Berbagai cara membangun sistem perusahaan berdasarkan:

Infrastruktur perusahaan lembaga pemerintah AS akan segera dialihkan ke model keamanan jaringan baru yang disebut Zero Trust Architecture (ZTA). Tahun lalu, Presiden AS Joe Biden merilis Perintah Eksekutif untuk Meningkatkan Keamanan Siber Negara. Kemudian, pada 26 Januari 2022, Pemerintah Federal merilis memorandum strategi Federal Zero Trust Architecture (ZTA) yang menetapkan aturan untuk pembangunan infrastruktur TI baru untuk lembaga dan organisasi pemerintah sesuai dengan strategi ZTA.

Pada artikel ini, saya ingin melihat perubahan mendasar yang dibawa oleh paradigma baru, menggantikan model perimeter aman, yang selama ini menjadi dasar pembangunan sistem TI perusahaan.

Arsitektur baru akan memerlukan perubahan pada semua elemen perangkat lunak dan perangkat keras dari infrastruktur jaringan dan sumber daya informasi. Teknologi end-to-end yang baru juga akan memerlukan perubahan dalam rutinitas komunikasi yang berkaitan dengan pemrosesan lalu lintas eksternal dan aliran data dalam loop perusahaan.

Juga perlu merevisi kebijakan akses pengguna dengan menerapkan mekanisme yang memungkinkan pengguna untuk mengautentikasi ketika mereka menerima hak akses yang sesuai. Akan diperlukan untuk membuat perubahan pada sistem untuk memantau aktivitas pengguna dan pengoperasian sistem perangkat lunak.

Fitur utama dari Arsitektur Zero Trust

National Cybersecurity Center of Excellence (NCCoE) sedang mengembangkan prinsip-prinsip dasar untuk membangun arsitektur ZTA. Menurut rekomendasi, arsitektur ZTA baru harus menyediakan fungsi penting berikut:

1) Identifikasi. Melakukan tugas inventarisasi semua elemen sistem perusahaan, termasuk sumber daya perangkat keras dan perangkat lunak, serta elemen terkait, mengklasifikasikannya, dan mengembangkan seperangkat aturan (kebijakan) khusus untuk mendeteksi anomali.

2) Perlindungan. Melakukan siklus lengkap prosedur otentikasi dan otorisasi. Konsep ZTA adalah untuk mendukung kebijakan otentikasi grup dan melakukan berbagai otentikasi dan pemeriksaan integritas semua sumber daya yang digunakan.

3) Deteksi. Mendeteksi anomali dalam pengoperasian perangkat yang dikendalikan, mencari kejadian mencurigakan dalam aktivitas jaringan untuk mengambil tindakan proaktif dan mencegah potensi ancaman.

4) Respon. Jika ancaman malware terdeteksi, serangkaian tindakan diambil untuk menahan penyebarannya dan mengurangi kemungkinan efek berbahaya.

Untuk mengimplementasikan tugas-tugas ini, diperbolehkan menggunakan solusi TI tunggal dan beberapa solusi berbeda yang dapat bekerja sama untuk menerapkan prinsip-prinsip ZTA.

Dalam bentuk apa ZTA dapat diimplementasikan?

Ada beberapa skenario implementasi khas dari Arsitektur Zero Trust. Berikut adalah jenis yang paling umum:

  • ZTA berdasarkan jaringan tradisional yang mendukung identifikasi yang ditingkatkan

Arsitektur ZTA menghasilkan elemen baru dari infrastruktur jaringan yang menjadi faktor penting dalam pembentukan kebijakan keamanan baru. Menjadi mungkin untuk mengatur hak akses individu ke semua sumber daya perusahaan. Hak akses akan dibuat berdasarkan ID dan atribut yang ditetapkan dari pengguna atau sistem yang mengakses sumber daya yang diberikan.

Tugas utama yang dipecahkan oleh elemen baru adalah menyediakan pengguna atau sistem perangkat lunak/perangkat keras dengan tingkat akses yang sesuai ke sumber daya sekaligus menolak akses ke elemen yang tidak diinginkan atau dilarang.

  • ZTA berdasarkan segmentasi mikro elemen jaringan

Implementasi konsep ZTA ini melibatkan penempatan pengguna dan kelompok sumber daya di segmen jaringan yang berbeda. Di antara mereka, gerbang dibuka, yang dipercayakan dengan tugas memastikan transmisi data yang aman.

Formulir ini memungkinkan penggunaan berbagai peralatan jaringan seperti router, switch, firewall generasi baru (NGFW), termasuk implementasi perangkat lunaknya.

Pengoperasian semua elemen dikendalikan oleh mekanisme penegakan kebijakan mereka sendiri (Poin Penegakan Kebijakan) yang memungkinkan Anda memberikan izin sebagai tanggapan atas permintaan yang masuk, memberikan tingkat keamanan yang diperlukan.

  • ZTA berdasarkan seperangkat batas jaringan yang ditentukan perangkat lunak

Opsi ini difokuskan pada pembangunan jaringan virtual yang diimplementasikan berdasarkan modul perangkat lunak, dengan pembangunan infrastruktur yang ditentukan perangkat lunak. Grup ini juga dapat menyertakan jaringan perangkat keras yang memungkinkan restrukturisasinya, dengan mempertimbangkan kebijakan yang dipilih perangkat lunak.

Metode ini mengarah pada pembuatan Software-Defined Perimeter (SDP). Ini, pada gilirannya, memungkinkan Anda membuat Jaringan yang Ditentukan Perangkat Lunak (SDN) dengan koneksi fleksibel perangkat virtual.

ZTA bisa mahal

Munculnya arsitektur konseptual baru telah lama dibahas dalam komunitas jaringan. Pakar keamanan berpartisipasi dalam beberapa diskusi yang mengevaluasi tingkat keamanan dan sumber daya yang diperlukan untuk implementasi ZTA.

Menurut beberapa ahli, konsep Zero Trust bisa mahal untuk diterapkan. Dalam konteks transformasi digital dan tingginya dinamika pembangunan dan pembaruan jaringan, penerapan teknologi Zero Trust hanya tersedia bagi perusahaan yang siap melakukan investasi finansial yang signifikan dalam implementasinya untuk melindungi diri sepenuhnya dari segala ancaman.

Alasan untuk meragukan efektivitas 100 persen dari konsep ZTA terletak pada kenyataan bahwa dengan satu atau lain cara, semua perusahaan sekarang memiliki subsistem cloud, serta rekanan, kontraktor, sistem manajemen patch, dan interaksi informasi lainnya yang memerlukan akses ke perusahaan. infrastruktur. BYOD bisa menjadi rumit jika beberapa perangkat seluler membawa pelacak telepon. Dalam kondisi seperti itu, sulit untuk sepenuhnya mengimplementasikan konsep baru yang tertuang dalam arsitektur ZTA. Seseorang hanya bisa berjuang untuk varian idealnya. Seringkali lebih dapat diandalkan untuk menerapkan gagasan keamanan praktis berdasarkan peristiwa dan risiko bisnis yang tidak dapat diterima, melakukan audit keamanan komprehensif, latihan keamanan siber, menggunakan praktik terbaik dan rekomendasi metodologis di bidang keamanan informasi, dan melengkapi infrastruktur dengan sarana modern untuk perlindungan.

ZTA cerdas dalam perjalanan

Pengembangan konsep ZTA sudah berjalan lancar. Saat ini sudah pindah ke tahap selanjutnya yang bisa disebut Intelligent ZTA.

Opsi implementasi baru tidak hanya menyediakan pasokan setiap perangkat jaringan dengan mekanisme perlindungannya sendiri, tetapi juga pengenalan algoritma kecerdasan buatan. Mereka akan digunakan untuk mengimplementasikan keamanan informasi dalam jaringan dengan arsitektur baru.

Diusulkan untuk menetapkan tugas-tugas berikut ke mekanisme perlindungan cerdas baru: pemantauan jaringan dan perangkat waktu nyata, menilai risiko permintaan akses yang tidak diinginkan, membuat keputusan otorisasi berdasarkan algoritme AI dan secara dinamis mengalokasikan tingkat hak istimewa yang diperlukan, dll.

Intelligent ZTA diharapkan dapat menerapkan teknologi Multi-Access Edge Computing (MEC) untuk menghubungkan IoT dan perangkat seluler. Ini akan memungkinkan mereka untuk dilindungi dan membantu menghilangkan risiko kerentanan yang rentan terhadap jaringan dengan perlindungan perimeter tradisional saat menghubungkan armada berbagai perangkat ke jaringan tersebut.

Kesimpulan

Arsitektur Zero Trust yang baru tidak lagi hanya menjadi bahan diskusi. Awal pelaksanaannya di pemerintahan dan organisasi lain diberikan oleh perintah, tindakan, dan nota yang sesuai. Kontur utama jaringan aman masa depan, bentuk yang mungkin mereka ambil, dan arah perkembangan baru telah diuraikan.

Kredit gambar: Olivier26/depositphotos.com

Alex Vakulov adalah peneliti keamanan siber dengan pengalaman lebih dari 20 tahun dalam analisis malware. Alex memiliki keterampilan penghapusan malware yang kuat. Dia menulis untuk banyak publikasi terkait teknologi yang membagikan pengalaman keamanannya.

Perangkat Lunak