Nolla luottamus saattoi joskus olla vain analyytikoiden muotisana, mutta nyt sillä on Yhdysvaltain hallituksen virallinen hyväksyntäleima. Cybersecurity & Infrastructure Security Agency (CISA) on julkaissut toisen version oppaasta tämän tietoturvamallin käyttöönottoon. Se lupaa olla enemmän kuin pelkkä hylly, koska liittovaltion virastot on määrätty ottamaan käyttöön nollaluottamusperiaatteet tiukoilla määräajoilla.
Mikä on Zero Trust?
Vaikka termi "nolla luottamus" on kerännyt paljon lehdistöä viime aikoina, taustalla olevat käsitteet ovat vakiintuneet. Sana ilmaantui ensimmäisen kerran IT-alalla markkinaraon ulkopuolella vuonna 2010 osana Forrester Research -raporttia. Kuitenkin sen edustamat ideat – tarve tarkistaa kaikki epäluotettavassa ympäristössä – juontavat juurensa paljon aikaisemmin.
Open Groupin Jericho Forum julisti perinteisen verkon kehän eroosion vuonna 2004 kutsuen sitä deperimetrisaatioksi. Kun yritykset vaihtoivat tietoja liikekumppaneiden kanssa ja sijoittivat enemmän omaisuuttaan ydinyritysverkoston ulkopuolelle, oli entistä haastavampaa luottaa siihen, kuka tai mikä tahansa yritti ottaa yhteyttä mielettömästi. Vanhan linnoitusmallin sijaan, jossa verkolla oli läpäisemätön kova ulkoseinä, IT-infrastruktuureista oli tullut enemmän kuin joukko leirejä, joissa jokaisessa oli jonkin verran omaisuutta ja jotka tarvitsevat oman suojansa.
Tämä muutti tapaa, jolla IT-järjestelmät tunnistivat ihmiset. Aikoinaan, jos sinulla oli oikeudet päästä verkkoon, sinuun luotettiin ja voit mennä minne tahansa. Nolla luottamus hylkää tämän ajatuksen. Sen sijaan ei ole yhtä estettä ylittämiselle. Paikan jokainen digitaalinen ovi on riippulukossa, ja sinulla on oltava jonkinlainen avain.
Valkoinen talo ostaa
Yhdysvaltain hallitus on ostanut nollaluottamuskonseptin ja ensin kannattanut sitä Executive Order 14028 toukokuussa 2021. Seuraavana tammikuussa sitä seurasi mandaatti nollaluottamuksesta. Nämä tulivat muodossa National Security Memorandum 8 (NSM-8), jossa ohjeistettiin sen käyttöä kansallisessa turvallisuusyhteisössä, sekä hallinto- ja budjettiviraston MS-22-09-muistio. Jälkimmäinen määräsi liittovaltion virastot toteuttamaan nollaluottamustoimenpiteet ensi vuoden loppuun mennessä.
CISA, Department of Homeland Security -virasto, joka hoitaa kotimaan turvatoimien kyberturvallisuuspuolen, ohjaa liittovaltion organisaatioita ja yksityistä sektoria tällaisissa asioissa. Se julkaisi velvollisuudentuntoisesti Zero-Trust Maturity Model -mallinsa syyskuussa 2021 Executive Orderin ohjeiden mukaisesti. Tämän asiakirjan tarkoituksena oli auttaa virastoja siirtymään uuteen malliin.
Virasto julkaisi päivityksen tähän oppaaseen tämän vuoden huhtikuussa julkisen kuulemisjakson jälkeen. Toisen version merkittävin muutos on uuden kypsyysasteen lisääminen organisaation matkalle nollaluottamuksen nirvanaan.
Vaiheita oli alun perin kolme: perinteinen, edistynyt ja optimaalinen. Perinteinen oli käytännössä tavanomaista, eikä käytännössä lainkaan yhtenäistä nollaluottamusta.
Perinteisen tason yritykset, jotka olivat tehneet mitään työtä nollaluottamuksella, olivat pitäneet sen kapeassa laajuudessa. Kypsyysmallissa on viisi pilaria, jotka jakavat nollaluottamuksen toteuttamisen työn, mikä osoittaa tarvittavan muutoksen laajuuden. Nämä pilarit ovat identiteetti, laitteet, verkot, sovellukset ja työkuormat sekä tiedot. Perinteisen tason nollaluottamukseen keskittyneet yritykset toimivat pilarikohtaisella tasolla sen sijaan, että ottaisivat yhtenäisemmän lähestymistavan.
Kypsyysmalli hahmottelee kolme "leikkaavaa" kykyä, jotka ulottuvat jokaiseen pilariin ja jotka auttavat liittovaltion virastoja ja yksityisen sektorin instituutioita käsittelemään nollaluottamustarpeita laajemmin. Nämä kolme aluetta ovat näkyvyys ja analytiikka, automaatio ja orkestrointi sekä hallinto.
Oppaan ensimmäisen version kommentit väittivät, että hyppy perinteisen ja edistyneen välillä oli liian merkittävä. Sen sijaan he pyysivät lisävaihetta, joka yhdistäisi nämä kaksi. CISA vastasi lisäämällä alkuvaiheen perinteisen jälkeen. Se myös mukautti viiden pilarin muiden edistyneempien vaiheiden kieltä ylimääräisen kypsyystason mukaiseksi.
Alkuvaiheessa olevat yritykset ovat vasta alkamassa automatisoida tehtäviä, kuten attribuuttien määrittämistä ja elinkaarimäärityksiä, uudistetussa oppaassa sanotaan. Tässä vaiheessa he alkavat päästä käsiksi poliittisiin päätöksiin ja täytäntöönpanoon. Muut juuri alkavat tehtävät kattavat vähiten etuoikeuden ja jonkinlaisen yhtenäisen näkyvyyden saamisen sisäisten järjestelmien välillä.
Ei ole yllättävää, että ihmiset pyysivät ylimääräistä vaihetta nollaluottamuksen kypsyysprosessissa. Tämä uusi kyberturvallisuusajattelutapa edustaa niin laajaa muutosta tapaan, jolla käsittelemme yritysten pääsyä ja todennusta, ettei mikään toimittaja tai tuote voi tehdä kaikkea. Se on enemmän kurinalaisuutta kuin tuoteluokkaa, joka sisältää muutoksia koko infrastruktuurissa ja merkittäviä päivityksiä käytäntöihin. Monille organisaatioille se on hidas palaminen, enemmän kuin tuhannen kynttilän sytyttäminen kuin yhden kytkimen kääntäminen, ja tämä lisävaihe antaa heille yksinkertaisemman paikan aloittaa. Rampin hieman matalammaksi tekeminen on monelle tervetullut muutos tiekarttaan.
