אפס אמון

רשת Zero-trust, רשת אפס אֵמוּן או סתם אפס-אמון (וגם ארכיטקטורת אפס אמון, מודל אבטחה אפס אמון, ZTA, ZTNA), הוא מונח בתחום טכנולוגיית המידע (IT) והגנת סייבר, המתאר גישה לעיצוב ויישום של רשתות ה-IT. הרעיון המרכזי העומד מאחורי אפס-אמון הוא כי אין לסמוך כברירת מחדל על מכשירים ברשת, כגון מחשבים ניידים, גם אם הם מחוברים לרשת ארגונית מנוהלת כגון ה-LAN הארגוני וגם אם אומתו בעבר. ברוב סביבות הארגון המודרניות, הרשתות הארגוניות מורכבות ממקטעים רבים המחוברים זה לזה, שירותים ותשתיות מבוססי ענן, חיבורים לסביבות מרוחקות וניידות, ומתחברים יותר ויותר ל-IT לא קונבנציונלי, כמו מכשירי IoT. הגישה הישנה של אמון אוטומטי במכשירים בסביבה הארגונית, או מכשירים המחוברים אליו באמצעות VPN, הפכה הגיונית פחות בסביבות המודרניות שהן מגוונות ומבוזרות. במקום זאת, גישת רשת האפס-אמון דוגלת באימות הדדי, כולל בדיקת זהות ותקינות של מכשירים ללא קשר למיקום, ומתן גישה ליישומים ושירותים על סמך אמון זהות המכשיר ובריאות המכשיר במקביל ובנוסף לאימות משתמשים.[1]

הגדרות ועקרונות

מסוף שנת 2018, עבודות שבוצעו בארצות הברית על ידי חוקרי אבטחת סייבר של המכון הלאומי לתקנים וטכנולוגיה (NIST) והמרכז הלאומי לביטחון סייבר (NCCoE), הובילו לפרסום מיוחד תקני (SP) של הגדרות לארכיטקטורת אפס-אמון שנקרא: "SP-800-207, Zero Trust Architecture".[2][3] התקן מגדיר אפס אמון (ZT) כאוסף של מושגים ורעיונות שנועדו לצמצם את חוסר הוודאות באכיפת החלטות גישה מדויקות לפי בקשה במערכות מידע ושירותים מול רשת שנחשבת לפגועה. ארכיטקטורת אפס אמון (ZTA) היא תוכנית אבטחת סייבר לארגון המשתמשת במושגי אפס-אמון ומקיפה קשרי רכיבים, תכנון זרימת מידע ופעילויות, ומדיניות גישה. לכן, ארגון אפס אמון הוא תשתית הרשת (פיזית ווירטואלית) והמדיניות התפעולית הקיימת עבור ארגון כתוצר של ZTA.

גישה חלופית אך עקבית ננקטת על ידי NCSC,[4] בזיהוי העקרונות המרכזיים העומדים מאחורי ZTA:

  1. מקור חזק יחיד לזהות משתמש
  2. אימות משתמשים
  3. אימות מכונות
  4. הקשר נוסף, כגון תאימות למדיניות ומדד בריאות המכשירים ברשת
  5. מדיניות הרשאה לגישה ליישומים
  6. מדיניות בקרת גישה ביישום

הערות שוליים

  1. ^ "Mutual TLS: Securing Microservices in Service Mesh". The New Stack (באנגלית אמריקאית). 2021-02-01. נבדק ב-2021-02-20.
  2. ^ "Zero Trust Architecture | NCCoE". www.nccoe.nist.gov. נבדק ב-2020-08-25.
  3. ^ Rose, Scott; Borchert, Oliver; Mitchell, Stu; Connelly, Sean. "Zero Trust Architecture" (PDF). nvlpubs.nist.gov. NIST. נבדק ב-17 באוקטובר 2020. {cite web}: (עזרה)
  4. ^ "Network architectures". www.ncsc.gov.uk (באנגלית). נבדק ב-2020-08-25.