Tutkimusyhtiöillä on tapana luoda trendikkäitä lyhenteitä. Alkuvuoden kuumin ja trendikkäin termi saattaa olla Zero Trust Network (ZTN). Malli tosin esiteltiin John Kindervag toimesta jo vuonna 2010 hänen toimiessaan Forrester pääanalyytikkona. Sitä tarjotaan nyt pelastusrenkaaksi markkinatilanteessa, jossa kyberhyökkäykset pitävät pilkkanaan perinteisiä tietoverkkojen kyberturvaratkaisuja.

Olen samaa mieltä, että ZTN malli on reitti kyberturvallisuuden hallinnan parantamiseen. Ennustan kuitenkin matkan olevan pitkä ja haastava. Malli vaatii uutta ajattelua, uutta teknologiaa uutta osaamista sekä määrätietoista työtä ja viestintää.

Kyberturvan maailmassa olemme tottuneet viittaamaan eri instituutioiden kehyksiin. NIST kyberturvallisuuden kehystä onkin pidetty ohjenuorana myös USA ulkopuolella tai siitä on periytynyt ohjeistuksia Eurooppaan. Markkinatilanteen haastetta kuvaa se, että tämäkin kehys on suunniteltu yhden yrityksen ja organisaation hallinnassa olevaan kokonaisuuteen. Siinä on osia, joiden toteuttaminen on lähes mahdotonta monipilviympäristössä. Jokatapauksessa  ZTN on nyt vahva suositus NIST kehyksessä tilanteen saamiseksi hallintaan.

Mikä on ZTN?

ZTN mallissa ”kaikki on kiellettyä, jos ei ole erikseen tunnistettu ja sallittu”. Kuullostaa yksinkertaiselta. Ensimmäisen haasteen muodostaa yrityskulttuuri, jos käytäntö on sallinut liikennöinnin vapaasti. Liian usein kaikki on sallittua ja saavutettavissa vaikka palvelut eivät liity yrityksen toimintaan. Saavutettua etua on hankalaa muuttaa.  Vanha malli on perustunut ajatukseen, että yritysverkon sisällä on luotettavat ja ulkopuolella ei-luotettavat tahot. Palomuuri on toiminut pyhänä verkon laitteena ja vedenjakajana, mutta päinvastaisella ”kaikki sallittu, jos ei erikseen kielletty” käytännöllä.  Palomuureissa pääsynhallinnan säännöt perustuvat  IP-avaruuksiin tai -osoitepareihin (OSI layer 3). Ahkerimmat ylläpitäjät ovat määritelleet lisäksi TCP-portit (OSI layer 4).

Jos valtakunnan rajatarkastus lentokentällä tapahtuisi näin, päätettäisiin että ”Kaikki mikä tulee Lontoosta on kunnossa”. Sen jälkeen investoitaisiin tuhojen korjaamiseen ja rikollisten jäljittämiseen ympäri maata.

ZTN mallin ja ylläpidon haasteen muodostaa vaatimus sovellustason toimimisesta (OSI layer 7).  Paikallisella tasolla se olisi tehtävissä päivittämällä yrityksen omassa hallinnassa olevaa teknologiaa, mutta uusi monipilviympäristö on haastava.

Uusi toimintaympäristö (Cloud, SaaS, WFH, BYOD, IoT) vaatii enemmän

Yritysten toimintaympäristö sovelluksineen on hyvin fragmentoitunut lukuisille SaaS, PaaS ja Cloud toimijoille. Kun päätelaitteen käynnistää, se ampuu bittiavaruuteen satoja istuntoja eripuolille maailmaa. Verkko reitittää ja suodattaa IP-paketteja, mutta sadat sovellukset keskustelevat sessioilla, joista verkko ei todellisuudessa ymmärrä mitään. Perinteistä verkon segmentointia ei pysty toteuttaaan uudessa toimintaympäristössä.

Kun yhtälöön lisätään tilanne, että 90 % Internet-liikenteestä on salattua ja harva yritys toteuttaa SSL scanning ja DNS Sec on perinteisen yritysverkkoratkaisun, segmentoinnin ja palomuurien tarjoama suojaus olematon. Fragmentoitunut toimintaympäristö johtaa entistä laajempaan hyökkäyspintaalaan ja kontrollin menettämiseen. Kyberhyökkäyksen toteutuminen on lähinnä ajan kysymys.

Budjetti ei riitä taisteluun ilman ZTN mallia

Siirtymällä ZTN malliin on hyökkäypintaalaa ja valvottavaa aktiviteettia verkossa paljon vähemmän. Verkossa liikkuu vain liiketoiminnalle tarpeelliset ja valtuutetut sovellukset tiukassa ohjauksessa.  Verkon ja siihen liittyvien tietoturvapalveluiden kustannukset laskevat kapasiteetin tarpeen laskiessa.  Modernin ja kalliin kyberturvateknologian ja -palveluiden hyödyntäminen on jo kustannuksiltaan kohtuullistaa tähän kokonaisuuteen.

ZTN siirtyminen alkaa johtajasta

Yritysjohdolle ”kaikki kielletty, mikä ei erikseen ole tunnistettu ja sallittu” kuullostaa helpolta. Unohtuu, että verkkoasiantuntijat ovat viimeiset kolme vuosikymmentä opiskelleet ja rakentaneet verkkoja OSI mallin 2 – 4 segmentoinnin tasoilla. Teknologia on saattanut mahdollistaa paikallisesti layer 7 toiminteita, mutta harva sovelluksen omistaja on ohjeistanut verkon ja palomuurin ylläpitäjiä. On kuljettu siitä mistä aita on matalin eli IP-osoiteilla. Ensimmäinen askel onkin siirtyä ratkaisuihin, joissa tunnistetaan luotettavasti SaaS, PaaS, Multi Cloud sovellukset ja linkitetään ne tunnistettuihin käyttäjiin sekä  IoT-laitteisiin.  Vasta sen jälkeen alkaa ZTN käytäntöjen hallittu siirtyminen.

Johtajan ensimmäinen tehtävä on nyt luoda edellytykset uudelle arkkitehtuurille.

 

Hannu Rokka, Senior Advisor

5Feet Networks Oy