Perimeter betyr omkrets, yttergrense. Tradisjonelle nettverksbaserte sikkerhetsperimetre danner ikke lenger en levedyktig modell for Internett-tilkoblede systemer og bedrifter. Den hviler på antakelsen om at alt bak brannmuren er trygt. Null tillit (Zero Trust) ser i stedet på det som et åpent miljø der tillit må valideres. Du skal anta at du er utsatt for sikkerhetsbrudd og designe deretter – angriperne vil lykkes, delvis eller fullstendig. Du må eksplisitt bekrefte tilganger og klarere brukere, enheter og applikasjoner. Bruk minste privilegium for å begrense virkningen av et angrep.
Null tillit behandler alle enheter som om de er ubeskyttet, og anser bedriftens nettverk som kompromittert og fiendtlig. En umettelig trang til å koble alt til Internett, kompleksiteten i lagene med sikkerhetsverktøy og raske teknologiske endringer har gjort perimetersikkerheten avleggs. Skillet mellom innside og utside har minsket. Det som kreves, er en kopernikansk dreining bort fra lokalnettet til identiteter, som inkluderer brukere, maskiner og tjenester. Fokus er rettet mot sterk autentisering, autorisasjon og kryptering hele veien, samt sentraliserte tilgangspolicyer.
Kortfattet tidslinje
Kontrollplanet er nå identiteten sammen med en kontinuerlig evaluering av tilgangsforespørsler. Ansatsen til denne strategien kommer fra Jericho-forumet med begrepet om «de-perimeterisering». Omtrent samtidig dukker det opp arkitekturer for å kontrollere adgangen til nettverk ved å håndheve policyer før enheter får lov til å koble seg til. I 2010 preger Forrester Research uttrykket «Zero Trust». I 2014 fremmer Microsoft maksimen «Anta sikkerhetsbrudd». Samme år går Google i gang med å publisere sitt arbeid med BeyondCorp. I 2016 lanserer Microsoft Betinget tilgang.
I 2017 utgir O’Reilly boka Zero Trust Networks, en milepel for utviklingen av Null tillit. Et pågående initiativ er passordløs pålogging i regi av FIDO og W3C, sammen med Google, Apple og Microsoft. To prosjekter mangler på tidslinjen. I 2017 reviderer Gartner sitt konsept Continuous Adaptive Risk and Trust Assessment (CARTA), som har mange prinsipper til felles. Det har ikke bare identitets- og data-elementer, men inkluderer risiko og sikkerhetsstatus knyttet til identiteter og enheter som får tilgang til miljøet. I 2020 gir NIST ut dokumentet Zero Trust Architecture (SP 800-207).
Begrepet Null tillit – noe misvisende
Betegnelsen kan være noe uheldig. Det dreier seg ikke om «null» tillit, men om null iboende eller implisitt tillit. Det handler om omhyggelig å bygge opp et grunnlag for tillit, øke denne for til slutt å tillate et passende tilgangsnivå til rett tid. Det kunne saktens ha blitt kalt «opptjent tillit», «tilpasset tillit» eller «null implisitt tillit». Det hadde vært mer i samsvar med filosofien, tilnærmingen og settet med veiledende prinsipper som krysser grensen til applikasjoner, data, identiteter, operasjoner og retningslinjer. Men det er mer smell i Zero Trust eller Null tillit. Disse begrepene har festet seg og betegner en sentralisert metode for å definere og håndheve tilgangspolicyer på tvers av distribuerte og heterogene infrastrukturer.
Grunnprinsipper for Null tillit
Forresters opprinnelige artikkel No More Chewy Centers omtaler tre kjerneprinsipper som er akseptert av hele industrien:
- Sørg for sikker tilgang til alle ressurser, uavhengig av plassering.
- Vedta en minste privilegert strategi og håndhev tilgangskontroll strengt.
- Inspiser og logg all nettverkstrafikk.
Forfatterne av boka Zero Trust Security (Apress, 2021), som tegner til å bli selve standardverket, føyer til tre tilleggsprinsipper som de anser for å være like viktige og nødvendige i ethvert Null tillit-miljø i bedriftsklassen:
- Sørg for at alle komponenter støtter APIer for hendelses- og datautveksling.
- Automatiser handlinger på tvers av miljøer og systemer, drevet av kontekst og hendelser.
- Lever taktisk og strategisk verdi.
Så følger en foreløpig fungerende definisjon: «Et Null tillit-system er en integrert sikkerhetsplattform som benytter kontekstuell informasjon fra identitets-, sikkerhets- og IT-infrastruktur, samt risiko- og analyseverktøy for å informere og muliggjøre en dynamisk håndheving av sikkerhetspolicyer på en enhetlig måte på tvers av bedriften. Null tillit flytter sikkerheten fra en ineffektiv perimetersentrisk modell til en ressurs- og identitetssentrisk modell. Som et resultat kan virksomheter kontinuerlig tilpasse tilgangskontroller til et miljø i endring og oppnå forbedret sikkerhet, redusert risiko, forenklet og tilpasningsdyktig drift og økt smidighet i forretningen.»
Forrester Research
Drøye fem år etter Jericho-forumet skaper John Kindervag, den gang analytiker ved Forrester Research, uttrykket «Zero Trust» for å beskrive en sikkerhetsmodell som går ut på at organisasjoner ikke automatisk skal stole på noe utenfor eller innenfor deres perimeter. I stedet må alt verifiseres før det er tillat å koble seg til systemer og få tilgang til data. Forrester utvikler dette konseptet til det som nå er kjent som Zero Trust eXtended (ZTX) Framework, som omfatter data, nyttelaster og identitet som kjernekomponenter.
Data, merket som verdi, står i sentrum for det som beskyttes av ZTX-modellen. Det inkluderer dataklassifisering og hindring av datatap (DLP), med muligheten til å håndheve kontekstuelle tilgangspolicyer. I andre modeller inngår dette i ressurser. Nyttelaster består av komponenter som driver virksomheten innenfor både kundevendte og backend-forretningssystemer, som infrastruktur, containere, applikasjoner og prosesser.
Nettverk retter primært søkelys på segmentering – både fra et bruker- og et serverperspektiv – for å gi bedre sikkerhet basert på identitetsattributter. Sikkerhetsmodellen for enheter bør inkludere identitet, inventar, isolasjon, sikkerhet og kontroll av enheten. Personer angår identitets- og tilgangsstyring, som omfatter rolle- og attributtbasert tilgangskontroll (RBAC/ABAC), multifaktor-autentisering (MFA) og forenklet engangspålogging (SSO) ved hjelp av moderne åpne standarder som OpenID Connect, OAuth og SAML.
Synlighet og analyse er bruk og presentasjon av data på tvers av bedriften for å støtte informerte sikkerhetsbeslutninger basert på kontekstuell informasjon. Automatisering og orkestrering innen ZTX er nødvendig for å automatisere manuelle prosesser og for å relatere dem til sikkerhetspolicyer og handlinger for respons.
Googles BeyondCorp
Med BeyondCorp gjenoppfant Google sin interne sikkerhetsarkitektur og sørget for tilgangskontroller for titusenvis av brukere. Arbeidet ble dokumentert offentlig i en serie artikler fra 2014 til 2018, noe som har fått en betydelig innflytelse på bransjen. Med deres egne ord skapte de «en ny modell som gjør privilegerte bedriftsnettverk overflødige. Tilgang er utelukkende avhengig av enhets- og brukerlegitimasjon, uavhengig av nettverksplassering ... All tilgang til bedriftsressurser er fullstendig autentisert, fullt autorisert og fullstendig kryptert basert på enhetsstatus og brukerlegitimasjon.»
Datakildene omfatter administrasjonsagenter, sertifikat-autoriteter, inventar, unntak og annet. Tilgangsintelligensen fungerer som et sentralt policybeslutningspunkt (PDP – Policy Decision Point). Gatewayene eller inngangsportene representerer policyhåndhevelsespunkter (PEP – Policy Enforcement Point) for nettverkstilgang. Ressurser sørger for policyhåndhevelse for applikasjoner (PEP). Prosjektet befatter seg utelukkende med bruker-til-server-tilgang, ikke server-til-server.
Bedriftsnettverket gir ingen iboende tillit. All tilgang bygger på identitet, enhet og autentisering. Interne apper er tilgjengelige via BeyondCorp-systemet, uavhengig av om bruker er på et Google-kontor eller jobber eksternt. Selskapet velger kun å tillate adgang fra administrerte enheter, uten BYOD. De benytter egne sertifikater som lagres i hver enhets TPM (Trusted Platform Module), og bruker et sentralisert identitetssystem med SSO, som utsteder kortvarige tilgangsnøkler.
Gartners tilnærming til Null tillit
Analyseselskapet Gartner anvender en modell de kaller CARTA, som står for Continuous Adaptive Risk and Trust Assessment eller kontinuerlig adaptiv risiko- og tillitsevaluering. Hensikten er å foreta en uavbrutt, fortløpende risikovurdering av brukere, enheter, applikasjoner, data og nyttelaster. Perspektivet er å forutsi, forhindre, oppdage og respondere. CARTA setter opp en sikkerhetsstatus og overvåker og justerer den. Gartner snevrer inn Null tillit noe med begrepene Zero Trust Network Access (ZTNA) for bruker-til-server-sikkerhet, og Zero Trust Network Segmentation (ZTNS) for mikrosegmentering/server-til-server-sikkerhet.
NISTs kjernekomponenter for Null tillit
NIST står for National Institute of Standards and Technology og har til oppgave å fremme amerikansk innovasjon og industriell konkurranseevne. Aktivitetene er organisert i laboratorieprogrammer, så som vitenskap og teknologi i nanoskala, ingeniørfag og informasjonsteknologi. Det er flere logiske komponenter som inngår i en Null tillit-arkitektur. Her vises det grunnleggende forholdet dem imellom og deres interaksjoner.
Det trekkes opp et skille mellom kontroll- og dataplan. Et subjekt/system er ikke klarert (untrusted) og skal ha tilgang til en bedriftsressurs. Det må gjennom et policyhåndhevelsespunkt som styres av et sentralt policybeslutningspunkt. Dette foregår på samme måte som i Googles BeyondCorp.
Policymotoren (PE) er ansvarlig for beslutningen om å gi tilgang til en ressurs. Policyadministrator (PA) har ansvar for å etablere eller stenge kommunikasjonen mellom subjekt og ressurs. Policy-håndhevelsespunktet (PEP) aktiverer, overvåker og avslutter forbindelsen mellom dem. PEP kommuniserer med PA for å videresende forespørsler og/eller motta policyoppdateringer fra PA.
I tillegg til kjernekomponentene i Null tillit-arkitekturen gir flere datakilder input og policyregler som brukes av policymotoren når den tar tilgangsbeslutninger:
- System for kontinuerlig diagnostikk og utbedring (CDM – Continuous Diagnostics and Mitigation) samler inn informasjon om enheters helsetilstand (OS, godkjent/ikke-godkjent programvare, antivirus, oppdateringsstatus mm.)
- System som sikrer at virksomheten forblir i samsvar med regulatoriske regimer den måtte falle inn under, som offentlige lover, regler og bransjestandarder.
- Feeder fra trusselintelligens fra interne eller eksterne kilder som hjelper policymotoren med å ta tilgangsbeslutninger, som informasjon om nylig oppdagede angrep eller sårbarheter.
- Nettverks- og systemaktivitetslogger som i eller nær sanntid gir tilbakemeldinger om status for enheter og informasjonssystemer.
- Datatilgangspolicyer for tilgang til bedriftsressurser som gir tilgangsrettigheter for kontoer og applikasjoner/tjenester i bedriften.
- Infrastruktur for offentlige (PKI), som skaper, utsteder og tilbakekaller sertifikater i foretaket.
- System for å administrere identiteter for å opprette, lagre og forvalte brukerkontoer
- System for sikkerhetsinformasjon og hendelseshåndtering (SIEM), som samler inn sikkerhetsbasert informasjon for senere analyse. Disse dataene brukes så til å avgrense policyer og advare om mulige angrep mot bedriftsressurser.
Null tillit med Microsoft-teknologier
Null tillit danner hjørnesteinen i Microsofts referansearkitekturer for cybersikkerhet (MCRA). Selskapet tar utgangspunkt i identiteten, det eneste konstante med brukere som jobber når som helst, hvor som helst, på nær sagt hva som helst. Microsoft forener de fleste – om ikke samtlige – prinsipper og komponenter som er drøftet her.
Sentralt i Microsofts Null tillit-arkitektur står Betinget tilgang, som policybeslutningspunkt og policyhåndhevelsespunkt. Den kan fungere statisk, basert på bruker/gruppetilhørighet, sted og enhetstilstand, pluss dynamisk adaptivt som tar hensyn til bruker- og påloggingsrisiko. Håndhevelsen er basert på en kontinuerlig vurdering av faresignaler og automatisering. Sånn vil en kompromittert bruker automatisk oppfordres til å endre passord; en pålogging fra uvanlige steder kan føre til at bruker må oppgi MFA på nytt. Trusselintelligens og telemetri fra enheter kan resultere i at forsøk på å logge på fra den avvises om den er infisert med skadevare eller har kjent sårbarheter.
Microsofts Null tillit-modell beskytter hele ditt digitale miljø, som omfatter identiteter, endepunkter, applikasjoner, data, infrastruktur og nettverk – overvåket og orkestrert av Microsoft Sentinel, som er selskapets SIEM/SOAR-løsning. Azure AD sørger for identitets- og tilgangsstyring og har en rekke innebygde mekanismer for å sikre brukeridentiteter, som passordbeskyttelse, identitetsbeskyttelse, privilegert identitetsadministrasjon, tilgangsgranskninger og selvbetjent tilbakestilling av passord MFA er standard; passordløs pålogging støttes av Hello for Business og Microsoft Authenticator, dessuten av FIDO2-nøkler. SSO med føderering er tett integrert i Azure AD.
Defender for Identity foretar en atferdsanalyse av brukere og enheter i hybride miljøer med Windows AD. Etter en læringstid flagger den uvanlig oppførsel, for eksempel en umulig reise, som er pålogginger fra to vidt forskjellige geografiske steder innenfor en tidsramme man ikke kan nå. Programmet oppdager også aktiviteter i fasene av en cyberdrapskjede, som intern rekognosering, lateral bevegelse fra maskin til maskin og forsøk på å elevere rettigheter for til slutt å få tak i den gylne Kerberos-nøkkel.
Defender for Endpoint sørger for proaktiv beskyttelse ved å foreta trussel- og sårbarhetsanalyser og sørge for angrepsflatereduksjon på enheter. Den opererer i sanntid som antivirusbeskyttelse og reaktivt med endepunktsdeteksjon og respons. Det benyttes heuristikk, atferdsanalyse og maskinlæring. Sammen med Intune som del av Microsoft Endpoint Manager fastlås det om det er tillat å logge på fra enheten, noe Intune også kan finne ut av seg selv på bakgrunn av generelle samsvarspolicyer som kreves for å godta den. Defender for Cloud gjør mye av det samme som Defender for Endpoint for servere i Azure, AWS, Google Cloud og lokalt.
Med Microsoft Information Protection beskytter du data med merking, rettighetsstyring og kryptering. Det er omfattende funksjoner for hindring av datatap (DLP) og beskyttelse mot innsidetrusler. Defender for Cloud Apps oppdager skygge-IT og fungerer som en sikkerhetsmekler for trygg skytilgang, både i form av omvendt proxy og ved API-tilkoblinger. Utdypende informasjon gis i Zero Trust med Microsoft 365 og Gjennomfør Zero Trust med Microsoft-teknologier.
Avsluttende ord
Innlegget er ment som innføring. Flere momenter er lite eller ikke berørt, særlig ikke gjensidig autentisering av servere, mørklegging av nettverk, segmentering og mikrosegmentering. Men bloggen burde gi en idé om hvordan identitetsdreven sikkerhet fungerer, og hvilken betydning kombinasjonen av et sentralt policybeslutningspunkt og distribuerte policyhåndhevelsespunkter har i en Null tillit-arkitektur. Strengt tatt er Null tillit er en sikkerhetsfilosofi og et sett med prinsipper.
Sammen utgjør de et betydelig skifte i hvordan du bør nærme deg bedriftens IT og sikkerhet. Resultatene kan være enormt fordelaktige for sikkerhetsteam og virksomheter, men Null tillit er bredt i omfang og kan være overveldende. Start i det små, tenk stort og skaler raskt. Vi i Lillevik IT hjelper deg gjerne i gang. Cyberkriminelle og APT-grupper tilknyttet nasjonalstater har bevist at den perimeterbaserte sikkerhetsmodellen ikke lenger er gyldig.
For å sitere brigadegeneral Gregory J. Touhill (CISSP, CISM) i forordet til boka Zero Trust Security: «Feltherrer helt siden Sun Tzu og Alexander den store har implementert en perimeterbasert sikkerhetsmodell for å forsvare sine eiendeler. De hadde ikke Internett, mobile enheter, skytjenester og annen moderne teknologi. Jericho-forumet fikk det til riktig; perimeteren er død. Nå er tiden inne for å omfavne og iverksette Null tillit overalt.»
Første figur er fra en Ignite-sesjon i 2021, annen fra Forrester Research, tredje fra Google, fjerde fra NIST og femte fra Microsoft Cybersecurity Reference Architectures (MCRA). Bøkene er Evan Gilman and Doug Barth, Zero Trust Networks (O’Reilly, 2017) og Garbis, Jason; Chapman, Jerry W. Zero Trust Security. (Apress, 2021).
