Zero Trust on tietoturva-arkkitehtuuri ja -ideologia, jonka voi karkeasti jakaa kahteen osaan: Poistamme luottamuksen ihmisen ja ohjelmiston väliltä, tai poistamme luottamuksen ihmisen ja verkkoyhteyden väliltä. Ohjelmistoiksi tässä tapauksessa käsitämme niin työasemat, puhelimet kuin verkkolaitteet, sekä sovellukset joita ihmiset laitteilla käyttävät, vaikkapa pilvestä palveluna. Verkkoyhteydellä yleisesti tarkoitetaan tilannetta, jossa joko organisaation omasta ympäristöstä tai pilviympäristöstä tarjoillaan palvelua verkkoyhteyden kautta.
Luottosuhteen rakentaminen ihmisen ja ohjelmiston välillä alkaa, kun ihminen haluaa käyttää sovellusta tai laitetta. Verkkoyhteyden luottosuhteen rakentaminen alkaa pääsyvaatimuksesta, jossa liikennettä joudutaan avaamaan eri verkkojen välillä. Ohjelmiston ja verkkoyhteyden raja on useasti häilyvä, pahimmassa tapauksessa väärin ymmärretty kokonaisuus.
Vahva ihmisten tunnistaminen oli hyvä alku
Zero Trust -ideologian piiriin siirtyminen kuulostaa monimutkaiselta, mutta käytännössä asia on suoraviivainen ja helposti ymmärrettävä prosessi. Luottosuhteen rakentaminen on aloitettava jostain, ja käyttäjän identiteetin varmistaminen on erinomainen alku. Identiteetin varmistamisen ohella tulee saada näkyvyys käytettävään laitteeseen, aikaan, paikkaan ja aiottuun tekemiseen. Tämän datan tarkastelu paljastaa yleensä mielenkiintoisia asioita, kuten sen, että ympäristössä on sinne kuulumattomia laitteita, ohjelmistot ovat vanhentuneet tai havaitaan ”työskentelyä” arveluttavista maista.
Muutama esimerkki tästä: Pilviympäristöä käytettiin kotikoneella, joka oli auttamattomasti vanhentunut Windows XP. Käyttäjä oli kyllä vahvasti tunnistettu, mutta laite oli hyökkääjän vallassa. Kaikki vietiin, eikä kukaan tiennyt asiasta mitään kunnes asiaan törmättiin sattumalta. Toinen esimerkki: Ympäristöä käytettiin vahvasti tunnistautuneena, mutta toiselta puolelta maailmaa. Tunnukset oli kalasteltu, ja vahva tunnistus ohitettu väsyttämällä käyttäjä loputtomilla pyynnöillä hyväksyä vahva tunnistus ja pääsy järjestelmiin.
Jos luottosuhde ihmisen ja ohjelmiston välillä oletuksena poistetaan ja luottamusta rakennetaan työntekijän identiteetistä, työvälineestä ja aikomuksesta käsin, on lopputulema jopa pelkkänä näkyvyyden parantumisena uskomattoman hyvä pohja paremmalle tietoturvalle.
Zero Trust on ennen kaikkea ideologinen muutos, jossa puretaan ihmisen ja ympäristön oletusarvoinen ja historiallinen luottosuhde. Luottosuhde muodostetaan tapauskohtaisesti, eikä se ole pysyvä.
Mihin enää tarvitaan salasanoja ja vpn-tunnelia?
Luottosuhteen poistaminen ihmisen ja ohjelmiston väliltä tuo mukanaan myös odottamattomia, positiivisia ja suuriakin sivuvaikutuksia. Kun ihminen tunnistetaan vahvasti, voidaan luopua salasanoista. Niitä tuskin kukaan jää kaipaamaan. Kun ihminen on tunnistettu vahvasti, laite on oma ja sen puolustus aktiivisesti tekee pahuuden etsintää (Threat Hunting), ja lisäksi tiedossa on pätevä aikomus mitä kokonaisuudella aiotaan tehdä, mihin tarvitaan vpn-tunnelia? Zero Trust -ideologiaa noudattavalle laitteelle voidaan huoletta tarjoilla palveluita sisäverkosta, riippumatta siitä missä käyttäjä laitteineen on.
Siinä missä Zero Trust -arkkitehtuuri ja -ideologia ravistelevat tietoturvaa kokonaisuutena, ne myös tarjoilevat joukon asioita, joita loppukäyttäjät tervehtivät ilolla. Parempi tietoturva ja parempi käytettävyys ovat harvoin olleet samassa lauseessa, nyt ne ovat.
Zero Trust ei ole sama asia kuin Zero Trust Network Access
Kun ihmisen ja verkkoyhteyden välinen luottamus puretaan, silloin yleisesti viitataan termiin Zero Trust Network Access (ZTNA). ZTNA onkin Zero Trust -ideologian alakategoria, jota yleisesti tulkitaan kovin suppeasti. Joskus ZTNA on tarpeellinen, joskus taas ei. Jos vpn-teknologiasta luovutaan, tarvitaanko silloin ZTNA vai noudatetaanko”puhtainta” Zero Trust -mallia ja ideologiaa jo oletuksena?
Laajemmalle tulkinnalle on nykymaailmassa tilausta paljonkin. Itse näen ZTNA:n myös politiikkamoottorina, joka tarjoilee parhaan mahdollisen yhteystavan luottosuhteen muodostamisen jälkeen. Yhteystapa voi olla edelleen tuttu vpn, mutta enemmänkin nykyään puhutaan mikrotunneleista, ohjelmistokohtaisista yhteyksistä tai selainyhteyksistä. Ajatuksen ja evoluution kulku tässä on hyvin looginen: miksi ympäristöön pitäisi avata tunneli, kun sieltä voidaan tarjoilla vain sitä sallittua ja pyydettyä luottosuhteen rakentamisen jälkeen?
Segmentointi, mikrosegmentointi, halvaus
Pahuuden ja sen leviämisen estämiseksi on perinteisesti yritetty hyödyntää segmentointia – palvelut erillisiin karsinoihin ja käyttäjät omiinsa. Joskus on siirrytty jopa mikrosegmentointiin, jolloin vain tietyt komponentit voivat kommunikoida keskenään pääsegmentin sisällä.
Tämä saattaa kuulostaa loogiselta, mutta tarkasteltaessa asiaa pahuuden näkökulmasta, päädytään ratkaisemattomiin filosofisiin kysymyksiin. Jos yrityksen palvelut ovat eristettynä omiin karsinoihinsa ja käyttäjät toiseen, eikö ainoa keino estää pahuuden leviäminen ole silloin estää liikenne karsinoiden välillä? Tämä olisi liiketoiminnan kannalta huono strategia ja johtaisi kaiken pysähtymiseen.
Koska segmentoinnissa ei voida erottaa käyttäjiä tarvittavista ohjelmistoista, pahuutta ei voida erottaa myöskään: siis että ensin segmentoidaan, mutta sitten avataan karsinat eli ei segmentoidakaan.
Zero Trust -ideologia ja Zero Trust Network Access -konsepti tuovat mukanaan ennakoimattomia mutta myönteisiä vaikutuksia myös segmentoinnin suhteen. Jos emme oletusarvoisesti luota mihinkään ja yhdistämme asioita parhaalla mahdollisella tavalla, tämän uuden maailman voi nähdä kokonaan uudenlaisena mikrosegmentointina.
Zero Trust Network Access -ratkaisun positiiviset vaikutukset korostuvat erityisesti pilviympäristöissä. Pilviympäristö on oletusarvoisesti saatavilla kaikkialla ja kaikille, myös pahuudelle. Kun yhdistämme pilviympäristön resursseja vain niille, joiden luottamusketju on eheä, mitä tapahtuu hyökkäysrajapinnalle? Voisiko Zero Trust ja Zero Trust Network Access tuoda ympäristön haavoittuvuuden arvioinnissa, eli skannaamisessa, tulokseksi pyöreän nollan? Yksi asia on varma: keinoja haastavienkin ympäristöjen tietoturvan parantamiseen joustavasti ja nopeasti on nyt tarjolla.
Ratkaiseeko Zero Trust ot-verkon tietoturvahaasteen?
Ennen Zero Trust ja Zero Trust Network Access -maailmaa teollisuuden ja infrastruktuurin tuotannon ohjaukseen ja valvontaan tarkoitettujen suljettujen verkkojärjestelmien eli ot-verkkojen huoltoyhteyksiä oli tapana hoitaa niin, että palveluntarjoaja avasi vpn-yhteyden suljettuun verkkoon ja hoiti yhteyden kautta laitteiden ylläpidon. Toisin sanoen ympäristössä, jossa puolustusta ei juuri ole paitsi eristäytyneisyyden muodossa, joku tai jokin tulee sisään, tekee asioita ja liikkuu verkossa lähes rajoittamattomasti.
Toinen suosittu tapa oli “pomppuserveri”, jossa ympäristön yhteen palvelimeen sallitaan pääsy ulkopuolelta, ja sieltä käsin luodaan tarvittavat yhteydet ympäristön muihin kohteisiin. Tämän mallin ongelmana on muun muassa, että mikäli pomppuserveri menee rikki, pääsy muihin kohteisiin katkeaa samalla. Lisäksi yksittäisen pomppuserverin tietoturvan ylläpitäminen on haastavaa.
Tässä kohtaa Zero Trust ja Zero Trust Network Access tarjoavat parempia ja tehokkaampia ratkaisuja myös ot-ympäristöihin, sillä ne tuovat mukanaan kattavan näkyvyyden ja “politiikkamoottorin”, jota voi osittain verrata tietoerotteluratkaisuun eli datadiodiin.
Miten Zero Trust -ideologiaa kannattaa lähestyä?
Zero Trust on ennen kaikkea ideologinen muutos, jossa puretaan ihmisen ja ympäristön oletusarvoinen ja historiallinen luottosuhde. Luottosuhde muodostetaan tapauskohtaisesti, eikä se ole pysyvä. Osittain kyseessä on sama asia, josta on puhuttu vuosikymmeniä – verkon pääsyn hallinta.
Kuitenkin maailma ja ympäristöt ovat muuttuneet, ja tästä syystä tietyistä asioista on tullut helpompia, mutta tietyt asiat ovat laajempia kokonaisuuksia, kuten pilvitietoturva.
Siirtyminen Zero Trust -maailmaan onnistuu helpoiten ensin ohjelmistojen kautta maailmaa katsomalla, koska yritysten kriittiset toiminnot pyörivät ohjelmistojen varassa. Näkyvyyden ja ymmärryksen kasvaessa, Zero Trust laajenee nopeampiin ja turvallisempiin verkkoyhteyksiin, jossa luottamusta ei anneta oletuksena vaan se ansaitaan.
Lue myös: LUT:n tietoturvallisen tunnistautumisen haasteen ratkaisi Cisco DUO