Vad är Zero Trust? Guide till arkitektur och implementering

När jag pratar med kunder som är på väg att starta sin molnresa, eller som redan har kommit en bit på väg, så är Zero Trust en benämning som dyker upp allt oftare. Men vad betyder Zero Trust egentligen? Det förklarar vi i den här artikeln. 

Vad är Zero Trust?

Zero Trust är ett säkerhetsramverk baserat på tron att alla användare, enheter och IP-adresser som använder en resurs är ett hot tills motsatsen bevisats. Med mottot "lita aldrig, verifiera alltid" krävs det att säkerhetsteam följer en strikt kontroll av åtkomst och verifierar allt som försöker ansluta till ett företags nätverk.

John Kindervag, dåvarande chefsanalytiker på Forrester Research, var den som 2009 myntade begreppet Zero Trust. Sedan dess har det slagit igenom som en effektiv strategi för att förebygga dataintrång och andra cyberattacker. 

Zero Trust och Cloud Native

Även om konceptet Zero Trust inte är nytt så har det verkligen fått fart i och med att allt mer applikationsleverans rör sig åt ett Cloud Native-håll. Eftersom jag inser att "cloud native" inte är ett begrepp som är självklart för alla så tänkte jag börja med en mycket kort förklaring av det.

Ett enkelt sätt att uttrycka det är att det är ett samlingsnamn för alla teknologier, arkitekturmönster och utvecklingsmetoder som har vuxit fram tillsammans med - och drar nytta av - molntjänster. Några av de mest välkända exemplen är förmodligen containrar, mikrotjänster och serverlösa funktioner, tillsammans med en snabbt växande flora av verktyg för automation, konfigurationshantering, kontinuerlig leverans och orkestrering.

För den som är intresserad av att läsa mer om ämnet kan jag varmt rekommendera att besöka Cloud Native Computing Foundation. 
 

De tre grundprinciperna i en Zero Trust-arkitektur

Zero Trust är inte en enskild produkt eller plattform, utan en säkerhetsstrategi som bygger på tre grundläggande principer. Tillsammans skapar de ett dynamiskt och motståndskraftigt försvar som är anpassat för dagens komplexa IT-miljöer.

1. Verifiera explicit: Lita aldrig, verifiera alltid

Den första och mest grundläggande principen är att överge idén om ett "betrott" internt nätverk. I en Zero Trust-modell behandlas varje åtkomstförsök som om det kom från ett öppet, osäkert nätverk – oavsett om användaren sitter på kontoret eller på ett kafé. Varje gång en användare eller enhet försöker ansluta till en resurs måste den bevisa vem den är och att den är säker att ansluta med.

Autentisering och auktorisering baseras på en kombination av flera dynamiska datapunkter, till exempel:

• Användarens identitet (styrkt med multifaktorautentisering, MFA)
• Enhetens säkerhetsstatus (är operativsystemet uppdaterat, finns virusskydd?)
• Geografisk plats
• Tidpunkt för anslutning
• Vilken specifik tjänst som efterfrågas

Exempel: En utvecklare ansluter sin laptop till kontorets Wi-Fi. Trots att enheten nu är på det "interna" nätverket, måste utvecklaren fortfarande autentisera sig med sitt lösenord och en kod från sin mobil (MFA) för att få tillgång till källkodsförrådet. Systemet verifierar samtidigt att laptopen uppfyller företagets säkerhetskrav innan anslutningen godkänns.

2. Använd minsta möjliga privilegier: Ge bara den åtkomst som krävs

När en användare väl har verifierats och fått åtkomst, ska dennes behörighet vara strikt begränsad till exakt det som krävs för att utföra en specifik arbetsuppgift. Principen om minsta möjliga privilegier (Least Privilege) minimerar den potentiella skadan om ett användarkonto skulle kapas eller missbrukas.

Detta innebär att vi rör oss bort från breda åtkomstroller (som "alla på ekonomiavdelningen") till granulär, uppgiftsbaserad åtkomst. Även "just-in-time"-åtkomst implementeras, där förhöjda rättigheter endast tilldelas för en begränsad tid.

Exempel: En medarbetare på marknadsavdelningen behöver publicera ett nytt blogginlägg. Med Zero Trust får personen åtkomst till webbpubliceringsverktygets gränssnitt för att skriva och publicera texten. Däremot har medarbetaren ingen åtkomst till den bakomliggande servern, databasen eller källkoden. Om dennes konto skulle komprometteras kan angriparen inte använda det för att komma åt och skada den kritiska infrastrukturen.

3. Anta att intrång redan skett: Minimera skadan och se allt
Den traditionella säkerhetsmodellen fokuserar på att bygga en ogenomtränglig mur. Zero Trust utgår istället från att försvarslinjerna förr eller senare kommer att brytas – eller att en angripare redan är innanför. Denna "Assume Breach"-mentalitet flyttar fokus från enbart förebyggande åtgärder till snabb upptäckt och begränsning av skada.

I praktiken innebär detta att vi designar systemet för att vara motståndskraftigt mot interna hot. Nyckeltekniker här är mikrosegmentering, där nätverket delas upp i små, isolerade zoner för att förhindra att en angripare kan röra sig i sidled (lateral movement). All trafik, även intern, krypteras och loggas för att du snabbt ska kunna upptäcka och analysera avvikande beteenden.

Exempel: En angripare lyckas via ett nätfiskemail installera skadlig kod på en anställds dator. I ett traditionellt nätverk hade angriparen kunnat använda datorn som en språngbräda för att skanna hela nätverket och attackera andra servrar. Tack vare mikrosegmentering är den infekterade datorn isolerad i sin egen lilla zon. 

Angriparen kan inte se eller nå de kritiska affärssystemen som ligger i andra, skyddade segment. Samtidigt larmar övervakningssystemet om de ovanliga anslutningsförsök som den skadliga koden gör, vilket gör att IT-teamet snabbt kan isolera datorn och hantera incidenten.
 

Varför Zero Trust i molnbaserade IT-miljöer?

En viktig aspekt hos Cloud Native-modellen, du vet den jag gick igenom tidigare, är att den bygger på distribution, till skillnad från gamla tiders monolitiska applikationer. Istället för att ha all funktionalitet inkapslad i en entitet så består moderna molnbaserade applikationer i många fall av en mängd specialiserade tjänster, mikrotjänster, som kommunicerar med varandra. De här tjänsterna kan vara utvecklade av olika team, som i många fall inte ens tillhör samma organisation.

Om den nya, molnbaserade IT-världen inte längre är en inhägnad trädgård där jag känner till alla mina grannar, hur vet jag då vem jag ska lita på?

En annan viktig faktor är att det publika molnet i stor utsträckning suddar ut gränserna mellan privat och publikt. Vi som arbetat länge inom IT-drift har vant oss med att kunna skydda våra data bakom brandväggar och inuti segmenterade nätverk med olika zoner. I och med det publika molnet är det i många fall inte längre möjligt att göra på det sätt vi vant oss vid.

Och därmed kommer vi fram till en slutsats: Om den nya, molnbaserade IT-världen inte längre är en inhägnad trädgård där jag känner till alla mina grannar, hur vet jag då vem jag ska lita på? Kanske är det bästa att inte lita på någon annan än mig själv? Eller uttryckt på engelska: Zero Trust.

Det är precis det som är idén bakom Zero Trust. Istället för att anta att det är säkert att prata med alla som är i vårt nätverk, så utgår vi från att alla är okända och pratar inte med någon förrän de uttryckligen bevisat sin identitet.

Läs mer om cloud architecture

Därför är Zero Trust mer relevant än någonsin

Den traditionella säkerhetsmodellen, ofta liknad vid ett slott med en vallgrav, byggdes för en enklare värld. En värld där all personal, all utrustning och all data fanns innanför kontorets fyra väggar. Den världen existerar inte längre. Flera kraftfulla trender har gjort det traditionella perimeterskyddet otillräckligt och gjort Zero Trust till en affärskritisk nödvändighet.

1. Perimetern har suddats ut

Gränsen mellan det "säkra" interna nätverket och det "osäkra" internet har i praktiken upphört att existera. Användare ansluter från hemnätverk, kaféer och flygplatser. Känslig data lagras inte längre enbart på egna servrar, utan i molntjänster som Microsoft 365, Salesforce och AWS.

När det inte längre finns en tydlig perimeter att försvara, blir det meningslöst att basera sin säkerhet på den. Zero Trust anpassar skyddet till denna nya verklighet genom att fokusera på att säkra varje enskild anslutning, oavsett var den kommer ifrån.

2. Hybridarbete är den nya normen

Pandemin accelererade en utveckling som redan var påbörjad: övergången till distans- och hybridarbete. Denna flexibilitet är här för att stanna, men den medför säkerhetsutmaningar. Varje hemnätverk är en potentiell risk och att förlita sig på traditionella VPN-lösningar för tusentals distansarbetare är både ineffektivt och osäkert.

Zero Trust är designat från grunden för att säkra en distribuerad arbetsstyrka, och säkerställer att rätt person får tillgång till rätt resurs, från rätt enhet, vid rätt tidpunkt – oavsett fysisk plats.

3. Cyberhoten har blivit mer sofistikerade

Dagens cyberkriminella är mer organiserade och målmedvetna än någonsin. Attacker som ransomware, avancerat nätfiske och leverantörskedjeattacker (supply chain attacks) är utformade för att kringgå traditionella försvar. De siktar ofta på att stjäla en användares legitima inloggningsuppgifter för att kunna agera som en "betrodd" användare på insidan.

Zero Trust-principen "anta att intrång redan skett" är ett direkt svar på detta. Genom att ständigt verifiera och begränsa åtkomst, även för betrodda användare, minimeras skadan om en angripare väl lyckas ta sig in.

Läs mer om cybersäkerhet med CGI

4. Molntransformationen fortsätter

Företag flyttar alltmer av sin infrastruktur och sina applikationer till molnet för att öka sin innovationstakt och flexibilitet. Att hantera säkerheten i komplexa miljöer med flera olika molnleverantörer (multi-cloud) är en stor utmaning. Zero Trust erbjuder ett enhetligt och konsekvent sätt att tillämpa säkerhetspolicyer över alla plattformar. Istället för att lära sig unika verktyg för varje moln, kan organisationen fokusera på en central säkerhetsstrategi som fungerar överallt.

För- och nackdelar med Zero Trust

Att implementera en Zero Trust-strategi medför en rad betydande fördelar för en organisations säkerhetspostition. Samtidigt är det viktigt att vara medveten om de utmaningar som en övergång innebär. En framgångsrik implementering kräver noggrann planering och en förståelse för båda sidor av myntet.

Fördelar med Zero Trust

1. Minskad attackyta: Genom att tillämpa principen om minsta möjliga privilegier och kräva verifiering för varje enskild åtkomstförfrågan, begränsas en angripares förmåga att röra sig i sidled inom nätverket. Även om en enhet komprometteras, är skadan isolerad och når inte organisationens mest kritiska system.

2. Stärkt skydd för data: Traditionell säkerhet fokuserar på att skydda nätverket. Zero Trust fokuserar på att skydda det mest värdefulla: organisationens data. Genom mikrosegmentering och strikt åtkomstkontroll till specifika applikationer och datakällor skyddas informationen oavsett var den befinner sig.

3. Förbättrad kontroll och insyn: Eftersom varje anslutning och åtkomstförsök loggas och verifieras, får säkerhetsteamet en oöverträffad insyn i hur användare och system interagerar. Den detaljerade spårbarheten är ovärderlig för att upptäcka hot, utreda incidenter och uppfylla krav på regelefterlevnad (compliance).

4. Säkrar distansarbete och molnet: Zero Trust är byggt för en värld där användare, enheter och data finns överallt. Modellen gör ingen skillnad på om en användare ansluter från huvudkontoret, hemifrån eller via en molntjänst. Säkerheten följer användaren och datan, vilket möjliggör en säker och flexibel modern arbetsplats.

Nackdelar med Zero Trust

1. Komplex implementering: Att införa Zero Trust är inte en snabb teknisk lösning, utan en strategisk resa. Det kräver en grundlig kartläggning av organisationens alla system, dataflöden och användarbehov. En stegvis implementering, där du börjar med de mest kritiska systemen, är ofta den bästa vägen framåt.

2. Kräver en kulturell förändring: Övergången påverkar både IT-avdelningen och slutanvändarna. IT-teamet måste skifta från ett "lita men verifiera"-tänk till "lita aldrig". Användare kan behöva anpassa sig till nya eller mer frekventa autentiseringssteg, vilket kräver tydlig kommunikation och pedagogik för att skapa förståelse och acceptans.

3. Potentiell påverkan på användarupplevelsen: Om implementationen görs felaktigt kan ständiga säkerhetskontroller upplevas som störande och sänka produktiviteten. En modern Zero Trust-arkitektur använder dock intelligenta, riskbaserade policyer som gör processen så smidig som möjligt för legitima användare, medan kraven skärps vid avvikande beteenden.

4. Investeringskostnader: Beroende på organisationens befintliga teknikstack kan en övergång kräva investeringar i nya verktyg för identitets- och åtkomsthantering (IAM), multifaktorautentisering (MFA), enhetssäkerhet (Endpoint Security) och nätverksövervakning. Dessa kostnader måste vägas mot den betydande finansiella risk som ett allvarligt dataintrång utgör.

Hur implementeras Zero Trust i praktiken?

I takt med att begreppet Zero Trust blivit allt mer spritt, har givetvis en lång rad företag och organisationer plockat upp det och tillhandahåller många olika lösningar och metoder för att implementera Zero Trust. Men i grund och botten så handlar Zero Trust om ett synsätt på säkerhet som innebär att alla användare, enheter och tjänster måste autentisera sig mot en betrodd, gemensam identitetskälla innan de kan kommunicera med varandra. Till identiteten sedan knyts åtkomstkontroll och auktorisation för att få central kontroll över kommunikationen - även i väldigt komplexa och distribuerade miljöer.

Läs även: Din AI- och molnstrategi måste gå hand i hand

Så, varför Zero Trust?

En stor applikation kan bestå av hundratals, eller rent av tusentals mikrotjänster som interagerar på en mängd olika sätt, men genom att implementera Zero Trust – där ingen litar på någon om de inte explicit blivit tillsagda att göra det – så kan vi säkerställa att ingen information hamnar i fel händer på grund av någon felaktig interaktion som inte förutsätts av alla de olika parter som utvecklat systemet. Där finns den stora vinsten med Zero Trust.

Självklart är Zero Trust ett område där det går att dyka ner nästan hur djupt som helst, inte minst när vi börjar prata om specifika tekniska lösningar för att implementera Zero Trust. Det utrymmet finns inte här, men förhoppningsvis har begreppen klarnat något och vi på CGI hjälper mer än gärna till att guida vidare inom Zero Trust.

Frågor och svar

Vad är skillnaden på Zero Trust och en VPN?

Enkelt uttryckt är en traditionell VPN ett verktyg för att skapa en säker tunnel in till ett företagsnätverk. När du väl är ansluten via VPN:en betraktas din enhet som "betrodd" och får ofta bred åtkomst till nätverkets resurser. Problemet är att om en angripare tar kontroll över din enhet, får de också den breda åtkomsten.

Zero Trust-arkitektur fungerar annorlunda. Istället för att ansluta dig till hela nätverket, skapar den en säker, direkt anslutning från din enhet till en specifik applikation eller resurs du behöver. Varje anslutning verifieras separat. Du får aldrig tillgång till det underliggande nätverket, vilket drastiskt minskar attackytan.
Är Zero Trust en produkt eller en strategi?
Zero Trust är i grunden en strategi, inte en enskild produkt. Det är ett säkerhetsramverk och en filosofi som bygger på principerna "lita aldrig, verifiera alltid", minsta möjliga privilegier och att anta att ett intrång redan skett.

För att omsätta strategin i praktiken används en kombination av olika teknologier och produkter som tillsammans bygger upp en Zero Trust-arkitektur. Dessa kan inkludera:

• Identitets- och åtkomsthantering (IAM)
• Multifaktorautentisering (MFA)
• Lösningar för enhetssäkerhet (Endpoint Security)
• Verktyg för nätverkssegmentering och övervakning

Du kan alltså inte köpa "en låda Zero Trust", utan du bygger upp förmågan med hjälp av en genomtänkt strategi och noggrant utvalda verktyg.

Hur lång tid tar det att implementera Zero Trust?

Det finns inget standardsvar på hur lång tid det tar att implementera Zero Trust, eftersom implementationstiden helt beror på organisationens storlek, komplexitet och nuvarande tekniska mognad. Att införa Zero Trust är en resa, inte ett kort projekt med ett fast slutdatum.

En vanlig och rekommenderad metod är att börja i liten skala. Du kan identifiera en särskilt kritisk applikation eller en specifik användargrupp och starta implementationen där. Genom att ta ett steg i taget kan organisationen samla erfarenheter, visa på snabba resultat och gradvis bygga ut sin Zero Trust-arkitektur över tid. Resan kan ta allt från några månader för en initial utrullning till flera år för en fullskalig transformation i en stor, komplex organisation.
 

Passar Zero Trust för små företag?

Ja, Zero Trust passar även små företag. Principerna bakom Zero Trust är universella och lika relevanta för ett litet företag som för en global koncern. Cyberhot diskriminerar inte baserat på företagsstorlek och små företag är ofta attraktiva mål just för att de kan ha ett mindre robust skydd.