Zero Trust explained
NoiSeBitВ прошом влоге я затронул вскользь тему, нынче набирающих обороты, практик Zero Trust (never trust, always verify). На самом деле мне сразу начали вдогонку задавать вопросы, о том что это все сто лет как всем известно и на практике реализуется посредством двухфакторной аутентификации (sms, push на телефон и тп) прикрученной к VPN и прочих доступов к внутренним корпоротивным ресурсам. А вот на самом деле не все так просто, как может показаться на первый взгляд.
Что такое Zero Trust = 2FA + Device Health/Attestation + User Trust/Monitoring. По сути, это сдвиг парадимы защиты сетевого переметра от бесконечного доверия к политикам межсетевого экрана (и тут не важно насколько он у вас некст ген) в сторону того, что любой, даже самый доверенный пользователь за логином может быть потенциальным злоумышлиником. Ведь если вдуматься украденный лэптоп, неосторожно остваленный не залоченным планшет без присмотра или банально заразившийся какой-то малварью пользователь с не эфективным антивирусом. Все это пораждает риски от которых вас не защитят никакие продукты, которые умело преподносятся вендорами как панацея снижаюшая риски к нулю. Так вот спешу вас огорчить, Zero Trust это методология, а не продукт Чаще всего для эффективного внедрения потребуется пересотреть в целом подход к безопасности. Поэтому шлите подальше вендоров, которые умелым маркетингом пытаются продать вам очередную панацею.
Вот вам годные к прочтению ссылки по теме:
https://www.nist.gov/system/files/documents/2017/06/05/040813_forrester_research.pdf
https://cloud.google.com/beyondcorp
https://security.googleblog.com/2019/06/how-google-adopted-beyondcorp.html
https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
https://aws.amazon.com/blogs/publicsector/how-to-think-about-zero-trust-architectures-on-aws/