Търсене
Close this search box.

Националната агенция за сигурност споделя нови насоки, които помагат на организациите да ограничат движението на противника във вътрешната мрежа, като възприемат принципите на рамката за нулево доверие.

Архитектурата за сигурност с нулево доверие изисква строг контрол за достъп до ресурсите в мрежата, независимо дали са във или извън физическия периметър, за да се сведе до минимум въздействието на пробива.

В сравнение с традиционния модел на ИТ сигурност, който предполага, че всичко и всички в мрежата са доверени, дизайнът с нулево доверие приема, че заплахата вече съществува и не позволява свободна намеса в мрежата.

Напредването в зрелостта на нулевото доверие се извършва постепенно чрез разглеждане на различни компоненти или стълбове, които участниците в заплахата могат да използват при атака.

The seven pillars of the zero-trust architecture
Седемте стълба на архитектурата с нулево доверие
Източник: Национална агенция за сигурност

Днес NSA публикува насоки (pdf, English) за нулево доверие за компонента „мрежа и среда“, който включва всички хардуерни и софтуерни активи, неперсонифицирани субекти и протоколи за взаимовръзка.

Моделът на нулево доверие осигурява задълбочена мрежова сигурност чрез картографиране на потоците от данни, макро- и микросегментация и софтуерно дефинирани мрежи.

За всеки от тях организацията трябва да достигне определено ниво на зрялост, което ѝ позволява да продължи да изгражда според принципите на нулевото доверие.

„Стълбът „Мрежа и среда“ изолира критичните ресурси от неоторизиран достъп чрез определяне на достъпа до мрежата, контрол на мрежовите потоци и потоците от данни, сегментиране на приложенията и работните натоварвания и използване на криптиране от край до край.“ – заключава Агенцията за национална сигурност

Картографирането на потоците от данни започва с определяне на това къде и как се съхраняват и обработват данните. Напредналата зрялост в този случай се постига, когато организацията има пълен опис и видимост на потока и може да смекчи всички настоящи, нови или аномални маршрути.

Чрез макросегментация организациите могат да ограничат страничното движение в мрежата, като създадат мрежови зони за потребителите във всеки отдел.

Например някой в счетоводството не се нуждае от достъп до мрежовия сегмент, посветен на човешките ресурси, освен ако това не е изрично необходимо, така че атакуващият би имал ограничена повърхност за атака, към която да се насочи.

При микросегментацията управлението на мрежата се разделя на по-малки компоненти и се прилагат строги политики за достъп, за да се ограничат страничните потоци от данни.

NSA обяснява, че „микросегментацията включва изолиране на потребителите, приложенията или работните процеси в отделни мрежови сегменти, за да се намали допълнително повърхността за атака и да се ограничи въздействието в случай на пробив“.

По-подробен контрол върху микросегментацията се постига чрез софтуерно дефинирани мрежови компоненти (SDN), които могат да осигурят персонализирано наблюдение на сигурността и предупреждаване.

SDN позволява контролиране на маршрутизирането на пакети от централизиран контролен център, осигурява по-добра видимост в мрежата и позволява прилагане на политики за всички мрежови сегменти.

За всеки от четирите компонента в стълба „Мрежа и среда“ на архитектурата с нулево доверие NSA описва четири нива на зрялост – от подготвителния етап до напредналата фаза, в която се прилагат обширни системи за контрол и управление, позволяващи оптимална видимост, мониторинг и осигуряване на растежа на мрежата.

Проектирането и изграждането на среда с нулево доверие е сложна задача, която изисква систематично преминаване през етапите на зрялост.

Извършена правилно, резултатът е корпоративна архитектура, която може да се противопостави, да идентифицира и да реагира на заплахите, опитващи се да се възползват от слабостите.

През февруари 2021 г. NSA публикува първото ръководство за рамката на нулевото доверие (Embracing a Zero Trust Security Model), в което се описват моделът и предимствата на принципите, които стоят зад него.

През април 2023 г. агенцията публикува ръководство за достигане на зрелостта на потребителския компонент в рамката за нулево доверие – Advancing Zero Trust Maturity Throughout the User Pillar.

 

Източник: e-security.bg

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
29 ноември 2024

Бъдещето на безсървърната сигурност през 2025 г

Безсървърните среди, използващи услуги като AWS Lambda, предлагат н...
Бъдете социални
Още по темата
01/12/2024

Evil Twin WiFi Attack: Ръко...

Добре дошли в задълбоченото изследване на...
29/11/2024

Бъдещето на безсървърната ...

Безсървърните среди, използващи услуги като AWS...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!