Veien til Zero Trust

Hva er Zero Trust?

Tradisjonell IT-sikkerhet har lenge vært basert på en tydelig nettverksperimeter: hvor brukere og systemer på innsiden ble i stor grad ansett som trygge. I dag fungerer ikke denne modellen like godt. Applikasjoner ligger i skyen, brukere jobber fra ulike lokasjoner, og angripere forsøker ofte å bevege seg videre inne i miljøet etter at de først har fått tilgang.

Zero Trust snur denne tilnærmingen på hodet. I stedet for å stole på alt som befinner seg i nettverket, verifiseres hver bruker, enhet og tilkobling kontinuerlig. Tilgang gis basert på identitet, kontekst og policy – ikke på hvilken del av nettverket man befinner seg i.

Begrepet Zero Trust ble introdusert av sikkerhetsanalytiker John Kindervag i 2010 som en reaksjon på svakhetene i tradisjonell perimeterbasert sikkerhet. I den klassiske modellen ble brukere og systemer på innsiden av nettverket ofte ansett som trygge, mens truslene ble antatt å komme utenfra.

Kindervag utfordret denne tilnærmingen med prinsippet “never trust, always verify” – ingen brukere, enheter eller systemer skal automatisk stoles på, selv om de befinner seg inne i nettverket. All tilgang må verifiseres kontinuerlig basert på identitet, kontekst og policy.

Et annet sentralt prinsipp i Zero Trust er å starte med det som faktisk må beskyttes. I stedet for å forsøke å beskytte hele nettverket anbefaler metodologien å identifisere virksomhetens mest kritiske data, applikasjoner og tjenester, og bygge sikkerhetskontroller rundt disse ressursene.

I dag beskriver analysefirmaet Gartner Zero Trust som en moderne tilnærming til å redusere cyberrisiko og begrense konsekvensene av sikkerhetsbrudd. Modellen brukes i økende grad som utgangspunkt for moderne sikkerhetsarkitektur i hybride og skybaserte miljøer.

Zero Trust er også beskrevet i den amerikanske sikkerhetsstandarden NIST SP 800-207, som definerer arkitekturen og prinsippene for hvordan tilgang til systemer og data bør kontrolleres i moderne IT-miljøer.

Mange av de samme prinsippene reflekteres også i NSMs grunnprinsipper for IKT-sikkerhet, hvor segmentering, minste privilegium og sterk identitetskontroll trekkes frem som sentrale tiltak for å redusere risiko.

For å gjøre denne tilnærmingen praktisk gjennomførbar utviklet Kindervag også en strukturert metodologi i fem steg som hjelper virksomheter med å bevege seg fra tradisjonell nettverkssikkerhet til en mer robust og kontrollert sikkerhetsarkitektur.

Veien til Zero Trust

Zero Trust implementeres sjelden i ett enkelt prosjekt. For de fleste virksomheter er det en gradvis utvikling av sikkerhetsarkitekturen. Erfaring viser at organisasjoner som forsøker å implementere Zero Trust som en stor transformasjon ofte møter unødvendig kompleksitet og lange implementasjonsløp.

I stedet anbefaler vi å starte mer målrettet: identifiser de mest kritiske applikasjonene og systemene, etabler bedre synlighet i hvordan de kommuniserer, og implementer sikkerhetskontroller rundt disse ressursene. På denne måten kan virksomheten redusere risiko og samtidig bygge erfaring med Zero Trust-prinsippene før arkitekturen utvides til flere deler av miljøet.

Denne tilnærmingen gjør det mulig å oppnå konkrete sikkerhetsforbedringer raskt, samtidig som man legger et solid fundament for en mer helhetlig Zero Trust-arkitektur over tid.

Hos Shift Security anbefaler vi å ta utgangspunkt i metodologien utviklet av John Kindervag, som beskriver en strukturert tilnærming til hvordan virksomheter kan bevege seg fra tradisjonell nettverkssikkerhet til en mer moderne og kontrollert sikkerhetsarkitektur.

Metodologien beskriver fem faser som hjelper virksomheter med å identifisere hva som skal beskyttes, forstå hvordan systemer og applikasjoner kommuniserer, og etablere sikkerhetskontroller som reduserer risiko og begrenser konsekvensene av et eventuelt angrep.

Nedenfor beskriver vi kort de fem fasene som ofte danner grunnlaget for en strukturert vei til Zero Trust.

1. Definer hva som skal beskyttes

Første steg er å identifisere virksomhetens mest kritiske ressurser – data, applikasjoner, tjenester og systemer. I Zero Trust omtales dette ofte som Protect Surface. Ved å starte med det som faktisk må beskyttes, kan sikkerhetskontrollene etableres mer presist.

2. Kartlegg hvordan systemene kommuniserer

Når de kritiske ressursene er identifisert, må man forstå hvordan applikasjoner, systemer og brukere kommuniserer med hverandre. Denne innsikten gjør det mulig å etablere riktige sikkerhetskontroller og redusere unødvendig tilgang.

3. Design Zero Trust-arkitekturen

Basert på oversikten over ressurser og trafikk kan virksomheten etablere en arkitektur hvor tilgang styres av identitet, kontekst og policy – ikke av nettverkslokasjon.

4. Implementer sikkerhetskontroller

I denne fasen implementeres teknologier og kontroller som håndhever policyene, for eksempel identitetsbasert tilgang, mikrosegmentering og sikker tilgang til applikasjoner.

5. Overvåk og forbedre kontinuerlig

Zero Trust er ikke et engangsprosjekt. Sikkerhetskontroller, policyer og tilgang må overvåkes og justeres kontinuerlig for å håndtere nye trusler og endringer i infrastrukturen.

Mange virksomheter starter Zero Trust-reisen med å etablere bedre kontroll over bruker-til-applikasjon-tilgang og segmentering av kritiske systemer.  

Se vårt eksklusive webinar med skaperen av Zero Trust

En samtale med skaperen av Zero Trust.
I dette webinaret intervjuer Marius Holmsen, CTO i Shift Security, John Kindervag, som introduserte Zero Trust-modellen i 2010. Samtalen gir innsikt i hvordan virksomheter kan bevege seg fra tradisjonell nettverkssikkerhet til en mer moderne sikkerhetsarkitektur.

I webinaret får du blant annet:

• innsikt i prinsippene bak Zero Trust

• vanlige misforståelser rundt modellen

• hvordan virksomheter kan starte en strukturert Zero Trust-reise

Shift Security sin tilnærming

Hos Shift Security hjelper vi virksomheter med å planlegge og implementere en strukturert vei til Zero Trust. Vi kombinerer arkitektur, teknologi og operasjonelle sikkerhetstjenester for å redusere risiko og etablere en mer robust sikkerhetsplattform over tid.