Архітектура нульової довіри: логічні компоненти та підходи запровадження
DOI: 10.31673/2412-9070.2024.030711
Анотація
Архітектура нульової довіри (АНД) — це сучасний підхід до кібербезпеки, який іде на зміну традиційній моделі безпеки на основі периметра. У моделі нульової довіри організації не автоматично довіряють жодному користувачеві або пристрою, незалежно від того, чи вони перебувають всередині чи поза корпоративною мережею. Замість цього вона передбачає, що загрози можуть виникнути як з боку внутрішніх, так і зовнішніх джерел, і перевіряє кожного користувача та пристрій, котрі намагаються отримати доступ до ресурсів.
Основні принципи цього напрямку розвитку програмного забезпечення:
• перевірка ідентичності: людям потрібно підтверджувати свою ідентичність перед отриманням доступу до ресурсів. Це часто передбачає багаторівневу автентифікацію та надійні методи верифікації;
• доступ із найменшими привілеями: користувачам надається найменший доступ, потрібний для виконання їх завдань. Доступ обмежується лише до істотних речей, зменшуючи потенційний вплив порушення безпеки;
• мікросегментація: передбачає сегментування мережі на дрібному рівні, що дає змогу ізолювати та захищати окремі ресурси;
• шифрування даних: шифрування застосовується як у процесі передавання, так і у спокої, щоб захистити дані від несанкціонованого доступу;
• відсутність прихованої довіри, застосування принципу «ніколи не довіряй, завжди перевіряй» означає, що перевірка потрібна на кожному етапі доступу.
У статті розглянуто сучасні виклики та підходи до забезпечення кібербезпеки за умов швидкого розвитку хмарних технологій. Зокрема, проаналізовано зсув у використанні контейнерів у розгортанні програмного забезпечення та його вплив на модель кібербезпеки. Підходи до безпеки, що базуються на концепції АНД, висвітлено в контексті нових вимог та можливостей.
Детально описано ключові логічні компоненти АНД, зокрема механізм політики та адміністратор політики, і зазначено їхню взаємодію у створенні безпечного середовища. Також надано огляд джерел даних, використаних для створення правил політики доступу та врахування їх у механізмах АНД. Запропоновано підходи до впровадження АНД для робочих процесів у корпоративних середовищах: покращене керування ідентифікацією, логічну мікросегментацію та сегментацію на основі мережі. Кожен із цих підходів має свої переваги та беруться до уваги залежно від потреб індивідуальної організації.
Ключові слова: архітектура; кібербезпека; підприємство; безпека мережі; нульова довіра; архітектура нульової довіри; політики; механізми політик.
Список використаної літератури
1. Van Cleeff A., Wieringa R. J. Rethinking deperimeterisation: Problem analysis and solutions // IADIS International Conference Information Systems 2009. Barcelona (ES), 2009. Р. 105–112.
2. Zero trust architecture / S. W. Rose, O. Borchert, S. Mitchell, S. Connelly. August, 2020.
3. Liu Q. Data center security protection in the industry based on zero-trust architecture // Security & Informatization. 2018. № 12. Р. 107–109.
4. Yang Z., Jin M., Zhang X. Research on Security Technology of Zero Trust in Cloud Business // Information Security and Communications Privacy. 2020. № 3. Р. 91–98.
5. Zuo Y. Zero-trust architecture: a new paradigm for network security. Financial Computerizing. 2018. № 11. Р. 50–51.
6. Zeng H. Discussion on Network Security Model and Zero-trust Practice // Computer Products and Circulation. 2020. № 7. Р. 48.
7. Airport Network Security Protection Scheme Based on Zero Trust Security Architecture / X. Zhong, W. Guo, Y. Ma, M. Wang // Journal of Civil Aviation. 2019. № 3(03). Р. 114–116+107.