CISA se opgedateerde nul-trustmodel

Zero trust was dalk eens net 'n ontleder-gonswoord, maar dit het nou die amptelike Amerikaanse regering se stempel van goedkeuring. Die Cybersecurity & Infrastructure Security Agency (CISA) het die tweede weergawe van 'n gids vir die implementering van hierdie sekuriteitsmodel vrygestel. Dit beloof om meer as net rakware te wees omdat federale agentskappe beveel is om nultrustbeginsels met streng spertye aan te neem.

Wat is Zero Trust? 

Terwyl die term 'nul vertroue' die afgelope tyd baie druk gekry het, is die onderliggende konsepte goed gevestig. Die frase het in 2010 die eerste keer in die IT-sektor buite niskringe opgeduik as deel van 'n Forrester Research-verslag. Die idees wat dit verteenwoordig – die behoefte om alles in 'n onbetroubare omgewing te verifieer – dateer egter veel vroeër terug.

Die Open Group se Jerigo Forum het die erosie van die tradisionele netwerkomtrek in 2004 aangekondig en dit deperimeterisering genoem. Namate maatskappye data met sakevennote uitgeruil het en meer van hul bates buite die kernmaatskappynetwerk opgespoor het, het dit meer uitdagend geword om wie ook al of wat ook al probeer koppel het, onbedagsaam te vertrou. In plaas van die ou sitadelmodel, waar die netwerk 'n ondeurdringbare harde buitemuur gehad het, het IT-infrastruktuur meer soos 'n stel kampe geword, wat elkeen 'n paar bates huisves en sy eie beskerming nodig het.

Dit het die manier verander waarop IT-stelsels mense geverifieer het. Destyds, as jy die geloofsbriewe gehad het om op die netwerk te kom, was jy vertrou en kon jy enige plek gaan. Zero trust laat vaar daardie idee. In plaas daarvan is daar nie een versperring om verby te kom nie. Elke digitale deur in die plek is gesluit, en jy moet 'n soort sleutel hê.

Die Wit Huis koop in 

Die Amerikaanse regering het ingekoop in die nul-trust-konsep en het eers daarvoor gepleit Executive Order 14028 in Mei 2021. Die volgende Januarie het dit opgevolg met mandate vir nultrust. Hierdie het gekom in die vorm van Nasionale Veiligheidsmemorandum 8 (NSM-8), wat die gebruik daarvan in die nasionale veiligheidsgemeenskap opdrag gegee het, en die MS-22-09-memo van die Kantoor vir Bestuur en Begroting. Laasgenoemde het federale agentskappe opdrag gegee om teen die einde van volgende jaar nultrustmaatreëls in te stel.

CISA, die departement van binnelandse veiligheid-agentskap wat die kuberveiligheidskant van die binnelandse sekuriteitspoging hanteer, lei federale organisasies en die private sektor in kwessies soos hierdie. Dit het sy Zero-Trust Maturity Model pligsgetrou in September 2021 gepubliseer, soos deur die Uitvoerende Bevel voorgeskryf. Hierdie dokument was bedoel om agentskappe te help om na die nuwe model oor te skakel.

Die Agentskap het 'n opdatering van hierdie gids in April vanjaar vrygestel na 'n openbare konsultasietydperk. Die belangrikste verandering in die tweede weergawe is die toevoeging van nog 'n volwassenheidstadium in 'n organisasie se reis na nul-trust nirvana.

Daar was oorspronklik drie fases: Tradisioneel, Gevorderd en Optimaal. Tradisioneel was effektief besigheid-soos-gewoonlik, met feitlik geen samehangende nul-trust-implementering hoegenaamd nie.

Maatskappye op die tradisionele vlak wat enigsins enige werk op nul-trust gedoen het, het dit tot 'n noue omvang gehou. Die volwassenheidsmodel skets vyf pilare om die werk van die implementering van nul-trust te verdeel, wat die omvang van verandering aandui wat nodig is. Hierdie pilare is Identiteit, Toestelle, Netwerke, Toepassings en Werkladings, en Data. Maatskappye op die Tradisionele vlak het gefokus op nul-trustwerk op 'n per-pilaarvlak eerder as om 'n meer samehangende benadering te volg.

Die volwassenheidsmodel skets drie 'deurkruisende' vermoëns wat oor elkeen van hierdie pilare strek om federale agentskappe en privaatsektor-instellings te help om nul-trustbehoeftes wyer aan te spreek. Hierdie drie areas is sigbaarheid en analise, outomatisering en orkestrasie, en bestuur.

Kommentaar op die eerste weergawe van die gids het aangevoer dat die sprong tussen Tradisioneel en Gevorderd te beduidend was. In plaas daarvan het hulle gevra vir 'n bykomende stadium wat die twee sou oorbrug. CISA het gereageer deur 'n aanvanklike stadium na Tradisioneel by te voeg. Dit het ook die taal vir die ander meer gevorderde stadiums oor die vyf pilare aangepas om die ekstra volwassenheidsvlak te akkommodeer.

Maatskappye in die aanvanklike stadium begin net take outomatiseer soos die toeken van eienskappe en die instel van lewensiklusse, sê die hersiene gids. Op hierdie stadium begin hulle beleidsbesluite en afdwinging onder die knie kry. Ander take wat pas aan die gang is, dek die konsep van minste bevoorregting en die verkryging van een of ander vorm van samehangende sigbaarheid oor interne stelsels.

Dit is nie verbasend dat mense gevra het vir 'n ekstra stap in die nul-trust-volwassenheidsproses nie. Hierdie nuwe kuberveiligheidsingesteldheid verteenwoordig so 'n breë verandering in hoe ons ondernemingtoegang en -verifikasie hanteer dat geen verkoper of produk dit alles kan doen nie. Dit is meer 'n dissipline as 'n produkkategorie, wat veranderinge oor die hele infrastruktuur en beduidende opdaterings aan beleid behels. Vir baie organisasies sal dit 'n stadige brand wees, meer soos om duisend kerse aan te steek as om 'n enkele skakelaar te draai, en hierdie ekstra stap gee hulle 'n meer eenvoudige plek om te begin. Om die oprit 'n bietjie vlakker te maak, sal vir baie 'n welkome verandering aan die padkaart wees.