Hej allihop, min fråga gäller noll tillit och nätverkssäkerhet. På min arbetsplats har jag blivit den de facto nätverksadministratören. Vår avdelning arbetar med ett stort initiativ för noll tillit, och jag hör ofta både internt i min organisation och utifrån att nätverkssäkerhet inte är lika viktigt när noll tillit är implementerat. Till exempel har jag föreslagit att införa DHCP snooping, DAI, klibbig MAC-portsäkerhet, eller/och dot1x. Jag blev tillsagd att det inte kommer att behövas när vi väl är på noll tillit. För att vara tydlig, jag är inte involverad i noll tillit på något sätt.
Men, min enda oro (som kan bero på min begränsade förståelse av noll tillit) är att vi har offentliga kioskstationer. Dessa kioskmaskiner har begränsad övervakning och teoretiskt kan någon koppla ur Ethernet-kabeln och koppla den till sin enhet. Därför vill jag implementera dessa traditionella säkerhetsfunktioner innan ett problem uppstår, men jag får till svar att noll tillit gör det okej. Och medan jag förstår hur noll tillit gör dessa mindre nödvändiga för autentiserade användare (dvs anställda), hur gör det det säkert för obehöriga gäster?
Jag vill vara bättre förberedd för nästa samtal eftersom detta verkligen är min första gång som nätverksadministratör, så kan någon erbjuda insikt?
Noll tillit är ett tillvägagångssätt för att säkra åtkomst. Det är inte en produkt. Det ersätter inte nätverkssäkerhet, utan är en del av den. Alla bra säkerhetsmetoder är lager-på-lager. Leverantörer som säger att allt du behöver är noll tillit är troligen för att det är det enda de kan erbjuda.
Målet med Noll tillit är att anta att nätverket är kompromissat, och att någon illvillig har kopplat in sig i din kiosk, eller laddat malware på den. All trafik bör autentiseras, och så din angripare på ett lokalt nätverk inte får mer tillgång än om de var på internet. På så sätt är det sant att nätverkssäkerheten är mindre viktig.
Men … Det finns mer en angripare kan göra. De kan översvämma ditt lokala nätverk, vara del av ett botnät eller skicka spam från ditt nätverk. De kan förmodligen göra allt detta från kiosken också! Så om du tänker på nätverkskontroller, se till att du tänker på kiosken som infekterad.
Jag tror att “noll tillit” i det här fallet bara betyder att allt som kopplas in i den kabeln, inklusive kiosken, placeras på ett gäst- eller begränsat VLAN, med minimal tillgång till interna resurser. Det är inte riktigt “noll tillit”.
“Noll tillit” handlar mer om att tillämpa extremt specifika åtkomstpolicyer på användaren och/eller maskinen som loggar in i nätverket, oavsett var de loggar in ifrån. En stor del av “noll tillit” är att folk får samma behörigheter/tillgång oavsett om de är hemma, på kontoret eller någon annanstans. Det är verkligen helt annorlunda än vad någon kan göra på en kiosk som inte rör sig.
Om du pratar om att implementera en specifik ZTNA-produkt eller SASE-lösning, som Zscaler, kan de vara nära. Om all din trafik är krypterad och går till en ZTNA/SASE-proxyendpoint, kan du vidarebefordra och tillåta trafiken som behövs.
När en enhet kommunicerar med en ZTNA/SASE-endpoint, måste den autentisera sig själv. Idealiskt använder du enhetsegenskaper och ett tjänstekonto för att göra det. En angripare måste klara av alla kontroller som krävs för att autentisera sig mot ZTNA/SASE-endpointen. En slumpmässig person kan inte bara koppla in sig och få “noll tillit”-åtkomst till ditt system - åtkomsten finns på själva maskinen. Därför är det viktigt med utmärkt värdbaserad säkerhet (CASB, EDR, etc) eftersom du inte vill äventyra värden.
Detta skulle inte säkra enheten mot allt som inte korsar ett lager 3-gränssnitt. Själva nätverket kan ha tillgången som krävs för att bara komma åt ZTNA/SASE-endpointen och inte tillåta något annat. Angripare skulle inte kunna göra mycket, förutom att eventuellt infektera andra enheter på samma broadcastsdomän.
Är det allt säkert med noll tillit? Inte på egen hand, och det måste definieras. Du behöver flera komponenter för att få det att fungera och vara säkert. Men du kan hoppa över vissa steg om du planerar rätt och har alla resurser.
Vet du vilken bransch som har hanterat ohämmad kaos som kommer in och ut i stora volymer? Högre utbildning.
Där jag har varit, fanns det otroligt mycket mikrosegmentering överallt, ACL:er implementerade, MAC-filtrering, IoT-enheter hade inte direkt tillgång, statiska IP:er överallt, nyckellås på Ethernet-ports. Mycket på gång. Vi patchade alla zero days nästan i tid. Autentiserad åtkomst för icke-gäst WiFi, VPN-åtkomst eller RDP-gateways.
Hade mycket personal för att få allt gjort och fungera dagligen, bara för att underhålla.
Säkerhet handlar om att stapla flera lager. Noll tillit (eller ZTNA) är mest marknadsföring och varje leverantör har en annan metod. Visst kan du göra “noll tillit” på dina företagsenheter, men det hindrar inte någon från att koppla in en skadlig enhet i en vägguttag och få tillgång till ett VLAN.
Om du vet vad den exakta definitionen är av noll tillits-implementeringen inom ditt företag kan du bara definiera vilka ytterligare åtgärder som rekommenderas. Att ha toppmodern endpoint-säkerhet betyder inte att du inte behöver (mikro)segmentera ditt nätverk. Att ha strikta brandväggspolicyer betyder inte att du inte behöver 802.1x för att förhindra att ruffiga bärbara datorer och nätverksenheter kopplas in i vägguttag och får tillgång till ett VLAN.
Men kanske är din noll tillits-implementering allt ovan och mer för att tillhandahålla toppnivå säkerhet på server-, nätverks- och applikationsnivå, och du behöver inte oroa dig. Under tiden tror jag att så sannolikt inte är fallet.