Реализация Connection Zero Trust в многооблачных средах

Информация о продукте

Технические характеристики:

• Название продукта: Руководство по внедрению Zero Trust в многооблачных средах
• Партнер: Связь
• Фокус: Киберустойчивость, модель безопасности Zero Trust
• Целевая аудитория: организации всех размеров и отраслей.

Часто задаваемые вопросы

В: Каковы основные преимущества внедрения Zero Trust в многооблачных средах?

A: Внедрение концепции Zero Trust в многооблачных средах помогает организациям повысить уровень кибербезопасности, снизить риски, связанные с облачными сервисами, улучшить защиту данных и повысить общую устойчивость безопасности.

В: Как организации могут оценить свой прогресс на пути к концепции «Нулевого доверия»?

A: Организации могут измерить свой прогресс на пути к концепции «Нулевого доверия», оценив реализацию доступа с наименьшими привилегиями, сегментацию сети, механизмы непрерывной аутентификации, а также возможности мониторинга и реагирования.

Введение

Киберустойчивость объединяет планирование непрерывности бизнеса, кибербезопасность и операционную устойчивость. Цель состоит в том, чтобы иметь возможность поддерживать операции с минимальным или нулевым временем простоя, даже если произойдет наихудший сценарий — разрушительная кибератака или другая катастрофа.
В современном мире киберустойчивость должна быть одной из целей Полярной звезды каждой организации. В глобальном масштабе киберпреступность обходится своим жертвам более чем в 11 триллионов долларов в год, и, по прогнозам, к концу 20 года эта цифра превысит 2026.1 триллионов долларов.2020.2 Расходы, связанные с утечками данных, программами-вымогателями и вымогательскими атаками, продолжают расти, увеличиваясь в среднем более чем на пять процентов в год с XNUMX года.XNUMX Но эти расходы не распределяются равномерно между всеми жертвами. Некоторые организации, например, в строго регулируемых отраслях, таких как здравоохранение, несут более высокие средние расходы, связанные с утечками, в то время как другие, например, организации со зрелыми программами обеспечения безопасности, использующими автоматизацию и ИИ, как правило, несут более низкие расходы.
Разрыв между жертвами киберпреступности, которые несут разрушительные потери, и теми, кто видит лишь незначительные последствия от события нарушения, будет увеличиваться по мере того, как субъекты угроз совершенствуют свои возможности. Новые технологии, такие как генеративный ИИ, позволяют злоумышленникам запускать менее сложные атаки (например, фишинг) во все больших масштабах. Также становится проще создавать высоконастраиваемые компрометации деловой электронной почты (BEC) и социальную инженерию campAigns.
Чтобы защитить свои доходы и репутацию, а также сохранить доверие клиентов, организациям всех размеров и отраслей необходимо отказаться от вчерашних подходов к киберзащите и ее реализации.
Именно это и решает политика «Нулевого доверия».

11 триллионов долларов
ежегодные расходы на киберпреступность во всем мире1

58% увеличение
в фишинговых атаках с 2022 по 20233 год

108% увеличение
в атаках на компрометацию деловой электронной почты (BEC) за тот же период4

1. Statista, Предполагаемый ущерб от киберпреступности во всем мире в 2018–2029 годах, июль 2024 года.
2. IBM, отчет о стоимости утечки данных за 2023 год.
3. Zscaler, отчет ThreatLabz о фишинге за 2024 год
4. Аномальная безопасность, отчет об угрозах электронной почты за первое полугодие 1 г.

Zero Trust: новое видение защиты современных технологических экосистем

• Поскольку все больше организаций перемещают ключевые части своих ИТ-инфраструктур в облако, крайне важно принять стратегии кибербезопасности, которые хорошо подходят для современных технологических сред. Они, как правило, сложны, распределены и не имеют границ. В этом смысле они радикально отличаются от локальных сетей — с серверами и настольными компьютерами, защищенными периметральным брандмауэром, — для защиты которых были созданы устаревшие подходы к безопасности.
• Zero Trust был изобретен для того, чтобы заполнить этот пробел. Разработанный для устранения уязвимостей, которые возникают, когда пользователи автоматически доверяются по умолчанию (например, когда они находятся внутри периметра устаревшей сети), Zero Trust хорошо подходит для современных ИТ-сред, где пользователи в самых разных местах постоянно получают доступ к данным и услугам как внутри, так и за пределами корпоративной сети.
• Но понять, что требуется для внедрения Zero Trust, не всегда просто. Нелегко также выяснить, как повысить зрелость Zero Trust вашей организации. Выбор правильных технологий для внедрения требует продирания через море конкурирующих заявлений поставщиков, и даже прежде, чем вы сможете это сделать, вам нужно найти правильную стратегию.
• Чтобы облегчить задачу, мы составили это практическое руководство. В нем вы найдете пятишаговый план, который поможет вашей организации ускорить прогресс на пути к Zero Trust.
  

Что такое нулевое доверие?

Zero Trust — это стратегия кибербезопасности, основанная на основном принципе «никогда не доверяй, всегда проверяй». Термин вошел в обиход, поскольку отраслевые эксперты наблюдали растущее число кибератак, в ходе которых периметры сетей успешно нарушались. В начале 2000-х годов большинство корпоративных сетей имели внутреннюю «доверенную зону», защищенную брандмауэрами, модель, известную как подход «замок и ров» к кибербезопасности.
По мере развития ИТ-сред и ландшафта угроз становилось все более очевидным, что почти каждый аспект этой модели имеет недостатки.

• Сетевые периметры просто невозможно защитить способами, которые на 100% отказоустойчивы.
  У решительных злоумышленников всегда будет возможность найти бреши или пробелы.
• Всякий раз, когда злоумышленнику удается получить доступ к «доверенной зоне», ему становится очень легко украсть данные, внедрить программу-вымогатель или иным образом нанести вред, поскольку ничто не мешает дальнейшему движению.
• Поскольку организации все чаще используют облачные вычисления и позволяют своим сотрудникам работать удаленно, концепция присутствия в сети становится все менее актуальной для их положения в области безопасности.
• Для решения этих проблем была создана модель Zero Trust, которая представляет собой новую модель защиты данных и ресурсов, основанную на постоянной проверке того, что пользователю/устройству должен быть предоставлен доступ, прежде чем ему будет разрешено подключиться к любой службе или ресурсу.
  

Zero Trust становится межотраслевым стандартом

Zero Trust широко принята организациями во многих различных вертикалях. Согласно одному недавнему опросу, почти 70% лидеров в области технологий находятся в процессе внедрения политик Zero Trust на своих предприятиях.5 Также были предприняты далеко идущие усилия по внедрению Zero Trust в государственном секторе. Например, Указ президента 2021 года об улучшении кибербезопасности страны призвал федеральное правительство и организации в секторах критической инфраструктуры повысить свою зрелость Zero Trust.6 И Национальный институт стандартов и технологий (NIST), и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) опубликовали подробные определения Zero Trust, а также подробные рекомендации о том, как его достичь.

Нулевое доверие: официальные определения

Национальный институт стандартов и технологий (NIST):
Zero Trust (ZT) — это термин для развивающегося набора парадигм кибербезопасности, которые перемещают защиту от статических сетевых периметров, чтобы сосредоточиться на пользователях, активах и ресурсах. Архитектура Zero Trust (ZTA) использует принципы Zero Trust
для планирования промышленной и корпоративной инфраструктуры и рабочих процессов. Zero Trust предполагает, что не существует неявного доверия, предоставляемого активам или учетным записям пользователей исключительно на основе их физического или сетевого местоположения (т. е. локальные сети по сравнению с Интернетом) или на основе права собственности на актив (корпоративное или личное). Аутентификация и авторизация (как субъекта, так и устройства) являются дискретными функциями, выполняемыми до установления сеанса на корпоративном ресурсе. Zero Trust является ответом на тенденции корпоративных сетей, которые включают удаленных пользователей, принесение собственного устройства (BYOD) и облачные активы, которые не находятся в пределах границ корпоративной сети. Zero Trust фокусируется на защите ресурсов (активов, служб, рабочих процессов, сетевых учетных записей и т. д.), а не сетевых сегментов, поскольку сетевое местоположение больше не рассматривается как основной компонент состояния безопасности ресурса. 7

Агентство по кибербезопасности и безопасности инфраструктуры (CISA):
Zero Trust представляет собой набор концепций и идей, призванных минимизировать неопределенность при принятии точных решений о доступе с минимальными привилегиями на каждый запрос в информационных системах и службах в условиях сети. viewed как скомпрометированное. Zero Trust Architecture (ZTA) — это план кибербезопасности предприятия, который использует концепции Zero Trust и охватывает взаимосвязи компонентов, планирование рабочего процесса и политики доступа. Таким образом, Zero Trust enterprise — это сетевая инфраструктура (физическая и виртуальная) и операционные политики, которые существуют для предприятия как продукт плана ZTA.8

Достижение прогресса на пути к нулевому доверию

• Zero Trust широко принят как стандарт безопасности, к которому должны стремиться организации. Это также, как ясно из приведенных выше определений, сложная концепция.
• Большинство организаций с установленными программами безопасности уже внедрили по крайней мере некоторые элементы управления, предназначенные для защиты их внутренней корпоративной сети (например, физические брандмауэры). Для этих организаций задача состоит в том, чтобы отойти от устаревшей модели (и сопутствующих ей способов мышления) к принятию Zero Trust — постепенно, не выходя за рамки бюджета и продолжая улучшать видимость, контроль и способность реагировать на угрозы.
• Это может быть нелегко, но вполне возможно при правильной стратегии.

Шаг 1: Начните с изучения принципов Zero Trust.

• Определение Zero Trust от NIST описывает его как архитектуру, то есть способ планирования и внедрения инфраструктуры безопасности предприятия и набора рабочих процессов на основе принципов Zero Trust. Основное внимание уделяется защите отдельных ресурсов, а не сетей или частей (сегментов) сетей.
• NIST SP 800-207 также включает дорожную карту для принятия Zero Trust. Публикация описывает строительные блоки, необходимые для создания архитектуры Zero Trust (ZTA). Здесь могут использоваться различные инструменты, решения и/или процессы, если они играют правильную роль в проекте архитектуры.
• С точки зрения NIST, цель концепции Zero Trust — предотвратить несанкционированный доступ к ресурсам, сделав при этом контроль доступа максимально детализированным.

Особое внимание уделяется двум основным направлениям:

1. Механизмы принятия решений о том, каким пользователям или потокам трафика предоставляется доступ к ресурсам
2. Механизмы обеспечения выполнения решений о доступе

Существует несколько способов внедрения архитектуры Zero Trust. Они включают в себя:

1. Подход, основанный на управлении идентификацией
2. Подход на основе микросегментации, при котором отдельные ресурсы или небольшие группы ресурсов изолируются в сегменте сети, защищенном решением безопасности шлюза.
3. Подход на основе программно-определяемого периметра, в котором сетевое решение, такое как программно-определяемая глобальная сеть (SD-WAN), защищенный доступ к периферии сервиса (SASE) или безопасность периферии сервиса (SSE), настраивает всю сеть таким образом, чтобы ограничить доступ к ресурсам в соответствии с принципами ZT
   Модель зрелости Zero Trust от CISA основана на схожих концепциях. Она подчеркивает необходимость применения детальных мер безопасности, которые управляют доступом пользователей к системам, приложениям, данным и активам, и выстраивание этих мер контроля с учетом идентификационных данных пользователей, контекста и потребностей в доступе к данным.
   Этот подход сложен. Согласно CISA, путь к Zero Trust — это постепенный процесс, реализация которого может занять годы.
   Модель CISA включает пять столпов. В каждой из этих областей можно добиться прогресса, чтобы поддержать движение организации к Zero Trust.

Нулевое доверие представляет собой переход от модели, ориентированной на местоположение, к подходу, ориентированному на идентификацию, контекст и данные, с детальным контролем безопасности между пользователями, системами, приложениями, данными и активами, которые со временем меняются.
—CISA, Модель зрелости Zero Trust, Версия 2.0

Пять столпов модели зрелости «нулевого доверия»

Шаг 2: Поймите, что значит двигаться к зрелости.
Модель зрелости Zero Trust от CISA описывает четыреtagСтепени продвижения к зрелости: традиционная, начальная, продвинутая и оптимальная.
Можно двигаться к зрелости в рамках каждого из пяти столпов (идентификация, устройства, сети, приложения и рабочие нагрузки, а также данные). Обычно это включает в себя добавление автоматизации, улучшение видимости путем сбора данных для использования в аналитике и улучшение управления.

Продвижение концепции нулевого доверия

• Скажем, напримерample, что ваша организация использует облачное приложение на AWS.
• Достижение прогресса в рамках столпа «идентификация» может включать переход от ручного предоставления и отмены доступа для этого приложения (традиционный) к началу автоматизации применения политик, связанных с идентификацией (начальный). Для дальнейшего развития зрелости Zero Trust вы можете применить автоматизированные элементы управления жизненным циклом, которые согласованы в этом приложении и ряде других, которые вы используете (продвинутый). Оптимизация зрелости Zero Trust может включать полную автоматизацию управления жизненным циклом удостоверений «точно вовремя», добавление динамического применения политик с автоматизированной отчетностью и сбор телеметрических данных, которые обеспечивают полную видимость в этом приложении и всех других в вашей среде.
• Чем более зрелой является ваша организация, тем больше вы сможете сопоставить события по пяти столпам. Таким образом, команды по безопасности могут понять, как они связаны на протяжении жизненного цикла атаки, который может начаться со взломанной личности на одном устройстве, а затем перейти по сети к конфиденциальным данным в вашем облачном приложении, работающем на AWS.

Дорожная карта нулевого доверия

Шаг 3: Определите стратегию внедрения или миграции Zero Trust, которая лучше всего подойдет вашей организации.

Если вы не создаете новую архитектуру с нуля, обычно имеет смысл работать постепенно. Это означает внедрение компонентов архитектуры Zero Trust один за другим, продолжая работать в гибридной среде на основе периметра/Zero Trust. При таком подходе вы будете постепенно продвигаться в своих текущих инициативах по модернизации.

Шаги, которые следует предпринять при постепенном подходе:

1. Начните с определения областей наибольшего кибер- и бизнес-риска. Сначала внесите изменения здесь, чтобы защитить ваши самые ценные активы данных, и двигайтесь последовательно оттуда.
2. Тщательно изучите все активы, пользователей, рабочие процессы и обмены данными в вашей организации. Это позволит вам сопоставить ресурсы, которые вам нужно защитить. Как только вы поймете, как люди используют эти ресурсы, вы сможете разработать политики, которые вам понадобятся для их защиты.
3. Расставьте приоритеты проектов на основе бизнес-рисков и возможностей. Что окажет наибольшее влияние на ваше общее состояние безопасности? Что будет проще всего выполнить быстро? Что будет наименее разрушительным для конечных пользователей? Задавая такие вопросы, вы дадите своей команде возможность принимать стратегические решения.
   

Шаг 4: Оцените технологические решения, чтобы увидеть, какие из них лучше всего соответствуют вашим бизнес-процессам и текущей ИТ-экосистеме.
Это потребует самоанализа, а также анализа того, что есть на рынке.

Вопросы, которые следует задать, включают следующее:

• Разрешает ли наша компания использование устройств, принадлежащих сотрудникам? Если да, будет ли это решение работать с вашей существующей политикой использования собственных устройств (BYOD)?
• Работает ли это решение в публичном облаке или облаках, где мы построили нашу инфраструктуру? Может ли оно также управлять доступом к приложениям SaaS (если мы их используем)? Может ли оно работать и для локальных активов (если они у нас есть)?
• Поддерживает ли это решение сбор журналов? Интегрируется ли оно с платформой или решением, которое мы используем для принятия решений о доступе?
• Поддерживает ли решение все приложения, службы и протоколы, используемые в нашей среде?
• Подходит ли решение для работы наших сотрудников? Потребуется ли дополнительное обучение перед внедрением?
  

Шаг 5: Реализуйте первоначальное развертывание и отслеживайте его эффективность.

Как только вы будете удовлетворены успехом своего проекта, вы сможете развить его, предприняв следующие шаги к достижению зрелости Zero Trust.

Нулевое доверие в многооблачных средах

• По замыслу Zero Trust предназначен для использования в современных ИТ-экосистемах, которые почти всегда включают компоненты от одного или нескольких поставщиков облачных услуг. Zero Trust естественным образом подходит для многооблачных сред. Тем не менее, создание и применение согласованных политик для различных типов устройств, пользователей и местоположений может быть сложной задачей, а опора на нескольких поставщиков облачных услуг увеличивает сложность и разнообразие вашей среды.
• В зависимости от вашей вертикали, бизнес-целей и требований соответствия стратегия вашей индивидуальной организации будет отличаться от стратегии всех остальных. Важно учитывать эти различия при выборе решений и разработке стратегии внедрения.
• Создание сильной архитектуры многооблачной идентификации очень важно. Устройства отдельных пользователей должны иметь возможность подключаться к вашей внутренней сети, к облачным ресурсам и (во многих случаях) к другим удаленным активам. Решение вроде SASE, SSE или SD-WAN может обеспечить такое подключение, поддерживая при этом гранулярное применение политик. Решение управления доступом к сети (NAC) многооблачной сети, специально разработанное для реализации Zero Trust, может сделать возможным принятие интеллектуальных решений по аутентификации даже в самых разных средах.

Не забывайте о решениях, предоставляемых поставщиками облачных услуг.
Поставщики публичных облачных услуг, такие как AWS, Microsoft и Google, предлагают собственные инструменты, которые можно использовать для анализа, улучшения и поддержания состояния безопасности вашего облака. Во многих случаях использование этих решений имеет смысл для бизнеса. Они могут быть как экономически эффективными, так и высокопроизводительными.

Ценность работы с надежным партнером

Многие решения по архитектурному проектированию, которые необходимо принять при внедрении Zero Trust, сложны. Правильный технологический партнер будет хорошо разбираться во всех технологических продуктах, услугах и решениях, доступных на рынке сегодня, поэтому он будет иметь четкое представление о том, какие из них лучше всего подходят для вашего бизнеса.

Совет эксперта:

• Ищите партнера, который хорошо разбирается в интеграции нескольких публичных облаков и платформ.
• Контроль затрат может быть проблемой в многооблачных средах: использование решений, предоставляемых поставщиком, может быть менее затратным, но может затруднить поддержание согласованного контроля на разных платформах или инфраструктурах. Определение лучшей стратегии может потребовать анализа затрат и выгод, а также глубокого понимания вашей ИТ-среды.
• Правильный партнер может помочь вам с принятием этого решения. У них должны быть обширные партнерские отношения с несколькими поставщиками решений безопасности, поэтому они смогут помочь вам увидеть прошлые индивидуальные заявления поставщиков, чтобы определить, какие решения действительно лучше всего подходят для ваших нужд. Они также могут быть в состоянии обеспечить advantagED-ценообразование от вашего имени, поскольку они работают с несколькими поставщиками одновременно.
• Ищите поставщика, который может выполнить одноразовое консультационное задание, если это необходимо, но который также имеет опыт предоставления управляемых услуг в долгосрочной перспективе. Таким образом, вы можете быть уверены, что не столкнетесь с чрезмерной административной нагрузкой и сможете получить полную отдачу от выбранных вами инструментов и решений.
  

Встречайте связь

• Чтобы защитить организации от растущих киберрисков, внедрение архитектуры Zero Trust жизненно важно. Но это также сложно. От понимания фреймворков Zero Trust до выбора технологий,
  Разработка стратегии внедрения и повышение зрелости модели «Нулевого доверия» может стать долгосрочным проектом со множеством подвижных частей.
• Объединение с правильным сервисом и решением может сделать движение к Zero Trust как более простым, так и более доступным. В долгосрочной перспективе ваша команда может быть уверена, что вы смягчаете некоторые из самых больших (и потенциально самых дорогих) рисков, с которыми сталкивается ваш бизнес.
• Connection, компания из списка Fortune 1000, успокаивает путаницу в сфере ИТ, предоставляя клиентам ведущие в отрасли технологические решения для повышения роста, повышения производительности и поддержки инноваций. Специализированные специалисты, ориентированные на исключительный сервис, разрабатывают индивидуальные предложения, соответствующие уникальным потребностям клиента. Connection предлагает экспертные знания в различных технологических областях, предоставляя решения клиентам в более чем 174 странах.
• Наши стратегические партнерства с такими компаниями, как Microsoft, AWS, HP, Intel, Cisco, Dell и VMware позволяют нашим клиентам легко находить решения, необходимые для продвижения своей модели нулевого доверия.
  

Как может помочь связь

Connection — ваш партнер по внедрению Zero Trust. От оборудования и программного обеспечения до консалтинга и индивидуальных решений, мы лидируем в областях, критически важных для успеха Zero Trust и многооблачных сред.

Изучите наши ресурсы
Современная инфраструктура
Услуги кибербезопасности

Обратитесь к одному из наших экспертов по связям сегодня:

Связаться с нами
1.800.998.0067

©2024 PC Connection, Inc. Все права защищены. Connection® и we solution IT® являются товарными знаками PC Connection, Inc. или ее дочерних компаний. Все авторские права и товарные знаки остаются собственностью их соответствующих владельцев. 2879254-1224

В ПАРТНЕРСТВЕ С

Благодаря нашим долгосрочным отношениям с клиентами и опыту в области технологий Cisco мы постоянно совершенствуем способ ведения бизнеса с Cisco. Наш спектр знаний и консультационных услуг Cisco может ускорить ваше конкурентное преимущество, помочь увеличить производство и повысить эффективность. Connection вместе с Cisco может провести вас по пути преобразования вашего бизнеса в цифровую эпоху.

Как партнер Microsoft Solutions, Connection предлагает продукты, техническую экспертизу, услуги и решения, которые помогут вашему бизнесу адаптироваться к постоянно меняющемуся технологическому ландшафту. Мы внедряем инновации для вашей организации посредством поставки и развертывания оборудования, программного обеспечения и облачных решений Microsoft, используя наши обширные знания и проверенные возможности, чтобы гарантировать, что вы получите максимальную выгоду от своих инвестиций в Microsoft.

Документы/Ресурсы

Реализация Connection Zero Trust в многооблачных средах [pdf] Руководство пользователя Реализация Zero Trust в многооблачных средах, Реализация Trust в многооблачных средах, Реализация в многооблачных средах, в многооблачных средах, Облачные среды, Среды

Ссылки

• Руководство пользователя