Beheer

Dit is een bijdrage van Zscaler
Security
Zscaler_workfromhome

Toegang tot applicaties niet langer vanzelfsprekend in gedistribueerd tijdperk

Aan de slag met Zero Trust

30 november 2021
Door: Zscaler, partner

Aan de slag met Zero Trust

Bedrijven stappen tijdens hun cloud-transformatie steeds meer af van conventionele perimeter-gebaseerde beveiliging. In plaats daarvan overwegen velen een zero trust-aanpak om de uitdagingen van gedecentraliseerde IT-omgevingen en mobiele werknemers aan te pakken.

Zero trust vervangt het traditionele netwerkbeveiligingsmodel. Bedrijven erkennen het belang van snelle toegang tot applicaties als het gaat om medewerkerstevredenheid in IT, ongeacht of deze applicaties op internet, in private clouds of in een datacenter worden gehost. Medewerkers worden niet automatisch meer vertrouwd als het gaat om toegang tot internet of applicaties, ze moeten dit vertrouwen verdienen op basis van identiteit en context.

Datastromen traceerbaar maken

Het fundamentele idee van zero trust is gebaseerd op de traceerbaarheid van dataverkeer van werknemers en alle apparaten die verbinding maken met applicaties in de cloud en op internet, ongeacht de locatie. Met een zero trust-aanpak wordt de beveiliging verschoven naar de cloud, waar het een controlefunctie krijgt - met filters en regels - die wordt geïmplementeerd tussen de gebruiker en de gewenste applicaties. De identiteit en rol van de gebruiker in het bedrijf bepaalt tot welke online middelen en welke applicaties in de cloud of het datacenter de gebruiker toegang heeft voor de dagelijkse werkzaamheden.

Wanneer bedrijven zero trust proberen te implementeren, worden ze meestal afgeschrikt door de complexiteit die ermee gepaard gaat. Velen staan ​​er niet bij stil dat een of meer elementen van dit systeem al in hun IT-ecosysteem zouden kunnen bestaan. Maar waar moet de transformatie van IT-beveiliging beginnen? De volgende overwegingen kunnen daarbij helpen.

  1. Een duidelijk doel voor ogen hebben

Wat willen bedrijven bereiken met het herontwerpen van hun beveiligingsinfrastructuur? Gaat het om het beveiligen van alle op internet gebaseerde datastromen en het zorgen voor veilige toegang op afstand tot data en applicaties in het datacenter of multi-cloud omgevingen, ongeacht de locatie van de medewerker? De zero trust-aanpak kan ook worden gebruikt om cloud-workloads in complexe multi-cloud omgevingen te beveiligen en de communicatie van workloads te regelen. Een zero trust architectuur kan helpen bij al deze scenario's. Daarom is de eerste stap die bedrijven moeten nemen, het definiëren van hun doelstelling, zodat ze hun transformatiestrategie daarop kunnen afstemmen. Zo kunnen ze ook hun succes na implementatie meten.

  1. Identiteitsgebaseerde regels

Beveiliging op basis van zero trust vereist een identity-provider zoals Azure AD of Okta. Aangezien de meeste bedrijven al met zo’n systeem werken, is de basis voor het definiëren van de juiste regels al aanwezig. Bij de functie van een medewerker worden de passende rollen toegekend en daarmee de bijbehorende toegangsrechten tot applicaties in het identity-systeem.

  1. Extra bescherming: multi-layered beveiliging

Naast beveiligd internet en toegang op afstand, is het ook de moeite waard om te kijken naar beveiliging op endpoint-niveau. Een diepgaande verdedigingsstrategie verhoogt de veiligheid omdat de combinatie van systemen van verschillende leveranciers het nog moeilijker maakt voor malware en ransomware om door te breken.

Zero trust voor interne applicatietoegang

Als het doel en de eisen zijn gedefinieerd, is het duidelijk of de eerste taak een VPN-vervanging of veilige toegang tot internet is. Als het gaat om het verlenen van toegang tot interne applicaties aan externe medewerkers, laten bedrijven zich leiden door de trends van deze tijd en evolueren zo naar hybride werkomgevingen voor werknemers. De zero trust-benadering maakt veilige, hoogwaardige toegang mogelijk op basis van uniforme regels, ongeacht waar werknemers zich bevinden bij het openen van hun bedrijfsapplicaties. Daarom is het niet langer nodig om meerdere beveiligingssystemen te onderhouden en te beheren, wat het leven van het beveiligingsteam veel gemakkelijker maakt.

Een zero trust aanpak stelt de IT-afdeling in staat om centraal overzicht te houden en alle datastromen in de gaten te houden. Met zero trust worden toegangsregels, als deze eenmaal zijn gedefinieerd, op precies dezelfde manier geïmplementeerd voor mobiele medewerkers, of ze nu toegang hebben tot zakelijke applicaties vanaf een privé apparaat of vanaf kantoor. In de huidige wereld van werken op afstand moeten bedrijven afstand nemen van het denken in termen van locatie, aangezien de fysieke locatie waar werknemers productief zijn er niet langer toe doet. Wat er wel toe doet is ervoor zorgen dat elke gebruiker, ongeacht waar hij zich bevindt, dezelfde veilige en krachtige toegang tot zijn applicaties heeft. Of deze nu worden gehost in multi-cloud omgevingen of in een datacenter.

Gebruikers hoeven niet langer op het netwerk te zijn om toegang op afstand tot applicaties te krijgen. Een zero trust architectuur maakt veilige toegang tot applicaties mogelijk op het niveau van de betreffende applicatie en niet op netwerkniveau, wat tevens zorgt voor de om veiligheidsredenen gewenste microsegmentatie. Dit verbetert de IT-infrastructuur omdat potentiële aanval-gateways die aan internet worden blootgesteld, zoals VPN, aanzienlijk kunnen worden verminderd. Toegang wordt namelijk verleend op basis van het principe van least privilege en gebruikers krijgen alleen de rechten voor de applicaties die ze nodig hebben voor hun werk.

Zero trust voor toegang tot online applicaties

Een andere manier waarop bedrijven de voordelen van een zero trust-aanpak kunnen benutten bij het transformeren van hun beveiligingsconfiguratie, is door hun werknemers op regels gebaseerde toegang tot online applicaties te verlenen. Binnen het Secure Access Service Edge (SASE)-framework helpt een cloudgebaseerd platform om alle gegevensstromen te beveiligen en tegelijkertijd de beveiliging te verbeteren - ook aan de edge.

Met een sterk geïntegreerd platform houdt de IT-afdeling via één beheerinterface het overzicht over al het dataverkeer. Dit geeft hen een centraal overzicht en stelt hen in staat om beleid te definiëren dat van toepassing is op een breed scala aan beveiligingsmechanismen. Van de cloud-sandbox tot dataverlies, op regels gebaseerde rechten worden geïmplementeerd en beheerd door de cloud. Daarnaast is er ook de CASB-functionaliteit om alleen toegang te verlenen tot applicaties die het bedrijf beschikbaar wil stellen aan werknemers in hun werkomgeving. Bovendien worden niet-goedgekeurde online applicaties die als gevaarlijk worden beschouwd, geblokkeerd, waardoor onbevoegde toegang tot gevoelige gegevens wordt voorkomen.

Al het verkeer, inclusief TLS-gecodeerd verkeer, kan ook worden gescand op malware. Dit zorgt voor een extra beveiligingslaag en is vaak niet volledig mogelijk voor bedrijven met traditionele oplossingen vanwege performance-redenen. Dit elimineert een ander beveiligingsrisico, aangezien malware-aanvallers jarenlang versleuteld verkeer hebben getarget voor het transporteren van kwaadaardige code, wetende dat veel bedrijven deze versleutelde datastromen niet volledig scannen.

Het begint met een visie

Bedrijven die hun applicatielandschap willen transformeren, hun netwerkarchitectuur en hun beveiliging willen moderniseren, kunnen niet langer om zero trust en cloudgebaseerde beveiliging heen. Bij het evalueren van een zero trust-aanpak, helpt het om een ​​visie te hebben wat het bedrijf wil bereiken door te moderniseren. Het is zeer waarschijnlijk dat aan sommige van die vereisten, zoals de behoefte aan een identity-provider, al is voldaan. Dit is een belangrijk startpunt.

Complex en tijdrovend hardwarebeheer wordt in de toekomst geëlimineerd en vervangen door het opstellen en beheren van een set regels voor toegangscontrole. Een zero trust initiatief begint meestal met een overgang van de huidige situatie en levert van daaruit snel resultaat op. De mate van granulariteit en daarmee de mogelijke complexiteit van het beleid wordt door elk bedrijf zelf bepaald.

Kevin Schwarz, transformatiestrateeg bij Zscaler

Reactie toevoegen