Hasło nieprędko do lamusa?
Używane od kilkudziesięciu lat hasła, jako metoda uwierzytelniania, mają więcej wad niż zalet. Nic dziwnego, że od długiego czasu mówi się o konieczności znalezienia alternatywy.
Brakuje standardu uwierzytelniania w chmurze.
Totalny brak zaufania
Zero Trust to paradygmat bezpieczeństwa, który zakłada, że nie można ufać domyślnie żadnej jednostce (użytkownikowi, aplikacji, urządzeniu), nawet jeśli podłączona jest do wewnętrznej firmowej sieci. Oznacza to konieczność nieustannego sprawdzania jej tożsamości i weryfikowania każdego połączenia, niezależnie od tego, czy pochodzi z wewnątrz czy zewnątrz sieci, zamiast polegać na zaufaniu do wewnętrznych zasobów. Aby ograniczyć ryzyko potencjalnych nadużyć, użytkownicy i urządzenia powinny mieć tylko te uprawnienia, które są niezbędne do wykonania swoich zadań. Firmowa sieć powinna podlegać segmentacji, a dostęp do poszczególnych segmentów (jak też cały ruch sieciowy) musi być ściśle kontrolowany.
Wprowadzenie modelu Zero Trust wiąże się z kilkoma wyzwaniami, zarówno technicznymi, jak i organizacyjnymi. Jego wdrożenie może być złożone, zwłaszcza w dużej firmie, w której istnieje wiele systemów, aplikacji i urządzeń. Zmiana architektury bezpieczeństwa wymaga dokładnego zrozumienia infrastruktury i dostosowania się do nowych standardów. Przy czym w przypadku firm, które już mają złożone struktury bezpieczeństwa, wprowadzenie Zero Trust może być trudne ze względu na konieczność dostosowania się do już istniejących rozwiązań i infrastruktury (niektóre starsze systemy lub aplikacje mogą nie być gotowe do pełnej integracji z modelem Zero Trust). Skuteczna implementacja Zero Trust wymaga też dokładnego monitorowania i analizy ruchu sieciowego w celu wykrycia ewentualnych anomalii, zagrożeń czy ataków. Nieodzowne jest też wprowadzenie wieloskładnikowego uwierzytelniania.
Przy wdrażaniu rozwiązań do zarządzania tożsamością oraz implementacji mechanizmów wieloskładnikowego uwierzytelniania największym wyzwaniem jest brak wiedzy firm, jak efektywnie osiągnąć wyznaczone cele projektu. Mylone są tak podstawowe pojęcia jak „identity governance” czy „access management”. Z naszego doświadczenia, związanego z wdrożeniami przeprowadzanymi w objętych regulacjami przedsiębiorstwach, wynika, że nierzadko brak w nich uporządkowania w dziedzinie precyzyjnego przypisania ról poszczególnym pracownikom oraz wynikających z tego praw dostępu. Powszechne jest natomiast oczekiwanie, że integrator przyjdzie i szybko rozwiąże problem. Najczęściej kończy się to organizacją warsztatów, podczas których przekazujemy najlepsze praktyki dotyczące obszarów technicznych i prawnych projektu, na który się zdecydowali, a my zaś uczymy się jak dana firma jest zorganizowana. Przy tej okazji precyzyjnie dokonujemy również podziału na ich i nasze obowiązki – podczas i po wdrożeniu. Przy czym nie brakuje wyzwań technicznych, dotyczących głównie aplikacji opracowanych 15-20 lat temu w dobrych, ale archaicznych językach, nie wyposażonych w solidną dokumentację. Nadal wyzwaniem jest stworzenie zintegrowanego środowiska zarządzania tożsamością w infrastrukturze mieszanej, składającej się z chmury i rozwiązań wdrożonych on-premise.
Wyzwania w rozproszonych środowiskach
Firmy coraz częściej korzystają z usług w wielu różnych środowiskach chmurowych. Jak do tej pory nie wypracowano jednak jednego, powszechnego standardu uwierzytelniania w nich, co spędza sen z oczu administratorów i osób odpowiedzialnych za bezpieczeństwo. Dwa najpopularniejsze obecnie standardy to OpenID Connect czy OAuth, warto więc zawsze upewnić się, że wdrażane u klienta usługi są z nimi zgodne.
Jednak nie tylko użytkownicy muszą potwierdzać swoją tożsamość w systemach IT. Stale rośnie w nich rola maszyn i różnego typu urządzeń, które podejmują decyzje, wymieniają informacje czy wykonują konkretne zadania bez bezpośredniego udziału ludzi. Dlatego wypracowano kilka metod uwierzytelniania maszyn (Machine Identity Authentication), które zapewniają potwierdzenie ich tożsamości przed udzieleniem dostępu do zasobów. Wśród najpopularniejszych są unikalne klucze identyfikacyjne (API keys), certyfikaty SSL/TLS, tokeny OAuth, tokeny JSON Web (JWT), certyfikaty X.509 czy protokoły Mutual TLS (mTLS).
Podobne artykuły
Fudo Security: VPN już nie wystarcza
W dobie bardzo rygorystycznych przepisów wymuszających ochronę danych wrażliwych konieczne staje się m.in. ścisłe zarządzanie dostępem do nich w odniesieniu do użytkowników, ale też do osób z wyższymi uprawnieniami, np. administratorów.
Zero Trust stymulatorem rynku
Brak zaufania wobec użytkowników infrastruktury IT staje się kluczową i docelową strategią zapewniającą ochronę przed wyciekami danych, do których może dochodzić w wyniku zewnętrznych ataków oraz incydentów wewnątrz firm.
GenAI odmieni podejście do bezpieczeństwa
Zanim zespoły ds. bezpieczeństwa w pełni skorzystają z mechanizmów sztucznej inteligencji do obrony infrastruktury i zasobów, będą musiały mierzyć się z nowymi typami ataków, prowadzonych przez cyberprzestępców właśnie z jej użyciem.