Model zero trust

Ten artykuł od 2026-04 zawiera treści, przy których brakuje odnośników do źródeł.
Należy dodać przypisy do treści niemających odnośników do źródeł. Dodanie listy źródeł bibliograficznych jest problematyczne, ponieważ nie wiadomo, które treści one uźródławiają.
Sprawdź w źródłach: Google Books • Google Scholar • BazHum • BazTech • RCIN • Internet Archive (texts / inlibrary)
Dokładniejsze informacje o tym, co należy poprawić, być może znajdują się w dyskusji tego artykułu.
Po wyeliminowaniu niedoskonałości należy usunąć szablon {{Dopracować}} z tego artykułu.

Model zero trust (ang. zero trust model) – model bezpieczeństwa sieciowego, w którym założeniem jest brak zaufania do jakichkolwiek urządzeń, zarówno wewnętrznych, jak i zewnętrznych w stosunku do sieci przedsiębiorstwa.

Zasada działania

Kluczową ideą modelu Zero Trust jest "nie ufaj, zawsze weryfikuj", co sugeruje, że użytkownikom i urządzeniom nie należy domyślnie ufać, nawet w zaufanych sieciach.

Zamiast polegać na tradycyjnym podejściu opartym na zabezpieczeniu granic sieci, model zero trust koncentruje się na zabezpieczaniu danych na poziomie indywidualnych zasobów. Kluczowymi elementami tego modelu są: uwierzytelnienie, autoryzacja oraz ciągłe monitorowanie dostępu do zasobów sieciowych. Model ten zakłada, że zagrożenia mogą pochodzić zarówno spoza jak i wewnątrz organizacji, dlatego niezmiennie traktuje każdy próbę dostępu do zasobów z założeniem braku zaufania.

Historia

1990: Podstawowa segmentacja sieci

Pojawiają się początkowe próby segmentacji sieci przy użyciu VLAN-ów czy podsieci. Podejście to jest bardzo ograniczone – nie ma uwierzytelniania, minimalnych restrykcji i niewielu wewnętrznych możliwości zabezpieczania. Wprowadzone ograniczenia można łatwo obejść.

2001: Kontrola dostępu do sieci

Stowarzyszenie Standardów IEEE publikuje protokół 802.1X do kontroli dostępu do sieci (NAC). Napędzany przez adaptację WLAN umożliwia uwierzytelnione połączenia sieciowe i daje dostęp na poziomie sieci (LAN/VLAN), ale jest skomplikowany i trudny do szerokiego wdrożenia.

2004 rok: Narodziny koncepcji Zero Trust

W tym roku powstaje Forum Jericho(inne języki), które promuje innowacyjne podejście do bezpieczeństwa określane jako deperymetryzacja(inne języki)[1]. Koncepcja ta kładzie nacisk na ochronę danych przedsiębiorstwa przemieszczających się w obrębie oraz poza sieć korporacyjną, zamiast utrzymywania tych danych wyłącznie w granicach sieci korporacyjnej. Ideą deperymetryzacji jest przekonanie, że zabezpieczenia sieci przedsiębiorstw powinny być stosowane nie tylko na granicach kontaktu z Internetem, ale również w każdym miejscu dostępowym wewnątrz sieci.

2009 rok: Forrester i narodziny modelu Zero Trust

Termin model zero trust został wprowadzony w 2009 roku przez Johna Kindervaga z Forrester. Kindervag w swoim przełomowym raporcie przedstawił trzy kluczowe koncepcje:

  • Zapewnienie, że wszystkie zasoby są bezpiecznie dostępne, niezależnie od lokalizacji.
  • Przyjęcie strategii minimalnego przywileju i ściśle kontrolowanej kontroli dostępu.
  • Kontrola i rejestrowanie całego ruchu[2].

Nazwa "Zero Trust" została stworzona jako drwina w stosunku do kolegów Kindervaga z branży bezpieczeństwa, bazując na rosyjskim przysłowiu "ufaj, ale weryfikuj".

Raport Forrester z 2010 roku wprowadził dwa pomysły, które do dziś budzą kontrowersje w środowisku Zero Trust: "mikroperymetry" oraz zagrożenie ze strony wewnętrznego intruza.

2014 rok: Model bezpieczeństwa Google

Po incydencie związanym z atakiem Operation Aurora, Google wprowadza inicjatywę BeyondCorp, której celem jest przemodelowanie architektury bezpieczeństwa. Inicjatywa ta doprowadza do implementacji koncepcji Zero Trust na skalę całej firmy[3].

2019 rok: Gartner i jego wkład w rozwój Zero Trust

Analitycy z Gartnera przedstawiają koncepcję Secure Access Service Edge (SASE), dzięki której koncepcja Zero Trust zyskuje na znaczeniu[4]. Termin Zero Trust jest wówczas redefiniowany jako Zero Trust Network Access (ZTNA)[5][6].

2019 rok: NCSC i Zero Trust

W 2019 roku, brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) zaleciło architektom sieciowym rozważenie zastosowania podejścia Zero Trust podczas nowych wdrożeń IT, zwłaszcza w przypadku planowanego intensywnego korzystania z usług chmurowych. NCSC proponuje również alternatywne, lecz spójne podejście, identyfikując kluczowe zasady leżące u podstaw architektury Zero Trust:

  1. Jedno silne źródło tożsamości użytkownika.
  2. Uwierzytelnianie użytkownika.
  3. Uwierzytelnianie maszyny.
  4. Dodatkowy kontekst, taki jak zgodność z polityką i stan urządzenia.
  5. Polityki autoryzacji dostępu do aplikacji.
  6. Polityki kontroli dostępu w obrębie aplikacji[7].

2020 rok: NIST i standardy w obszarze Zero Trust

Amerykański Instytut Standardów i Technologii opublikował dokument SP 800-207, który przedstawia zunifikowane podejście do architektury Zero Trust. To ważny krok, który sygnalizuje odejście[8].

2021 rok: Uznanie dla koncepcji Zero Trust rośnie

W opublikowanym w 2021 roku raporcie Microsoftu pt. "Zero Trust Adoption Report", aż 96% z 1200 ankietowanych decydentów w obszarze bezpieczeństwa podkreśliło kluczową rolę strategii Zero Trust dla sukcesu ich organizacji[9]. Jako główne powody przyjęcia tej filozofii wskazali na potrzebę zwiększenia elastyczności w zakresie bezpieczeństwa i zgodności oraz na konieczność szybszego wykrywania i reagowania na zagrożenia. Również zmieniający się model pracy, kierujący się w stronę hybrydowej i zdalnej formy, szczególnie widoczny podczas pandemii COVID-19, miał wpływ na większe zainteresowanie podejściem Zero Trust, co potwierdza wspomniany raport.

Przypisy

  1. N Bleech, Visioning White Paper, What is Jericho Forum? [online], 2005 [dostęp 2023-08-21] (ang.).
  2. John Kindervag, Build Security Into Your Network’s DNA: The Zero Trust Network Architecture [online], 5 listopada 2010 [dostęp 2023-08-21] (ang.).
  3. BeyondCorp: A New Approach to Enterprise Security | USENIX [online], www.usenix.org [dostęp 2023-08-21].
  4. Definition of Secure Access Service Edge (SASE) – Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).
  5. Definition of Zero Trust Network Access (ZTNA) – Gartner Information Technology Glossary [online], Gartner [dostęp 2023-08-21] (ang.).
  6. ZTNA – co to jest i dlaczego warto go wdrożyć? [online], sebitu.pl, 9 sierpnia 2023 [dostęp 2023-08-21] (pol.).
  7. Network architectures [online], www.ncsc.gov.uk [dostęp 2023-08-21] (ang.).
  8. Scott Rose, Oliver Borchert, Stu Mitchell, Sean Connelly, Zero Trust Architecture [online], 11 sierpnia 2020 [dostęp 2023-08-21] (ang.).
  9. Vasu Jakkal, Zero Trust Adoption Report: How does your organization compare? [online], Microsoft Security Blog, 28 lipca 2021 [dostęp 2023-08-21] (ang.).

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.
Kembali kehalaman sebelumnya