Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор известных платформ "Никому не доверяй" и показано, как Microsoft модель внедрения "Никому не доверяй" помогает перейти от понимания платформы к внедрению в масштабе.
"Никому не доверяй" не является одной платформой. Это модель безопасности, которая соответствует нескольким отраслевым и государственным стандартам. Эти стандарты не являются конкурирующими решениями. Каждый из них решает различные аспекты "Никому не доверяй", такие как определение основных понятий, оценка прогресса или координация внедрения в организации.
Хотя отраслевые модели помогают определить, каких целей должна достигать модель "Никому не доверяй", организациям по-прежнему нужен способ преобразовать эти рекомендации в конкретную стратегию и архитектуру для планирования, проектирования и развертывания решений.
Модель внедрения "Никому не доверяй" от Microsoft как раз это и делает. Она предоставляет эталонную стратегию и архитектуру, которая соответствует отраслевым платформам для ускорения внедрения и реализации "Никому не доверяй".
Tip
Microsoft предлагает широкий набор семинаров по внедрению безопасности - семинары Security Adoption Framework (SAF. Наши структурированные рекомендации по модели внедрения согласуются с рекомендациями, подготовленными экспертами Microsoft Unified и представленными на этих семинарах. Дополнительные сведения о семинарах SAF.
NIST "Никому не доверяй"
Специальная публикация (SP) 800‑207 «Архитектура нулевого доверия» Национального института стандартов и технологий (NIST) устанавливает общепризнанное в отрасли определение архитектуры нулевого доверия. В нем объясняется, что "Никому не доверяй" и как принимаются решения о доверии, независимо от любого конкретного поставщика, продукта или стратегии развертывания.
NIST SP 800-207 является наиболее полезным, если организациям требуется общее, авторитетное определение "Никому не доверяй" концепций, которые могут использоваться для обеспечения безопасности, ИТ-отдела и архитектуры.
Функции NIST
NIST явно определяет "Никому не доверяй" как архитектуру, в которой доступ к ресурсам никогда не считается доверенным по умолчанию.
принципы "Никому не доверяй" в NIST включают:
- Принятие компрометации (нарушения безопасности) как основы для комплексного и практического подхода к безопасности.
- Явная проверка доверия перед предоставлением доступа к ресурсам.
- Ограничение радиуса взрыва путем предоставления наименьших необходимых привилегий.
Основные понятия архитектуры сосредоточены на:
- Непрерывная динамическая оценка запросов доступа с помощью контекстных сигналов.
- Централизованная логика принятия решений политики, которая оценивает сигналы в отношении политики организации.
- Механизм применения политик, расположенный рядом с защищёнными ресурсами, применяет это решение.
Концептуальная архитектура "Никому не доверяй", определенная NIST, посвящена оценке и применению решений о доступе с помощью подсистем политики, точек применения и контекстных сигналов.
Обратите внимание, что:
- NIST SP 800-270 не определяет технологические основы или домены безопасности, такие как удостоверение, конечные точки или защита данных.
- Идентичности, состояние устройства, приложения и данные моделируются как субъекты, ресурсы и источники контекста, служащие для принятия решений о доверии, а не как отдельные архитектурные домены.
Модель внедрения безопасности Microsoft строится на основе этой архитектуры, применяя её принципы и компоненты в рамках операционной модели.
Хотя NIST определяет, как принимаются и применяются решения доверия, наша модель внедрения упорядочивает эти возможности в различных дисциплинах безопасности и технологических принципах, чтобы управлять бизнес-планированием, владением, проектированием решений, реализацией и отслеживанием хода выполнения.
Implementation
Руководство по реализации представлено в NIST SP 1800-35 Реализация архитектуры "Никому не доверяй".
Для этого руководства по реализации:
- NIST сотрудничал с 24 поставщиками, включая Microsoft, по разработке руководства с практическими шагами для организаций, стремящихся реализовать эталонные проекты кибербезопасности для "Никому не доверяй".
- Microsoft была в числе поставщиков, предоставлявших технологии для внедрения возможностей модели "Никому не доверяй" в следующих областях:
- Управление удостоверениями и доступом.
- Управление конечными точками и конфигурация.
- Защита от угроз и мониторинг.
- Безопасный доступ к распределенным ресурсам.
Эта схема является результатом совместной работы NIST SP 1800-35. Его можно скачать из образцовая архитектура кибербезопасности Майкрософт (MCRA). Дополнительные сведения о MCRA
Модель зрелости нулевого доверия CISA
Cybersecurity and Infrastructure Security Agency (CISA) модель зрелости нулевого доверия строится вокруг внедрения и оценки. Эта модель зрелости помогает организациям упорядочивать и оценивать текущую ситуацию, определять приоритеты и отслеживать ход выполнения.
Возможности CISA
В отличие от NIST, CISA не определяет эталонную архитектуру и вместо этого оценивает возможности независимо от конкретных шаблонов проектирования.
- В модели используются следующие домены: идентификация, устройства, сети и среда, приложения и рабочие нагрузки, а также данные.
- Кроме того, она определяет три перекрестные возможности: видимость и аналитика, автоматизация и оркестрация, а также управление.
- И он захватывает четыре этапа зрелости: традиционные, начальные, расширенные и оптимальные.
- Управление также рассматривается не как отдельное направление, а как сквозная функция, которая обеспечивает согласованность с бизнес-целями, чёткое распределение ответственности и измеримые результаты во всех областях.
Implementation
Эта модель согласуется с моделью внедрения безопасности Microsoft и служит для неё основой, а Microsoft дополнительно развивает этот подход, вводя такие направления, как архитектура, чтобы связать концептуальные фреймворки, такие как NIST SP 800‑207, с практической реализацией.
| CISA | Направление/дисциплина внедрения | Сведения |
|---|---|---|
|
Идентичность Идентификация охватывает: аутентификацию, авторизацию, риски идентификации и жизненный цикл. Приложения и рабочие нагрузки охватывают элементы управления доступом к приложениям, удостоверение рабочей нагрузки и безопасное взаимодействие с приложением. |
Дисциплина: идентификация и доступ Технология: идентификация |
Управление доступом в Microsoft охватывает уровни удостоверений и приложений, а CISA отделяет их. |
|
Система управления Корпоративные политики, элементы управления и принудительное применение. |
Дисциплина: стратегия, интеграция, управление Архитектура безопасности Технология: Все. |
Возможности политики и управления CISA сопоставляют непосредственно с результатами SecOps. Microsoft добавляет дополнительный акцент на другие аспекты управления (выравнивание бизнеса, управление рисками, роли и многое другое), а также особое внимание на архитектурной дисциплине и эталонной архитектуре. |
|
Devices Инвентаризация устройств, состояние, соответствие требованиям; сегментация сети, безопасное подключение, экологические элементы управления. Включая нестандартные, ограниченные и специализированные устройства. |
Дисциплина: идентификация и доступ, безопасность инфраструктуры, безопасность OT/IoT Технология: конечные точки |
Доверие к инфраструктуре обеспечивается за счёт состояния безопасности устройств и контролируемого подключения, что соответствует цели модели "Никому не доверяй" — свести к минимуму масштаб ущерба и латеральное перемещение. Microsoft рассматривает устройства OT/IoT как отдельную дисциплину из-за уникальной собственности и причин управления рисками. |
|
Приложения и рабочие нагрузки Приложения и рабочие нагрузки охватывают элементы управления доступом к приложениям, удостоверение рабочей нагрузки и безопасное взаимодействие с приложением. |
Дисциплина: безопасность разработки Технология: приложения |
Фокус рабочей нагрузки CISA соответствует целям DevSecOps путем внедрения безопасности в жизненные циклы приложений и служб, а не как действия после развертывания. |
|
Networks Сегментация сети, безопасное подключение, экологические элементы управления. |
Дисциплина: идентификация и доступ Технология: сети |
Microsoft объединяет все доступы (удостоверения, приложения и сети) в единую дисциплину для обеспечения четкой стратегии, архитектуры и согласованности политик в разных технологиях. |
|
Данные Классификация данных, инвентаризация, управление доступом, шифрование и защита независимо от расположения сети. |
Дисциплина: безопасность данных Технология: данные |
Обе модели рассматривают данные как основной объект защиты и усиливают переход в рамках "Никому не доверяй" от защиты периметра к средствам контроля, ориентированным на данные. |
|
Видимость и аналитика, автоматизация и оркестрация Сбор данных телеметрии, непрерывный мониторинг, обнаружение, автоматизация реагирования и применение политик в большом масштабе. |
Дисциплина: SecOps Технология: все |
Возможности CISA сопоставляют напрямую с результатами SecOps, которые включают обнаружение угроз, автоматизацию реагирования и непрерывное восстановление доверия во всех доменах. |
| Этапы зрелости во всех столпах | Положение безопасности | Управление состоянием безопасности — ключевая задача модели CISA: оценивать текущее состояние, выявлять пробелы, расставлять приоритеты для улучшений и отслеживать прогресс в реализации "Никому не доверяй" с течением времени. |
Дополнительные сведения см. в разделе Реализация модели зрелости CISA "Никому не доверяй" с помощью облачных служб Microsoft.
Эталонная модель нулевого доверия The Open Group
The Open Group эталонная модель "Никому не доверяй" рассматривает "Никому не доверяй" с точки зрения корпоративных возможностей и интеграции. Вместо того чтобы определять конкретные шаги реализации, в тексте описываются возможности и структуры управления, которые необходимы организациям для определения, интеграции и эксплуатации модели "Никому не доверяй" в масштабах всей организации.
Функции открытой группы
Доступны следующие функции:
- Возможности и архитектурные строительные блоки (ABB) определяют функции безопасности, которые способствуют достижению долговременных результатов в области безопасности, а также людей, процессы и технологии, необходимые для их реализации.
- Модели совместной работы и интеграции показывают, как интегрировать безопасность с стратегией, управлением рисками, операциями и другими аспектами организации.
Возможности состоят из людей, процессов и технологических элементов, работающих вместе:
- Люди: определяется как роли в ролях открытых групп и стандарте глоссария
- Process: определяется как стандартные блоки архитектуры (ABB) в том же стандарте эталонной модели "Никому не доверяй"
- Technology: определяется как ABB в том же стандарте эталонной модели "Никому не доверяй"
На этой схеме показаны следующие возможности:
На этой схеме показано, как эти возможности соответствуют функциям NIST Cybersecurity Framework (NIST CSF):
Implementation
Модель сопоставляется с рекомендуемой моделью внедрения.
| Открытие группы | Дисциплина внедрения | Выравнивание |
|---|---|---|
|
Стратегия и управление по модели нулевого доверия Определяет, как организации выстраивают "Никому не доверяй" как стратегию, согласованную с бизнес-целями, включая корпоративное управление, управление рисками, ответственность за политики и согласование людей, процессов и технологий. |
Стратегия, интеграция и управление | Как Open Group, так и Microsoft явно позиционировать "Никому не доверяй" как корпоративную стратегию, а не набор технических элементов управления. Это напрямую способствует согласованности на уровне руководства, закреплению ответственности и интеграции во всей организации. |
|
Архитектура "Никому не доверяй" на основе возможностей Предоставляет стандартные блоки архитектуры и группировки возможностей для проектирования "Никому не доверяй" архитектуры без назначения конкретных технологий или продуктов. |
Архитектура безопасности | Это заполняет пространство между абстрактной архитектурой NIST и руководством по реализации, что позволяет архитекторам переводить принципы "Никому не доверяй" в проекты корпоративного масштаба. |
|
Возможности идентификации, аутентификации, авторизации и применения политик Определяет возможности, необходимые для проверки удостоверения, динамической оценки доверия и согласованного применения решений доступа в разных средах. |
Идентификация и доступ | Напрямую относится к безопасности доступа как к направлению внедрения: кто и к чему может получить доступ, при каких условиях и как обеспечивается выполнение этого решения. |
|
Возможности защиты, ориентированные на данные Подчеркивает защиту информации независимо от расположения, включая классификацию данных, защиту и доступ на основе политик. |
Безопасность данных | Отражает сдвиг в модели "Никому не доверяй" от периметровой безопасности к безопасности, ориентированной на данные, что естественным образом согласуется с защитой данных как одной из областей внедрения. |
|
Возможности видимости, мониторинга, аналитики и реагирования Включает возможности сбора данных телеметрии, мониторинга сигналов доверия и адаптации политики на основе наблюдаемого риска. |
SecOps | Обеспечивает непрерывную оценку и контроль соблюдения политик — ключевой элемент для операций "Никому не доверяй" и мониторинга безопасности в крупных масштабах. |
|
Возможности безопасности взаимодействия приложений и служб Рассматривает, как приложения и службы участвуют в архитектуре "Никому не доверяй", включая безопасные взаимодействия, идентификацию служб и принудительное применение политик во время выполнения. |
Безопасность разработки | Поддерживает интеграцию "Никому не доверяй" в современные жизненные циклы приложений и обмен данными между службами. |
|
Возможности безопасности платформы и среды Охватывает безопасную работу платформ, сетей и сред, в которых размещаются рабочие нагрузки, не рассматривая сеть как границу доверия. |
Безопасность инфраструктуры | Приводит безопасность инфраструктуры в соответствие с принципами "Никому не доверяй", рассматривая инфраструктуру как подлежащую принудительному контролю, но не как изначально доверенную. |
|
Расширенная среда и поддержка не традиционных ресурсов Прямо признаёт конвергенцию ИТ/ОТ/IoT и необходимость возможностей "Никому не доверяй" в условиях ограниченных ресурсов и разнородных сред. |
Инфраструктура (безопасность OT/IoT) | Соответствует реалиям внедрения, при которых OT/IoT требуют отдельной зоны ответственности, но при этом должны оставаться согласованными с корпоративной стратегией "Никому не доверяй". |
|
Зрелость на основе возможностей и непрерывное улучшение Предоставляет модель возможностей, предназначенную для оценки текущего состояния, руководства по улучшению и адаптации с течением времени по мере развития угроз и технологий. |
Положение безопасности | Представляет "Никому не доверяй" как постоянный процесс, а не разовое внедрение, что напрямую соответствует целям управления состоянием безопасности. |
Сопоставление технологий Microsoft с моделью
Эталонная модель "Никому не доверяй" также содержит общую сводку по компонентам "Никому не доверяй". На этой схеме показано, как технологии Microsoft соотносятся с этими компонентами:
Стратегия нулевого доверия DoD
Министерство обороны США опубликовало стратегию и дорожную карту DoD по модели "Никому не доверяй".
Сведения о том, как настроить облачные службы Microsoft для стратегии DoD "Никому не доверяй", см. в статье Настройка служб Microsoft для стратегии DoD "Никому не доверяй".
Дальнейшие действия
Выберите бизнес-сценарий и узнайте , как дисциплины безопасности соответствуют сценарию.