Zero trust a síťová bezpečnost

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody, proč nachází místo v moderním zabezpečení firem a organizací.

   zero trust           zero trust architektura         IT bezpečnost          kyberbezpečnost

Co je to zero trust

V souvislosti s možným směřováním bezpečnosti síťových architektur se termín zero trust (nulová důvěra) dostává více do povědomí v roce 2010 díky analytikovi Johnu Kindervagovi z agentury Forrester Research. Ve svém článku Build Security Into Your Network’s DNA: The Zero Trust Network Architecture¹ se vyhrazuje proti kyberbezpečnostní praxi, kdy jsou packety přenášené sítí považovány v praxi za automaticky důvěryhodné, jako by to byli lidé. Zároveň rozporuje myšlenku důvěryhodné (obvykle vnitřní) a nedůvěryhodné sítě (vnější).

V té době začaly firmy více využívat cloudové služby, začaly se rozšiřovat trendy jako BYOD (přineste si vlastní zařízení), bezpečnostní perimetry sítí se začaly posouvat a měnit a na druhé straně významně narůstal nový vektor hrozeb – tzv. vnitřní hrozby (insider threats). Kindervag mluví o zero trustu jako o možném řešení těchto bezpečnostních výzev, který ale zároveň umožňuje stavět sítě jednodušeji, efektivněji², což je pro použitelnost modelu v reálném světě kyberbezpečnosti zásadní.

Zero trust je přístup k bezpečnosti vycházející z myšlenky, že žádný síťový provoz nelze považovat za automaticky důvěryhodný, resp. je třeba jej považovat za nedůvěryhodný, dokud se neukáže opak. To vede k eliminaci důvěry, které se uživatelé často těší ve firemních LAN sítích. A to konkrétně prostřednictvím neustálého ověřování zdrojů síťového provozu, kontrolou přístupu ke zdrojům a sbíráním a analýzou logů síťového provozu.

Zero trust není jako jedna konkrétní technologie, ale přístup k bezpečnosti jako celku. V praxi pak jeho prosazování znamená nasazení více různých nástrojů, např. multifaktorovou autentizaci, kontrolu bezpečnostních parametrů zařízení, segmentaci sítě, kontrolu přístupu, monitorování provozu, logování, ochranu dat atd.

Cílem je snížit kybernetická rizika, eliminovat zranitelnosti, a pokud již k úspěšnému útoku dojde, zamezit napáchání zásadních škod.

Zero trust vs tradiční zabezpečení IT zdrojů

Zero trust architektura kontrastuje s tradičním bezpečnostním modelem, který chrání zdroje za perimetrem, ale používá jen málo bezpečnostních opatření uvnitř tohoto perimetru. Jakmile se potenciální útočník dostane přes hlavní obrannou linii, má více či méně volný přístup k infrastruktuře.

Zásady zero trust přístupu

V roce 2018 formuloval Národní institut pro standardy a technologie (NIST) Spojených států zásady zero trust přístupu v dokumentu nazvaném Zero Trust Architecture³. Ty jsou následující:

• Veškeré ověřování a autorizace zdrojů jsou dynamické a přísně vynucované před povolením přístupu.
• Všechny zdroje dat a výpočetní služby jsou považovány za zdroje.
• Podnik monitoruje a měří integritu a zabezpečení všech vlastněných a přidružených zdrojů.
• Veškerá komunikace je zabezpečena bez ohledu na umístění v síti.
• Přístup k podnikovým zdrojům je udělován na základě jednotlivých relací.
• Přístup ke zdrojům je určen dynamickými pravidly – včetně pozorovatelného stavu identity klienta, aplikace/služby a požadovaného aktiva – a může zahrnovat další behaviorální a environmentální atributy.
• Organizace shromažďuje co nejvíce informací o aktuálním stavu aktiv, síťové infrastruktury a komunikace a využívá je ke zlepšení stavu své bezpečnosti (security posture).

Z těchto zásad vychází tři základní stavební kameny zero trust v organizacích.

Princip minimálních privilegií (Least Privilege Principle)

Tzv. princip nejmenších oprávnění (minimálních privilegií) je pro zero trust klíčový. Znamená, že po úspěšné autentizaci získá uživatel požadovaný přístup, ale jen ke zdrojům, které nezbytně potřebuje pro svou práci. Např. vývojáři budou mít přístup pouze ke svým vývojovým nástrojům a úložištím, ale ne k CRM nebo fakturačním systémům.

Tento přístup je též známý jako segmentace na aplikační úrovni (mikrosegmentace⁴). Účelem je zabránit laterálnímu pohybu, pokud dojde k průniku do sítě útočníkem. Laterální pohyb znamená, že útočník prochází sítí a hledá nové zdroje, které může zneužít. Když je infrastruktura segmentována, hrozba zůstává omezena v rámci zdrojů dostupných pro kompromitovanou uživatelskou roli (jeho přístupová práva).

V rámci segmentace lze využít i segmentace infrastruktury na úrovni sítě. A to buď pomocí fyzických zařízení a spojení mezi nimi, nebo pomocí L2 dělení k rozdělení sítě na logické segmenty. To vyžaduje mnoho znalostí a dovedností v oblasti sítě. Moderní zero-trust řešení pracující na úrovni sítě, zvláště pak ta bezhardwarová, umožňují mnohem jednodušší segmentaci a monitorování toku dat.

Obr. 1: Ilustrace rozdílu mezi tradičním a zero trust přístupem k bezpečnosti (zdroj: GoodAccess)

Autentizace na základě identity

Autentizace na základě identity znamená, že uživatel musí s vysokou mírou jistoty prokázat, že je tím, za koho se vydává. K tomu je zapotřebí více mechanismů než jen uživatelské jméno a heslo.

Organizace často spoléhají na zdroj identity (Identity provider, IdP) používaný pro jednotné přihlašování (Single sign-on, SSO) nebo platformu pro správu identit a přístupů (Identity and access management, IAM) k vytvoření uživatelských identit.

Aby se snížilo riziko zneužití přihlašovacích údajů, využívá se i autentizace založená na kontextu, tedy multifaktorová autentizace (MFA), přičemž její přísnost se může lišit v závislosti na kontextu. Např. zaměstnanec, který se přihlašuje mimo pracovní dobu, může být povinován poskytnout další faktory identity.

Nakonec lze využít i autentizace nejen uživatele, ale i jejich zařízení. Autentizace zařízení zahrnuje různé metody, jako jsou instalované certifikáty, hardwarové tokeny nebo klientské aplikace. Rovněž se provádí kontroly stavu zařízení, aby se identifikovala zařízení obsahující zranitelnosti.

Zabezpečená spojení

Jakmile byl uživatel (a jeho zařízení) úspěšně autentizována obdržel oprávnění, která jeho role umožňuje, může se připojitk firemním zdrojům. Zero trust vytváří spojení mezi uživatelem a konkrétní aplikací prostřednictvím zašifrovaného tunelu, který chrání data před odposlechy a zabraňuje jejich odchytávání. To pomáhá zabránit útokům, jako je útok man-in-the-middle, a chrání uživatele před krádeží přihlašovacích údajů, což je dnes nejčastější příčina narušení bezpečnosti.

Co je to zero trust – analogie

Zero trust přístup k bezpečnosti si lze přiblížit na analogii fyzického zabezpečení budovy. Představte si, že jdete na schůzku. V tradičním pojetí přijdete k recepci a řeknete: „Mám schůzku s paní/panem XY.“ Recepční vám může dát nějaké instrukce, jak se k dotyčné osobě dostat, ale poté už se můžete po budově pohybovat relativně volně, navštěvovat různá patra a chodby, a dokonce nakouknout do kanceláří, pokud nejsou zamčené.

Podle nulové důvěry však recepční nejprve ověří vaši totožnost, aby zjistil, zda vás někdo opravdu očekává (a jestli jste to skutečně vy, koho očekává), ověří důvod návštěvy a poté vám vydá přístupovou kartu, která vás dostane pouze do kanceláře na schůzku a nikam jinam.

Benefity zero trust přístupu k bezpečnosti

Zásady zero trust přístupu mohou působit dojmem, že architektura postavená na jeho myšlenkách obětuje produktivitu a flexibilitu ve prospěch lepšího zabezpečení. Samozřejmě vždy závisí na konkrétní implementaci – je potřeba automatizace a uživatelé by být limitováni ve své práci. Ale při správném nasazení zero trust architektury nijak neměli neomezují uživatele při práci a zároveň poskytují následující výhody:

• Snížené riziko kybernetických hrozeb – architektury zero trust snižují riziko průniku hrozeb do sítě.
• Snížený dopad incidentů – přístup nejmenších možných privilegií (least privilege principle) zabraňuje laterálnímu pohybu a omezuje počet systémů zasažených úspěšným průnikem.
• Minimalizace lidské chyby – přísné ověřování vícefaktorovou autentizací (MFA) zabraňuje přístupu i v případě, že jsou zaměstnanecké přihlašovací údaje kompromitovány při phishingovém útoku.
• Lepší dohled – zero trust uzavírá mezery ve viditelnosti (eliminuje slepá místa) a usnadňuje včasné odhalení podezřelého chování v síti.
• Naplnění shody s předpisy (compliance) – přístup zero trust také pomáhá splnit požadavky zákonů o ochraně dat, jako jsou HIPAA, GDPR a NIS2.

Jakým hrozbám umí zero trust předcházet?

Mezi základními hrozbami, proti kterým zero trust přístup chrání, lze uvést:

Vnitřní hrozby
Hrozby způsobené nepozorností nebo zákeřným jednáním zaměstnanců, kontraktorů a dalších třetích stran majících přístupy k firemním ICT zdrojům. Vnitřní hrozby jsou rychle rostoucí vektor útoků, který je podporován sílící digitalizací pracovního prostředí a prací na dálku. Zero trust klade důraz na segmentaci sítě, neustálé ověřování uživatele a využívá tzv. least privilege principle – tudíž omezení přístupu uživatele jen k těm zdrojům infrastruktury, které ke své práci nezbytně potřebuje. Tím je minimalizováno riziko laterálního pohybu v síti a zneužití dat.

Supply chain útoky
Jedná se o útoky založené na kompromitaci služby, softwaru nebo hardwaru útočníky, které jsou dodávány nebo integrovány jako produkty do ICT infrastruktury oběti. Velmi známým případem je kauza Solarwinds⁵, kdy se útočníkům podařilo proniknout do vývojového prostředí firmy a zanést do produktu škodlivý kód (backdoor). Tato závadná verze pak byla vydána jako aktualizace Solarwinds produktu, zákazníci si ji stáhli a následně byli někteří z nich napadeni.

Ransomware
Ransomware je dobře známý útok, který zašifruje data na počítači nebo celém systému oběti a poté požaduje výkupné za dešifrování. Obvykle se šíří phishingovými e-maily a skrze podvodné nebo infikované webové stránky. Základem zero trustu je segmentace sítě, která omezuje laterální pohyb (pohyb útočníka napříč systémem), což ztěžuje šíření ransomwaru v případě, že se dostane do systému. Každý přístup k datům a službám je podmíněn ověřením, což může zabránit exfiltraci dat nebo spuštění škodlivých kódů.

Zneužití/krádeže identity
Kybernetický útok zneužití nebo krádež identity je typ útoku, při kterém útočník získá neoprávněný přístup k osobním údajům oběti, např. přihlašovací údaje. Útočník pak tyto informace využije k proniknutí do systému. Zero trust tento typ útoků mitiguje silným důrazem na autentizaci uživatele, typicky pomocí multifaktorové autentizace.

Pro jaké organizace je vhodná implementace zero trust principů?

Z implementace zero trust přístupu do zabezpečení organizace budou nejvíce profitovat firmy, jejichž infrastruktura obsahuje:

• Zaměstnance pracující na dálku nebo hybridně.
• Různorodé IT prostředí rozprostírající se skrze lokální síť, cloudové zdroje, SaaS aplikace a další.
• Starší (legacy) systémy, tedy aplikace nebo technologie, které jsou stále v provozu, i když jsou zastaralé nebo neefektivní. Takové systémy mohou představovat bezpečnostní riziko, např. obvykle nepodporují moderní metody autentizace.
• BYOD zařízení, tudíž uživatelská zařízení, která nejsou plně pod kontrolou.

Obecně lze ale říci, že je zero trust přístup vhodný pro všechny firmy a organizace, které chtějí získat větší kontrolu nad přístupem do své infrastruktury, posílit svoji kybernetickou odolnost a eliminovat hrozby, které jsme popsali výše.

Zero trust a kybernetická odolnost

Nárůst objemu a složitosti kybernetických hrozeb vyžaduje novou perspektivu v přístupu ke kyberbezpečnosti. Kybernetickým incidentům se nelze zcela vyhnout a prevence je nemůže dlouhodobě zcela zastavit.

Organizace by proto měly být co nejlépe připravené na incidenty, umět na ně rychle reagovat a následně se co nejdříve zotavit. Zero trust přináší tyto výhody, a proto se stává klíčovým prvkem moderní kyberbezpečnosti. Tento přístup potvrzuje i nejnovější legislativa Evropské unie, směrnice NIS2 , která zero trust zmiňuje jako jeden z hlavních pilířů kyberbezpečnostní hygieny:

„Essential and important entities should adopt a wide range of basic cyber hygiene practices, such as zero-trust principles, software updates, device configuration, network segmentation, identichal Čířekty and access management or user awareness, organise training for their staff and raise awareness concerning cyber threats, phishing or social engineering techniques.“⁶

Moderní cloudové nástroje, které zjednodušují nasazení zero trust principů, zajišťují dohled nad jejich dodržováním a nabízejí široké možnosti škálování, zároveň činí implementaci méně složitou.

Michal Čížek

Poznámky pod čarou: 

1.  KINDERVAG, John. Build Security Into Your Network’s DNA: The Zero Trust Network Architecture. Online. Forrester Research, Inc., 2010 Dostupné z: https://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf [citováno 2024-06-15]
2. KINDERVAG, John. Build Security Into Your Network’s DNA: The Zero Trust Network Architecture. Online. Forrester Research, Inc., 2010 Dostupné z: https://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf [citováno 2024-06-15]
3. ROSE, Scott, BORCHERT, Oliver, MITCHELL, Stu, CONNELLY, Sean. Zero Trust Architecture. Online. National Institute of Standards and Technology, 2020. Dostupné z: https://doi.org/10.6028/NIST.SP.800-207 [citováno 2024-06-15]
4. Cisco Systems, Inc. What Is Micro-Segmentation? Online. Dostupné z: https://www.cisco.com/c/en/us/products/security/what-is-microsegmentation. html [citováno 2024-06-15]
5. ZETTER, Kim. The Untold Story of SolarWinds, the Boldest Supply-Chain Hack Ever. Online. Wired. 2.5. 2023. Dostupné z: https://www.wired.com/story/ s její implementací. the-untold-story-of-solarwinds-the-boldest-supply-chain-hack-ever/. [citováno 2024-06-16]
6. European Union. DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. Online. Official Journal of the European Union. 27. 12. 2022. Dostupné z: https://eur-lex.europa.eu/eli/dir/2022/2555/oj [citováno 2024-06-14].