Zero Trust arkitektur

«Stol ikke på noe eller noen» er brutalt, men kanskje også nødvendig. Zero Trust arkitektur tar et oppgjør med etablert praksis. Men blir skyen din sikrere?

En usikker verden

Når virksomheter bestemmer seg for å «flytte» til skyen, er det mange som opplever en følelse av å ha mindre kontroll. Lenge har norske ledere ansett eksterne trusler som de mest bekymringsverdige. Her har det skjedd en endring.

Spill dine ansatte gode

De siste årene har interne trusler klatret oppover på listen, og i PwCs Cybercrime survey 2018 ble «ansattes bevisste handlinger» ansett som en av topp tre trusler for virksomheten. Samme undersøkelse viste også at så mange som 87 prosent har vært utsatt for et phishing-forsøk, som ofte skjer ved at ansatte mottar e-post med ondsinnede lenker eller vedlegg.

Verden

Sett i lys av dagens trusselbilde, er det ingen tvil om at Zero Trust arkitektur kan løse viktige utfordringer for noen bedrifter.

Eldar Lorentzen, leder for cybersikkerhet i PwC

Det finnes ikke én løsning som kan gjøre skyen din hundre prosent sikker, men Zero Trust arkitektur vil gjøre den sikrere.

Eldar Lorentzen Lillevik,leder for cybersikkerhet i PwC

Gir deg bedre kontroll

Stadig flere norske selskaper tar i bruk public cloud, der noen også velger å legge kritiske funksjoner og sensitive data åpent i skyen. Dette stiller strenge krav til synlighet, overvåking og større grad av kontroll. Her kommer Zero trust inn i bildet.

Mens de mer tradisjonelle sikkerhetsarkitekturene åpner opp for fri tilgang internt i organisasjonen, vil man med Zero Trust gi interne ansatte begrenset tilgang til data, og kun til den dataen som er relevant for eget arbeid. Den ansatte er også nødt til å verifisere seg på nytt hver eneste gang de ønsker tilgang. Dette bidrar til å løse en viktig utfordring i tradisjonell sikkerhetsarkitektur – nemlig at angripere kan bevege seg fritt i skyplattformen hvis de først evner å hacke én enkelt konto. 

For å oppsummere: det finnes ikke én løsning som kan gjøre skyen din hundre prosent sikker, men Zero Trust arkitektur vil bidra til å løse noen viktige utfordringer, blant annet ved å gi deg bedre kontroll. 

 

 

Klode

Verifiser alle applikasjoner, brukere og enheter. Logg all trafikk fra A–Å. Synlighet er en av de viktigste forutsetningene for å lykkes med Zero Trust arkitektur.

Eldar Lorentzen Lillevik, leder for cybersikkerhet i PwC

Slik går du frem

Selv om Zero Trust arkitekturen ikke er bygget for å bekjempe hackere, er den ment å gjøre det så vanskelig som mulig å kompromittere hele infrastrukturen. Her er fem råd før du setter i gang.

Definer strategien

Første steg på veien er å definere virksomhetens sikkerhetsarkitektur. Strategien bak Zero Trust tar utgangspunkt i at alt og alle kan utgjøre en trussel mot organisasjonen. Slagordet er «ikke stol på noen, hverken internt eller eksternt». 

Tilgangsstyring

Alle tilganger skal gis på bakgrunn av to prinsipper:

  • Kun gi ansatte tilgang hvis de har et reelt behov for det  (i.e. need-to-know).
  • Kun gi tilgang til data og funksjoner som ansatte er helt avhengig av å ha for å kunne gjøre jobben sin (i.e. principle of least privilege). 

Alltid verifiser

Verifiser alle applikasjoner, brukere og enheter. Logg all trafikk fra A–Å dvs. hele hybrid-infrastrukturen. Synlighet er en av de viktigste forutsetningene for å lykkes med Zero Trust arkitektur.

 

 

Utvid og legg til flere autentiseringsmetoder

Utvid og legg til flere autentiseringsmetoder for å redusere veien inn. Det vil gjøre skyen din sikrere i tilfeller der en konto blir kompromittert eller legitimasjon blir stjålet. Ulike typer data krever forskjellige nivåer av godkjenning. Jo mer sensitiv dataen er, jo sterkere bør nivået være for godkjenning og verifikasjon.

Vær tro mot prinsippet

Vær tro mot prinsippet om å "aldri stole på noen, og alltid verifisere". Din sikkerhet er bare like sterk som den svakeste lenken. Hvis trusselen (enten ekstern eller intern) først finner et avvik i virksomhetens arkitekturdesign, er sannsynligheten stor for at angriperen vil klare å finne en vei inn i kritiske systemer og data, gjennom den svake eller feilkoblede lenken.

 

 

 

Mekanismene bak

Zero Trust modellen bygger på to prinsipper.

Zero Trust opererer med virtuelle sikkerhetssoner.

Zero Trust krever full synlighet.

< Back

< Back
[+] Read More

 

 

Kontakt oss

Eldar Lorentzen Lillevik

Eldar Lorentzen Lillevik

Partner | Leder Cybersikkerhet, PwC Norway

Tlf: 951 02 435