Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (128)
  • добавить в избранное
    Добавить в закладки

Когда доверие – на нуле

Прочитали: 3103 Комментариев: 34 Рейтинг: 62

13 августа 2020

Понятно, что всех уязвимостей не закроешь – всегда появятся новые. Всех пользователей не научишь избегать нажатия на опасные ссылки. Да и неизвестные вредоносные программы никто не отменял. Накладываем все это на условия работы из дома – при наличии доступа к компьютеру посторонних (для работодателя, не для работника). И что делать компании в таких условиях?

Выход есть. Это паранойя, или, по-научному, модель нулевого доверия. Вот, например, из недавних новинок:

Beyondcorp Remote Access (входит в Google Cloud Platform) позволяет сотрудникам получать безопасный доступ к внутренним веб-ресурсам организации (интранету) из любого места и с использованием любого устройства без использования VPN (Virtual Private Network – «виртуальная частная сеть»).

Источник

Как же так? Безопасный, но незащищенный доступ? А все дело – в сведении привилегий к минимуму:

Beyondcorp Remote Access пропускает весь внешний трафик через прокси-сервер с целью идентификации пользователей и определения их привилегий. При этом система полагается не только на проверку личности сотрудника, но и так называемого контекста доступа. Это гарантирует, что лишь нужные пользователи будут иметь доступ к необходимой информации. Контекстом может, например, считаться используемое устройство (ноутбук, десктоп) – в таком случае пользователь не сможет получить доступ ко внутренним веб-приложениям организации с личного ПК, который не был предварительно одобрен администратором сервиса.

Источник

То есть речь не только о назначении прав доступа лишь к необходимым по работе ресурсам. Происходит проверка, откуда совершалась попытка доступа: с защищенного рабочего места или из дома, с личного компьютера.

Можно настроить политики безопасности таким образом, чтобы сотрудники HR-службы, работающие из дома со своих ноутбуков, имели доступ только к внутренней системе управления документами, причем лишь при использовании последней версии ОС и устойчивых к фишингу средств аутентификации.

Источник

Подход нулевого доверия все переворачивает с ног на голову: мы не защищаем все устройства по максимуму, а определяем возможность доступа к ресурсам в зависимости, например, от места доступа или используемых мер защиты.

В начале 2020 года Национальный институт стандартов и технологий США (NIST) опубликовал черновик второй редакции документа, в котором рассматриваются основные логические компоненты архитектуры с нулевым доверием (Zero Trust Architecture, ZTA).

Нулевое доверие (Zero Trust) относится к развивающемуся набору парадигм сетевой безопасности, в основе которых лежит принцип «никому ничего не доверяй». В отличии от классических подходов, уделяющих больше внимания защите периметра, модель Zero Trust акцентируется на безопасности ресурсов, а не сегментов сети предприятия.

Источник

У такой модели есть проблема. Если при традиционном подходе нужно просто обеспечить максимально нужный уровень защиты и забыть о тонкостях распределения полномочий и обязанностей, то тут сначала нужно разобраться в бизнесе, узнать, какие и кому требуются данные, а уже потом обеспечивать доступ к ним и при необходимости – защиту.

В модели с нулевым доверием вы определяете «защищаемое пространство», состоящее из наиболее важных и ценных данных и ресурсов, и фиксируете маршруты трафика по организации с точки зрения их отношения к защищаемым ресурсам.

Как только появляется понимание связей между ресурсами, инфраструктурой и сервисами, можно создавать микропериметры — межсетевые экраны на уровне сегментов корпоративных сетей.

Источник

При традиционном подходе для удаленных сотрудников всегда требуется защищенный канал связи. А при нулевом доверии делается упор на аутентификацию и авторизацию до предоставления доступа к каждому ресурсу компании. И только при необходимости – VPN.

В модели пользователю (или устройству) необходимо получить доступ к корпоративному ресурсу через «контрольно-пропускной пункт». Пользователь проходит проверку через точку принятия решения о доступе на основе политики безопасности (Policy Decision Point, PDP) и через точку реализации политики (Policy Enforcement Point, PEP), отвечающую за вызов PDP и правильную обработку ответ.

Источник

Конечно, это не «серебряная пуля» – украденные учетные данные открывают доступ к корпоративной информации. Поэтому требуется и регулярная смена паролей, и контроль аномалий в действиях пользователей.

  • Доступ к отдельным корпоративным ресурсам предоставляется для каждой сессии. Аутентификация и авторизация для одного ресурса не дают доступ к другому.
  • Доступ к ресурсам определяется динамической политикой, включая наблюдаемое состояние идентификации клиента, приложения и других атрибутов (например, измеряемых отклонений в наблюдаемой модели использования). Политика — это набор правил доступа, основанных на атрибутах, которые организация назначает пользователю, ресурсу или приложению.

Источник

#защита_от_потери_данных #Интернет #корпоративная_безопасность #названия #технологии

Антивирусная правДА! рекомендует

Эта концепция сложна для понимания, а ее реализация обходится недешево. Но ее применение для больших компаний – выгодно и оправданно.

И вот что важно: нулевое доверие не означает, что необходимо отказаться от традиционного подхода с использованием того же антивируса. Наличие системы защиты на локальном компьютере – условие для повышения уровня доступа. Только теперь это называется «контролем за активами».

Предприятие гарантирует максимально безопасное состояние всех принадлежащих ему устройств, и отслеживает активы, чтобы гарантировать их максимальную безопасность. «Максимально возможное безопасное состояние» означает, что устройство находится в наиболее практичном безопасном состоянии и все еще выполняет действия, соответствующие его миссии.

Источник

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей