Ikke stol på noen! Zero Trust-prinsippet gir best sikkerhet i skyen og i datasenteret

Tradisjonelt har virksomheter ansett eksterne trusler som de mest bekymringsverdige. Her har det skjedd en endring. Nå er det Zero Trust som gjelder – også overfor dine ansatte.

Zero Tust er et begrep som har eksistert i nesten ti år. Men nå som arbeidsstyrken er mer mobil, og stadig flere virksomheter flytter tjenester til skyen, er det mer aktuelt enn noen gang. Zero Trust tar utgangspunkt i at alt og alle kan utgjøre en trussel mot organisasjonen. Angrep kommer i stadig større grad innenfra. Slagordet er «ikke stol på noen, hverken internt eller eksternt».

– Med Zero Trust-metodikk får ansatte begrenset tilgang til data, og kun til data som er relevant for eget arbeid. Den ansatte er også nødt til å verifisere seg på nytt hver gang de ønsker tilgang. Dette bidrar til å løse en viktig utfordring i tradisjonell sikkerhetsarkitektur – nemlig at angripere kan bevege seg fritt hvis de først klarer å hacke en konto, sier Per Anton Fagerholt Ihler, Team Lead for Palo Alto Networks i Orange Cyberdefense Norge.

Første steg på veien

For å implementere en fullverdig Zero Trust-strategi, må man først definere virksomhetens sikkerhetsarkitektur. Da må følgende vurderes, ifølge Ihler:

• Segmentering: Forsikre deg om at bare kjent, tillatt trafikk eller legitim applikasjonskommunikasjon er tillatt, ved å segmentere og aktivere Layer 7-policy.
• Aksesskontroll: Kartlegg og fastsett retningslinjer og regler basert på minste privilegiums prinsipp og oppretthold streng aksesskontroll.
• Trusselforebygging, deteksjon og respons: overvåk og logg all trafikk for raskt å identifisere, forhindre og respondere på trusler.

– Det er viktig å huske at sikker aksess ikke er nok; konstant inspeksjon og forebyggende arbeid må inkluderes for å kunne implementere Zero Trust i hele organisasjonen, sier han.

Zero Trust er en strategi, ikke et produkt

Det finnes ikke noe produkt som kan legges på toppen av dine eksisterende sikkerhetsverktøy for å utføre en Zero Trust-strategi. Zero Trust er en filosofi som må planlegges og implementeres nøye i hele organisasjonen, inkludert fysisk avsidesliggende steder og brukere, så vel som i skyen.

Sikker tilgang er en ingrediens i Zero Trust-filosofien. Trafikkinspeksjon i sanntid er nødvendig for raskt å identifisere og adressere trusler. Med en konstant trafikkinspeksjon kan uvanlig brukeratferd og unormal aktivitet varsle nettverksadministratorer.

Ihler forklarer at en Zero Trust-strategi kan komme organisasjonen til gode på flere måter:

• Bedre synlighet i data, tilgang og risiko.
• Konsekvent og omfattende sikkerhet.
• Redusert “time to market” og fleksibilitet til å være et skritt foran teknologiutviklingen.
• Reduksjon av driftskostnader og kompleksitet.
• Hjelp til evaluering og compliance.

Sikkerhetsstrategi med Zero Trust i datasenteret

Nøkkelen til Zero Trust sikkerhetsstrategi i datasenteret ligger i distribuerte interne brannmurer. Første steg er å bruke brannmuren til å segmentere nettverket, og isolere og sikre ulike soner. Dette hindrer interne og eksterne trusselaktører fra å bevege seg lateralt mellom sonene.

– Den distribuerte brannmuren gir deg også full oversikt over bruk og trafikk på alle applikasjonene i datasenteret. Dette er verdifull informasjon som gir deg full kontroll over hva som skjer, og gjør det mulig å redusere angrepsflaten. Det vil si å isolere kritiske applikasjoner fra resten av innholdet i datasenteret, ta i bruk aksesskontroll og stoppe laterale bevegelser, sier Ihler.

Brannmuren inspiserer trafikken og håndhever individuell sikkerhetspolicy for de ulike brukergruppene. Den gir også anbefalinger til sikkerhetspolicy basert på trafikkmønsteret. For enda mer avansert aksesskontroll kan du også aktivere avanserte sikkerhetskontroller i den distribuerte interne brannmuren.

– Mikrosegmentering og sikring av alle applikasjoner er også et viktig ledd av Zero Trust i datasenteret. Funksjonene i brannmuren gjør prosessen enkel, blant annet ved å gi god synlighet, anbefalinger til sikkerhetsinnstillinger, iverksette oppdatert sikkerhetspolicy, redusere blindsoner og blokkere laterale bevegelser.

Sikkerhetsstrategi med Zero Trust i skyen

For å utvide Zero Trust til skyen kreves sikkerhet levert fra skyen. Sikkerhet fra skyen muliggjør policystyring, bedre beskyttelse og synlighet i all internett-trafikk. Ved å la brukere og kontorer koble seg direkte til skyen, i stedet for først å gå gjennom et hovedkontor eller brannmurer, forenkles nettverket og skyarkitekturen og den totale angrepsvektoren minimeres.

Selv om skybeskyttelsen blir mer kompleks, er det viktig at brukeropplevelsen ikke skal bli dårligere, understreker Ihler.

– Hvis det blir for mange trinn for brukere å få tilgang til applikasjoner eller data i skyen, vil de omgå den sikre måten og få tilgang til disse på. Sikker tilgang er avgjørende for at Zero Trust skal fungere, og det må ha minimal innvirkning på brukerne.

Når bruken av SaaS-applikasjoner som G Suite, Box og Office 365, og andre skytjenester øker, blir det å opprettholde sikkerhet og kontroll over data, trafikk og brukere som får tilgang til skyen også mer omfattende. Uautoriserte brukere kan imidlertid få tilgang til data eller applikasjoner som ikke oppfyller jobbkravene deres. For å sikre SaaS-apper kreves forebyggende protokoller og policyadministrasjon. Det er viktig å gi ansatte og eksterne samarbeidspartnere forskjellige nivåer på tilgang. Zero Trust for skyen krever full synlighet i sky-applikasjonene, dataene som er lagret og hvem som har tilgang til dataene.

– Når applikasjoner flyttes fra eget datasenter til skyen, er sikker tilgang helt avgjørende. Alle enheter må ha streng policyhåndtering, som gir tilgang til nødvendige applikasjoner per brukerrolle, samtidig som sikkerhet og beskyttelse opprettholdes. Du må også holde konstant synlighet for hvilken informasjon som skal være tilgjengelig og for hvem.

Det finnes en enkel løsning

Orange Cyberdefense Norge opplever stadig større etterspørsel etter løsninger som muliggjør en fullverdig Zero Trust-strategi – både i skyen og i tradisjonelle datasentre. Hos Orange Cyberdefense Norge er det Per Anton Fagerholt Ihler og resten av Palo Alto-teamet som bistår kundene med dette. De utgjør i dag et team på fem personer, men allerede etter sommeren vil de utvide med ytterligere to eller tre spesialister.

– Vi fungerer som både rådgivende og utøvende konsulenter for kunder som ønsker å sikre sine data med en Zero Trust-strategi. Våre spesialister kommer med forslag til hvordan de kan løse sine sikkerhetsutfordringer med Palo Alto Networks sine løsninger, og setter dette ut i praksis, forklarer Ihler.

Prisma Access fra Palo Alto Networks kontrollerer tilgang, beskytter data og sikrer applikasjoner når virksomheter flytter til skyen. Dette er en løsning som gir synlighet og sikker tilgang til data, eiendeler, apper, brukere og risiko samtidig som det gir god fleksibilitet og ytelse. Prisma Access kontrollerer tilgang i sanntid, beskytter data og sikrer applikasjoner i skyen.

– Med Prisma Access kan organisasjoner benytte en Zero Trust-strategi for å koble avdelingskontorer og mobilbrukere sikkert til skyen. I tillegg muliggjør det styring av bruken av SaaS-applikasjoner og distribusjon av andre skyapplikasjoner, forklarer Ihler.

Strata fra Palo Alto Networks innebærer mange av de samme prinsippene som Prisma, men sørger for sikkerhet med on-premise løsninger, som fysiske servere på kontorer eller tradisjonelle datasentre. Det handler altså brannmurteknologi, eller perimetersikring om du vil.

– Hvis en kunde for eksempel kjøper en brannmur, må denne installeres og kobles til fysisk på den aktuelle lokasjonen. Vi kan gjøre de tekniske installasjonene for kunden, i tillegg til å være rådgivere innen bruk av Strata.

– Dersom du ønsker å sikre dine data, enten i skyen eller i et datasenter, er det en Zero Trust-strategi som gjelder. For å gjennomføre dette er det ekstremt viktig med en grundig tilnærming og bruk av de beste løsningene på markedet, som helt klart er Prisma Access og Strata fra Palo Alto Networks. Vårt team står klare til å bistå i denne prosessen, helt fra planleggingsfasen til selve driften og oppfølgingen av sikkerhetsløsningene, avslutter Per Anton Fagerholt Ihler, Team Lead for Palo Alto Networks i Orange Cyberdefense Norge.