Zero Trust – Modern IT-säkerhet litar inte på någon!
Lita inte på något eller någon. Det är kärnan i Zero Trust, ett koncept för modern IT-säkerhet. Konceptet utgår från att alla användare och enheter utgör ett hot tills dess att motsatsen bevisats.
Zero Trust svarar mot den stora förändring som skett i våra arbetssätt. När vi jobbar både här och där så behöver identiteten skyddas för att minska risken för intrång. Dessutom behöver åtkomsten till resurser och information begränsas för att minimera skadan om en attack skulle ske.
Nya krav på IT-säkerhet
Arbetsplatsen idag fungerar väldigt annorlunda jämfört med 10 år sedan. Om vi tidigare använde företagets utrustning i arbetsgivarens lokaler skyddade av företagets brandvägg så befinner vi oss nu i ett hybridsamhälle där säkerheten inte hängt med.
Vi använder olika enheter och appar och har tillgång till information både när vi är innanför och utanför företagets nätverk. Dessutom har externa personer tillgång till företagets resurser och systemen är ofta integrerade mot externa aktörers system.
Det här gör att traditionella säkerhetsmodeller inte längre räcker. En anledning är att gränsen mellan innanför och utanför företagets nätverk suddats ut.
Zero Trust förespråkar en ny säkerhetsmodell som är anpassad till dagens komplexa miljö, med stöd för hybridarbetsplatser, och som skyddar användare, enheter, appar och data oavsett var de befinner sig.
Huvudprinciper i Zero Trust
Zero Trust är inget system eller lösning utan snarare ett tankesätt. Det här är huvudprinciperna:
- Verifiera explicit: Med filosofin att alla användare och enheter utgör ett hot så behöver tillgång till företagets resurser verifieras. Därför blir autentisering och auktorisering viktigt. Denna baseras på datapunkter som till exempel användaridentitet, geografisk plats, enhetens hälsa och avvikelser.
- Använd minsta privilegierade åtkomst: Användare och deras enheter ges lägsta möjliga behörighet för att utföra sitt arbete. Begränsningar i åtkomst sker med hjälp av just-in-time och just-enough-access (JIT/JEA), riskbaserade principer samt dataskydd för att säkerställa både data och produktivitet.
- Förutsätt intrång: Istället för att anta att organisationen kan utsättas för attack så förutsätter du att ni är under attack. Därför blir det viktigt att minimera spridningen och segmentera åtkomsten, till exempel genom kryptering och användning av analyser för att få insyn, identifiera hot och stärka försvaret.
- Zero Trust anammar med andra ord en Defense-in-depth-modell där man använder lager av säkerhet för att försvara sig med hjälp av flera olika metoder. Du kan likna det med skyddet för ett hus. Du kanske har en säkerhetsgrind för att komma in på gården, sedan ett lås på ytterdörren och slutligen ett lås på nyckelskåpet inne i huset.
6 försvarsområden i Zero Trust
Microsoft inkluderar följande försvarsområden i Zero Trust-konceptet. Det vill säga områden som är viktiga att adressera för att uppnå fullgod säkerhet:
- Identiteter – Verifiera och skydda identiteter med hjälp av multifaktorautentisering
- Enheter – Bekräfta efterlevnadsstatus och hälsotillstånd innan du beviljar åtkomst och synliggör enheter som försöker få tillgång till nätverket
- Appar – Ge rätt behörigheter i olika appar, ge åtkomst baserat på analyser i realtid och övervaka användarnas åtgärder
- Data – Klassificera och märk data med hjälp av intelligens, kryptera och begränsa åtkomst baserat på organisationens policy
- Infrastruktur – Använd telemetri för att upptäcka attacker och avvikelser och för att automatiskt blockera och flagga riskfyllt beteende. Använd åtkomstpolicy baserat på minsta nödvändiga åtkomst.
- Nätverk – Lita inte på enheter och användare bara för att de befinner sig på ett internt nätverk. Kryptera all intern kommunikation, begränsa åtkomsten, mikrosegmentera och identifiera hot i realtid.
Inför ID-skydd
Det kan verka överväldigande att införliva en komplett Zero Trust-strategi. Samtidigt är det viktigt att börja ta steg i den riktningen. Cyberattackerna ökar och kriminella utvecklar allt mer sofistikerade hot genom att hitta de sårbarheter som ofta finns i organisationers IT-miljöer idag.
Ett bra sätt att införa en Zero-Trust-miljö är att gradvist introducera nya tjänster och att börja med ID-skyddet. Multifaktorautentisering är det allra viktigaste och något som alla organisationer bör ha, oavsett storlek och andra säkerhetsbehov.
Microsofts lösningar möjliggör en Zero Trust-filosofi
Molntjänsterna möjliggör ökad produktivitet, mobilitet och innovation. Men de ger som sagt också upphov till komplexa IT-miljöer och nya säkerhetsrisker.
Den goda nyheten är att vi idag på ett väldigt fingranulärt sätt kan skydda båda användare, enheter och information. Den som använder Azure och Microsofts olika affärssystem kan nyttja Microsofts hela säkerhetsramverk för att implementera skydd i linje med en Zero Trust-filosofi.
En bra start är att kartlägga nuläget för säkerhet i er Microsoft 365-lösning. I vår tjänst Innofactor Microsoft 365 Security Assesment gör vi en genomlysning av er konfigurering. Vi identifierar säkerhetsluckor och rekommenderar åtgärder för att täppa till omedelbara säkerhetsbrister. Vi ger också rekommendationer för långsiktiga investeringar i säkerhet.
Business Unit Director. Med energi och pedagogik skapar jag en miljö för delaktighet och engagemang för både kunder, personal och ledningsgrupper. Jag hjälper kunder att lyckas med sin digitaliseringsresa från mark till moln.