Mitä Zero Trust tarkoittaa puolustusohjelmistoympäristössä?

Zero Trust on tietoturvafilosofia, joka poistaa implisiittisen luottamuksen mistä tahansa verkkosegmentistä, laitteesta tai käyttäjätililtä riippumatta siitä, onko yhteys peräisin perinteisen kehän sisä- vai ulkopuolelta. Puolustuskontekstissa tämä tarkoittaa, että jokaisen pyynnön käyttää luokiteltua järjestelmää tai tietojoukkoa — jopa turvallisen enklaavi-LAN-työasemalta — on esitettävä todennettavissa olevat henkilöllisyystiedot, sen on läpäistävä käytäntötarkistus ja se on valtuutettava istuntokohtaisesti. Periaate 'älä koskaan luota, tarkista aina' pätee yhtä lailla sotilaan taktisella LAN-verkolla käyttämään tablettiin kuin palomuurin takana olevaan urakoitsijan kannettavaan tietokoneeseen.

Miten NIST SP 800-207 määrittelee Zero Trustin valtion järjestelmille?

NIST SP 800-207 määrittelee Zero Trustin periaatteiden joukoksi eikä tuotteeksi. Se kuvaa Zero Trust Architecture (ZTA) -arkkitehtuurin, joka rakentuu Policy Decision Point (PDP) -pisteen ympärille, joka arvioi käyttöpyyntöjä identiteetin, laitteen kunnon ja resurssin herkkyyden perusteella, sekä Policy Enforcement Point (PEP) -pisteen, joka myöntää tai kieltää pääsyn PDP:n päätöksen perusteella. Asiakirjassa määritellään seitsemän perustetta, mukaan lukien se, että kaiken viestinnän on oltava suojattu verkkosijainnista riippumatta, pääsy myönnetään istuntokohtaisesti ja yritys seuraa ja mittaa kaikkien resurssien eheyden ja tietoturvan tilaa.

Mikä rooli mikrosegmentoinnilla on Zero Trust -puolustusverkossa?

Mikrosegmentointi jakaa verkon hienojakoisiin kuormitustason segmentteihin ja pakottaa käytännön noudattamisen jokaisen segmenttirajan kohdalla. Puolustusverkossa tämä tarkoittaa, että salaisen tason dataa käsittelevä sovellus voidaan eristää virtuaalikoneen tai kontin tasolla niin, että yhden palvelun vaarantuminen ei anna hyökkääjälle mahdollisuutta liikkua lateraalisesti koko enklaavissa. Kullakin mikrosegmentillä on eksplisiittiset sallimissäännöt; kaikki muu liikenne estetään oletusarvoisesti. Tämä kaventaa merkittävästi tunkeutumisen vaikutusalaa verrattuna tasaiseen enklaaviin, jossa kaikki isännät luottavat toisiinsa implisiittisesti.

Miten ohjelmistomääritteinen kehä toimii taktisessa ympäristössä?

Ohjelmistomääritteinen kehä (SDP) tekee verkkoresursseista näkymättömiä, kunnes yhdistävä laite on todennettu ja valtuutettu. SDP-ohjain ei vastaa todentamattomiin kyselyihin — hyökkäyspintaa ei ole ennen kuin identiteetti on vahvistettu. Taktisessa ympäristössä tämä on arvokasta, koska se piilottaa etummaisen komentoverkon topologian hyökkääjältä, joka on saanut pääsyn taustalla olevaan siirtoyhteyteen. Ohjain voidaan ottaa käyttöön kovuusvaatimukset täyttävällä reunalaitteistolla eteissolmussa ja se voi toimia paikallisessa käytäntöjen valvontatilassa, kun yhteys takalinjan identiteettipalveluntarjoajaan katkeaa.

Mikä on suositeltava toteutusjärjestys Zero Trustille puolustusohjelmassa?

Käytännöllinen järjestys alkaa identiteetistä: ota käyttöön MFA ja PKI-varmennetut laitetodistukset, jotta jokaisella käyttäjällä ja koneella on todennettavissa oleva tunniste. Toiseksi inventoi kaikki tietovirrat ja luokittele resurssit herkkyyden mukaan käytäntöjen kirjoittamista varten. Kolmanneksi instrumentoi verkko kirjaamaan jokainen käyttöpyyntö — et voi valvoa käytäntöä, jota et näe. Neljänneksi pakota mikrosegmentointi aloittamalla herkimmistä kuormituksista. Viidenneksi ota käyttöön Policy Decision Point ja aloita istuntokohtaisten valtuutuspäätösten tekeminen. Lopuksi iteroi: Zero Trust on jatkuva prosessi implisiittisen luottamuksen kaventamiseksi, ei projekti, jolla on valmistumispäivä.

Zero Trust -tietoturva-arkkitehtuuri puolustusohjelmistojärjestelmille

Verkkoturvallisuuden kehämallin perustana on oletus, joka ei ole pitänyt paikkansa vuosikymmeniin: että kaikkeen verkon rajan sisäpuolella olevaan voidaan luottaa. Käytännössä puolustusohjelmistoympäristöissä on säännönmukaisesti vaarantuneita päätelaitteita, sisäisiä uhkia ja lateraalisia liikekampanjoita, jotka hyödyntävät juuri tätä implisiittistä luottamusta. Käyttäjä, joka todentautuu VPN-keskittimellä, saa pääsyn kaikkeen enklaavissa, jolta puuttuvat lisätarkastukset — ja monissa vanhan polven luokitelluissa verkoissa tämä on hyvin laaja pinta. Zero Trust Architecture (ZTA) hylkää kehäoletuksen kokonaan. Jokainen käyttöpyyntö — riippumatta siitä, tuleeko se enklaavan sisä- vai ulkopuolelta — on todennettava, valtuutettava ja validoitava jatkuvasti. Tässä artikkelissa tarkastelemme, miten Zero Trustin keskeisimmät periaatteet soveltuvat puolustusohjelmistojärjestelmiin, mitä NIST SP 800-207 -kehys edellyttää ja miten ohjelmat voivat rakentaa käytännöllisen toteutussuunnitelman ensimmäisistä periaatteista täysin valvottuun asemaan.

Periaate: älä koskaan luota, tarkista aina

Zero Trust ei ole tuote eikä yksittäinen kontrolli. Se on tietoturvafilosofia, jonka keskeinen väite on, että implisiittinen luottamus on haavoittuvuus. Lause "älä koskaan luota, tarkista aina" tarkoittaa, että verkkosijainti — palomuurin takana oleminen, luokitellulla lähiverkolla tai suojatussa tilassa — ei itsessään anna etuoikeuksia. Jokaisen resurssin käyttöpyynnön on sisällettävä todennettavissa oleva identiteetti käyttäjälle, todennettavissa oleva terveystodistus laitteelle sekä käytäntöpäätös siitä, että näiden attribuuttien yhdistelmä on sallittua käyttää kyseistä resurssia pyydetyllä herkkyystasolla sinä hetkenä.

Tällä on suoria seurauksia sille, miten puolustusohjelmistojärjestelmät suunnitellaan. Palvelut eivät voi kutsua toisiaan ilman keskinäistä todentamista. Tietokantaan ei pääse sovelluspalvelin pelkästään siksi, että molemmat ovat samalla VLAN-alueella. Operaattorin tili ei pääse luokiteltuun dataan pelkästään siksi, että se on läpäissyt kirjautumisnäytön. Jokainen yhteys arvioidaan itsenäisesti, jokainen istunto on lyhytikäinen ja rajattu, eikä luottamusta koskaan laajenneta pidemmälle kuin nykyinen näyttö tukee. Tuloksena on asema, jossa vaarantunut päätelaite tai varastettu tunniste tuottaa hyökkääjälle huomattavasti vähemmän kuin kehämallissa, koska lateraalinen liike edellyttää hyökkääjältä samojen istuntokohtaisten käytäntötarkistusten läpäisemistä kuin laillinen liikenne.

NIST SP 800-207 ja Zero Trust Architecture -kehys

NIST Special Publication 800-207, julkaistu vuonna 2020 ja laajalti omaksuttu viiteasiakirjaksi Yhdysvaltain hallituksen ja puolustuksen Zero Trust -ohjelmille, formalisoi arkkitehtuurin komponenttien ja loogisten virtojen perusteella eikä yksittäisten tuotteiden kautta. Sen seitsemän perustetta vahvistavat, että kaikkia tietolähteitä ja palveluita pidetään resursseina, kaiken viestinnän on oltava suojattu verkkosijainnista riippumatta, pääsy yksittäisiin resursseihin myönnetään istuntokohtaisesti, pääsy määräytyy dynaamisen käytännön mukaan, yritys seuraa ja mittaa kaikkien resurssien eheyden ja tietoturvan tilaa, kaikki todennus ja valtuutus on dynaamista ja tiukasti pakotettua, ja yritys kerää mahdollisimman paljon tietoa resurssien nykyisestä tilasta ja käyttää sitä tietoturva-asemansa parantamiseen.

Asiakirja jäsentää ZTA:n Policy Decision Point (PDP) -pisteen ympärille — komponentti, joka arvioi käyttöpyyntöjä — ja Policy Enforcement Point (PEP) -pisteen — komponentti, joka myöntää tai estää pääsyn PDP:n päätöksen perusteella. PDP hyödyntää identiteettipalveluntarjoajaa, laiterekisteriä terveyden asematiedoilla, uhkatietosyötettä ja resurssin herkkyysluokitusta päätöksensä tekemiseen. Puolustushankkeissa PDP:n itsensä on oltava kovetettuna korkeaan varmuustasoon: jos käyttöpäätöksiä tekevä komponentti vaarantuu, koko luottamusarkkitehtuuri romahtaa. Tämä tekee PDP:stä kriittisen tietoturvakomponentin, joka vaatii samaa suojausta kuin avainten hallintajärjestelmä.

NIST 800-207 kuvaa myös kolme käyttöönottomallituslista — identiteettipohjainen, mikrokehä ja verkkopohjainen — jotka vastaavat eri kypsyystasoja. Puolustusohjelmat alkavat tyypillisesti identiteettipohjaisista kontrolleista (MFA, PKI-todistukset), koska ne voidaan kerrostaa olemassa olevan infrastruktuurin päälle, ja etenevät sitten kohti mikrokehän valvontaa segmentoinnin toteutuessa.

Identiteettipohja: MFA ja PKI luokitelluissa verkoissa

Identiteetti on Zero Trustin ohjauskerros. Ilman luotettavaa, väärentämätöntä identiteettiä käyttäjille ja laitteille jokainen alaspäinen käytäntöpäätös rakentuu hiekalle. Yhdysvaltain puolustusympäristöissä ihmisten identiteetin standardimekanismi on Common Access Card (CAC) tai Personal Identity Verification (PIV) -älykortti — laitteistotunniste, joka sisältää DoD:n PKI-juurivarmentajan allekirjoittaman PKI-varmenteen. Todennus vaatii sekä kortin fyysistä hallussapitoa että PIN-koodin tuntemista, mikä täyttää kaksi tekijää jo suunnittelun perusteella. Kortilla oleva varmenne tarjoaa kryptografisesti todennettavissa olevan sidoksen yksilön ja hänen identiteettimääreidensä välillä.

Laiteidentiteetti edellyttää samaa tarkkuutta. Tietylle laitteistolaitteelle myönnetty PKI-varmenne — ankkuroituna Trusted Platform Module (TPM) -moduuliin, jos saatavilla — antaa PDP:lle mahdollisuuden varmistaa, että pyytävä kone on hallinnoitu, rekisteröity päätelaite eikä rekisteröimätön laite, joka on hankkinut kelvolliset käyttäjätiedot. Laitteen terveyden todistaminen laajentaa tätä edelleen: TPM voi tarjota allekirjoitetun mittauksen laitteen käynnistystilasta, vahvistaen, että laiteohjelmisto ja käyttöjärjestelmä eivät ole muuttuneet viimeisen tunnetun hyvän mittauksen jälkeen. Korkean varmuustason puolustusympäristöissä tämä todistus syötetään suoraan käyttöpäätökseen — laite, joka epäonnistuu terveystarkistuksessa, menettää pääsyn, vaikka käyttäjätiedot olisivat voimassa.

Varmennekiertohallinto on operatiivisesti vaativaa laajassa mittakaavassa. Varmenteet vanhenevat, laitteita poistetaan käytöstä ja peruutusinfrastruktuurin (OCSP-vastaajat ja CRL-jakelupaikkoja) on pysyttävä erittäin käytettävissä sekä varastointi- että kenttäympäristöissä. Peruutettu varmenne, jota ei voi tarkistaa, koska OCSP-vastaaja ei ole saatavilla kiistanalaisessa ympäristössä, muuttuu oletusarvoisesti implisiittiseksi luottamuspäätökseksi — ja väärään suuntaan. Puolustuksen ZTA-toteutusten on suunniteltava peruutustarkistuksen vikatilanteet eksplisiittisesti, tyypillisesti välimuistiin tallentamalla lyhytikäisiä OCSP-niittejä PEP:ssä, jotta lyhyt katko ei välittömästi estä kaikkien käyttäjien pääsyä.

Federaatio ja koalitioidentiteetti

Monikansalliset ja koalitiooperaatiot tuovat federaatiohaasteen, jonka pelkästään kotimaiset ohjelmat välttävät. Kumppanivaltion upseeri, jolla on eri kansallisen PKI:n myöntämä tunniste, on pystyttävä todentautumaan järjestelmiin, jotka luottavat kotimaiseen identiteettipalveluntarjoajaan. SAML- ja OIDC-federaatiosillat mahdollistavat toimialueiden välisen identiteetin vahvistamisen, mutta luottamusankkuri — käytäntöpäätös siitä, mihin pääsyyn federoitu identiteetti saa — on pysyttävä kotimaisessa hallinnassa. Kumppanivaltion PKI-juuren vaarantuminen ei saisi nostaa kyseisen kumppanin käyttäjiä kotimaisille käyttöoikeustasoille. Puolustuksen federaatioarkkitehtuurit myöntävät siksi rajattuja, aikaan sidottuja väittämiä, jotka eksplisiittisesti rajoittavat federoidun identiteetin saavutettavuuden, sen sijaan että federaatiota pidettäisiin vastaavana kotimaiselle todentautumiselle.

Mikrosegmentointi: lateraalisen liikkeen poistaminen

Mikrosegmentointi ottaa oletuksena-kieltämisen periaatteen ja soveltaa sitä kuormitustasolla. Sen sijaan, että verkko segmentoitaisiin pieneen määrään suuria VLAN-alueita — yleinen käytäntö vanhan polven luokitelluissa enklaaveissa, joka tarjoaa karkean eristyksen mutta laajan vaikutusalueen — mikrosegmentointi valvoo käytäntöä yksittäisen virtuaalikoneen, kontin tai prosessin rajalla. Verkkosovelluspalvelin voi kommunikoida oman tietokantansa ja edessään olevan kuormantasaajan kanssa; se ei voi aloittaa yhteyksiä avainten hallintapalvelimelle, hallintakonsolille tai muille samalla fyysisellä isännällä oleville sovelluspinon palveluille.

Tällä arkkitehtuurimuutoksella on merkittäviä seurauksia sille, miten puolustusohjelmistot kirjoitetaan ja otetaan käyttöön. Palvelut on instrumentoitava siten, että kaikki palveluiden välinen viestintä merkitään tarkoituksensa mukaan, ja näiden merkintöjen on vastattava eksplisiittisiä käytäntösääntöjä. Käytännössä tämä tarkoittaa palveluverkko-teknologioiden tai isäntäpohjaisten mikropalomuuri-agenttien käyttöönottoa, jotka valvovat kuormitusidentiteettiä ja käytäntöä riippumatta taustalla olevasta verkkotopologiasta. Etuna on, että hyökkääjä, joka vaarantaa yhden palvelun — esimerkiksi verkkoon päin olevan komponentin — ei voi käyttää tätä jalansijaa päästäkseen herkimpiin tietovarastoihin, koska kaikki lateraaliset polut on eksplisiittisesti estetty.

Puolustuksen operatiivinen haaste on, että mikrosegmentointi edellyttää täydellistä ja tarkkaa inventaariota sovelluksen tietovirroista ennen kuin käytäntöjä voidaan kirjoittaa. Monia vanhan polven puolustusjärjestelmiä ei ole koskaan suunniteltu eksplisiittisten palveluriippuvuuskarttojen kanssa, ja todellisten liikennemallien löytäminen edellyttää pelkästään tarkkailutilassa instrumentointijaksoa ennen valvontaa. Tämä havaintojakso on usein mikrosegmentointikäyttöönoton pisin osa — ei tekninen valvonta vaan työ, jossa kartoitetaan, mitä järjestelmä todellisuudessa tekee verrattuna siihen, mitä sen dokumentaatio väittää.

Ohjelmistomääritteinen kehä taktisissa ympäristöissä

Ohjelmistomääritteinen kehä (SDP) toteuttaa Zero Trust -periaatteen verkkoyhteyden tasolla tekemällä resursseista täysin näkymättömiä todentamattomille pyytäjille. Ennen yhteyden muodostamista asiakkaan on lähetettävä Single Packet Authorization (SPA) -kopautus SDP-ohjaimelle. Ohjain ei vastaa todentamattomiin kyselyihin — palvelulla ei ole altistettua TCP-porttia, ei banneria, ei löydettävissä olevaa läsnäoloa. Vasta kun asiakas todistaa identiteettinsä ja saa lyhytikäisen, rajatun käyttöoikeustunnuksen, ohjain avaa polun suojattuun resurssiin.

Taktisessa etukomento-ympäristössä SDP tarjoaa merkittävän tietoturvaedun perinteisiin VPN-keskittimiin verrattuna. VPN paljastaa todentamispäätepisteeseen, jota hyökkääjä voi sondeerata, sormenjäljittää ja hyökätä. SDP-ohjain, joka ei vastaa todentamattomiin paketteihin, ei tarjoa hyökkäyspintaa ennen kuin identiteetti on vahvistettu. Ohjain itse voi toimia kovennetulla, ilmarakolaitteistolla eteissolmussa ja se voi toimia paikallisesti valvotun käytännön tilassa, kun yhteys takalinjan identiteettipalveluntarjoajaan katkeaa, käyttäen välimuistiin tallennettuja lyhyen voimassaoloajan tunnisteen väittämiä rajoittamaan minkä tahansa häiriön altistumista.

Keskeinen havainto: Zero Trust ei poista tarvetta luokitukseen perustuvaan pääsynhallintaan — se valvoo sitä tarkemmin. Kehämallissa datan luokitusmerkinnät ovat neuvoa-antavia; pääsyä hallitaan sen mukaan, mille enklaavilla käyttäjä pääsee. ZTA:ssa datan merkintä ohjaa suoraan istuntokohtaista käytäntöpäätöstä, joten pääsyä hallitaan sen mukaan, mitä käyttäjä ja laite on tällä hetkellä valtuutettu näkemään, ei sen mukaan, missä fyysisessä verkossa he sattuvat olemaan. Merkinnästä tulee toimiva eikä pelkästään koristeellinen.

Toteutussuunnitelma puolustusurakoitsijoille

Luokiteltua tietoa käsittelevät tai CMMC-vaatimusten (Cybersecurity Maturity Model Certification) alaiset puolustusurakoitsijat kohtaavat kasvavaa painetta osoittaa Zero Trust -edistymistä. DoD:n vuonna 2022 julkaisema Zero Trust -strategia asetti tavoitteeksi koko ministeriön laajuisen ZTA-käyttöönoton budjettitilikaudelle 2027, ja urakoitsijajärjestelmien, jotka liittyvät DoD-verkkoihin, odotetaan yhdenmukaistavan toimintansa. Käytännöllinen etenemissuunnitelma etenee vaiheittain sen sijaan, että yritetään samanaikaista identiteetin, segmentoinnin ja seurannan muutosta.

Ensimmäinen vaihe keskittyy identiteettihygieniaan: MFA kaikille etuoikeutetuille tileille, PKI-varmenteen myöntäminen kaikille hallinnoituille päätelaitteille ja kaikkien todentamistapahtumien tarkastuslokit. Tämä vaihe on saavutettavissa ilman sovellusten uudelleensuunnittelua ja tarjoaa välittömän parannuksen tunnistetietoihin perustuviin hyökkäyksiin. Toinen vaihe inventoi tietovirrat ja luokittelee resurssit rakentaen kartan, jota mikrosegmentointikäytäntö valvoo. Kolmas vaihe ottaa käyttöön mikropalomuuri-agentit tai palveluverkon valvonnan pelkästään tarkkailutilassa todellisten liikennemallien löytämiseksi, sitten siirtyy asteittain valvontatilaan aloittamalla herkimmistä kuormituksista. Neljäs vaihe ottaa käyttöön PDP:n ja alkaa tehdä istuntokohtaisia valtuutuspäätöksiä sovellusten käytöstä integroimalla laitteen asennon tarkistukset. Viides vaihe — jatkuva parantaminen — tiukentaa käytäntösääntöjä, laajentaa käyttäytymisseurantaa ja iteroi sovellusten kehittyessä.

Yleisin virhemalli puolustuksen ZTA-ohjelmissa on etenemissuunnitelman käsittely kertaluonteisena projektina, jolla on valmistumispäivä. Zero Trust on jatkuva operatiivinen asema, ei konfiguraatio, joka asetetaan ja jätetään. Sovellukset muuttuvat, uusia palveluita ilmaantuu, uhkatiedustelu kehittyy ja käytäntö, joka oli oikea viime kvartaalilla, ei välttämättä ole oikea tänään. Ohjelmat, jotka rahoittavat vain alkuperäisen käyttöönoton ilman budjettia jatkuvaan käytäntöjen operointiin ja telemetria-analyysiin, huomaavat ZTA-asemansa heikkenevän vuoden kuluessa käyttöönotosta. Tämä liittyy suoraan ISO 27001:n soveltamiseen puolustusohjelmistokehityksessä — ZTA:n vaatima jatkuvan parantamisen sykli vastaa luonnostaan ISO 27001:n vaatimaa Plan-Do-Check-Act-hallintakehystä.

Tietoturvatestaus on upotettava toteutusprosessiin, ei lykättävä loppuun. Zero Trustia omaksuvien puolustusjärjestelmien tunkeutumistestauksen on kohdistuttava nimenomaan ohjauskerrokseen: PDP:hen, identiteettipalveluntarjoajaan, varmenteiden myöntäjään ja mikrosegmentointikohteiden valvontapisteisiin. Jos vastustaja voi kaapata luottamuspäätöksiä tekevät komponentit, Zero Trust -asema ei tarjoa suojaa riippumatta siitä, kuinka hyvin yksittäiset käytäntösäännöt on kirjoitettu.

Rakenna Zero Trust puolustusohjelmistoosi alusta alkaen

Corvus HEAD on suunniteltu identiteetti ensin -periaatteella, pienimmän oikeuden pääsynhallinnalla ja salatuilla viestintäyhteyksillä jokaisessa kerroksessa — perusta, joka on yhdenmukainen Zero Trust -periaatteiden kanssa luokiteltuihin ja koalitioympäristöihin. Reunakäyttöön soveltuva, tarkastettava ja suunniteltu kiistanalaisiin verkko-olosuhteisiin.

Tutustu Corvus HEAD:iin → Varaa esittely

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat mission-kriittisiä puolustusohjelmistoja hallitus- ja sotilasorganisaatioille. Lue lisää tiimistämme →