“Zero trust” is de afgelopen jaren een term geworden, die door veel verschillende technologieleveranciers wordt gebruikt. Zero-trust access (ZTA) is een belangrijke pijler van een algemene platformstrategie, die ZTA combineert met beveiligde netwerken, dynamische cloudbeveiliging en kunstmatige intelligentie (AI)-gestuurde processen.
Wat is Zero Trust?
Door de enorme toename van randapparatuur in netwerken, vervagen de buitengrenzen van het traditionele netwerk, waardoor een meer open omgeving ontstaat, die rijp is voor aanvallen. Cyberdreigingen worden steeds omvangrijker en passen zich voortdurend aan. In het verleden was perimeterbeveiliging gebaseerd op een “vertrouw, maar controleer” benadering. Met zo veel meer gebruikers, apparaten en toepassingen op het netwerk, is het tegenwoordig veel moeilijker om te weten, wie of wat echt te vertrouwen zijn.
Door misbruik, zoals diefstal van inloggegevens en malware, kunnen malafide partijen toegang krijgen tot legitieme accounts. Eenmaal binnen, kunnen ze gemakkelijk manieren vinden om zich lateraal te manoeuvreren en zich zeer snel te verspreiden over het netwerk, omdat er vrijwel geen extra controle meer plaatsvindt.
Als ze eenmaal toegang hebben tot een randapparaat, kunnen indringers aanvallen lanceren, die kunnen leiden tot operationele downtime, gegevensdiefstal, financieel verlies en reputatieschade. Voor IT-personeel is het ontzettend moeilijk het groeiende aantal aanvallen bij te houden. Deze veranderingen hebben geleid tot een verschuiving in filosofie, van het “vertrouwen op alles” in het netwerk, naar het “vertrouwen op niets”, oftewel zero trust.
Voorwaarden
Het zero-trust model vervangt impliciet vertrouwen, dat is gebaseerd op de netwerklocatie, door beveiliging. In plaats daarvan richt het zich op het evalueren van vertrouwen, op een per-transactie basis. Zero-trust access (ZTA) gaat uit van de veronderstelling, dat bedreigingen, zowel buiten als binnen het netwerk, een altijd aanwezige realiteit zijn en dat mogelijk elke gebruiker en elk apparaat al gecompromitteerd is. Het behandelt ook elke poging om toegang te krijgen tot het netwerk of een toepassing, als een bedreiging.
Het ondersteunen van strikte beveiligingsmaatregelen met ZTA vereist:
- Voortdurende verificatie van gebruikers en apparaten.
- Segmentatie van het netwerk om kleine controlezones te creëren, waardoor de impact van een inbreuk wordt beperkt en er meer controlepunten worden gemaakt.
- Minimale toegangsbevoegdheid voor gebruikers en apparaten, zodat alleen de toegang wordt verleend, die zij nodig hebben om hun rol uit te voeren. Dit helpt om de impact van een gecompromitteerde identiteit of apparaat te beperken.
Praktijk
Een 100% zero-trust omgeving identificeert, segmenteert en bewaakt continu alle gebruikers en apparaten, waardoor het voor organisaties mogelijk wordt hun gegevens, toepassingen en intellectueel eigendom te beschermen. Daarnaast kunnen netwerk- en beveiligingsactiviteiten in het algemeen worden vereenvoudigd.
De Fortinet Security Fabric is een krachtig cyberbeveiligingsplatform, met een rijk open ecosysteem. Een van de belangrijkste elementen is het ZeroTrust Network en bestaat uit 4 onderdelen: FortiAuthenticator & FortiToken, FortiNAC en FortiClient.
Beheren van toegang en identiteit
Zowel legitieme netwerkgebruikers, als malafide partijen vragen de aandacht van een IT-team, of ze nu het zakelijke succes stimuleren of in gevaar brengen. Om deze reden is gebruikersidentiteitsbeheer een hoeksteen van de Fortinet Security Fabric. Organisaties kunnen volledige zichtbaarheid van gebruikers en effectieve handhaving van toegangsbeleid bereiken, met het Identity and Access Management (IAM) gedeelte van het ZTA framework:
FortiAuthenticator dient als de hub van authenticatie, autorisatie en accounting (AAA); toegangsbeheer; single sign- on (SSO); en gast managementdiensten. Het stelt de identiteit van de gebruiker vast, door middel van logins, certificaten, en / of multi-factor inputs.
FortiToken biedt twee-factor authenticatie diensten aan via FortiAuthenticator, hetzij via een hardware token of als een mobiele oplossing.
De mobiele oplossing is een open autorisatie (OAuth)-compliant, one-time password (OTP) generator applicatie voor Android- en iOS-apparaten, die zowel time-based, als event-based tokens ondersteunt. De zero-footprint oplossing maakt het eenvoudig om multi-factor authenticatie toe te passen.
Netwerkcontrole
De NAC-beveiligingstechnologie bestaat al bijna twee decennia, maar een nieuwe generatie van de tools helpt organisaties het hoofd te bieden, aan het steeds groter wordende aanvalsoppervlak van vandaag. Niet alleen door zichtbaarheid van de netwerkomgeving te bieden, maar ook handhaving en dynamische beleidscontrole. Of apparaten nu van binnen of buiten het netwerk verbinding maken, er kan automatisch worden gereageerd op aangetaste apparaten of afwijkende activiteiten.
Moderne oplossingen bieden ook een duidelijk overzicht van de netwerkactiva, ter ondersteuning van certificeringen volgens de regelgeving en best practices op het gebied van beveiliging, die vereisen dat organisaties een nauwkeurige inventarisatie maken en bijhouden van alle aangesloten apparaten. Zelfs in virtuele omgevingen, waarin apparaten voortdurend worden aangesloten op en losgekoppeld van het netwerk.
De FortiNAC oplossing ontdekt en identificeert nauwkeurig elk apparaat op, of op zoek naar toegang tot, het netwerk; scant ieder apparaat, om ervoor te zorgen dat het niet al gecompromitteerd is; en classificeert het op rol en functie. FortiNAC káan gebruik maken van bestaande agenten om apparaatinformatie op te halen, maar veel organisaties willen misschien geen agenten installeren op elke locatie. In dat geval kan FortiNAC in eerste instantie communiceren met het netwerk, om in een later stadium een apparaat te identificeren.
FortiNAC kan dynamische netwerk microsegmentatie leveren in een gemengde omgeving, met ondersteuning van meer dan 170 verschillende leveranciers en 2.400 verschillende apparaten en interageren met het netwerk, om apparaten in het juiste netwerksegment te houden.
Om up-to-date betrouwbaarheid te checken voor alle apparaten in het netwerk, biedt FortiNAC voortdurende monitoring, met real-time incident response. Zodra het abnormaal gedrag van het apparaat detecteert, kan FortiNAC een verscheidenheid aan tegenmaatregelen nemen, zoals het opnieuw toewijzen van het apparaat aan een quarantaine zone, zodat aangetaste apparaten niet kunnen dienen als een verzamelplaats voor dreigingsinfiltratie of data-exfiltratie.
Bescherming op en buiten het netwerk
FortiClient is meer dan geavanceerde endpointbescherming. Als een geïntegreerde agent bevat FortiClient drie belangrijke modules: Fabric Agent voor connectiviteit met de Security Fabric, de beveiligingsmodules voor endpoints en de modules voor beveiligde toegang op afstand.
Om veilige toegang op afstand mogelijk te maken, biedt FortiClient flexibele opties voor VPN-connectiviteit. Het ondersteunt zowel secure sockets layer (SSL) als Internet Protocol security (IPsec) VPN’s. Met een functie voor gesplitste tunneling kunnen externe gebruikers op SSL VPN’s toegang krijgen tot het internet, zonder dat hun verkeer door de VPN-hoofding van het bedrijf hoeft te gaan, zoals bij een typische SSL-tunnel. Dit vermindert de latentie, wat de gebruikerservaring verbetert. Tegelijkertijd bevat FortiClient beveiligingen om ervoor te zorgen, dat internetgebaseerde transacties niet terug kunnen vloeien in de VPN-verbinding en het bedrijfsnetwerk in gevaar kunnen brengen
Conclusie
ZTA richt zich op specifieke kwetsbare gebieden van de netwerkrand, die als onbetrouwbaar kunnen worden beschouwd: gebruikers, apparaten en activa, zowel binnen als buiten het netwerk. De sleutel tot het succesvol implementeren van ZTA, is het in evenwicht brengen van beveiliging en toegankelijkheid, aangezien het vergrendelen van het netwerk zelden een optie is.
ZTA-oplossingen maken het gemakkelijker om nauwkeurig alle apparaten en gebruikers te ontdekken, die toegang hebben tot het netwerk en de bijbehorende beveiligingsrisico’s van elk te beheren.
Met een zero-trust strategie kunnen organisaties de uitdaging van het beschermen van off-network apparaten aanpakken, door het verbeteren van endpoint zichtbaarheid. Daarnaast kan een zero-trust aanpak veilige toegang op afstand tot netwerkbronnen mogelijk maken, via VPN-connectiviteit.
Hierdoor kunnen beveiligingsteams elke asset zien, controleren en beschermen, of deze zich nu binnen of buiten het netwerk bevindt.
Meer weten over zerotrust in het algemeen of specifiek de Fortinet ZTA oplossingen, we spreken graag met u af voor een gesprek of demonstratie.
