Sieci Zero Trust. Budowanie bezpiecznych systemów w niezaufanym środowisku. Wydanie II - Razi Rais, Christina Morillo, Evan Gilman, Doug Barth

Kup książkę

77.00 zł
47.74 zł (46,20 zł najniższa cena z 30 dni)

-
Proszę czekać

Rozdział 1. Podstawy modelu Zero Trust

W dobie wszechobecnego nadzoru sieciowego trudno jest ufać komukolwiek. Równie trudno jest zdefiniować zaufanie. Czy można wierzyć, że nasz ruch internetowy jest chroniony przed podsłuchem? Zdecydowanie nie! A co z operatorem, od którego dzierżawimy światłowód? Albo z technikiem z zewnętrznej firmy, który był wczoraj w centrum danych i pracował nad okablowaniem?

Informatorzy tacy jak Edward Snowden i Mark Klein ujawnili zawziętość wspieranych przez amerykański rząd organizacji szpiegowskich. Świat był zszokowany wiadomościami, że udało im się dostać do centrów danych dużych organizacji. Ale dlaczego? Czy to nie jest właśnie to, co Ty zrobiłbyś na ich miejscu? Zwłaszcza gdybyś wiedział, że ruch tam nie jest szyfrowany?

Założenie, że można ufać systemom i ruchowi w centrum danych, jest błędne. Nowoczesne sieci i metody ich użytkowania nie przypominają już tych sprzed wielu lat, gdy obrona obwodowa miała sens. W rezultacie możliwość swobodnego poruszania się po "bezpiecznej" infrastrukturze powoduje, że bariera wejścia jest niska, ponieważ wystarczy naruszyć bezpieczeństwo pojedynczego hosta lub łącza.

Pomysł wykorzystania cyberataku jako metody zakłócania działania infrastruktury krytycznej, takiej jak elektrownia jądrowa czy sieć energetyczna, może się wydawać przesadzony. Jednak przypadki cyberataków na przedsiębiorstwo Colonial Pipeline w Stanach Zjednoczonych (https://oreil.ly/EFIC1) czy elektrownię jądrową Kudankulam w Indiach (https://oreil.ly/0rBQ5) dobitnie pokazują, że infrastruktura krytyczna nadal jest ważnym celem dla hakerów. Co zatem wspólnego miały oba ataki?

Cóż, w obu przypadkach zabezpieczenia były fatalne. Hakerzy wykorzystali fakt, że do nawiązania połączenia VPN (ang. Virtual Private Network, wirtualna sieć prywatna) z siecią Colonial Pipeline wystarczyło użyć zwykłego, tekstowego hasła, bez konieczności uwierzytelnienia MFA (ang. Multi-Factor Authentication, uwierzytelnienie wieloskładnikowe). W drugim przypadku na podłączonym do sieci serwerów administracyjnych komputerze pracownika elektrowni wykryto szkodliwe oprogramowanie. Gdy hakerzy uzyskali dostęp, mogli poruszać się po sieci dzięki zaufaniu wynikającemu z przebywania w sieci.

Celem modelu Zero Trust jest rozwiązanie problemów nierozerwalnie związanych z zaufaniem do sieci. Zgodnie z jego założeniami, komunikację i dostęp sieciowy można chronić tak skutecznie, że odpowiedzialnie można zrezygnować z fizycznych zabezpieczeń warstwy transportowej. Niewątpliwie jest to wzniosły cel. Dobra wiadomość jest taka, że obecnie dysponujemy bardzo skutecznymi algorytmami kryptograficznymi i z zastosowaniem odpowiednich systemów automatyzacji wizję tę można zrealizować.

Czym jest sieć Zero Trust?

Sieć Zero Trust (dosł. "zero zaufania") opiera się na pięciu podstawowych założeniach:

Każda sieć jest wroga. Przez cały czas w sieci istnieją zewnętrzne i wewnętrzne zagrożenia. Sama lokalizacja nie wystarczy, aby uznać, że sieć jest godna zaufania. Wszystkie urządzenia, użytkowników i przepływy sieciowe trzeba uwierzytelniać i autoryzować. Zasady bezpieczeństwa określa się dynamicznie na podstawie jak największej liczby źródeł danych.

W tradycyjnej architekturze zabezpieczeń sieć dzieli się na podsieci (fragmenty), czyli strefy chronione przez jedną lub kilka zapór. Każdej strefie przypisuje się pewien poziom zaufania określający zasoby, do których użytkownicy mają dostęp. Ten model zapewnia bardzo silną obronę w głąb sieci. Zasoby uważane za bardziej narażone, na przykład serwery połączone z publicznym internetem, umieszcza się w strefie zamkniętej, często nazywanej DMZ (ang. Demilitarized Zone, strefa zdemilitaryzowana), w której ruch jest ściśle monitorowany i kontrolowany. Efektem takiego podejścia jest architektura podobna do przedstawionej na rysunku 1.1, którą już możesz znać.

Rysunek 1.1. Tradycyjna architektura zabezpieczeń sieciowych

Model Zero Trust wywraca ten diagram do góry nogami. Wprowadzenie zabezpieczeń sieciowych było dużym krokiem naprzód w stosunku do projektów z przeszłości, jednak we współczesnym krajobrazie cyberataków model ten ma wiele mankamentów:

brak wewnątrzstrefowej inspekcji ruchu, brak elastyczności w rozmieszczeniu hostów zarówno fizycznych, jak i logicznych, pojedyncze punkty awarii.

Należy zauważyć, że rezygnacja z wymagań dotyczących lokalizacji sieci eliminuje również potrzebę stosowania dostępu VPN. Wirtualna sieć prywatna umożliwia użytkownikowi uwierzytelnienie się i uzyskanie adresu IP w sieci zdalnej. Ruch generowany przez urządzenie jest tunelowany do sieci zewnętrznej, gdzie jest dekapsulowany i kierowany w odpowiednie miejsce. W efekcie powstaje szerokie tylne wejście do sieci, o którym nikt nie ma pojęcia. Jeśli zamiast tego zadeklarujemy, że lokalizacja sieciowa nie ma żadnego znaczenia, dostęp VPN nagle przestanie być potrzebny, podobnie jak kilka innych nowoczesnych rozwiązań sieciowych. Oczywiście, takie podejście wymaga przesunięcia egzekwowania zasad bezpieczeństwa jak najdalej od brzegu sieci, ale jednocześnie zwalnia rdzeń sieci z odpowiedzialności. Wszystkie najważniejsze systemy operacyjne mają stanowe zapory sieciowe, a postęp w przełączaniu ruchu i kierowaniu nim otworzył możliwości instalowania zaawansowanych funkcji bezpieczeństwa na krawędzi sieci. Wszystkie te udoskonalenia razem wzięte prowadzą do jednego wniosku: nadszedł właściwy czas na zmianę paradygmatu. Egzekwując rozproszone zasady bezpieczeństwa i modelu Zero Trust, można stworzyć projekt podobny do pokazanego na rysunku 1.2.

Rysunek 1.2. Architektura Zero Trust

Płaszczyzna sterowania Zero Trust

System wspierający jest nazywany płaszczyzną sterowania (ang. control plane), natomiast większość pozostałych elementów tworzy płaszczyznę danych (ang. data plane), którą koordynuje i konfiguruje płaszczyzna sterowania. Żądania uzyskania dostępu do chronionych zasobów przechodzą najpierw przez płaszczyznę sterowania, gdzie zarówno urządzenie, jak i użytkownik są uwierzytelniani i autoryzowani. W tej warstwie stosuje się szczegółowe zasady bezpieczeństwa oparte na rolach użytkowników w organizacji, porach dnia, lokalizacjach geograficznych lub typach urządzeń. Uzyskanie dostępu do bardziej chronionych zasobów może dodatkowo wymagać silniejszego uwierzytelnienia.

Gdy płaszczyzna sterowania podejmie decyzję, że żądanie klienta jest dozwolone, dynamicznie konfiguruje płaszczyznę danych tak, aby akceptowała wysyłany i odbierany przez niego ruch. Ponadto może koordynować szczegóły konfiguracyjne zaszyfrowanego tunelu pomiędzy klientem a zasobem, takie jak tymczasowe jednorazowe dane uwierzytelniające, klucze i numery portów.

Należy zauważyć, że decyzja płaszczyzny sterowania o zaakceptowaniu żądania nie jest stała, tylko ograniczona czasowo. Oznacza to, że jeżeli płaszczyzna stwierdzi, że zmieniły się czynniki, na podstawie których pierwotnie podjęła decyzję o zaakceptowaniu żądania, skoordynuje swoje działania z płaszczyzną danych tak, aby odebrać klientowi dostęp do zasobu.

Chociaż można w pewnym stopniu kwestionować skuteczność opisanych środków, podstawowa zasada tego podejścia jest taka, że wiarygodne źródło, czyli zaufana strona trzecia, ma możliwość uwierzytelniania, autoryzowania i koordynowania dostępu w czasie rzeczywistym na podstawie różnych danych wejściowych. Płaszczyzny sterowania i danych omówimy dokładniej w rozdziale 2.

Ewolucja modelu obwodowego

Tradycyjna architektura opisana w tej książce jest często nazywana modelem obwodowym. Nazwa nawiązuje do muru wokół zamku, zapewniającego mu fizyczne bezpieczeństwo. Podejście to polega na budowaniu linii obrony, które intruz musiałby pokonać, aby dostać się do cennych rzeczy. Niestety, w kontekście sieci komputerowych metoda ta ma istotne wady i jest nieskuteczna. Aby w pełni zrozumieć ten problem, należy przypomnieć sobie, jak powstał obecny model.

Zarządzanie globalną przestrzenią adresów IP

Droga, która doprowadziła do powstania modelu obwodowego, rozpoczęła się od przypisania adresu. Od chwili powstania internetu sieci łączono ze sobą w coraz szybszym tempie. Jeśli jakaś sieć nie mogła być dołączona bezpośrednio z internetu (pamiętajmy, że nie był on wówczas wszechobecny), łączono ją z siecią innej instytucji, firmy lub ośrodka badawczego. Oczywiście adresy IP muszą być w każdej sieci niepowtarzalne. Gdyby operatorzy mieli pecha i pojawiłyby się takie same adresy, mieliby dużo pracy z ich zmianą. Jeśli siecią, z którą się łączysz, jest internet, Twój adres musi być globalnie unikatowy. Widać więc, że wymagana jest tu pewna koordynacja działań.

Taką koordynacją zajmuje się utworzony w 1998 roku urząd IANA (ang. Internet Assigned Numbers Authority, Urząd Nadawania Adresów Internetowych, https://www.iana.org). Wcześniej obowiązki te pełnił człowiek, Jon Postel, który stworzył mapę internetu pokazaną na rysunku 1.3. To on był autorytatywnym źródłem danych dotyczących przynależności adresów IP. Aby uzyskać globalnie unikatowe adresy, należało się u niego zarejestrować. W tamtym czasie zachęcano wszystkich do rejestrowania sieci w przestrzeni adresowej IP, nawet gdy nie miały być połączone z internetem. Zakładano, że odizolowana sieć w pewnym momencie zostanie podłączona do innej sieci.

Rysunek 1.3. Mapa wczesnego internetu stworzona przez Jona Postela, datowana na luty 1982 roku

Narodziny prywatnej przestrzeni adresów IP

W miarę wzrostu popularności protokołu IP na przełomie lat 80. i 90. nieprzemyślane wykorzystanie przestrzeni adresów stało się poważnym problemem. Zaczęły pojawiać się liczne przypadki odizolowanych sieci z dużymi wymaganiami dotyczącymi adresacji. Najlepszymi przykładami były sieci łączące bankomaty oraz wyświetlacze lotów na dużych lotniskach. Sieci te z różnych powodów były odizolowane. Niektóre ze względu na bezpieczeństwo lub prywatność urządzeń (np. bankomatów), inne z powodu bardzo specyficznych funkcji (np. wyświetlanie informacji o lotach), których wykorzystanie przy szerszym dostępie do sieci było bardzo mało prawdopodobne. Aby rozwiązać problem wyczerpania publicznej przestrzeni adresowej, opracowano dokument RFC 1597 Address Allocation for Private Internets (przydzielanie adresów w prywatnych sieciach internetowych, https://oreil.ly/x94Ap).

W marcu 1994 roku w powyższym dokumencie ogłoszono, że urząd IANA zarezerwował trzy zakresy adresów IP przeznaczone dla prywatnych sieci: 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16. W ten sposób spowolniono tempo wyczerpywania się adresów i uzyskano pewność, że w dużych sieciach prywatnych przydziały te nie zostaną przekroczone. Również operatorzy sieci mogli w dowolnych miejscach i czasie stosować nieglobalnie unikatowe adresy. Miało to jeszcze jeden interesujący, widoczny do dzisiaj skutek: sieci wykorzystujące adresy prywatne są bezpieczniejsze, ponieważ z założenia nie mogą komunikować się z innymi sieciami, zwłaszcza z internetem.

W tamtym czasie (względnie) bardzo niewiele organizacji miało połączenia z internetem lub istniało w nim, w związku z czym adresacja sieci wewnętrznych często obejmowała zarezerwowane zakresy. Ponadto sieci znajdowały się wewnątrz murów poszczególnych organizacji, więc zabezpieczenia były bardzo słabe lub nie było ich wcale.

Sieci prywatne łączą się z publicznymi

Ilość interesujących informacji w internecie rosła bardzo szybko i wkrótce większość organizacji zapragnęła w jakiś sposób w nim zaistnieć. Jedną z pierwszych form była poczta elektroniczna. Ludzie chcieli wysyłać i odbierać wiadomości, co oznaczało, że potrzebowali publicznie dostępnego serwera pocztowego, a więc i połączenia z internetem. Często się zdarzało, że w istniejących sieciach prywatnych serwer pocztowy był jedynym, który miał taką łączność. Jeden jego interfejs prowadził do internetu, a drugi do sieci wewnętrznej. Dzięki temu systemy i użytkownicy mogli wysyłać i odbierać wiadomości e-mail.

Szybko zdano sobie sprawę, że taki serwer otwierał furtkę do wcześniej bezpiecznej, prywatnej sieci. W razie włamania haker mógł się do niej dostać, ponieważ z serwerem komunikowały się znajdujące się w sieci hosty. To odkrycie uświadomiło konieczność wprowadzenia ścisłej kontroli hostów i ich połączeń sieciowych. Operatorzy telekomunikacyjni umieszczali zapory sieciowe po obu stronach serwerów, aby ograniczyć komunikację i udaremnić ataki hakerów próbujących uzyskać z internetu dostęp do wewnętrznych systemów, jak na rysunku 1.4. W ten sposób narodził się model obwodowy. Sieć wewnętrzna stała się "bezpieczna", a ściśle kontrolowany obszar, w którym znajdowały się zewnętrzne hosty, nazwano strefą DMZ.

Rysunek 1.4. Dostęp do hostów w strefie DMZ mają zarówno hosty zewnętrzne, jak i prywatne, przy czym te ostatnie nie mogą wychodzić poza strefę, a tym samym uzyskiwać bezpośredniego dostępu do internetu

Narodziny translacji NAT

Ilość zasobów internetowych wykorzystywanych przez sieci wewnętrzne szybko rosła i wkrótce łatwiej było otwierać wewnętrznym hostom ogólny dostęp do internetu niż utrzymywać hosty pośrednie dla wszystkich potrzebnych aplikacji. Problem elegancko rozwiązała translacja NAT (ang. Network Address Translation, translacja adresów sieciowych).

Dokument RFC 1631 (https://oreil.ly/n5Wlh), The IP Network Address Translator ("Tłumacz sieciowych adresów IP") definiuje standardowe urządzenie sieciowe realizujące translację adresów IP na brzegu sieci organizacji. Dzięki tabeli wiążącej publiczne adresy IP z prywatnymi portami urządzenia znajdujące się w sieciach prywatnych uzyskują dostęp do wszelkich zasobów internetowych. To proste powiązanie funkcjonuje niezależnie od stosowanych aplikacji i sprawia, że operatorzy telekomunikacyjni nie muszą zajmować się komunikacją poszczególnych aplikacji z internetem. Mogą się skupić na podstawowej łączności.

Urządzenia NAT mają pewną ciekawą cechę. Ponieważ adresy są wiązane w trybie "wiele do jednego", hosty znajdujące się w internecie nie mają dostępu do wewnętrznych prywatnych adresów IP (chyba że translację skonfiguruje się specjalnie dla konkretnego przypadku). W efekcie urządzenie NAT pełni tę samą funkcję, co zapora stanowa. Niemal natychmiast w zwykłych zaporach zaczęto implementować translację i obie funkcje połączyły się w jedną, niemal niepodzielną. Potrzeba komunikacji międzysieciowej i ścisłej kontroli bezpieczeństwa sprawiła, że urządzenia tego rodzaju zaczęto stosować na wszystkich brzegach sieci organizacji. Ilustruje to rysunek 1.5.

Rysunek 1.5. Uproszczony schemat typowej zapory obwodowej

Współczesny model obwodowy

Zapora sieciowa/ urządzenie NAT umieszczone pomiędzy wewnętrzną siecią a internetem powodują wyraźne wyodrębnienie stref bezpieczeństwa: "bezpiecznej" DMZ i niezaufanej, czyli internetu. W przypadku połączenia organizacji z inną na brzegu sieci również zostałoby umieszczone podobne urządzenie. Dołączona sieć stałaby się nową strefą bezpieczeństwa, której dotyczyłyby ścisłe reguły przesyłania ruchu, podobne jak w strefie bezpiecznej i DMZ.

Patrząc wstecz, widzimy postęp. Nastąpiło przejście od odizolowanych sieci, w których dostęp do internetu miało kilka hostów, do gęsto połączonych ze sobą sieci z urządzeniami zabezpieczającymi rozmieszczonymi na całym obwodzie. Nietrudno to zrozumieć: operatorzy sieci nie mogli sobie pozwolić na rezygnację z doskonałych zabezpieczeń swoich odizolowanych sieci, ponieważ musieli otworzyć drzwi dla różnych potrzeb biznesowych. Zastosowanie ścisłych środków bezpieczeństwa przy wszystkich drzwiach zminimalizowało ryzyko zagrożeń.

Ewolucja krajobrazu zagrożeń

Możliwość komunikacji z innymi systemami komputerowymi była bardzo pożądana jeszcze przed erą publicznego internetu. Zwykle wykorzystywano do tego celu zwykłą sieć telefoniczną. Użytkownicy i systemy komputerowe łączyli się ze sobą i przesyłali dane zakodowane w postaci słyszalnych dźwięków. W tamtym czasie urządzenia telefoniczne były najczęstszymi obiektami ataków, ponieważ uzyskanie fizycznego dostępu do sieci było znacznie trudniejsze.

Gdy organizacje podłączyły swoje hosty do internetu, ataki przeniosły się z sieci telefonicznej na modemowy internet. Dynamika większości ataków się zmieniła. Zewnętrzne połączenia z urządzeniami powodowały blokowanie linii telefonicznych. W odróżnieniu od połączeń TCP był to wyraźnie widoczny efekt. O wiele łatwiej było potajemnie dostać się do sieci IP niż do systemu, z którym trzeba było się wcześniej połączyć. Bez wzbudzania większych podejrzeń można było przeprowadzać przez długi czas eksplorację systemów i ataki brutalnej siły. Zmiana ta otworzyła nowe, szerokie możliwości: za pomocą szkodliwego kodu można było podsłuchiwać ruch internetowy.

Pod koniec lat 90. ubiegłego wieku zaczęły pojawiać się pierwsze informatyczne konie trojańskie, które nakłaniały użytkowników do zainstalowania oprogramowania, a następnie otwierały porty i czekały na przychodzące połączenia. Haker po połączeniu się z otwartym portem mógł zdalnie sterować zaatakowanym komputerem.

Nie minęło wiele czasu, gdy zdano sobie sprawę, że dobrze byłoby zabezpieczyć hosty dołączone do internetu. Najlepszym sposobem było użycie zapór sprzętowych (w większości systemów operacyjnych nie było jakichkolwiek lokalnych zapór). Zapora określa zasady i dopuszcza tylko bezpieczny ruch opisany na białej liście. Jeżeli administrator niechcący zainstaluje coś, co odsłoni otwarty port, na przykład konia trojańskiego, zapora zablokuje połączenia z tym portem do chwili, aż zostanie jawnie skonfigurowana tak, aby pozwalała na takie połączenia. W analogiczny sposób można kontrolować ruch z wewnątrz sieci do serwerów internetowych. Użytkownicy mogą nawiązywać połączenia z serwerami, a nie na odwrót. W ten sposób zapobiega się włamaniom do wewnętrznej sieci poprzez zaatakowanego hosta w strefie DMZ.

Hosty znajdujące się w strefie DMZ są ze względu na ich połączenia z internetem oczywistymi głównymi celami ataków, mimo że ścisła kontrola ruchu przychodzącego i wychodzącego utrudnia uzyskanie dostępu do sieci wewnętrznej przez strefę DMZ. Haker musi najpierw złamać zabezpieczenia zapory chroniące serwer, a następnie zmodyfikować aplikację tak, aby móc ją wykorzystać do tajnej komunikacji. Ostatecznym celem jest pozyskanie znajdujących się w niej danych. Dla hakerów usiłujących dostać się do wewnętrznych sieci modemy były najłatwiejszymi celami.

W tym momencie sprawy przybrały ciekawy obrót. Translację NAT wprowadzono po to, aby użytkownicy znajdujący się w sieciach wewnętrznych mieli dostęp do internetu. Po części ze względu na cechy translacji, po części z powodu problemów związanych z bezpieczeństwem, nadal ruch przychodzący był ściśle kontrolowany, choć wewnętrzne hosty mogły swobodnie korzystać z zasobów zewnętrznych. Należy wyraźnie podkreślić różnice pomiędzy sieciami z translacją NAT i bez niej: w pierwszym przypadku zasady kontroli komunikacji wychodzącej są bardzo łagodne (lub nie ma ich wcale).

To znacząco zmieniło model bezpieczeństwa sieci. Hosty w zaufanych sieciach wewnętrznych mogły komunikować się bezpośrednio z niezaufanymi hostami internetowymi, a niezaufany host nagle uzyskał możliwość wykorzystania klienta próbującego z nim porozmawiać. Co gorsza, szkodliwy kod mógł wysyłać wiadomości z sieci wewnętrznej do hosta w internecie. Dziś nazywa się to "dzwonieniem do domu".

Dzwonienie do domu jest kluczową taktyką stosowaną w większości współczesnych ataków. Umożliwia eksfiltrację danych z chronionej sieci, a co ważniejsze, również ich wstrzykiwanie, ponieważ protokół TCP jest dwukierunkowy. Typowy atak można podzielić na kilka etapów, pokazanych na rysunku 1.6. Najpierw haker atakuje wybrany komputer w wewnętrznej sieci. Wykorzystuje w tym celu przeglądarkę użytkownika, który otwiera określoną stronę. Haker wysyła mu na przykład wiadomość e-mail z załącznikiem zawierającym bardzo mały kod, jednak wystarczający, aby nawiązać połączenie z hostem w internecie i uruchamiać inny kod otrzymany w odpowiedzi. Taki program jest czasami nazywany dialerem.

Rysunek 1.6. Klient inicjuje wszystkie połączenia niezbędne do przeprowadzenia ataku, łatwo przechodząc przez zapory sieciowe i słabe zabezpieczenia ruchu wychodzącego

Dialer pobiera i instaluje właściwe szkodliwe oprogramowanie, które najczęściej próbuje nawiązać kolejne połączenie z zewnętrznym hostem internetowym kontrolowanym przez hakera. Haker wykorzystuje to połączenie do wysyłania poleceń do szkodliwego oprogramowania, wyprowadzania poufnych danych, a nawet do ustanawiania interaktywnych sesji. Taki "pacjent zero" jest dla hakera punktem wejścia do wewnętrznej sieci i przeprowadzania kolejnych ataków.

Zabezpieczenia wyjściowe

Zabezpieczenia wyjściowe bardzo skutecznie chronią przed atakami z wykorzystaniem dialerów, ponieważ wykrywają i blokują dzwonienie do domu. Często jednak takie dzwonienie wygląda jak zwykły ruch internetowy do (pozornie) normalnych sieci. Jest to typowy scenariusz spotykany w systemach back-office.

Możliwość przeprowadzania ataków z hostów znajdujących się w sieci wewnętrznej otwiera przed hakerem szerokie perspektywy. Atakowane hosty mogą niemal na pewno komunikować się z hostami w tej samej strefie bezpieczeństwa (powiększanie zasięgu), a nawet w strefach lepiej zabezpieczonych niż ich własna. Haker po włamaniu się do słabiej chronionej strefy może przejść przez sieć i ostatecznie uzyskać dostęp do stref o wyższym poziomie bezpieczeństwa.

Cofnijmy się na chwilę i zauważmy, że ten scenariusz skutecznie podważa zasadność modelu bezpieczeństwa obwodowego. Krytyczny błąd umożliwiający rozszerzanie ataków jest subtelny, ale wyraźny: zasady bezpieczeństwa są określone w strefach sieciowych i egzekwowane tylko na ich granicach na podstawie wyłącznie adresów źródłowych i docelowych.

W miarę upływu czasu, gdy internet coraz bardziej się rozpowszechniał, zaczęły pojawiać się inne zagrożenia. Obecnie popularność zyskuje praktyka BYOD (ang. Bring Your Own Device, przynieś własne urządzenie), umożliwiająca pracownikom korzystanie w firmach z własnych urządzeń. Ludzie są bardziej produktywni, ponieważ więcej niż wcześniej pracują w swoich domach. Podczas pandemii COVID-19, gdy przez dłuższy czas nie można było przebywać w miejscach pracy, odkryto zalety tej metody. Jednocześnie jednak powiększyły się obszary ataków, bo instalowanie najnowszych poprawek zabezpieczeń na wielu urządzeniach jest znacznie trudniejsze niż na jednym. Jednym z zagrożeń jest atak typu zero-click, który nie wymagana nawet angażowania użytkownika (więcej na ten temat w uwadze poniżej). Hakerzy rozmyślnie szukają urządzeń bez zainstalowanych aktualnych poprawek, aby wykorzystać luki w zabezpieczeniach i uzyskać nieautoryzowany dostęp do sieci. W rozdziale 5. przyjrzymy się znaczeniu poprawek i metodom automatyzacji ich wdrażania, zwiększającym bezpieczeństwo urządzeń.

Atak zero-click

Atak zero-click jest bardzo wyrafinowany, bo polega na włamaniu się do urządzenia użytkownika bez jego udziału. Haker wykorzystuje niezałatane luki w zabezpieczeniach umożliwiające uruchamianie dowolnych kodów i przepełnianie bufora. Ponieważ atak nie angażuje użytkownika, jest bardzo skuteczny. Były na niego podatne takie aplikacje jak WhatsApp (https://oreil.ly/PuvWi) i iMessage firmy Apple (https://oreil.ly/ckgGe). W 2021 roku firma Google przedstawiła wyniki kompleksowego badania podatności tej drugiej aplikacji i dalekosiężne konsekwencje wykorzystania luki (https://oreil.ly/h2nho). Jak zawsze kluczowe znaczenie ma aktualizowanie wszystkich urządzeń i usług mających dostęp do zasobów firmy.

Mankamenty modelu bezpieczeństwa obwodowego

Mimo że model bezpieczeństwa obwodowego wciąż jest zdecydowanie najbardziej popularny, coraz bardziej oczywiste są wady podstaw, na których się opiera. Codziennie są przeprowadzane zaawansowane i skuteczne ataki na sieci z doskonałymi zabezpieczeniami obwodowymi. Hakerzy, wykorzystując niezliczone metody, umieszczają w sieciach swoje narzędzia, uzyskują zdalny dostęp i powiększają zasięgi swoich działań. Zapory obwodowe stały się odpowiednikami murów otaczających miasta, które chronią je przed szpiegami.

Problem pojawia się podczas projektowania stref bezpieczeństwa w sieci. Wyobraźmy sobie mały sklep internetowy, zatrudniający kilku pracowników, posiadający pewne wewnętrzne systemy (płacowy, magazynowy itp.) i serwer ze stroną internetową. Naturalną rzeczą jest określenie rodzajów dostępu dla poszczególnych stron. Pracownicy muszą mieć dostęp do systemów wewnętrznych, serwer ze stroną WWW musi komunikować się z bazą danych, baza nie musi mieć dostępu do internetu, ale pracownicy tak itd. W tradycyjnym modelu poszczególne grupy wyodrębnia się jako strefy i określa zasoby, do których mogą mieć dostęp. Ilustruje to rysunek 1.7. Oczywiście, zasady dostępu trzeba egzekwować, a ponieważ określa się je dla poszczególnych stref, logiczne jest egzekwowanie tych zasad wszędzie tam, gdzie jedna strefa wysyła ruch do innej.

Rysunek 1.7. Sieć korporacyjna współdziałająca z siecią produkcyjną

Jak wiadomo, od ogólnych zasad są wyjątki. W tym przypadku są one potocznie nazywane wyjątkami zapory sieciowej. Zazwyczaj ich zakresy ogranicza się jak najściślej. Na przykład twórca witryny internetowej ma dostęp SSH do serwerów produkcyjnych, a pracownik działu kadr - do bazy danych osobowych, aby móc przeprowadzać audyty. W takich przypadkach uzasadnione jest skonfigurowanie w zaporze wyjątku umożliwiającego generowanie ruchu z komputera danej osoby do określonego serwera lub kilku serwerów.

Wyobraźmy sobie teraz, że arcyrywal firmy zatrudnił zespół hakerów, aby zdobyli informacje o zapasach i wynikach sprzedaży sklepu. Hakerzy, podszywając się pod pobliską restaurację, wysyłają wiadomości z kodem rabatowym na adresy e-mail wszystkich pracowników firmy, jakich znaleźli w internecie. Oczywiście, jeden z nich klika odnośnik powodujący zainstalowanie szkodliwego oprogramowania, które dzwoni do domu i umożliwia hakerom otwarcie sesji na zaatakowanym komputerze. Na szczęście jest to urządzenie praktykanta, który ma ograniczony dostęp.

Hakerzy jednak zaczynają przeszukiwać sieć i odkrywają, że firma posiada oprogramowanie do udostępniania plików. Żaden pracownik nie używa najnowszej wersji, przez co ich komputery są podatne na nagłośnione niedawno ataki.

Hakerzy rozpoczynają systematyczne poszukiwania komputerów z szerszym dostępem. Rzecz jasna, jeżeli mają większą wiedzę, mogą to robić w bardziej ukierunkowany sposób. W końcu natrafiają na komputer programisty. Instalują na nim keyloggera i uzyskują poświadczenia do serwera WWW. Wykorzystują je do połączenia się za pomocą protokołu SSH, uzyskują uprawnienia administracyjne programisty, odczytują z dysku hasło do bazy danych i łączą się z nią. Następnie wykonują zrzut danych, pobierają go i usuwają wszystkie pliki dziennika (jeżeli dopisze szczęście, można odkryć włamanie). Wykonali swoją misję, co pokazuje rysunek 1.8.

Rysunek 1.8. Ruchy hakera włamującego się do sieci korporacyjnej, a następnie produkcyjnej

Zaraz, zaraz, co takiego? Jak widać, do włamania doszło z powodu błędów na wielu poziomach. Można by pomyśleć, że jest to wyjątkowo wyimaginowany przypadek, ale tego rodzaju ataki zdumiewająco często są skuteczne. Jednak najbardziej zaskakuje niezauważony fakt: gdzie się podziało całe bezpieczeństwo sieci? Zapory rozmieszczono starannie, a zasady i wyjątki ściśle określono. Z punktu widzenia bezpieczeństwa sieci wszystko zrobiono właściwie. Co się więc stało?

Po dokładnym przyjrzeniu się widać z całą wyrazistością, że przyjęty model bezpieczeństwa był niewystarczający. Zabezpieczenia obwodowe można łatwo ominąć za pomocą dzwoniącego do domu szkodliwego oprogramowania. Zapory umieszczone między strefami wykorzystują do egzekwowania zasad jedynie adresy źródłowe i docelowe. Zabezpieczenia obwodowe wnoszą wprawdzie pewną wartość do bezpieczeństwa sieci, ale należy się ponownie zastanowić, czy powinny pełnić funkcję głównego mechanizmu ochronnego.

Przebieg przykładowego ataku

Wysłanie fałszywych wiadomości e-mail do pracowników. Włamanie do firmowego komputera, uzyskanie dostępu do powłoki systemu. Powiększenie zasięgu działania w sieci. Zlokalizowanie komputera z uprawnieniami administracyjnymi. Eskalacja uprawnień na komputerze, instalacja keyloggera. Pozyskanie hasła programisty. Włamanie do hosta produkcyjnego z uprawnionego komputera. Rozszerzenie uprawnień dostępu do hosta produkcyjnego. Pozyskanie poświadczeń aplikacji do bazy danych. Eksfiltracja bazy danych z użyciem zaatakowanego hosta produkcyjnego.

Pierwszym krokiem jest oczywiście poszukanie istniejących rozwiązań. Model obwodowy dobrze chroni sieć, ale to nie znaczy, że nie można znaleźć czegoś lepszego. Jaki jest najgorszy scenariusz z punktu widzenia bezpieczeństwa sieci? Pytanie jest dość kategoryczne, a sedno problemu leży w zaufaniu.

Gdzie leży zaufanie?

Rozważając opcje wykraczające poza model obwodowy, należy dobrze określić, co jest godne zaufania, a co nie. Poziom zaufania określa dolną granicę niezawodności wymaganych protokołów bezpieczeństwa. Niestety, rzadko się zdarza, aby staranność zabezpieczeń wykraczała poza przyjęte wymagania, więc rozsądne jest maksymalne ograniczenie zaufania. Z zaufania do systemu bardzo trudno jest zrezygnować.

Sieć Zero Trust jest tym, czym się wydaje - siecią całkowicie niezaufaną. Akurat bardzo często korzystamy z jednej z nich: internetu. Ta sieć udzieliła kilku cennych lekcji bezpieczeństwa. Operator zabezpiecza swoje serwery internetowe zupełnie inaczej niż lokalne. Dlaczego? A gdyby bóle, które się wiążą z takim rygorem, udało się wyleczyć (lub choćby złagodzić), czy nadal warto byłoby narażać bezpieczeństwo?

W modelu Zero Trust wszystkie hosty traktuje się tak, jakby korzystały z internetu, a sieci, w których się znajdują, uznaje za zagrożone i wrogie. Dopiero mając pełną tego świadomość, można zacząć budować bezpieczną komunikację. Ponieważ większość operatorów zbudowała lub utrzymywała w przeszłości systemy internetowe, mamy przynajmniej pewne pojęcie o tym, jak zabezpieczyć adresy IP, aby trudniej było przechwycić lub zmanipulować komunikację (i oczywiście jak zabezpieczyć hosty). Dzięki automatyzacji można rozszerzyć ten poziom bezpieczeństwa na wszystkie systemy w infrastrukturze.

Automatyzacja jako czynnik wspomagający

Sieci Zero Trust nie wymagają stosowania nowych protokołów ani bibliotek. Wykorzystuje się w nich jednak w nowatorski sposób istniejące technologie. Sieci te buduje się i obsługuje za pomocą systemów automatyzacji.

Interakcje pomiędzy płaszczyznami sterowania i danych to krytyczne procesy wymagające automatyzacji. Jeśli egzekwowania zasad nie można dynamicznie zmieniać, osiągnięcie zerowego zaufania nie jest możliwe. Dlatego niezwykle ważne jest, aby proces ten odbywał się automatycznie i szybko.

Istnieje wiele sposobów takiej automatyzacji. Najlepsze jest zastosowanie systemów specjalnie zaprojektowanych do tego celu, ale można wykorzystać również prostsze, na przykład do tradycyjnego zarządzania konfiguracją. Rozpowszechnienie zarządzania konfiguracją jest ważnym krokiem w kierunku budowania sieci Zero Trust, bo takie systemy często zawierają ewidencję urządzeń i mogą automatyzować konfigurację sieci w płaszczyźnie danych.

Ponieważ nowoczesne systemy zarządzania konfiguracją mogą zarówno ewidencjonować urządzenia, jak i automatyzować konfigurację płaszczyzny danych, dobrze się nadają do podjęcia pierwszego kroku w kierunku budowania sieci Zero Trust.

Model obwodowy a Zero Trust

Modele obwodowy i Zero Trust zasadniczo się od siebie różnią. Pierwszy jest murem pomiędzy zasobami zaufanymi a niezaufanymi (tj. między siecią lokalną a internetem), a drugi zakłada, że nie ma o co walczyć, i godzi się z rzeczywistością, w której "źli ludzie" są wszędzie. Nie buduje murów, tylko chroni wewnętrzne miękkie tkanki, a całą populację zamienia w milicję.

Obecnie w modelu obwodowym chronionym sieciom przypisuje się pewien poziom zaufania. Jest to sprzeczne z modelem Zero Trust i prowadzi do niepożądanych efektów. Operatorzy są ludźmi i zwykle tracą czujność, gdy sieć jest zaufana. Rzadko kiedy hosty znajdujące się w tej samej strefie chronią się przed sobą nawzajem - w końcu przynależność do tej samej strefy powinna oznaczać, że wszyscy są tak samo zaufani. Czas jednak pokazał, że założenie to jest błędne i hosty trzeba chronić nie tylko przed światem zewnętrznym, ale także przed sobą nawzajem.

Ponieważ model Zero Trust zakłada, że sieć jest zewsząd zagrożona, przyjmuje również, że haker może komunikować się z użyciem dowolnego adresu IP. Zatem ochrona zasobów oparta na identyfikatorach takich jak adresy IP czy fizyczne lokalizacje hostów jest niewystarczająca. Wszystkie hosty, nawet znajdujące się w strefie zaufania, muszą się odpowiednio identyfikować. Hakerzy nie ograniczają się do aktywnych ataków. Wciąż przeprowadzają ataki pasywne, podsłuchując ruch w poszukiwaniu poufnych informacji. W takim przypadku identyfikacja hosta nie wystarczy - wymagane jest również silne szyfrowanie komunikacji.

Sieć Zero Trust implementuje trzy kluczowe funkcjonalności:

uwierzytelnianie i autoryzowanie użytkowników i aplikacji, uwierzytelnianie i autoryzowanie urządzeń, zaufanie.

Pierwsza jest w pewnym stopniu dwoista, ponieważ w sieci nie działają wyłącznie ludzie. Zatem w przypadku działań zautomatyzowanych (na przykład wewnątrz centrum danych) tak samo sprawdza się cechy aplikacji, jak użytkowników.

Uwierzytelnianie i autoryzowanie urządzeń jest równie ważne, jak użytkowników i aplikacji. Jest to funkcjonalność rzadko spotykana w usługach i zasobach chronionych przez urządzenia obwodowe. Często wdraża się ją z użyciem technologii VPN lub NAC (ang. Network Access Control, kontrola dostępu do sieci), zwłaszcza w bardziej dojrzałych sieciach. Jednak stosowanie jej między urządzeniami końcowymi (w przeciwieństwie do pośrednich) jest rzadkością.

NAC jako technologia obwodowa

Kontrola NAC to zestaw technologii służących do silnego uwierzytelniania urządzeń i udzielania dostępu do cennych zasobów w sieci. Technologie te, obejmujące między innymi protokoły 802.1X i TNC (ang. Trusted Network Connect, zaufane połączenie sieciowe), kontrolują dostęp do sieci, ale nie usług i jako takie są niezależne od modelu Zero Trust. Podejście bardziej zgodne z tym modelem obejmowałoby podobne środki, ale zlokalizowane znacznie bliżej udostępnianych usług (do tego celu można wykorzystać protokół TNC - więcej informacji na ten temat znajduje się w rozdziale 5.). Chociaż kontrolę NAC można stosować w sieci Zero Trust, ze względu na odległość od zewnętrznego punktu końcowego nie spełnia ona wymogu uwierzytelniania urządzeń.

Na koniec jest obliczana ocena zaufania. Aplikacja, urządzenie i wynik są łączone w całość i powstaje agent. Następnie wobec agenta są stosowane zasady w celu autoryzacji żądania. Dzięki bogactwu informacji, jakie ma agent, można bardzo elastycznie, a zarazem precyzyjnie kontrolować dostęp. Uwzględniając ocenę w zasadach, można dostosowywać kontrolę do zmieniających się warunków.

Gdy żądanie zostaje autoryzowane, płaszczyzna sterowania sygnalizuje płaszczyźnie danych, że można je zaakceptować. W ramach tej akcji można również skonfigurować szczegóły szyfrowania komunikacji na poziomie urządzenia, aplikacji lub obu poziomach. Do zapewnienia poufności komunikacji wymagany jest przynajmniej jeden poziom szyfrowania.

Dzięki funkcjonalności uwierzytelniania i autoryzacji oraz wsparciu płaszczyzny sterowania w koordynowaniu szyfrowanych kanałów wszystkie przepływy danych w sieci są uwierzytelniane i zatwierdzane. Hosty i urządzenia sieciowe nie przyjmują ruchu, który nie został zweryfikowany za pomocą wszystkich funkcjonalności. W efekcie poufne dane nie wyciekają z sieci. Dodatkowo, rejestrując wszystkie zdarzenia i działania na płaszczyźnie sterowania, można łatwo kontrolować ruch sieciowy, poszczególne przepływy danych i żądania.

Istnieją sieci, w których stosuje się podobne funkcjonalności, ale tylko na obwodzie. Sieci VPN słyną z prób ich realizacji w celu zabezpieczenia dostępu do sieci wewnętrznej. Jednak bezpieczeństwo ruchu kończy się na koncentratorze VPN. Oczywiście, operatorzy wiedzą, jak powinno wyglądać bezpieczeństwo w internecie, ale po prostu nie wdrażają tych skutecznych metod wszędzie, gdzie trzeba.

W wyimaginowanej sieci, w której opisane środki są stosowane spójnie, prosty eksperyment myślowy może rzucić nowe światło na ten paradygmat. Tożsamość można potwierdzać kryptograficznie. Oznacza to, że nie ma znaczenia, z jakiego adresu IP pochodzi dane połączenie (formalnie rzecz biorąc, wciąż istnieje pewne ryzyko - więcej na ten temat później). Dzięki automatyzacji usuwającej bariery techniczne sieć VPN jest w zasadzie przestarzała. Pojęcie sieci prywatnej nie oznacza już niczego szczególnego: znajdujące się w niej hosty są tak samo chronione jak internetowe. Gdy spojrzy się krytycznie na translację NAT i prywatną przestrzeń adresową, widać wyraźnie, że w modelu Zero Trust argumenty przemawiające za bezpieczeństwem są nieważne.

Największą wadą modelu obwodowego jest brak uniwersalnej ochrony i egzekwowania zasad. Trzeba chronić miękkie tkanki w środku. To, czego tak naprawdę szukamy, to twarde tkanki, które wiedzą, jak sprawdzać tożsamość, i mówią w sposób, którego nie sposób nie usłyszeć. Takie twarde tkanki wcale nie muszą wykluczać utrzymywania komórek bezpieczeństwa - w bardzo wrażliwych instalacjach i te są zalecane. Poprzeczka bezpieczeństwa jest jednak umieszczona tak wysoko, że zmniejszanie lub usuwanie tych komórek nie wydaje się błędem. Zważywszy na fakt, że większość funkcjonalności Zero Trust jest niewidoczna dla użytkownika końcowego, model ten wydaje się naruszać kompromis między bezpieczeństwem a wygodą. Być może problem wygody (lub jej braku) został zepchnięty na operatorów.

Zastosowanie w chmurze

Wdrażanie infrastruktury w chmurze wiąże się z wieloma wyzwaniami, a jednym z większych jest bezpieczeństwo. Model Zero Trust nadaje się do takich wdrożeń z oczywistego powodu: sieci w chmurze publicznej nie można ufać. Możliwość uwierzytelniania i zabezpieczania komunikacji niezależnie od adresów IP i zabezpieczeń sieci oznacza, że zasoby obliczeniowe stają się niemal towarem. Ponieważ model zaleca, aby szyfrować wszystkie pakiety, nawet w centrum danych, operatorzy nie muszą się zastanawiać, które pakiety przepływają przez internet, a które nie. Ta zaleta jest często niedoceniana. Obciążenie poznawcze związane z tym, kiedy, gdzie i jak szyfrować ruch, może być dość duże, szczególnie dla programistów, którzy nie rozumieją w pełni bazowego systemu. Przez wyeliminowanie przypadków szczególnych można uniknąć związanych z nimi błędów ludzkich.

Można argumentować, że szyfrowanie wewnątrz centrum danych jest przesadą, nawet przy zmniejszeniu obciążenia poznawczego. Historia pokazała, że jest inaczej. U dużych operatorów usług chmurowych, na przykład AWS, pojedynczy region składa się z wielu centrów danych połączonych ze sobą światłowodami. Dla użytkownika końcowego ten szczegół jest często niewidoczny. Amerykańska Agencja Bezpieczeństwa Wewnętrznego (NSA) interesowała się właśnie takimi połączeniami w pomieszczeniach takich jak pokazane na rysunku 1.9.

Rysunek 1.9. Pomieszczenie nr 641A - obiekt zainteresowania agencji NSA w centrum danych AT&T w San Francisco

Wdrażanie sieci przez samego dostawcę wiąże się z dodatkowym ryzykiem. Nie można wykluczyć luk w zabezpieczeniach, które pozwalałyby podsłuchiwać ruch w sąsiednich sieciach. Bardziej prawdopodobny przypadek to kontrola ruchu przez operatora podczas rozwiązywania problemu. Operator może być uczciwy, ale co z osobą, która na przykład ukradnie jego laptopa z zarejestrowanym na dysku ruchem? Brutalna rzeczywistość jest taka, że nie można już zakładać, że ruch w centrum danych jest chroniony przed podsłuchem lub modyfikacją.

Rola modelu Zero Trust w cyberbezpieczeństwie narodowym

W 2021 roku Biały Dom wydał zarządzenie wykonawcze nr 14028, wzywające do pilnej poprawy narodowego bezpieczeństwa cybernetycznego (https://oreil.ly/APvn7). Powodem były zagrażające bezpieczeństwu kraju coraz bardziej wyrafinowane cyberataki przeprowadzane na przestrzeni wielu lat, głównie przez zagranicznych wrogów. W zarządzeniu tym wyraźnie wskazano wdrożenie modelu Zero Trust jako kluczowy krok w kierunku poprawy bezpieczeństwa:

Rząd federalny musi wdrożyć dobre praktyki w zakresie bezpieczeństwa; zwrócić się w kierunku architektury zerowego zaufania [...].

- fragment zarządzenia wykonawczego nr 14028

Wdrożenie modelu Zero Trust bynajmniej nie dotyczy wyłącznie Stanów Zjednoczonych. Rządy państw na całym świecie stosują go, aby poprawiać własne bezpieczeństwo cybernetyczne. Innym przykładem są zasady projektowania architektury Zero Trust brytyjskiego Narodowego Centrum Bezpieczeństwa Cybernetycznego (https://oreil.ly/kGsoy).

W kolejnych rozdziałach opiszemy działania, publikacje i wytyczne różnych organizacji rządowych i pozarządowych, między innymi NIST (ang. National Institute of Standards and Technology, Państwowy Instytut Norm i Technologii), CISA (ang. Cybersecurity & Infrastructure Security Agency, Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury) i The Open Group, dotyczące tworzenia architektury Zero Trust.

Podsumowanie

W tym rozdziale opisaliśmy ogólne pojęcia, które doprowadziły do powstania modelu Zero Trust. Model ten wyklucza model obwodowy, którego założeniem jest niedopuszczenie hakerów do zaufanej sieci wewnętrznej. Model Zero Trust opiera się na twierdzeniu, że takie podejście jest nieskuteczne. Zakłada, że hakerzy znajdują się również w sieci wewnętrznej i trzeba budować mechanizmy bezpieczeństwa chroniące przed tym zagrożeniem.

Aby wyjaśnić, dlaczego model obwodowy jest nieskuteczny, opisaliśmy historię jego powstania. Internet na początku swego istnienia był siecią w pełni rutowalną. W miarę jego rozwoju użytkownicy określili obszary, które z żadnych racjonalnych powodów nie musiały być dostępne z internetu. Tak narodziła się koncepcja sieci prywatnej. Z biegiem czasu idea ta przyjęła się i organizacje modelowały swoje bezpieczeństwo, chroniąc zaufane sieci prywatne. Niestety, obecnie sieci te nie są tak odizolowane jak kiedyś. W rezultacie obwód jest bardzo nieszczelny i często przełamywany podczas incydentów bezpieczeństwa.

Mając wiedzę o sieciach obwodowych, można porównać opisany model z Zero Trust, charakteryzującym się ostrożnym zaufaniem do systemów. Tego typu sieci opierają się na automatyzacji i realistycznie zarządzają systemami kontroli bezpieczeństwa, dzięki czemu można tworzyć bardziej dynamiczne, odporniejsze systemy. Opisaliśmy kilka kluczowych pojęć, takich jak uwierzytelnianie użytkowników, urządzeń i aplikacji oraz autoryzację kombinacji tych komponentów. Pojęcia te przedstawimy dokładniej w dalszej części książki.

Na koniec opisaliśmy, jak powstanie chmur publicznych i rozpowszechnienie komunikacji internetowej zmieniło krajobraz zagrożeń. Obecnie sieci wewnętrzne są coraz częściej współdzielone i wyabstrahowane w takim stopniu, że użytkownicy końcowi nie wiedzą dokładnie, kiedy ich dane przechodzą przez dalekosiężne, podatne na ataki łącza. W rezultacie tej zmiany bezpieczeństwo danych w nowo tworzonych systemach jest ważniejsze niż kiedykolwiek wcześniej.

W następnym rozdziale przedstawimy ogólne pojęcia, których znajomość jest ważna w budowaniu systemów i zarządzaniu zaufaniem.

Opinie o drugim wydaniu książki Sieci Zero Trust

Zero Trust to nie tylko strategia. To mentalność, w której kwestionuje się założenia i analizuje wszystkie interakcje, aby chronić systemy cyfrowe przed niewidzialnymi wrogami. Ta książka zawiera praktyczne wskazówki dla dyrektorów technicznych, inżynierów i specjalistów od informatyki, którzy rozpoczynają podróż po świecie zerowego zaufania.

- Ann Johnson, wiceprezes ds. bezpieczeństwa w Microsoft

W tej książce przystępnym językiem przedstawiono podstawowe zasady bezpieczeństwa Zero Trust. To lektura obowiązkowa zarówno dla początkujących, jak i profesjonalistów.

- Karan Dwivedi, menedżer ds. inżynierii bezpieczeństwa w Google

Ta książka to doskonała synteza modelu bezpieczeństwa Zero Trust. Opisuje główne filary bezpieczeństwa oraz strategie opracowane przez NIST, DoD, CISA i inne organizacje, co czyni ją cennym źródłem informacji dla każdego, kto chce się dowiedzieć, jak wdrażać model bezpieczeństwa Zero Trust.

- Andrew Cameron, specjalista ds. tożsamości i dostępu w firmie motoryzacyjnej

Nie zdajemy sobie sprawy z tego, że nasze życie zależy od komputerów. Samolotami, szpitalami, pociągami, a nawet żarówkami w domach rządzą komputery. Naruszenie bezpieczeństwa tej infrastruktury może wywołać pandemonium, więc jej zabezpieczenie jest sprawą najwyższej wagi. Ta książka zawiera podstawowe informacje i strategie, które należy znać, aby chronić swoje inwestycje. Jest doskonałym źródłem wiedzy dla programistów, inżynierów i menedżerów. Dokładnie wyjaśnia, dlaczego i jak należy stosować zasadę zerowego zaufania.

- Sahil Malik, Inżynier ds. bezpieczeństwa w firmie informatycznej

W dobie rosnącej popularności chmury obliczeniowej, stosowania własnych urządzeń w sieciach korporacyjnych i pracy zdalnej wdrażanie zasady Zero Trust jest absolutną koniecznością. Choć jest to zadanie o wiele bardziej skomplikowane, niż się wydaje, dzięki autorom tej książki wszelkie zawiłości techniczne staną się zrozumiałe dla czytelnika z ogólną wiedzą informatyczną. To lektura obowiązkowa dla wszystkich administratorów sieci komputerowych w biznesie.

- Kim Crawley, analityk cyberbezpieczeństwa, autor książek Hacker Culture: A to Z i The Pentester Blueprint