Blog cikk szövege
A hálózatbiztonság paradigmája alapvetően átalakulóban van. Míg a hagyományos védelmi modellek egy kívülről jól védett kastély logikájára épültek, a modern fenyegetések ezt az összeget újraértelmezik. A Zero Trust – vagyis a "soha nem bízunk, mindig ellenőrzünk" – megközelítés ma már nem luxus, hanem szükségszerűség. De hogy lehet ezt egy korlátozott költségvetésű kkv-nak megvalósítani? Lássunk hozzá.
Mi is pontosan ez a Zero Trust modell?
Egyszerűen fogalmazva: a Zero Trust azt jelenti, hogy belső vagy külső hálózati tartózkodás helyétől függetlenül, minden felhasználót és eszközt megvizsgálunk. Nincs "megbízható zóna". A klasszikus megközelítésben az volt az elképzelés, hogy a tűzfal mögött biztonságban vagyunk – ez azonban már régóta nem igaz. A home office, a BYOD eszközök és a felhőszolgáltatások ezt az elképzelést szétfeszítették.
Hol kezdjünk a gyakorlatban?
Az identitás az új peremhálózat. Ahogy a Microsoft és más vezetőbiztonság-szakértők hangsúlyozzák, az első lépés a felhasználói és eszközidentitások kezelésének bevezetése. Ez azt jelenti, hogy szüksége van egy megbízható identitáskezelési rendszerre – legyen az felhőalapú megoldás, mint az Azure AD vagy egy helyszíni Active Directory. Ez nem drága, de kritikus.
Eszköz-compliance: nem mindegy, hogy milyen gépen dolgoznak
Egy kkkv-nak biztosan vannak olyan munkatársai, akik saját laptopján dolgoznak vagy több helyen használják az eszközeiket. A második kritikus lépés: csak olyan eszközöket engedélyezz a vállalati hálózaton vagy felhőszolgáltatásokhoz, amelyek megfelelnek az alapvető biztonsági kritériumoknak. Ez lehet például a naprakész operációs rendszer, az engedélyezett antivírus, vagy a titkosított tárhely. Ez szintén automatizálható eszközökkel, nem kell drága szoftverlicenceket venni – sok felhőszolgáltató ezt beépítette.
Legkevésbé szükséges hozzáférés (Least Privilege)
Nem mindenkinek kell minden adat. Ha egy alkalmazott a számviteli osztályon dolgozik, miért férne hozzá az ingatlanfejlesztési projektekhez? Ez az alapelv egyszerű, de sokszor figyelmen kívül hagyják. Az engedélyek finom hangolása időt vesz igénybe, de hosszú távon felbecsülhetetlen a biztonság.
Mikro-szegmentáció és Conditional Access
Ez már kicsit bonyolultabb, de nem lehetetlen. A mikro-szegmentáció azt jelenti, hogy a hálózatot kisebb részekre osztjuk fel – így ha egy támadó egy részhez hozzáférést szerez, nem a teljes infrastruktúra esik el. A feltételes hozzáférés (Conditional Access) pedig biztosítja, hogy ha valaki különös helyről, szokatlan időpontban vagy nem megfelelő eszközről próbál belépni, az rendszer kiegészítő ellenőrzéseket végez.
A többfaktoros hitelesítés kötelező
Az MFA – többfaktoros hitelesítés – már nem csoda. Ez azt jelenti, hogy jelszó mellett valamivel többre van szükség: egy kódra az okostelefonon, egy biometrikus azonosításra vagy egy biztonsági kulcsra. Ez szinte teljesen meggátol az illegális belépéseket.
Hogyan kezdjük el korlátozott erőforrásokkal?
Ne akarj azonnal tökéletes lenni. Kezdd a kritikus alkalmazásokkal és adatokkal, majd lépésről lépésre bővítsd ki. Az első félév a tervezésre fordított idő, a második félévben pedig az alapok bevezetésére. Sok felhőszolgáltató ingyenes próbaverziót kínál – próbáld ki.
A Zero Trust nem egy projekt, hanem folyamat. De a jelenlegi biztonsági helyzet figyelembe véve nem engedhetjük meg magunknak, hogy várjunk.