Hej allihop, min fråga gäller nolltillit och nätverkssäkerhet. På min organisation har jag blivit den facto nätverksadministratören. Vår avdelning arbetar med ett stort nolltillitsinitiativ, och jag hör ofta både internt i organisationen och utifrån att nätverkssäkerhet inte är lika viktigt när nolltillit är implementerat. Till exempel har jag föreslagit att införa DHCP-snooping, DAI, klistrig MAC-port-säkerhet och/eller dot1x. Jag fick höra att detta inte kommer att behövas när vi väl är i nolltillit. För att vara tydlig är jag inte involverad i nolltillit på något sätt.
Dock är min enda oro (som kanske beror på min begränsade förståelse av nolltillit) att vi har offentliga kiosknstationer. Dessa kioskmaskiner har begränsad övervakning och teoretiskt sett kan någon koppla ur Ethernet-kabeln och ansluta den till sin enhet. Därför vill jag implementera dessa traditionella säkerhetsfunktioner innan ett problem uppstår, men jag får höra att nolltillit gör det okej. Och medan jag förstår hur nolltillit gör dessa mindre nödvändiga för autentiserade användare (dvs anställda), hur gör det det säkert för obehöriga gäster?
Jag vill vara bättre förberedd inför nästa samtal eftersom detta verkligen är min första gång som nätverksadministratör, så kan någon erbjuda insikter?
Nolltillit är en metod för att säkra åtkomst. Det är inte en produkt. Det är inte en ersättning för nätverkssäkerhet, utan en del av den. Alla bra säkerhetsrutiner är lagrade i lager. Leverantörer som säger att allt du behöver är nolltillit är sannolikt för att det är det enda de kan erbjuda.
Målet med nolltillit är att förutsätta att nätverket har blivit komprometterat, och att någon illvillig har kopplat in sig i din kiosk, eller laddat malware på den. All trafik ska autentiseras, och således har din angripare på ett lokalt nätverk inte mer tillgång än de skulle ha om de var på internet. På så sätt är det sant att nätverkssäkerheten är mindre viktig.
Men … Det finns mer en angripare kan göra. De kan överbelasta ditt lokala nätverk, vara en del av ett botnät eller skicka spam från ditt nätverk. De kan sannolikt göra alla dessa saker från kiosken också! Så om du tänker på nätverkskontroller, se till att du betraktar kiosken själv som infekterad.
I en nolltillitvärld tänker jag på att säkra ett “offentligt” nätverk på samma sätt som att säkra ett offentligt Wi-Fi-nätverk. Övervaka för missbrukande trafik, säkerställ att det inte finns åtkomst till system som inte är “nolltillitifierade”, och överväg klientisolering och bandbreddsbegränsningar samt utgångsfiltrering (ingen SMTP/25!).
Jag tror att “nolltillit” i detta fall helt enkelt betyder att vad som än är kopplat till den kabeln, inklusive den kiosken, placeras på ett gäst- eller begränsat VLAN, med minimal tillgång till interna resurser. Det är inte riktigt “nolltillit”.
“Nolltillit” handlar mer om att tillämpa extremt specifika åtkomstpolicyer på användaren och/eller maskinen som loggar in i nätverket, oavsett var de loggar inifrån. En stor del av “nolltillit” är att folk får samma behörigheter/tillgång oavsett om de är hemma, på kontoret eller någon annanstans. Det är verkligen helt annorlunda än vad någon kan göra på en kiosk som inte rör sig.
Om du pratar om att implementera en specifik ZTNA-produkt eller SASE-lösning, som Zscaler, kan det vara nära. Om all din trafik är krypterad och går till en ZTNA/SASE-proxy, kan du vidarebefordra och tillåta trafiken som behövs.
När en enhet kommunicerar med en ZTNA/SASE-endpoint, måste den autentisera sig själv. Idealiskt använder du enhetsegenskaper och ett servicekonto för att göra detta. En angripare måste klara alla kontroller för att autentisera sig mot ZTNA/SASE-endpointen. En slumpmässig person kan inte bara koppla in sig och få “nolltillit”-åtkomst till din miljö – åtkomsten finns på själva maskinen. Därför behöver du utmärkt värdbaserad säkerhet (CASB, EDR osv) eftersom du inte vill kompromettera värden.
Detta skulle inte säkra enheten mot något som inte korsar ett lager 3-gränssnitt. Själva nätverket kan ha den åtkomst som krävs för att endast nå ZTNA/SASE-endpointen och inte tillåta något annat. Angripare skulle inte kunna göra mycket annat, förutom att eventuellt infektera andra enheter på samma sändningsdomän.
Är det helt med nolltillit? Inte på egen hand, och det måste definingas. Du behöver många komponenter för att få allt att fungera och vara säkert. Men du kan hoppa över vissa steg om du planerar rätt och har alla resurser.
Du vet vilken industri som har hanterat okontrollerad kaos in och ut i enorma volymer? Högre utbildning.
Där jag har varit, hade allt otroligt mycket mikrosegmentering överallt, ACL:er implementerade, MAC-filtrering, IoT-enheter hade inte direkt tillgång, statiska IP-adresser överallt, nyckellås på Ethernet-portar. Mycket på gång. Vi patchade nästan alla zero-days i tid. Autentiserad åtkomst för icke-gäst Wi-Fi, VPN-åtkomst eller RDP-gateways.
Hade mycket personal för att få allt att fungera dagligen, bara för att underhålla.
Säkerhet handlar om att stapla flera lager. Nolltillit (eller ZTNA) är mest marknadsföring och varje leverantör har en annan metod. Visst kan du göra “nolltillit” på dina företagsenheter, men det förhindrar inte någon att koppla in en skadlig enhet i ett vägguttag och få åtkomst till ett VLAN.
Om du vet exakt vad definitionen är av nolltillitsimplementeringen inom ditt företag kan du bara definiera vilka ytterligare åtgärder som rekommenderas. Att ha toppmodern endpoint-säkerhet betyder inte att du inte behöver (mikro)segmentera ditt nätverk. Att ha täta brandväggspolicyer betyder inte att du inte behöver 802.1x för att förhindra att bedragande bärbara datorer och nätverksenheter kopplas in i vägguttag och får tillgång till ett VLAN.
Men kanske är din nolltittsimplementering allt ovan och mer för att tillhandahålla toppnivåsäkert på serversidan, nätverket och applikationsnivån, och du har inget att oroa dig för. Under tiden antar jag att det troligtvis inte är så.
En sak vi lärde oss av covid är att, generellt sett, kan alla arbeta hemifrån. Som den sanna definitionen av nolltillit. Internettet, den zonen är den vilda västern. Otillförlitlig, nolltillit. Inkorporera VPN, en realtids-skyddsmekanism som HIP-profiler. Visst, behåll dot1x för servrar, kameror, hissar, saker som måste finnas på plats. Skjut ut dina användare till internet och få dem att lämna företagsnätverket. De kan VPN:a in från sina skrivbord samma som hemma eller på ett hotell. Nolltillit.
Nästa gång de säger att nätverkssäkerhet inte är viktigt, fråga dem hur de planerar att göra makro- och mikrosementering utan det?
Ingen företags- eller regeringsorganisation lämnar alla dörrar olåsta och öppna bara för att de har några bra säkerhetsvakter…
Kolla upp NIST 800-dokumenten om nolltillit. Du behöver alla traditionella säkerhetsåtgärder först, sedan bygger du upp till avancerad skydd.
Du arbetar tydligen inte för Aruba, för för de är DET en produkt. Det är en stor röd knapp med Nolltillit tryckt överallt! De kommer att säga att allt du behöver är att köpa denna box (+ funktionslicens, + 5 års support) och det kommer att säkra allting NOLLtillit!
Målet med Nolltillit är att förutsätta att nätverket är komprometterat, och att någon illvillig har kopplat in sig i din kiosk, eller laddat malware på den. All trafik ska autentiseras, och så har din angripare på ett lokalt nätverk inte mer tillgång än om de var på internet. På så sätt är det sant att nätverkssäkerhet är mindre viktigt.
Detta är en av de huvudsakliga sakerna att fokusera på när man pushar för grundläggande nätverksskydd. Om applikationssäkerheten är baserad på antagandet att endpointen sannolikt är komprometterad, varför skulle du då inte även konfigurera nätverket med samma antagande?
Nolltillit kommer inte att stoppa en komprometterad enhet från att agera som en gateway och svälja trafik. Det kommer inte att stoppa Netgear-routern som någon anställd köpt på Best Buy från att utfärda DHCP-adresser på ditt nätverk.
Tack! Jag tycker att det du sa är en bra vinkel för min nuvarande situation. Jag tror att om jag formulerar det i termer av “nolltillit” kommer det att hjälpa dem att förstå. Men först ville jag försäkra mig om att jag hade rätt, och jag är glad att se svaren här.