Zero-trust-arkkitehtuuri on tietoturvamalli, joka perustuu oletukseen, että luottamuksen ei tulisi koskaan olla implisiittistä — jokainen käyttäjä, laite tai sovellus mistä tahansa verkkosijainnista on todennettava, valtuutettava ja jatkuvasti validoitava ennen pääsyn myöntämistä. Malli syntyi vastauksena perimeteripohjaisen turvallisuuden riittämättömyyteen ympäristöissä, joissa perinteinen verkkoperimetri on hävinnyt: pilvikäyttöönotot, mobiilikäyttäjät, kumppaniverkkoyhteykset ja sisäiset uhkat tekevät luotetun sisäverkon käsitteen merkityksettömäksi.
Sotilaallisissa verkoissa zero-trust ei ole pilvikäyttöönoton ajama valinta — se on uhkaympäristön edellyttämä perustavanlaatuinen tietoturvavaatimus. Sotilaalliset verkot kohtaavat luokiteltuihin järjestelmiin pääsyä omaavia sisäisiä uhkia. Ne yhdistyvät vaihtelevatasoisen luottamuksen koalitionkumppaniverkkoihin. Ne tukeutuvat kaupallisiin päätelaitteisiin (urakoitsijoiden kannettavat, mobiililaitteet), jotka saattavat olla vaarantuneet. Tässä ympäristössä mikä tahansa tietoturvamalli, joka myöntää implisiittisen luottamuksen verkkosijainnin perusteella, on vaarallisen riittämätön.
Miksi perimeterturvallisuus epäonnistuu puolustuksessa
Perimeterturvallisuusmalli olettaa, että verkkorajan sisältä peräisin oleva liikenne voidaan luottaa. Tämä olettamus epäonnistuu puolustusympäristöissä useilla ulottuvuuksilla. Sisäiset uhkat — haitalliset tai pakotetut sisäpiiriläiset, joilla on laillinen verkkoyhteys — ovat tilastollisesti yleisempiä korkean turvallisuuden ympäristöissä juuri siksi, että nämä ympäristöt ovat vastustajan tunkeutumisen kohteita. Sisäpiiriläinen, jolla on pääsy luokiteltuun verkkosegmenttiin, voi liikkua sisäisten verkkorajojen yli, joita perimeterturvallisuus ei suojaa.
Vaarantuneet päätelaitteet edustavat perimeterivikaa laitteen tasolla: laitteen verkkoperimetrin sisällä oleva työasema, joka on vaarantunut spear-phishing-sähköpostin kautta, kuljettaa vastustajan koodia luotetulle vyöhykkeelle. Tältä vaarantuneelta päätelaitteelta vastustaja voi yrittää sivuttaisliikettä — pääsyä muihin järjestelmiin vaarantuneen koneen tunnistetiedoilla ja verkkoyhteydellä. Perimeterturvallisuudella ei ole näkyvyyttä tähän sivuttaisliikkeeseen, koska se ei tarkasta sisäisten isäntien välistä liikennettä.
Koalitionverkot luovat luottamuksen monimutkaisuutta, jota perimeterimallit eivät pysty käsittelemään. NATO:n jäsenvaltiot jakavat operatiivisia verkkoja tiettyihin tarkoituksiin — koalitiontehtäväsuunnittelu, jaettu logistiikka, ilmakuvan jakaminen. Nämä eri kansallisten verkkojen väliset yhteydet vaativat kontrolloitua, käytäntöpohjaista pääsyä, jota perimeterturvallisuus ei pysty tarjoamaan tarvittavalla tarkkuudella. Zero-trust käyttäjä- ja resurssikohtaisilla käyttöoikeuskäytännöillä on ainoa arkkitehtuurinen lähestymistapa, joka pystyy käsittelemään koalitionverkkoyhteyksiä vaaditulla tarkkuudella.
Zero-trustin ydinperiaatteet sotilaallisessa yhteydessä
Varmenna eksplisiittisesti. Jokainen käyttöoikeuspyyntö on todennettava vahvoilla tunnistetiedoilla ja valtuutettava käytäntöön nähden ennen pääsyn myöntämistä. Monivaiheinen todennus (MFA) on peruslinja; laitteistopohjainen todennus (PIV/CAC-kortit) on DoD:n standardi henkilöstön todentamiseen. Koneen identiteetti — tietokonelaitteiden eikä ihmiskäyttäjien todennus — käyttää laitesertifikaatteja sen vahvistamiseen, että pyyntö tulee tunnetulta, hallituista ja vaatimustenmukaisesta laitteesta. Pyyntö kelvolliselta käyttäjätunnukselta hallitsemattomalta laitteelta epäonnistuu laitteen asennontarkistuksessa ja estetään tai asetetaan karanteeniin.
Vähimmäisoikeuden käyttö. Käyttäjät, sovellukset ja palvelut saavat minimaaliset toimintonsa suorittamiseen tarvittavat käyttöoikeudet — ei enempää. Sotilaallisissa verkoissa tämä karttuu tietämys- ja käyttötarveperiaatteisiin, jotka ovat lakisääteisesti pakollisia luokiteltujen tietojen käsittelyssä. Zero-trust tarjoaa teknisen täytäntöönpanomekanismin sille, mikä oli aiemmin vain käytäntövaatimus: roolipohjainen käyttöoikeusvalvonta, joka tosiasiallisesti estää pääsyn resursseihin, joihin käyttäjällä ei ole valtuutusta, ja täytäntöönpanee sen sovellus- ja datakerroksessa eikä pelkästään verkkokerroksessa.
Oleta tietomurto. Tietomurto-oletus -ajattelumalli suunnittelee tietoturva-arkkitehtuurin oletuksella, että jokin verkon elementti on jo vaarantunut: seuranta-, havaitsemis- ja reagointikyky rakennetaan ikään kuin vastustaja on jo läsnä, eikä täydentävinä toimenpiteinä epätodennäköistä tapausta varten, että perimeterturvallisuus epäonnistuu. Tämä ohjaa jatkuvaan seurantaan, mikrosegmentointiin (jotta yhden segmentin murto ei automaattisesti myönnä pääsyä kaikkiin muihin) ja kaikkien käyttötapahtumien aggressiiviseen lokitukseen rikostutkinnallista rekonstruointia varten.
Toteutus: identiteettitarjoajat, mTLS ja mikrosegmentointi
DoD-ympäristöjen identiteettitarjoajia ovat Microsoft Entra ID (aiemmin Azure Active Directory) for Government, jolla on FedRAMP High -valtuutus ja joka tukee CAC/PIV-älykorttitodentamista identiteettifederaatiokykynsä kautta. Oktan FedRAMP-valtuutettu alusta on vaihtoehto, jota jotkut puolustusohjelmat käyttävät. Molemmat tukevat SAML 2.0:aa ja OpenID Connectia sovellusintegraatioon ja tarjoavat ehdollisia käyttöoikeuskäytäntöjä, jotka arvioivat laitteen vaatimustenmukaisuuden, käyttäjäriskisignaalit ja maantieteellisen kontekstin ennen pääsyn myöntämistä.
Molemminpuolinen TLS (mTLS) on palveluiden välinen todentamismekanismi zero-trust-arkkitehtuureissa. Siinä missä käyttäjälähtöinen todennus käyttää identiteettitarjoajia ja MFA:ta, palveluiden välinen viestintä käyttää molempien osapuolten esittämiä sertifikaatteja molempien osapuolten todentamiseen. Kubernetes-pohjaisessa puolustussovelluksessa palveluverkko (Istio tai Linkerd) hallinnoi automaattisesti mTLS-sertifikaattien myöntämistä ja kierrätystä kaikessa palveluiden välisessä viestinnässä varmistaen, että jopa vaarantuneet mikropävelut eivät pysty esiintymään muina palveluina verkossa ilman kelvollisia sertifikaatteja.
Mikrosegmentointi jakaa sisäisen verkon pieniin vyöhykkeisiin, joilla kullakin on oma käyttöoikeuskäytäntönsä, korvaten tasaisen sisäverkon, jossa itä-länsi-liikenne on rajoittamatonta. Pilviympäristössä mikrosegmentointi toteutetaan turvallisuusryhmäsäännöillä ja verkkokäytännöillä, jotka rajoittavat, mitkä palvelut voivat kommunikoida minkä muiden palveluiden kanssa. Fyysisessä sotilasverkkoympäristössä mikrosegmentointi toteutetaan verkkoryhmämäärittelyjen, ryhmien välisten palomuurisääntöjen ja SDN-käytäntöjen (ohjelmistomääritteinen verkko) kautta, jotka pakottavat liikenneeristyksen operatiivisten, hallinnollisten ja luokiteltujen verkkosegmenttien välillä.
Ohjelmistomääritelty perimetri: VPN:n korvaaminen
Perinteinen VPN tarjoaa verkkokerroksen käyttöoikeuden: todennettuaan VPN-käyttäjällä on pääsy verkkosegmenttiin. Tämä on arkkitehtuurisesti ristiriidassa zero-trustin kanssa, koska verkkokerroksen käyttöoikeus myöntää sivuttaisliikekyvyn. Ohjelmistomääritelty perimetri (SDP) korvaa VPN:n sovelluskerroksen käyttöoikeudella: käyttäjä todentautuu ja saa pääsyn tiettyyn sovellukseen tai palveluun, ei sen käyttämään verkkosegmenttiin.
SDP toimii molemminpuolisen todentamiskättelyn kautta ennen kuin verkkopaketteja vaihdetaan ("musta pilvi" -malli: palvelu on näkymätön verkossa, kunnes asiakas on todennettu). Todentamisen jälkeen asiakkaan ja tietyn sovelluksen välille muodostetaan erillinen salattu yhteys — asiakas ei pysty näkemään tai tavoittamaan muita sovelluksia tai palveluita samalla verkkoryhmällä.
Puolustusorganisaatioille, jotka hallinnoivat urakoitsijoiden ja koalitionkumppaneiden etäkäyttöä, SDP tarjoaa huomattavasti paremman käyttöoikeusvalvonnan kuin perinteinen VPN. SDP-käyttöoikeudella varustettu koalitionkumppani näkee vain tietyt järjestelmät, joihin heillä on valtuutus, ilman sivuttaisliikettä muihin puolustusjärjestelmiin — poistaen riskin, että vaarantunut koalitionkumppanin päätelaite muodostuu hyökkäysvektoriksi laajempaan puolustusverkkoon.
DoD Zero Trust -viitearkkitehtuuri ja toimittajien vaikutukset
DoD Zero Trust -viitearkkitehtuuri (ZT RA) määrittelee seitsemän pilaria: käyttäjä, laite, verkko/ympäristö, sovellus/työmäärä, data, automaatio ja orkestrointi sekä näkyvyys ja analytiikka. ZT RA ei ole tuotespesifikaatio, vaan kehys sen arvioimiseksi, täyttääkö ehdotettu arkkitehtuuri zero-trust-periaatteet kaikissa seitsemässä ulottuvuudessa.
Puolustusohjelmatoimittajille ZT RA:lla on käytännöllisiä sopimusvaikutuksia. Nykyisten DoD-hankintakäytäntöjen alaisissa ohjelmissa on osoitettava zero-trust-periaatteiden noudattaminen. Erityisesti: sovellusten on tuettava identiteettifederaatiota DoD:n hyväksymien identiteettitarjoajien kanssa (ei ylläpidettävä paikallisia käyttäjätietokantoja, jotka ohittavat keskitetyn identiteetinhallinnan); verkkoyhteyksien on oltava salattuja ja molemminpuolisesti todennettuja; tiedonsaanti on kirjattava lokiin näkyvyyden ja analytiikan vuoksi; ja sovellus ei saa olettaa verkkokerroksen luottamusta komponenttienväliselle viestinnälleen.
Keskeinen havainto: DoD on asettanut strategiseksi tavoitteeksi saavuttaa "kohdistettu" zero-trust kaikissa DoD-järjestelmissä vuoteen FY2027 mennessä ja "edistynyt" zero-trust vuoteen FY2032 mennessä. Puolustustoimittajat, jotka eivät rakenna zero-trust-yhteensopivia arkkitehtuureja tuotteisiinsa nyt, kohtaavat pakollisen korjaustyön olemassa olevissa sopimuksissa ja hylkäämisen uusista. Zero-trust ei ole valinnainen päivitys — se on kaikkien uusien DoD-ohjelmistoohjelmien perusarkkitehtuurivaatimus.