Hvad er Zero Trust?
Zero Trust er et buzzword i disse dage, men det er måske ikke helt intuitivt, hvad det virkelig går ud på. Kernen er, at virksomheden ikke blindt bør stole på noget eller nogen, enten i kraft af, hvem de siger, de er, eller hvor de befinder sig i deres systemer.
Arne Vedø-Hansen
12. oktober 2021
Det lyder måske lidt chokerende, at virksomheden skal operere med "zero trust" – altså nul tillid. Den måde som it-systemer og -tjenester fungerer på i dag, gør det stadig mere nødvendigt for at opretholde datasikkerheden.
Lokal adgang og sikkerhed
Tidligere var arbejde og data tæt forbundet med konkrete lokaler med stedbundne computere og lokale netværk og servere. De angreb man skulle undgå, var dem der kom udefra. Så længe man var inden for virksomhedens fysiske vægge og netværk, havde man let adgang til de fleste ting.
Kompleksiteten ændrer sikkerhedsbilledet
Dette billede bliver meget mere komplekst med nutidens strukturer. Medarbejderne arbejder ofte både hjemmefra eller ude i marken, og skal måske også have adgang fra deres mobiltelefon, når de er på ferie. Leverandører, partnere og andre eksterne parter skal ofte også have adgang til virksomhedens data.
Derudover er antallet af systemer og tjenester vokset voldsomt, og langt de fleste virksomheder har taget cloudtjenester i brug. Det betyder, at vi har brug for en ny måde at tænke sikkerhed på.
Sikkerheden forstærkes med kontinuerlig autentificering
Uden virksomhedens fysiske vægge og firewalls til at beskytte sig bag er identiteter og autentificering de vigtigste sikkerhedsværktøjer de har.
Zero Trust handler om:
→ At sikre at hver identitet verificeres, før der bliver givet adgang til virksomhedens data og systemer.
→ Der findes ingen situationer, hvor man kan stole på, at brugeren er den, som personen udgiver sig for at være
→ Selvom det ser ud til, at brugeren er et sted, som virksomheden anser for pålideligt, skal vi ikke stole på dette.
Flere faktorer bør undersøges
For at være sikker på, at selve autentificeringen er pålidelig og sikker nok, bør man undersøge flere faktorer. Det er ikke nok med en adgangskode, der kan lækkes eller gættes. Et godt første skridt er altid en- eller flere multifaktor autentificeringer, der sikrer, at den bruger der forsøger at logge sig ind, er den, som han siger, han er.
Kontekstbaseret adgang
Ud over dette er der en række faktorer, man kan kigge på for at vurdere risikoen ved login - såkaldt kontekstbaseret adgangsstyring:
- Hvilken applikation eller tjeneste prøver man at få adgang til? Hvor sensitive er de data, man får adgang til?
- Hvilken bruger forsøger at få adgang? Er det for eksempel en almindelig bruger eller en superbruger?
- Hvilken IP-adresse logger brugeren på fra? Er det en kendt eller ny IP-adresse? Er det en IP-adresse, som vi har modtaget meddelelser om fra overvågningstjenester, eller som tilhører en kendt anonymiseringstjeneste?
- Hvilken slags enhed bruges? Er det en kendt enhed, der er brugt før, eller er den ny?
- Hvor er brugeren placeret? Er det der, hvor vi har kontorer, eller er det et tilfældigt sted i Brasilien? Er det et nyt sted eller et sted, som vores brugere har været mange gang? Er der et sted 1.000 kilometer væk fra, hvor brugeren så ud til at befinde sig for fem minutter siden?
Baseret på alle disse evalueringer kan man beregne risikoen ved at logge ind og fastsætte krav til identifikationen på grundlag af dette. For eksempel ved at kræve flere faktorer eller simpelthen afvise login helt, hvis man anser det for risikabelt.
Adgangsstyring og synlighed
Et andet princip i Zero Trust er adgangsstyring. Kort sagt handler det om at sikre, kun at give brugerne adgang til det, de har brug for, så de kan udføre deres arbejde.
Derudover kan man segmentere netværket baseret på data og brugergrupper. Det vil sige, hvis en brugerkonto med sit adgangsniveau bliver angrebet, vil angriberne ikke være i stand til at bruge det til at få adgang til særligt meget mere.
Zero Trust-metoden anbefaler fuld synlighed og logning af hændelser, så alle trafik- og loginforsøg kan overvåges i realtid og undersøges bagefter. Derved vil man være i stand til konstant at lære af det og videreudvikle autentificering, risikovurdering og adgangsstyring.
Zero Trust sikrer, at de rette brugere har det rette adgangsniveau til de rette tjenester i den rette kontekst – og at systemerne kontinuerligt kan vurdere disse faktorer og tilpasse sig ændringer og justeringer på en fleksibel måde.