Принципы сетевого доступа с нулевым доверием
Что такое Zero Trust Network Access (ZTNA)?
Вы наверняка уже неоднократно видели выражение «никому не доверять, всегда проверять» в контексте обсуждения Zero Trust. Тому есть причины, это достаточно четкое, лаконичное и хорошо запоминающееся определение, однако проблемы начинаются с момента, когда предпринимаются попытки выяснить, как это интерпретировать в контексте корпоративной инфраструктуры.
Сетевой доступ согласно идеологии Zero Trust – подразумевает под собой состояние сети, когда любое соединение между конечными взаимодействующими сущностями, такими как: пользователь, приложение, API, сервер – не должно быть выполнено до тех пор, пока не будет пройдена аутентификация и авторизация этого соединения. В результате отсутствует доверенная зона, исчезает периметр сети в классическом понимании, и максимальное уменьшение поверхности взаимодействия между сущностями приводит к увеличению степени защищенности процессов и радикальному снижению возможности горизонтального перемещения в случае компрометации.
Чейз Каннингэм (Chase Cunningham), один из главных идеологов и популяризаторов подхода, считает, что раскрыть выражение можно следующим образом:«Стратегически Zero Trust сосредоточено на решении проблемы горизонтального перемещения угроз внутри сети или инфраструктуры, путем использования микросегментации и гранулярного применения правил доступа на основе пользовательского контекста, контроля доступа к информации, определения местоположения и нахождения устройства».
Горизонтальное перемещение (lateral movement) означает возможность атакующего свободно передвигаться по корпоративной сети после компрометации одного находящегося в ней узла, тем самым значительно увеличивая ущерб от атаки. Подробное описание в контексте ПО Microsoft можно почитать здесь.
На схеме видно, что после начальной компрометации периметра сети и получения доступа к серверу, атака распространяется на другие соседние узлы. Эту проблему и призвана решить микросегментация в контексте нулевого доверия. Если бы у компрометированного сервера были значительно ограничены сетевые привилегии, горизонтальное перемещение было бы существенно ограничено.Таким образом, главное, от чего стоит отталкиваться, это постоянное и планомерное уменьшение прав количества взаимодействующих сущностей, используя все доступные для точного принятия решений средства.Тогда как может выглядеть система, поддерживающая данный подход?
Какова архитектура ZTNA?
Архитектура сетевого доступа по принципам нулевого доверия должна включать в себя элементы, которые могут быть как программными, так и аппаратными, которые обязаны контролировать все соединения между сетевыми агентами, проверяя как легитимность самих агентов, так и их запросов. Одним из важных факторов является обеспечение 100% видимости трафика такими узлами, а также разделение потоков аутентификации, авторизации и данных (control plane – data plane)
Из дополнительного, можно отметить, что элементы решения ZTNA так или иначе всегда будут стоять на пути между пользователем – приложением, прерывая прямой доступ и маршрутизацию. Элементы могут называться по-разному, но всегда разделяются на две обособленные группы, которые можно выделить:
До авторизации среда передачи через точку доступа /gateway/ коннектор должна быть недоступна, а также после выполнения необходимого объёма работ доступ должен отзываться автоматически.Для иллюстрации вышеописанного приведем схематический пример взаимодействия данных элементов в контексте инфраструктуры, поддерживающей ZTNA.
Здесь представлены два основных варианта взаимодействия по принципу инициации запроса доступа – инициация может происходить самим клиентом, нуждающимся в подключении, либо же сервисом, который позволяет подключиться клиенту к нему. Можно увидеть, что контролирующие и передающие компоненты находятся на пути соединения конечных точек, например пользователь и приложение. Тем самым, обеспечивается полный контроль на пути трафика и возможность блокирования или авторизации соединений, что невозможно, будь установлены данные элементы параллельно взаимодействующей инфраструктуре.
Если посмотреть подробнее, какие данные необходимы данным узлам для принятия легитимных решений по контролю и обеспечению доступа, можно обратиться к NIST factsheet, основанный на документе SP 800–207 Zero Trust Architecture:
На представленной выше схеме имеются все те же компоненты:
Как и на предыдущей схеме, тем самым соглашаясь с их необходимостью, а также их установкой в разрыв текущим соединениям между ресурсами и их пользователями (inline), но расширяя определение возможных функциональных компонентов системы (Functional Components):
Они подаются на вход в компонент принятия решений, позволяя своими данными повысить точность и своевременность предоставления прав субъектам до ресурсов компании (Enterprise Resources)
Данными функциональными компонентами могут являться идентификационные данные пользователя, поведенческая аналитика, состояние устройства и ПО, с которого запрашивается доступ, соответствие корпоративным политикам безопасности и прочие метаданные, формирующиеся в результате постоянного взаимодействия пользователей, устройств и сервисов. Однако, чем могут являться данные контрольные узлы, применяемые в реализациях ZTNA и необходимы ли дополнительные вложения и существенные модификации текущего состояния инфраструктуры?
Нужны ли специальные решения для работы ZTNA?
Текущее состояние рынка показывает нам, что крупные игроки начинают добавлять в свои продукты определенные модули функционала, который можно технически отнести к модели Zero Trust. Однако, необходимо рассматривать многофункциональность решения как обоюдоострый меч, так как могут потребоваться новые компетенции и рабочее время для воплощения данных функций, и наличие в продукте огромного количества дополнительного функционала еще не означает, что он будет внедрен, верно настроен и администрирован. В неустоявшемся поле ZTNA важна прозрачность решения для лучшего понимания подхода в целом.
Если, учитывая обозначенные выше условия, вывести краткий ответ то скорее всего он будет звучать так - Узкая специализация – ниже стоимость, хотя сам подход по организации доступа по принципам нулевого доверия в теоретической части является вендор-нейтральным. При должных навыках и квалификации сотрудников, возможно использовать и уже имеющиеся средства, которые, однако, будут нуждаться в значительной реконфигурации с оглядкой на положения Zero Trust. В своей сути, самое главное, что должно обеспечиваться данным решением, можно представить на следующей схеме: проверка личности пользователя, проверка состояния устройства, с которого запрашивается доступ, и принятие решения о предоставлении или отказе в доступе.
В зависимости от потребностей и особенностей конкретных бизнес-процессов в компании, сетевой доступ по принципам нулевого доверия может быть реализован, как и специализированными решениями, так и долгосрочным анализом компонентов, взаимодействующих в сети и попытке их настройки и эксплуатации с оглядкой на принципы нулевого доверия. Может быть применен и комбинированный подход, когда в сочетании со специализированными решениями в некоторых частях инфраструктуры по причинам несовместимости с решением. Однако самым быстрым способом ввода в эксплуатацию и получению преимуществ концепции в инфраструктуре будет использование специализированных решений.
До тех пор мы обсуждали общие теоретические особенности подхода, и как это все может применяться в контексте на конкретные сервисы, сети и пользователей в корпоративной сети, теперь хотелось бы обсудить, какие преимущества может дать данный подход.
Что дает применение концепции ZTNA для предприятий?
Если посмотреть на предлагаемые преимущества внедрения ZTNA на базе продуктов Safe-T, можно отметить следующее:
Обсуждая вопрос о жизнеспособности идеи корпоративного периметра в долгосрочной перспективе, и сравнивая его с ZTNA, многие задаются вопросом – является ли ZTNA альтернативой корпоративному периметру, и может ли со временем его вытеснить из применения в бизнес-средах.
Является ли ZTNA альтернативой корпоративному периметру?
Мы считаем, что ZTNA является не альтернативой периметру, а его логической эволюцией. Данные концепции были разработаны совершенно при разных внешних обстоятельствах, и призваны решить задачи разных поколений. Учитывая возрастающую мобильность пользователей, наряду с распределённой инфраструктурой сервисов, применение принципов ZTNA – это вопрос не о том, будет ли это использоваться повсеместно, а о том, как быстро или же наоборот, медленно, индустрия пройдет процесс миграции с одного концептуального подхода на другой.
До этого мы рассматривали ZTNA в контексте предоставления удаленного доступа пользователям до сервисов и приложений компании, теперь немного поговорим о том, как можно применить нулевое доверие непосредственно внутри корпоративной сети.
Может ли ZTNA применяется для защиты корпоративной сети (внутри периметра)?
В основе принципа ZTNA – отсутствие доверенных зон, поэтому разницы, что сегментировать, внутреннюю сеть компании или доступ до сервисов снаружи. Разносим компоненты по необходимым подсетям, отключаем прямой доступ.
Контроль локальных соединений в случае Safe-T будет осуществляться точно так же, как и удаленных. Локальные соединения могут контролироваться с помощью SDP - (Software Defined Perimeter), части платформы Authentication и Access не будут публиковаться во внешний доступ, а использоваться как локальный портал, внутри подсетей компании. Контроллер доступа в данном случае будет установлен рядом с критичными сервисами. В данном случае нужно заблокировать маршрутизируемый доступ из одной подсети в другую, и пустить только необходимые к доступу сервисы через SDP машины, определяющие ZTNA ZoneZero сеть.
Для каких сущностей технически применим принцип ZTNA?
Любой процесс с двусторонним обменом информацией.
Принцип сетевого доступа ZT применим к любому взаимодействию двух конечных сущностей, при котором необходима передача и прием информации через сеть. Примерами могут являться пары пользователь-приложение, приложение-приложение, IoT - база данных, и так далее.
Как осуществляется аутентификация пользователей и приложений в ZTNA?
Аутентификация и авторизация сущностей должна осуществляться с помощью MFA, также необходимо разделение физической точки предоставления доступа от контроллера или движка, где принимается решение о данном предоставлении, для исключения единой точки отказа. Каждое соединение должно быть авторизированно, не должны присутствовать наследуемые разрешения, основанные на принципах месторасположения. В некоторых реализациях местоположение влияет на предоставляемый доступ, однако это является лишь одним из индикаторов в комплексной оценке.
Каким образом формируются зоны доверия и микросегментация?
Зоны доверия и сегментация формируются динамически, на основе поступающих соединений, после авторизации, аутентификации и проверки прав доступа, с помощью контроллера ZTNA. По умолчанию зоны доверия отсутствуют, и трафик не имеет возможности передвижения по сети. Основными парами взаимодействия являются «Пользователь – приложение», которые создаются динамически на основе входных аутентификационных данных и определенных правил доступа. Одним из важных компонентов в основе построения сетей по принципу ZTNA является соблюдение принципа минимальных привилегий. Данное выражение пришло из военной терминологии.
Принцип минимальных привилегий – идея, применяемая при осуществлении рабочих процессов в критической среде. Главный резон состоит в том, что каждому пользователю присваиваются лишь те права доступа, которые необходимы для выполнения своих должностных обязанностей, исключительно с помощью способов, заранее установленных предприятием. В качестве иллюстративного примера, можно рассмотреть следующую ситуацию. Есть много способов загрузить файл на сервер, и это одна из обязанностей сотрудника, но разрешено использовать только sftp с авторизацией по сертификатам, а другие возможные способы заблокированы. Данный принцип максимально коррелируется с идеологией Zero Trust и обеспечивается в любой ее имплементации, динамически предоставляя только необходимый доступ.
Далее обсудим, какова область применения подхода ZTNA, имеются ли ограничения применимости данного подхода, и если имеются, то при каких обстоятельствах.
Когда применение концепции ZTNA невозможно?
Применение как таковой концепции возможно всегда, так как она не привязана к конкретным программно-аппаратным решениям. Если говорить о каком-либо теоретическом ограничении спектра применения именно ZTNA, а не ZT, то, вполне очевидно, можно заключить что ZTNA – Zero Trust Network Access относится к непосредственно сетевым взаимодействиям между сущностями, а следовательно, применима для конечных точек, будь то пользователь, сервер, приложение или устройство, которым необходим двусторонний обмен информацией между собой для выполнения своей основной функциональности или выполнение должностных обязанностей. Суммируя, если нет взаимодействующих сущностей – нет и ZTNA. Локальные изолированные хосты, не требующие сетевого соединения и предназначенные исключительно для выполнения локальных операций, например, clean station в лаборатории компьютерной форензики, не могут получить выгоды от какого-либо рассмотрения в рамках ZTNA.
Так же, хорошим примером могут являться публичные части ресурсов, любой тип взаимодействия, где невозможно установить пару взаимодействия, в том числе, посмотреть прямой эфир передачи, у которой главная задача - максимально возможное количество аудитории. Однако, это будет касаться исключительно части взаимодействия потребителя вещания с front интерфейсом стриминг системы, а не всей реализации. Ограничения, естественно, будут, если мы рассматриваем не саму концепцию, а конкретный продукт, реализованный индивидуальным вендором/разработчиком, в зависимости от их интерпретации концепции и списка непосредственных задач, справляться с которыми призвана конкретная разработка.
Частными лимитациями подобного рода являются - ограниченный список поддерживаемых приложений, методы развертывания решения, необходимость серьезной модификации текущей инфраструктуры в таком объёме, что это не подлежит бизнес-обоснованию на текущее время. В следующей части данной статьи предоставим некоторые моменты, которые можно принять во внимание, рассматривая практическое внедрение ZTNA подхода с помощью программного комплекса от компании Safe-T.
Каковы этапы реализации концепции ZTNA, с чего начать?
Исходить из мгновенной потребности и ее быстрой реализации — это внедрение фундаментальных элементов нулевого доверия для быстрого получения дополнительных преимуществ подхода.
Сокращение времени запуска, и соответственно ускорение получения преимуществ новой технологии, не производя работы по полной модернизации инфраструктуры.
ZoneZero повышает безопасность VPN, добавляя возможности SDP. Добавление возможностей SDP позволяет получить доступ к приложениям и сервисам. Доступ предоставляется только после оценки доверия на основе политик для авторизованного пользователя, местоположения и приложения. Кроме того, доступ предоставляется к конкретному приложению или сервису, а не к сети, как в случае с VPN.
Развертывание SDP поверх существующей VPN предлагает настраиваемое и масштабируемое решение с нулевым уровнем доверия. Оно обеспечивает все преимущества SDP при одновременном снижении рисков, связанных с внедрением новой технологии. В настоящее время Safe-T ZoneZero является решением SDP с основным фокусом на повышение безопасности VPN путем добавления возможности нулевого доверия.
Сколько времени занимает реализация модели нулевого доверия у крупных компаний?
Ранние имплементации реализации нулевого доверия в основном происходили благодаря полной замене оборудования, используемых технологий, и переиначивании бизнес-процессов. К таким, например относится подход Google, названный BeyondCorp, занявший несколько лет для воплощения. Дополнительную информацию можно найти в публикациях журнала USENIX ;login: первая часть которой доступна по ссылке:
Принимая во внимание то, что такой подход является трудоемким, растянутым во времени и дорогостоящим, Safe-T опирается на подход не полной замены, а введения верхнего дополнительного слоя, ложащегося на текущую инфраструктуру и тем самым отводя фокус доступа на верхние уровни OSI, решив тем самым проблемы сетевых атак. Таким образом, текущие развернутые решения остаются в строю, и работают как основа для создания Safe-T ZoneZero. Мы не заменяем сервисы и софт, а обеспечиваем дополнительный уровень защиты legacy приложений, добавляя шифрование в канал, мульти факторную аутентификацию, и закрывая открытые порты на внешнем FW, каждому необходимому соединению будет выдан защищенный туннель из пары IP: port находящийся под контролем ZTNA.
Теперь поговорим о том, как данная концепция может развиваться в будущем. Учитывая динамичность текущего времени, сложно делать определённые ставки на конкретный исход, однако можно говорить о том, что может помочь в будущем для принятия подхода Zero Trust и его повсеместного внедрения.
Каким образом будет трансформироваться концепция ZTNA?
Хотя в настоящий момент теоретическая часть достаточно развита, например, NIST выпустил публикации, содержащие рекомендации по внедрению, написано некоторое количество положительно принятых книг, таких как Zero Trust Networks: Building Secure Systems in Untrusted Networks (Doug Barth and Evan Gilman), Zero Trust Security: An Enterprise Guide (Jason Garbis and Jerry W. Chapman). Со стороны предлагаемых коммерческих решений сейчас наблюдается точечное решение задач, описанных в рамках всего подхода, с течением времени и увеличением инсталляционной базы, разрозненная функциональность будет консолидироваться.
Текущий ландшафт предлагаемых решений представляет собой лоскутное одеяло из взаимно несовместимых продуктов, построенным согласно различным интерпретациям концепции ZT, и представлениям о необходимых компонентах и методах реализации, которые должны привносить ZTNA функционал. На этом фоне ведется массовая маркетинговая кампания, и в сочетании с молодостью подхода дает несогласованность представлений и мнений в индустрии.
Перевод функционала на конечные устройства, включая IoT (MFA через отв. Сотрудников). Хорошим примером реализации функциональности ZTNA является подход, предлагаемый вендором Netfoundry – сетевой оверлей на основе их облачной инфраструктуры, маршрутизируемый согласно Zero Trust подходу. При этом имеются SDK, позволяющие достаточно быстро внедрить поддержку данной коммуникации для разрабатываемых приложений.
При переходном этапе специализированные решения будут необходимы, однако со временем, и повсеместном принятии данной концепции, устройства и по будут разрабатываться с учетом идей ZT.
Открытые стандарты – для успешного повсеместного применения данного концепта, необходима точка обмена информацией, открытой дискуссии, которые могут при достижении критической массы быть превращены в стандарты реализации технологии, например такие как IEEE с технической части, NIST, BSI и ISO со стороны управления процессами.
Если вы имеете инфраструктуру, состоящую преимущественно из решений одного технологического вендора, и данный вендор предлагает реализацию ZTNA подхода – возможно это будет достаточно быстрый и удобный способ знакомства с данной технологией. Однако зависимость от одного вендора приводит к искажению общего понимания рынка продуктов и предлагаемых функциональных модулей, хоть и снимает определенную часть задач по исследованию нового класса решений, состояния рынка и сторонних вендоров.
Исходить из требований, а не предложения и трендов – в первую очередь, вне зависимости от какой-либо концептуальной разработки, необходимо понять, как это будет ложиться на текущие бизнес-требования и задачи, которые стоят перед корпоративной инфраструктурой. Важно балансировать необходимость поддержки текущих эффективных налаженных процессов, и попыток внедрения новых классов решений.
На этом мы завершаем наш обзор Zero Trust, надеемся, что данная информация найдет применение, или как минимум будет полезна для расширения понимания основ и применимости данного подхода.
Интересуясь технологиями доступа в концепции нулевого доверия, мы изучили различные подходы и познакомились с множеством решений от именитых производителей. В общем эфире на тему ZTNA мы представляли решение от компании Safe-T Group, ZoneZero – ZTNA платформу работающую on-prem. Было много людей, много мнений, и можно представить, что отдельные моменты не удалось проговорить более детально, что же, исправим этот момент в интервью.