Nolinchi ishonch tarmoqlari - Zero Trust Networks

Nolinchi ishonchli tarmoqlar (shuningdek, nolinchi ishonchli tarmoq arxitekturasi, nol ishonch xavfsizligi modeli, ZTA, ZTNA), Axborot texnologiyalari (IT) IT tarmoqlarini loyihalash va amalga oshirishga yondashishni tasvirlaydi. Nolinchi ishonchning asosiy kontseptsiyasi shundan iboratki, noutbuklar kabi tarmoqqa ulangan qurilmalarga, hatto ular korporativ kabi boshqariladigan korporativ tarmoqqa ulangan bo'lsa ham, sukut bo'yicha ishonmaslik kerak. LAN va agar ular ilgari tasdiqlangan bo'lsa ham. Ko'pgina zamonaviy korxona muhitida korporativ tarmoqlar ko'plab o'zaro bog'liq segmentlardan iborat, bulutga asoslangan xizmatlar va infratuzilma, masofaviy va mobil muhitga ulanish va odatiy bo'lmagan IT-ga ulanish tobora ko'payib bormoqda, masalan IoT qurilmalar. Belgilangan korporativ perimetrdagi qurilmalarga yoki unga a orqali ulangan qurilmalarga ishonishning bir paytlar an'anaviy uslubi VPN, juda xilma-xil va taqsimlangan muhitda kamroq ma'noga ega. Buning o'rniga, nolga teng ishonchli tarmoq yondashuvi, joylashuvidan qat'i nazar, qurilmalarning identifikatori va yaxlitligini tekshirishni va foydalanuvchi bilan birgalikda qurilma identifikatori va qurilmaning sog'lig'iga ishonch asosida dasturlar va xizmatlarga kirishni ta'minlashni himoya qiladi. autentifikatsiya.

Fon

Nolinchi ishonchni qo'llab-quvvatlaydigan ko'plab tushunchalar yangi emas. Tashkilotning axborot texnologiyalari tizimining perimetrini aniqlashning muammolari Jericho forumi 2003 yilda, keyinchalik de-perimitizatsiya qilingan tendentsiyani muhokama qildi. 2009 yilda, Google deb nomlangan nol ishonch arxitekturasini amalga oshirdi BeyondCorp, qismi tomonidan ta'sirlangan ochiq manbali kirishni boshqarish loyihasi.[1] Nolinchi ishonch atamasi sanoat tahlilchisi Jon Kindervagga tegishli Forrester hisobot va tahlillari IT-jamoalar bo'yicha nol ishonch tushunchalarini kristallashtirishga yordam berdi. Biroq, nolga asoslangan arxitekturalarning keng tarqalishi uchun deyarli o'n yil vaqt talab etiladi, bu qisman mobil va bulutli xizmatlarni qabul qilishni kuchayishi bilan bog'liq.

2014 yil o'rtalariga kelib, shveytsariyalik xavfsizlik bo'yicha muhandis Gianklaudio Moresi har qanday mijozni yangi xavfli viruslardan himoya qilish uchun xavfsizlik devorini ketma-ket ulanish printsipidan foydalangan holda birinchi tizimni ishlab chiqdi (Zero Trust Network with Zero Trust Network). Untrust-Untrust Network asosidagi yangi arxitektura Shveytsariya Federal intellektual mulk institutida 2015 yil 20 fevralda nashr etildi.[2]

2019 yilga kelib Buyuk Britaniyaning Milliy Texnik Boshqarmasi Milliy kiber xavfsizlik markazi tarmoq me'morlariga, ayniqsa, bulutli xizmatlardan sezilarli darajada foydalanish rejalashtirilgan joylarda, yangi IT-tarqatmalar uchun ishonchsiz yondashuvni ko'rib chiqishni tavsiya qilishdi[3]. 2020 yilga kelib, AT platformalarining etakchi sotuvchilarining aksariyati, shuningdek, kiber xavfsizlik provayderlari nolga asoslangan arxitektura yoki echimlarning yaxshi hujjatlashtirilgan namunalariga ega. Ushbu kengaytirilgan ommalashtirish o'z navbatida nolga bo'lgan ishonchning bir qator ta'riflarini yaratdi va NCSC va shunga o'xshash taniqli organlar tomonidan standartlashtirish darajasini talab qiladi. NIST.

Printsiplarning ta'riflari

2018 yil oxiridan boshlab Milliy standartlar va texnologiyalar instituti (NIST) va Milliy kiber xavfsizlik zo'rlik markazi (NCCoE) kiberxavfsizlik tadqiqotchilari NIST Special Publication (SP) 800-207, Zero Trust Architecture[4][5]. Nashr nolga bo'lgan ishonchni (ZT) buzilgan deb hisoblangan tarmoq oldida axborot tizimlari va xizmatlariga aniq, so'rov bo'yicha kirish qarorlarini bajarishda noaniqlikni kamaytirishga qaratilgan tushunchalar va g'oyalar to'plami deb ta'riflaydi. Nolinchi ishonch arxitekturasi (ZTA) - bu nolinchi ishonch tushunchalaridan foydalanadigan va tarkibiy aloqalarni, ish oqimini rejalashtirish va kirish siyosatini o'z ichiga olgan kiber xavfsizlik rejasi. Shuning uchun, nolga ishonadigan korxona bu nolga teng arxitektura rejasi mahsuloti sifatida korxona uchun mavjud bo'lgan tarmoq infratuzilmasi (jismoniy va virtual) va operatsion siyosatdir.

Alternativ, ammo izchil yondashuv NCSC tomonidan amalga oshiriladi[3], nol ishonch me'morchiligining asosiy tamoyillarini aniqlashda:

  1. Foydalanuvchi identifikatsiyasining yagona kuchli manbai
  2. Foydalanuvchining autentifikatsiyasi
  3. Mashinada autentifikatsiya qilish
  4. Qo'shimcha kontekst, masalan, qoidalarga muvofiqligi va qurilmalarning xavfsizligi
  5. Ilovaga kirish uchun avtorizatsiya qoidalari
  6. Ilova ichida kirishni boshqarish qoidalari

Adabiyotlar

  1. ^ cogolabs / tashqarida, Cogo laboratoriyalari, 2020-08-21, olingan 2020-08-25
  2. ^ G.C.Moresi, mijoz va server o'rtasida xavfsiz ulanish uchun arxitektura (Untrust-Untrust) Patent raqami CH 710 768 A2, 2015 yil 20-fevral
  3. ^ a b "Tarmoq me'morchiligi". www.ncsc.gov.uk. Olingan 2020-08-25.
  4. ^ "Zero Trust Architecture | NCCoE". www.nccoe.nist.gov. Olingan 2020-08-25.
  5. ^ Rose, Scott; Borchert, Oliver; Mitchell, Stu; Konnelli, Shon. "Zero Trust Architecture" (PDF). nvlpubs.nist.gov. NIST. Olingan 17 oktyabr 2020.