Jsme na klasické „cestě k Zero Trust“ a náš tým kybernetické bezpečnosti si myslí, že to znamená povolovat připojení a aplikace jen z USA (kde jsme sídlí).
Můj názor je, že je to dost úzkoprsé a omezuje to, protože existuje mnoho skvělých (a bezpečných) aplikací, které nemají dostatečné „americké“ ekvivalenty.
Ani nemluvím o tom, jak by se s tímto myšlenkovým nastavením dalo naložit ve věci cloudových aplikací, jsem naivní nebo nesprávně chápeme tento „výlučně americký“ přístup?
Zcela absurdní. Zero trust nemá nic společného s geo blokováním, naopak to popírá samotný koncept, protože implicitně důvěřujete spojení z USA více než z jiných míst.
Dokonce ani DoD by něco takového nedělal
Zero Trust je o ověřování uživatelů ke každé službě, kterou používají, místo spoléhání se na síť k zajištění bezpečnosti. Zdá se, že toto je spíš forma použití sítě k zajištění bezpečnosti. Myslím, že si mohou zaměňovat buzzwords.
„zero trust“ se vyvinulo z myšlenky absence perimeter důvěry a rozhodování na základě toho, jako je vaše interní síť za firewall.
Co vaše bezpečnostní tým prakticky dělá, je definovat oblast (USA) a vytvářet důvěru na základě toho.
Takže ano, to tak nefunguje
To není zero-trust, ale není to ani špatné.
Zní to, že váš tým kyberbezpečnosti chápe, že očekávané chování ve vašem prostředí znamená, že připojení by měla pocházet pouze z USA. To naznačuje, že byste měli být schopni bezpečně blokovat vše mimo USA.
Ačkoliv to řeší pouze „nízko visící ovoce“ a určitě to nezastaví každé útoky, snižuje možnosti, jak útočník může vaší organizaci ublížit, a upřímně, pokud to organizaci neškodí, stojí to za to. I když to jen sníží riziko trochu, vaše organizace nic neztrácí, je to jednoduché snížení rizika. Pokud budete pracovat s globální společností, nastavte si výjimky podle potřeby.
Edit: Je mi líto, že tolik komentářů se mylně domnívá, že povolení US IP = důvěra v ně. V tomto scénáři je IP jen podmínkou přístupu, neznamená to, že je to jediná podmínka přístupu.
Mám pocit, že tady jsou skutečně několik otázek:
Část mě má pocit, že tento sec tým možná používá buzzword k získání podpory pro některé zásady bezpečnosti, zatímco zúčastnění jsou přátelští, viděl jsem to několikrát, ale to je poněkud samostatná debata o obchodní etice.
Zero Trust je spíše abstraktní soubor zásad než pevný návrhový vzor, je to jen jeden z mnoha modelů a zásad, které lze použít na síťovou bezpečnost, určitě neimplikuje geo-blokování, ale holistický přístup ke bezpečnosti neznamená volbu ZTA a dogmatické aplikování jen těchto zásad.
V teorii, pokud je ZTA správně provedeno, můžete podstatně snížit tradiční perimetry, v praktickém použití je ZTA docela nová pro mnoho organizací a její implementace je mnohem složitější, existuje několik modelů/přístupů v rámci základu ZTA (Micro-Segmentation, Enhanced Identity Governance), a navíc mnoho bezpečnostních a IT týmů není zcela zkušeno v její implementaci a údržbě.
Existuje také přechodný prvek, protože jak řekl OP, organizace je na „Cestě k Zero Trust“, což znamená přepracování některé tradiční bezpečnostní architektury, aby odpovídala ZTA, geoblokování může být jednou z mnoha přechodných technik, jak zakrýt díry nebo omezit útočné úhly, zatímco jsou rozpracovány optimální PEP a PDP.
Jak zmínili ostatní, je to blacklist, nikoli whitelist, pouze vylučuje cokoli mimo USA, implicitně neumožňuje nic uvnitř USA.
Pokud podle zásady musíte blokovat mimo USA, znamená to, že musíte implicitně povolit uvnitř USA; pokud si myslíte, že je to špatné, nejste zodpovědní za bezpečnostní politiku.
Všechno záleží na potřebách organizace, geoblokování může být užitečný nástroj v kombinaci s zásadami Zero Trust, ale jako každé bezpečnostní pravidlo, pokud brání požadované funkci sítě, musí být upraveno.
Je snižování přístupu k aplikacím mimo USA trochu krátkozraké? Možná, bezpečnost by neměla znamenat úplnou ztrátu svobody ke zlepšení funkce, lze udělat výjimky u ACL, pokud máte platný důvod pro použití aplikace mimo vaši geolokaci, otestujte ji v testovacím prostředí, nechte bezpečnostní tým podívat se na potenciální mezery a jak je lze zmírnit.
Existuje nyní tlak na to, aby architektura sítí/bezpečnosti byla spíše „jen funkční“, což má své výhody, ale pochopitelně to není užitečné pro ty, kteří se snaží své systémy zlepšit a vyžadují jistou míru svobody k tomu. To je důvodem, proč jsou testovací prostředí důležitá, bezpečnost by neměla jen vetovat vývoj funkcí, což je hlavní problém oddělení správce systému a bezpečnostních týmů nedávno.