Chociaż model Zero Trust istnieje od ponad dekady, to dopiero obecny poziom rozproszenia sieci, na potrzeby osób pracujących hybrydowo i korzystających z chmury sprawiło, że poświęca mu się tyle uwagi. Gdy trzeba bowiem zapewnić w pełni funkcjonalne wsparcie pracowników zdalnych, okazuje się, że tradycyjne sieci VPN „nie dają rady” – i to zarówno pod względem poziomu ochrony, jak i wydajności. Najlepszym sposobem na zarządzanie i zabezpieczanie użytkowników bez stałego miejsca pracy staje się wprowadzenie strategii „zerowego zaufania” i egzekwowanie jej założeń. Zgodnie z nią każde połączenie nawiązywane z firmową siecią jest traktowane jako potencjalne zagrożenie, a każdy użytkownik czy urządzenie muszą być zweryfikowane przed udzieleniem zgody na dostęp do zasobów.

– Wcześniejsze systemy cyberbezpieczeństwa stawiały przede wszystkim na ochronę firmowych zasobów w ramach jednej, zamkniętej, biurowej sieci. Obecnie, gdy pracownicy mogą łączyć się z dowolnego miejsca na świecie, potrzebne są nie tylko odpowiednie rozwiązania monitorujące wiele urządzeń, ale przede wszystkim odpowiednia strategia – stąd narzędzia takie jak Zero Trust Network Access, które dają użytkownikom dostęp tylko do tych zasobów, które są im potrzebne i po wcześniejszej weryfikacji – mówi Przemysław Kania, dyrektor generalny Cisco w Polsce.

Badania, takie jak „2023 State of Zero Trust Report” Fortinetu, pokazują, że z jednej strony coraz więcej przedsiębiorstw wdraża strategię Zero Trust, ale z drugiej – nadal stoją one przed wyzwaniami związanymi z implementacją i integracją odpowiednich narzędzi. A to tworzy okazję do wykazania się integratorom. Jak podkreślają autorzy raportu: „Prawie połowa respondentów (48 proc.) wskazała, że najważniejszą kwestią do rozwiązania jest brak integracji między rozwiązaniami Zero Trust wdrożonymi lokalnie i w chmurze. Inne wyzwania dotyczą kompleksowego egzekwowania reguł, opóźnień w dostępie do aplikacji i braku wiarygodnych informacji, które pomogłyby wybrać i wdrożyć rozwiązanie Zero Trust”.

ZTNA lekiem na zło  

Przez wiele lat firmy i instytucje dbały o bezpieczeństwo swoich sieci, tworząc mury obronne w postaci firewalli, IDS/IPS i wielu innych systemów. Jeszcze nie tak dawno takie podejście sprawdzało się bardzo dobrze, ale czasy się zmieniają. Przedsiębiorcy oraz częściej korzystają z usług chmurowych, a tym samym ich dane czy aplikacje nie są już przechowywane i przetwarzane jedynie w chronionej przez wymienione wcześniej systemy fortecy, czyli własnej serwerowni. Pracownicy coraz częściej pracują zdalnie, korzystając zarówno z komputerów, jak i telefonów, zarówno służbowych, jak i prywatnych. Zero Trust Network Access (ZTNA) stał się zatem wręcz niezbędny.

– VPN często przyznaje użytkownikom pełny dostęp do sieci, tworząc bardzo duży obszar podatny na ataki. Nawet jeśli VPN jest skonfigurowany tak, aby ograniczać dostęp do określonych zasobów sieciowych, nadal opiera się on na przekonaniu, że użytkownicy wewnątrz sieci są godni zaufania, co jest niebezpiecznym założeniem, sprzecznym z modelem Zero Trust. Powoduje to wysokie ryzyko cyberataków i naruszenia zasad bezpieczeństwa – mówi Michał Wendrowski, CEO Rublona.

Warto powtarzać to do znudzenia: ZTNA opiera się na idei „nigdy nie ufaj, zawsze weryfikuj”, w którym zaufanie nigdy nie jest domyślne. Nie jest ważne czy użytkownik próbuje uzyskać dostęp z pokoju obok, czy z drugiego końca świata – i tak zostanie dokładnie sprawdzony i jeśli przejdzie weryfikację to otrzyma tylko jak najwęższe możliwe uprawnienia. Taka granularność pozwala na kontrolowanie dostępu na poziomie aplikacji, a nie całej sieci. Co więcej, nawet po uzyskaniu dostępu, użytkownik i jego urządzenie nadal będą cały czas sprawdzane i jeśli któryś z warunków uzyskania dostępu przestanie być spełniany, dostęp dla tego użytkownika zostanie cofnięty.

– Taki poziom bezpieczeństwa jest po prostu niemożliwy do osiągnięcia przy użyciu VPN, co jest głównym powodem zapotrzebowania na ZTNA – twierdzi Michał Wendrowski.

Co więcej – jak zauważa Paweł Piekarski, Senior Support Specialist w G Data – rozwiązania VPN i ZTNA niekiedy się wykluczają, ponieważ każde z nich może wymagać agenta do nawiązania połączenia. Ważne są też względy wydajnościowe.

– Coraz więcej organizacji migruje swoje usługi do chmury. Zamiast przydzielać użytkownikowi dostęp do wszystkich zasobów w chmurze, ZTNA pozwala ograniczyć go tylko do danej usługi lub aplikacji, zapewniając przy tym dużą wydajność – mówi Paweł Piekarski.

Zdaniem specjalisty

Piotr Topór, Senior Security Manager, Accenture Piotr Topór, Senior Security Manager, Accenture  

Pierwszym wyzwaniem w procesie wdrażania modelu Zero Trust jest złożoność i wielowymiarowość projektu, który wymaga zaangażowania reprezentantów wielu różnych obszarów kompetencyjnych. Kolejnym jest przezwyciężenie przyzwyczajeń do dotychczas działających mechanizmów, co oznacza, że trzeba przekonać ludzi do nowych rozwiązań. Wreszcie, trzecim wyzwaniem jest to, że wypracowywane podejście i mechanizmy powinny zapewniać dużą elastyczność dla kolejnych zmian w sposobie i metodach przechowywania, zabezpieczenia czy przetwarzania danych, które na pewno nadejdą. Wystarczy spojrzeć, jak szybko dostawcy usług chmurowych prezentują nowe typy usług i jak szybko się one rozwijają, a jest to wyścig, który tylko przyspiesza. Świetnym przykładem jest gwałtowna ekspansja usług GenAI w ostatnich miesiącach.

  
Michał Wendrowski, CEO, Rublon Michał Wendrowski, CEO, Rublon  

Uruchomienie skutecznie działającego ZTNA trzeba zacząć od przeprowadzenia analizy ryzyka oraz identyfikacji krytycznych zasobów i danych, które wymagają ochrony. Trzeba też zapewnić kompatybilność i interoperacyjność między narzędziami ZTNA a firmowymi systemami IT, testując i dostosowując różne opcje dostępne na rynku. Musimy również zmienić obecne rozwiązania na ZTNA, mapując użytkowników i grupy, integrując dostawców tożsamości, konfigurując polityki dostępu i rekonfigurując sieć. Konieczne będzie też zdefiniowanie i zautomatyzowanie polityki bezpieczeństwa, aby zapewnić bezpieczny dostęp do zasobów. Pomocne w tym będzie wdrożenie takiego systemu MFA, który umożliwia definiowanie polityk bezpieczeństwa, zarówno w odniesieniu do grup użytkowników, jak i poszczególnych aplikacji.