זוהי דוגמה טובה לאיזון שבין האבטחה והנוחות. האבטחה קודמת לכל.
אימוץ Zero Trust, או ליתר דיוק יישום בקרת סיכונים, מאפשר איזון בין אבטחה ושימושיות. אמנם אנו מניחים כי יכולה להתרחש פריצה, אך ניתן להכיל את הנזק שנגרם בפרמטרים שניתן להבינם ובמדיניות תיקון. הדבר מאפשר לעסקים לסווג את הסיכון לפי מימדים שונים כגון עלות, מוניטין, שביעות רצון משתמשים, ופרודוקטיביות, וליצור בהתאם לכך מדיניות של ניהול זהויות וגישה.
מעקב אחר זהויות
היכולת לעקוב אחרי יישות ("זהות") בזמן שהיא עוברת מערוץ אחד למשנהו מאפשרת לארגון להשיג שתי מטרות חשובות ביותר.
ראשית, לאמת או לתקף באופן שוטף sessions קיימים של ה"זהות", כדי להבטיח שהיא עדיין תקפה, לא בוטלה, ועדיין יש לה את ההרשאות הנדרשות כדי לגשת למשאבים הרצויים. בנוסף, היכולת לבנות מעקב ביקורת למטרות משפטיות או מניעת הכחשה.
שנית, עסק ממקסם את חוויית המשתמש על ידי כך שהוא מבטיח את ה-interoperability הרציפה ביותר האפשרית, מניעת כניסות (sign-ins) רבות ו-session timeouts חופפים/יתירים.
יישום עקרונות Zero Trust הופך את ההרשאה לאדפטיבית וחכמה יותר – על ידי מינוף מידע כגון User Context, Application Context ו-Device Context. האם המשתמש מנסה להיכנס מאפליקציה נדירה ממכשיר חדש בשעה מוזרה? משתלם להיות חשדן.
החלטות הרשאה אופייניות אינן מבצעות הערכה לגבי תקפוּת שוטפת של המשתמש. הדבר בעייתי מאחר שזהות זו יכולה לחוות ניסיונות חטיפה או "הילוך חוזר" (replay). החלטות אופייניות גם לא לוקחות בחשבון את רמת הביטחון שבה אומתה הזהות. דבר זה פותח פתח לפריצות המתבססות על אישורי זהות גנובים.
גורם הביטחון
כשמגיעים ל-Zero Trust, חשוב לשים לב גם לגורם הביטחון (Confidence Factor) או, בהרחבה, לגורם הסיכון (Risk Factor). מדד זה קובע מה מידת האמון הנדרשת על מנת ליישם פרוטוקולי ניהול זהויות וגישה, תוך מינוף מדיניות IAM מבוססת סיכונים, על מנת להגדיר התנהגות צפויה.
התוצאה הסופית היא אימות ברור שמבוסס על הבנת הסיכון לכל עסקה נתונה או תהליך. כאשר הסיכון נמוך, ההשפעה של פריצה מופחתת ואימותים מסוימים עשויים להיות אופציונליים. מצד שני, כאשר הסיכון גבוה, פריצה יכולה להיות בעייתית ביותר, ויש לצמצם אותה באמצעות שלבי אימות נוספים.
גישה זו מאזנת בין הצורך בביטחון לבין הצורך בנוחות ובזריזות וגמישות (agility). לדוגמה, חשבון השייך למנהל מערכת (administrator) עם מכלול של זכאויות רגישות, חייב להיות שמור על ידי מדיניות אימות חזקה עם MFA הכרחי. מצד שני, בקשה בשירות עצמי לקבלת זכאות ברמת אפליקציה עשויה להיות מאושרת אוטומטית במידה ול'קבוצת השווים' (Peer Group) של המשתמש יש אותה רמת גישה.
החדשות הטובות הן שתוכלו למנף את פתרונות ה-Zero Trust ולא משנה איך נראית תשתית ה-IT שלכם: כל מה שנדרש הוא יישום התהליך הנכון בתוך פתרונות האבטחה הללו. כדי לקבוע טוב יותר היכן אתה נמצא במסע ה-Zero Trust שלך, תוכלו לבצע כאן הערכה עם סימנטר על סביבת האימות הנוכחית שלכם.
הכותב הוא Identity Security CTO & Distinguished Engineer בחטיבת סימנטק בברודקום (מוצרי חטיבת סימנטק בברודקום משווקים בישראל ע"י NessPRO, קבוצת מוצרי התוכנה של נס)
לפרטים והרשמה ל-INFOSEC של אנשים ומחשבים – הכנס הוותיק והגדול ביותר בתעשייה בתחום האבטחה – היכנסו לדף האירוע