This is the Trace Id: 21b175d96fcf9667a346356b9fbba820
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je architektura nulové důvěry (Zero Trust)?

Architektura nulové důvěry (Zero Trust) (ZTA) je architektura zabezpečení, která pravidelně ověřuje všechny uživatele a zařízení.

Úvod do architektury nulové důvěry (Zero Trust)

Zatímco tradiční modely zabezpečení předpokládají, že všechno v síti organizace je důvěryhodné, architektura zabezpečení nulové důvěry (Zero Trust) ověřuje každého uživatele a zařízení, než bude moct přistupovat k prostředkům – ať už se nachází v podnikové síti, nebo mimo ni.

Hlavní poznatky

  • Architektura nulové důvěry (Zero Trust) (ZTA) je architektura zabezpečení, která ověřuje všechny žádosti o přístup a aktivně předvídá kybernetické útoky.
  • Firmy tuto architekturu zavádějí, aby zajistily, že do jejich sítí budou mít přístup pouze oprávnění uživatelé a zařízení, kteří budou moci přistupovat k podnikovým zdrojům a prohlížet citlivá data.
  • Funguje s využitím komplexního šifrování, robustních mechanismů řízení přístupu, AI a možností monitorování sítě.
  • ZTA umožňuje firmám podporovat práci na dálku, minimalizovat rizika, zjednodušit dodržování právních předpisů, ušetřit čas a posílit stav zabezpečení.
  • Řešení nulové důvěry (Zero Trust) zahrnují vícefaktorové ověřování (MFA) a systémy správy identit a přístupu.

Základní principy ZTA

S rostoucí sofistikovaností a neúprosností kybernetických hrozeb se tradiční bezpečnostní modely stávají méně účinnými. Firmy ale můžou implementovat robustní a adaptivní přístup ke kybernetické bezpečnosti tím, že budou vycházet z principu, že žádné entitě by nemělo být automaticky důvěřováno.

Prozkoumejte základní principy, díky kterým je nulová důvěra (Zero Trust) nezbytnou architekturou pro vaši firmu.
Explicitní ověřování
Nulová důvěra (Zero Trust) zpracovává všechny pokusy o přístup k firemním prostředkům, jako by žádost pocházela z otevřené sítě. ZTA namísto jednorázového ověřování přihlašovacích údajů při vstupu do sítě pravidelně a komplexně vyhodnocuje datové body, jako je identita uživatele, jeho poloha a zařízení, a to v reálném čase, aby identifikovala varovné signály a pomohla zajistit, že k vaší síti budou mít přístup pouze oprávnění uživatelé a zařízení.

Přístup s nejnižší možnou úrovní oprávnění
ZTA poskytuje každému uživateli pouze minimální úroveň přístupu potřebnou k provádění úkonů. Omezení přístupových práv tímto způsobem pomáhá vaší firmě minimalizovat škody, které může způsobit napadený účet.

Předpokládejte porušení zabezpečení
Nulová důvěra (Zero Trust) funguje na základě předpokladu, že narušení bezpečnosti jsou nevyhnutelná. Tento přístup se nezaměřuje výhradně na jejich prevenci, ale také proaktivně předvídá kybernetické útoky tím, že předpokládá, že uživatelé, zařízení a systémy ve vaší firmě už jsou napadeny.
PŘÍNOSY

Výhody architektury nulové důvěry (Zero Trust)

Podpora vzdálené a hybridní práce

Umožněte vaší firmě pracovat bezpečně kdykoli, kdekoli a na jakémkoli zařízení.

Minimalizace rizik

Účinněji předcházejte únikům dat, rychleji identifikujte škodlivé aktivity a přijímejte opatření dříve než s tradičními bezpečnostními modely.

Snadné dodržování předpisů

Dodržujte předpisy a chraňte citlivá obchodní data pomocí komplexních bezpečnostních ovládacích prvků a nepřetržitého monitorování.

 Migrace do cloudu

Plynule přejděte z místních řešení do cloudu a omezte bezpečnostní rizika v průběhu celého procesu.

Zlepšete možnosti zaměstnanců

Zjednodušte přístup k prostředkům nahrazením více hesel jednotným přihlašováním (SSO) nebo biometrikou. Navíc můžete zajistit větší volnost a flexibilitu díky podpoře modelu Přineste si vlastní zařízení (BYOD).

Posilte stav zabezpečení

Proaktivně omezujte potenciální škody, které mohou kybernetické útoky způsobit, pomocí bezpečnostního přístupu „nikdy nedůvěřuj, vždy ověřuj“ a omezením laterálního pohybu v síti.

Klíčové součásti ZTA

Nulová důvěra (Zero Trust) zásadně mění způsob přístupu organizací ke kybernetické bezpečnosti tím, že zajišťuje důkladné prověřování jednotlivých žádostí o přístup bez ohledu na jejich původ, a proaktivně omezuje rizika. Odhalte klíčové komponenty, díky kterým je ZTA tak důležitou architekturou pro vaši firmu.
Správa identit a přístupu (IAM)
Nulová důvěra (Zero Trust) před udělením přístupu k prostředkům vždy ověří pravost uživatelů a zařízení. Konkrétně tato architektura využívá strategie IAM, jako je vícefaktorové ověřování, jednotné přihlašování (SSO) a řízení přístupu na základě role, k prevenci porušení zabezpečení souvisejících s identitou. Tyto funkce můžou také zlepšit uživatelské prostředí pro zaměstnance v celé firmě tím, že zjednoduší procesy přihlašování a sníží potřebu pamatovat si více hesel.

Segmentace sítě
ZTA rozdělí vaši síť do menších izolovaných segmentů, které omezují laterální pohyb potenciálních kybernetických útoků. Každý segment funguje jako zabezpečená zóna, jež pomáhá vaší společnosti omezit narušení bezpečnosti a zabránit šíření kybernetických hrozeb do jiných částí infrastruktury. Pokud dojde k úniku dat, vaše firma ho může snadno izolovat v konkrétní oblasti a výrazně tak omezit způsobené škody.

Segmentace sítě také umožňuje vaší firmě aplikovat na míru přizpůsobené zásady zabezpečení pro každou oblast vaší sítě. Například přísnější ovládací prvky je možné použít u segmentů obsahujících citlivá data, zatímco méně důležité segmenty mohou mít volnější zásady. Tato flexibilita umožňuje vaší firmě optimalizovat stav zabezpečení, aniž by to ohrozilo provozní efektivitu.

Zabezpečení koncových bodů
Architektura nulové důvěry (Zero Trust) chrání koncové body, jako jsou přenosné počítače, chytré telefony a tablety, napříč vaší firmou, aby se zabránilo kybernetickým hrozbám, jako je malware, v infiltraci do vaší sítě. Zabezpečení koncových bodů je nezbytné, protože tato zařízení jsou často terčem větších kybernetických útoků, které se snaží získat přístup a způsobit narušení. ZTA poskytuje pokročilé možnosti detekce hrozeb a reakce, komplexní šifrování a pravidelné aktualizace zařízení, které pomáhají zajišťovat integritu vaší firemní činnosti.

Zabezpečení dat
Architektury nulové důvěry (Zero Trust) nabízejí robustní řízení přístupu, komplexní šifrování a funkce maskování dat, jež pomáhají zabránit únikům dat a neoprávněnému přístupu k citlivým informacím. Díky efektivním opatřením na zabezpečení dat, jako jsou tato, může vaše firma konzistentně dodržovat předpisy a zachovávat si důvěru zákazníků. ZTA také zahrnuje strategie ochrany před únikem informací (DLP), jež pomáhají zabránit úniku nebo odcizení vašich obchodních dat.

Správa akcí a informací o zabezpečení (SIEM)
ZTA používá systémy SIEM k zajištění analýzy upozornění zabezpečení generovaných obchodními aplikacemi a síťovým hardwarem v reálném čase. To vaší firmě umožňuje rychle detekovat potenciální kybernetické hrozby a reagovat na ně dříve, než by mohly způsobit škodu.

Systémy SIEM v rámci architektury nulové důvěry (Zero Trust) vám také pomáhají lépe porozumět prostředí hrozeb tím, že poskytují cenné přehledy o trendech a vzorech zabezpečení. Díky analýze historických dat mohou organizace identifikovat opakované problémy a podnikat kroky k jejich aktivnímu řešení. Přechod na proces průběžného vylepšování je nezbytný kvůli tomu, aby si vaše firma udržela náskok před vznikajícími kybernetickými hrozbami a zachovala si silný stav zabezpečení.

Možnosti umělé inteligence
Nulová důvěra (Zero Trust) používá umělou inteligenci pro kybernetickou bezpečnost k přesné detekci kybernetických hrozeb a k efektivnímu reagování na ně. Modely AI můžou rychle analyzovat obrovské objemy dat, což vaší firmě umožní identifikovat složité vzory a anomálie, jež můžou indikovat porušení zabezpečení nebo kybernetický útok. Nulová důvěra (Zero Trust) také poskytuje vaší firmě možnosti automatizace, které bezpečnostním týmům pomáhají šetřit čas a určovat prioritu složitých kybernetických hrozeb. Zvažte implementaci ZTA, abyste modernizovali svou bezpečnostní architekturu, zkrátili dobu odezvy a udrželi si náskok před neustále se vyvíjejícími kybernetickými hrozbami.

Historie a vývoj ZTA

Architektura nulové důvěra (Zero Trust) se v reakci na omezení tradičních modelů zabezpečení a rostoucí sofistikovanost kybernetických hrozeb v průběhu několika desetiletí vyvinula. Na počátku 21. století začala skupina bezpečnostních expertů známá jako Jericho Forum prosazovat deperimetrizaci, tedy používání více úrovní zabezpečení bez ohledu na umístění. Tento koncept přesunu nad hranicemi ovládacích prvků zabezpečení pomohl položit základy pro nulová důvěra (Zero Trust) modely, jak je známe dnes.

Prozkoumejte klíčové milníky ve vývoji zabezpečení pomocí nulové důvěry (Zero Trust).
 
  • 2010: Analytik John Kindervag oficiálně zavádí pojem nulová důvěra (Zero Trust) v článku pro Forrester Research Group, kde zdůrazňuje nutnost ověřovat každou žádost o přístup, bez ohledu na to, odkud pochází.
  • 2017: Společnost Gartner představuje architekturu Continuous Adaptive Risk and Trust Assessment (CARTA) – bezpečnostní přístup zaměřený na neustálém hodnocení rizik a přizpůsobování se jim.
  • 2020: National Institute of Standards and Technology (NIST) vydává speciální publikaci 800-207, která definuje komplexní sadu pokynů a osvědčených postupů pro vytvoření ZTA.
  • 2022: Vláda Spojených států nařizuje všem federálním úřadům zavést do roku 2024 zásady nulové důvěry (Zero Trust), čímž podtrhuje význam nulové důvěry (Zero Trust) v moderní kybernetické bezpečnosti.
 

Jak funguje architektura nulové důvěry (Zero Trust)

Tradiční architektura zabezpečení umožňuje uživatelům přístup k celé podnikové síti, jakmile se přihlásí v práci. I když tento přístup chrání hraniční síť organizace, je svázán s fyzickým pracovištěm a nepodporuje vzdálenou ani hybridní práci. Tradiční bezpečnostní architektury navíc vystavují firmy riziku, protože pokud někdo ukradne heslo, bude mít přístup ke všemu.

Sítová architektura s nulovou důvěrou (Zero Trust) namísto ochrany hraniční sítě organizace chrání všechny vaše soubory, e-maily a data pravidelným ověřováním jednotlivých uživatelů a zařízení. ZTA také pomáhá zabezpečit vzdálený přístup, osobní zařízení a aplikace třetích stran, aby poskytovala větší flexibilitu, usnadnila práci na dálku a podporovala obchodní modely Přineste si vlastní zařízení (BYOD).

Nulová důvěra (Zero Trust) kombinuje různé techniky ověřování, monitorování sítě, šifrování a řízení přístupu, aby bylo možné komplexně posílit stav zabezpečení.
Ověřování a autorizace
Všichni uživatelé a zařízení jsou před přístupem k prostředkům ověřeni a autorizováni. Síťový přístup s nulovou důvěrou (Zero Trust) (ZTNA) často zahrnuje vícefaktorové ověřování a řízení přístupu na základě role.

Monitorování a analýza sítě
Síťový provoz a chování uživatelů se průběžně monitorují za účelem detekce anomálií, podezřelých aktivit a potenciálních hrozeb.

Komplexní šifrování
Firemní data ve vaší společnosti jsou chráněna tak, aby ani v případě jejich zachycení nemohla být přečtena neoprávněnými osobami.

Mechanismy řízení přístupu
Přístup k prostředkům je určen identitou uživatele a zařízení a také dalšími kontextovými faktory, jako je poloha a chování.

Jak implementovat ZTA

Kvůli složitosti stávajících IT prostředí může být přechod na model nulové důvěry (Zero Trust) náročným procesem. Například integrace stávajících technologií v rámci nové architektury nulové důvěry (Zero Trust) je obtížná, pokud starší systémy nejsou kompatibilní s moderními bezpečnostními opatřeními. Zvažte možnost investovat do interoperabilních řešení nebo naplánovat postupnou implementaci, která tyto druhy výzev souvisejících s IT překoná.

Při zavádění architektury nulové důvěry (Zero Trust) ve vaší firmě postupujte podle těchto kroků a osvědčených postupů:

1. Vytvořte silné ověřování identity

Začněte ověřovat přístup ke všem aplikacím, službám a prostředkům, které vaše organizace používá, počínaje těmi nejcitlivějšími. Poskytněte správcům nástroje k vyhodnocování rizik a reagování v reálném čase, pokud jsou u některé identity varovné signály, například příliš mnoho neúspěšných pokusů o přihlášení.

2. Spravujte přístup k zařízením a sítím

Ujistěte se, že všechny koncové body, ať už osobní nebo firemní, dodržují požadavky vaší organizace na zabezpečení. Šifrujte sítě a zajistěte, aby všechna připojení, vzdálená a místní, byla zabezpečená. Segmentujte sítě, abyste omezili možnosti neoprávněného přístupu.

3. Získejte lepší přehled o aplikacích

„Stínové IT“ jsou všechny neautorizované aplikace nebo systémy, které zaměstnanci používají a které můžou představovat kybernetickou hrozbu. Prošetřujte, které aplikace mají uživatelé nainstalované, abyste mohli nastavit oprávnění, sledovat případné varovné signály a zajistit soulad s předpisy.

4. Nastavte oprávnění k datům

Přiřaďte úrovně klasifikace k datům vaší organizace, od dokumentů až po e-maily. Šifrujte citlivá data a poskytujte přístup s nejnižšími možnými oprávněními.

5. Monitorujte infrastrukturu

Vyhodnoťte, aktualizujte a nakonfigurujte všechny části infrastruktury, jako jsou servery a virtuální počítače, abyste omezili nepotřebné přístupy. Sledujte metriky, abyste mohli snadno identifikovat podezřelé chování.

Případy použití architektury nulové důvěry (Zero Trust)

Firmy v různých odvětvích implementují architekturu nulové důvěry (Zero Trust), aby efektivněji splňovaly své jedinečné a vyvíjející se požadavky na zabezpečení. Například, nadnárodní technologický konglomerát Siemens implementoval architekturu nulové důvěry (Zero Trust k posílení své bezpečnostní pozice pomocí principů „nikdy nedůvěřuj, vždy ověřuj“. Bez ohledu na obor můžou organizace implementovat ZTA v různých případech použití, například:
 
  • Podpora více cloudových prostředí.
  • Reagování na phishing, odcizené přihlašovací údaje nebo ransomware.
  • Poskytování zabezpečeného časově omezeného přístupu dočasným zaměstnancům.
  • Ochrana a monitorování přístupu k aplikacím třetích stran.
  • Podpora pracovníků prvního kontaktu používajících různá zařízení.
  • Zajištění dodržování regulatorních požadavků.

Nulová důvěra (Zero Trust) také může vaší firmě poskytnout přizpůsobené výhody pro konkrétní odvětví, mezi které patří:
 
  • Finance. Vylepšete stav zabezpečení s využitím nejméně privilegovaného přístupu a navíc průběžně monitorujte chování v síti, abyste mohli rychle identifikovat škodlivou aktivitu a reagovat na ni.
  • Zdravotnictví. Chraňte svůj systém elektronických zdravotních záznamů implementací vícefaktorového ověřování a snižte riziko úniků dat segmentací sítě.
  • Státní správa. Šifrováním vašich dat a implementací striktního řízení přístupu zabráníte neoprávněnému přístupu k tajným informacím. 
  • Maloobchod. Chraňte zákaznická data a zabezpečte svou platformu elektronického obchodování pomocí nepřetržitého ověřování a kontextových zásad.
  • Vzdělávání. Zabezpečte osobní zařízení, aplikace třetích stran a vzdálený přístup k digitálním výukovým prostředím, abyste mohli podporovat vzdálené učení a zlepšit flexibilitu.
 

Řešení architektury nulové důvěry (Zero Trust)

Přijetí nulové důvěry (Zero Trust) ve vaší firmě je každým dnem důležitější. Vzhledem k tomu, že pracovní prostředí se stává stále dynamičtějším a kybernetické hrozby se neustále vyvíjejí, musí organizace ověřovat každou žádost o přístup a zavádět komplexní bezpečnostní opatření, aby zajistily ochranu celé své sítě. Řešení nulové důvěry (Zero Trust) se ve svém rozsahu a škálování výrazně liší – tady je několik příkladů:

Jednotlivci si můžou zapnout více faktorové ověřování a dostávat jednorázový kód před získáním přístupu k určité aplikaci nebo webu. Můžete se také začít přihlašovat pomocí biometrických údajů, například pomocí otisku prstu nebo rozpoznávání tváře.

Školy a komunity mohou díky klíčům přestat používat hesla, protože se hesla snadno ztrácejí. Můžou také zlepšit zabezpečení koncových bodů, aby podporovaly práci a výuku na dálku, a také segmentovat přístup pro případ ztráty nebo odcizení zařízení.

Organizace si můžou osvojit architekturu nulové důvěry (Zero Trust) tak, že identifikují všechny přístupové body a implementují zásady pro lepší zabezpečení přístupu. Vzhledem k tomu, že přístup nulové důvěry (Zero Trust) je dlouhodobá záležitost, měly by se organizace zavázat k průběžnému monitorování, aby mohly odhalovat nové hrozby.

Zvažte implementaci řešení nulové důvěry (Zero Trust) ve vaší firmě.

Časté otázky

  • Architektura nulové důvěry (Zero Trust) (ZTA) je architektura zabezpečení, která ověřuje všechny žádosti o přístup, aby se zajistilo, že do vaší sítě můžou vstoupit jenom autorizovaní uživatelé a zařízení, kteří následně můžou zobrazovat citlivá data a používat firemní prostředky. ZTA předpokládá, že by ve výchozím nastavení neměla být žádná entita důvěryhodná – tento kyberbezpečnostní přístup „nikdy nedůvěřuj, vždy ověřuj“ umožňuje organizacím aktivně identifikovat a omezovat porušení zabezpečení a minimalizovat škody, jež mohou způsobit.
  • Základními pilíři architektury nulové důvěry (Zero Trust) jsou:
     
    • Explicitní ověřování. Pravidelně a komplexně vyhodnocujte datové body, jako je identita uživatele, poloha a zařízení, čímž brání neoprávněnému přístupu.
    • Přístup s nejnižší možnou úrovní oprávnění. Poskytněte uživatelům minimální potřebnou úroveň přístupu a minimalizujte škody, které může způsobit vnitřní hrozba.
    • Předpokládání porušení zabezpečení. Aktivně předvídejte kybernetické útoky tím, že budete předpokládat, že už došlo k napadení uživatelů, zařízení a systémů ve vaší firmě.
     
  • Ano, architektura nulové důvěry (Zero Trust) je široce akceptována a autority v oblasti kybernetické bezpečnosti ji oceňují už více než deset let. Když organizace přecházejí na vzdálená a hybridní pracovní prostředí, je potřeba zabezpečit přístup k podnikovým prostředkům z různých umístění a zařízení. V důsledku toho firmy všech velikostí a oborů implementují architekturu nulové důvěry (Zero Trust) za účelem optimalizace stavu zabezpečení bez ohrožení provozní efektivity.
  • V modelu zabezpečení s nulovou důvěrou (Zero Trust) se firmy snaží minimalizovat rizika tím, že nikdy automaticky nedůvěřují uživateli nebo zařízení a aktivně omezují škodu, kterou může potenciální porušení zabezpečení způsobit. Mezi příklady tohoto přístupu ke kybernetické bezpečnosti patří:
     
    • Žádání o vícefaktorové ověřování.
    • Průběžné monitorování všech uživatelů a zařízení.
    • Používání přístupu s nejnižší možnou úrovní oprávnění.
    • Rozdělení sítě do izolovaných segmentů.
     

Sledujte zabezpečení od Microsoftu