IT Professional Security - ΤΕΥΧΟΣ 75
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Του Ιωάννη Σολωμάκου<br />
CSO Huawei - South Balkans<br />
Οι απαιτήσεις υλοποίησης ενός περιβάλλοντος<br />
Zero Trust<br />
Με βάση τα δεδομένα αυτά γεννάται το εξής απλό και εύλογο<br />
ερώτημα: Μπορούμε να έχουμε εμπιστοσύνη στο ψηφιακό<br />
κόσμο? Η απάντηση σαφώς δεν είναι ούτε απλή, ούτε<br />
μονοδιάστατη. Το μόνο σίγουρο είναι πως η εμπιστοσύνη<br />
στο ψηφιακό κόσμο δεν μπορεί πλέον να βασίζεται σε<br />
υποκειμενικού χαρακτήρα κριτήρια αλλά μόνο σε αντικειμενικά<br />
πολυδιάστατες πολιτικές και πρακτικές ασφάλειας<br />
που δεν εμπεριέχουν συναισθηματισμούς.<br />
Έτσι προκύπτει η έννοια του Zero Trust, όπου πλέον αποτολμάται<br />
η εφαρμογή πρακτικών μηδενικής εμπιστοσύνης<br />
από τη γένεση ενός προϊόντος ή μιας υπηρεσίας μέχρι και<br />
την απόσυρσή τους από την αγορά. Υπό το μοντέλο του Zero<br />
trust, οι παραδοσιακές έννοιες, όπως η περίμετρος δικτύου,<br />
οι έμπιστοι χρήστες ή το εσωτερικό δίκτυο, γίνονται λιγότερο<br />
σημαντικές καθώς η επέλαση του cloud computing,<br />
των IoT devices, και της ολοένα αυξανόμενης απομακρυσμένης<br />
πρόσβασης, δημιουργούν νέες σταθερές όπου προϊόντα,<br />
υπηρεσίες, λογισμικό, και προσβασιμότητα διέπονται συνεχώς<br />
υπό συστημική αμφισβήτηση σχετικά με την ασφάλειά<br />
τους, ενώ υπόκεινται σε συνεχείς πολυδιάστατους ελέγχους<br />
και πολιτικές ασφαλείας καθ’ ολη την πορεία τους μέσα στο<br />
εκάστοτε δίκτυο, από το στάδιο του σχεδιασμού τους μέχρι<br />
και το στάδιο της απόσυρσής τους.<br />
Για την επίτευξη ενός περιβάλλοντος Zero Trust με την ελάχιστη<br />
δυνατή διεπαφή και ενόχληση προς τον τελικό χρήστη,<br />
χρειάζεται να επανασχεδιάσουμε τον τρόπο με τον οποίο<br />
προσεγγίζουμε την ασφάλεια των δεδομένων αλλά και<br />
των ευρύτερων ICT υποδομών μας. Τα εκάστοτε συστατικά<br />
του οικοσυστήματος δεν πρέπει να αντιμετωπίζονται ως<br />
μεμονωμένα, αλλά ως διασυνδεδεμένα κομμάτια του ίδιου<br />
συνόλου, το οποίο διέπεται από πολυσύνθετες και ανθεκτικές<br />
συστημικές πολιτικές ασφαλείας καθ’ όλη την διάρκεια<br />
της διεπαφής του χρήστη και της συσκευής.<br />
Η υλοποίηση ενός περιβάλλοντος μηδενικής εμπιστοσύνης<br />
δεν είναι μια συγκεκριμένη διαδικασία και μπορεί να επιτευχθεί<br />
με πολλούς διαφορετικούς τρόπους. Σε κάθε<br />
περίπτωση είναι σύνηθες να επικεντρωνόμαστε στις τεχνικές<br />
πτυχές του θέματος και να ξεχνάμε τους μη τεχνικούς<br />
παράγοντες που περιβάλουν την προσπάθεια μας, οι οποίοι<br />
παίζουν εξίσου σημαντικό ρόλο και αποτελούν εξίσου σημαντικά<br />
εργαλεία στα χέρια μας. Ένας από αυτούς τους παράγοντες<br />
είναι τα διεθνή πρότυπα (standards) της εκάστοτε βιομηχανίας<br />
που όταν βασίζονται σε αντικειμενικά κριτήρια και<br />
τυγχάνουν κοινής αποδοχής από τον κλάδο γίνονται ισχυρές<br />
πλατφόρμες εμπιστοσύνης στο ψηφιακό κόσμο. Το ίδιο ισχύει<br />
και για τους αντίστοιχους μηχανισμούς πιστοποίησης,<br />
που μας βοηθούν να δημιουργούμε εμπιστοσύνη γύρω από<br />
προϊόντα και υπηρεσίες και που διευκολύνουν και στοιχειοθετούν<br />
τις αποφάσεις στις διαδικασίες και πολιτικές ασφαλείας<br />
σε ένα περιβάλλον μηδενικής εμπιστοσύνης.<br />
Ένας άλλος εξίσου σημαντικός πυλώνας στην υλοποίηση<br />
ενός περιβάλλοντος μηδενικής εμπιστοσύνης είναι<br />
η ανάληψη των μεριδίων ευθύνης και υποχρεώσεων<br />
που αντιστοιχούν στους εκάστοτε εταίρους της εφοδιαστικής<br />
και παραγωγικής αλυσίδας. Με άλλα λόγια, η συνολική<br />
διασφάλιση δεν πρέπει να είναι μονομερής υποχρέωση του<br />
τελικού αποδέκτη-προμηθευτή αλλά πρέπει να μοιράζεται<br />
κατά αναλογία και με τεχνικά αποδεκτά κριτήρια σε όλους<br />
τους συμμετέχοντες στη παραγωγή ενός τελικού προϊόντος<br />
ή υπηρεσίας, ανεξαρτήτως του κομματιού της αλυσίδας το<br />
οποίο εξυπηρετούν.<br />
Και καθώς όλα αυτά είναι ωραία και δημιουργούν έναν εφησυχασμό<br />
στον εκάστοτε μικρόκοσμό μας, καταλήγουμε στο<br />
ότι για να λειτουργήσουμε προς μια θετική κατεύθυνση είναι<br />
ζωτικής σημασίας να γίνουμε απόλυτα διαφανείς και<br />
εξωστρεφείς, σε ότι αφορά τις προσπάθειες υλοποίησης<br />
οικοσυστημάτων ασφαλείας στο σύνολό τους. Έτσι θα δώσουμε<br />
την δυνατότητα σε όλους τους stakeholders να δουν,<br />
επεξεργασθούν εις βάθος, και γιατί όχι να αμφισβητήσουν<br />
τα λεγόμενά μας, έτσι ώστε μέσα από αυτή τη διαδικασία να<br />
χτιστεί αμοιβαία εμπιστοσύνη σε πιο γερές βάσεις.<br />
Στην προσπάθεια αλλαγών και εγκαθίδρυσης εκσυγχρονισμένων<br />
αντιλήψεων υπάρχει πάντα η σχετική παραφιλολογία<br />
που μπορεί εμμέσως να επηρεάσει αρνητικά<br />
τις σχετικές αποφάσεις υλοποίησης. Για αυτό είναι σημαντικό<br />
σε κάθε προσπάθεια υλοποίησης περιβάλλοντος μηδενικής<br />
εμπιστοσύνης να ξεκαθαρίζονται από νωρίς οι μύθοι<br />
που περιβάλλουν το εγχείρημα, έτσι ώστε να υπερισχύουν<br />
τα πραγματικά δεδομένα γύρω από αυτό.<br />
Στην περίπτωση του Zero Trust τα θετικά στοιχεία είναι πολλά<br />
και ισχυροποιούν την ασφάλεια γύρω από τις υποδομές αλλά<br />
και τα δεδομένα που εμπεριέχουν αυτές, ενώ παράλληλα<br />
απλοποιούν την ενσωμάτωση νέων χρηστών ή συσκευών<br />
στο ICT οικοσύστημα. Και παρόλο που αυτό δεν είναι πάντα<br />
τόσο εύκολο όσο ακούγεται, η υλοποίηση μιας λογικής μηδενικής<br />
εμπιστοσύνης η οποία βασίζεται στη διαφάνεια, στους<br />
συνεχείς ελέγχους, τις βέλτιστες πρακτικές και πολιτικές<br />
προστασίας, τα διεθνή πρότυπα και τις πιστοποιήσεις, είναι<br />
ίσως η μονή βιώσιμη στρατηγική διασφάλισης και προστασίας<br />
δεδομένων και υποδομών στο κυβερνοχώρο<br />
η οποία δύναται να δημιουργήσει πραγματική εμπιστοσύνη<br />
μεταξύ των εμπλεκομένων μερών.<br />
security<br />
45
Change language