Filozofia SDN udziela własnych odpowiedzi na problemy cyberbezpieczeństwa i od razu są to odpowiedzi o fundamentalnym znaczeniu technologicznym – „na gorąco” o ogłoszonej referencyjnej architekturze Zero Trust dla bezpiecznej i odpornej cyberprzestrzeni.
W maju 2021 r. amerykańska agencja DISA (Defense Information Systems Agency), odpowiedzialna za wsparcie technologiczne w obszarze ICT i komunikacji dla głównych aktorów amerykańskiego systemu bezpieczeństwa wewnętrznego i zewnętrznego, ogłosiła nowe założenia referencyjne, przygotowane dla Departamentu Bezpieczeństwa USA pt. „Department of Defense (DOD) Zero Trust Reference Architecture”[1]. Na czym polega znaczenie tego dokumentu? Niewątpliwie, w następnych latach będzie stanowił punkt odniesienia dla rosnącego grona zwolenników całościowego i uniwersalnego rozumienia zagadnień technologicznych i procesowych (obejmującego systemy, sieci, usługi, ale i zachowania ludzi) w budowaniu bezpiecznej cyberprzestrzeni oraz jej cyber-fizycznej odporności. Można spodziewać się coraz szybszej adaptacji tej całościowej koncepcji przez inne kraje w ramach strategii cyberbezpieczeństwa oraz przez międzynarodowy ekosystem cyberbezpieczeństwa (przez dostarczycieli rozwiązań sprzętowo-programowych, w działalności operacyjnej firm, doradztwie czy badaniach w obszarze cyberbezpieczeństwa).
Co to jest paradygmat Zero Trust?
Cytując wstęp dokumentu:
Zero Trust is the term for an evolving set of cybersecurity paradigms that move defenses from status, network-based perimeters to focus on users, assets, and resources. Zero Trust assumes there is no implicit trust granted to assets or user accounts based solely on their physical or network location (i.e., local area networks versus the Internet) or based on asset ownership (enterprise or personally owned).
Ogólnie rzecz ujmując Zero Trust ma stanowić strategię, ramy działania i myślenia o sposobach całościowego zabezpieczenia krytycznych zasobów przez zagrożeniami poprzez:
- odejście od założenia o wyróżnianiu stref w systemach i sieciach z przypisaną cechą „zaufania”. Jest to zdecydowana odpowiedź na popularny model dokonywania cyberataków, opierający się na zdobywaniu przyczółków, szczególnie tych o wyższych uprawnieniach – Zero Trust z założenia nie dopuszcza do istnienia takiej możliwości,
- konieczność opracowania i stosowania całościowej architektury rozwiązań i procesów cyberbezpieczeństwa w każdej warstwie i wymiarze technologicznym współczesnych systemów i sieci teleinformatycznych, aby skutecznie walczyć z najbardziej wyrafinowanymi cyberzagrożeniami (tzw. „5 Ds – deny, degrade, disrupt, deceive, destroy”).
Zero Trust to od dawna zaplanowana ewolucja sieci EXATEL
W DNA firmy EXATEL wpisana jest misja „najbezpieczniejszej sieci” w Polsce, w tym świadczenia usług cyberbezpieczeństwa dla Klientów na najwyższym poziomie. Ochrona sieci EXATEL i Klientów opiera się na najskuteczniejszych podejściach: secured-by-design, defense-in-depth, least privilege, segmentacja, ciągłe monitorowanie i szybkie reagowanie na incydenty. EXATEL już kilka lat temu wyciągnął wnioski z obserwacji zmieniającego się krajobrazu cyberprzestrzeni, konstatując, że zbliżamy się już do granic możliwości stosowania klasycznych rozwiązań sprzętowo-programowych, architektonicznych i procesowych dla cyberbezpieczeństwa. Tak właśnie, bezpośrednio na „hali produkcyjnej”, z diagnozy nowych szans i zagrożeń dla naszych Klientów, narodziła się działalność badawczo-rozwojowa EXATEL.
Jedną z głównych sił napędowych wykorzystania technologii sieci definiowanych programowo (ang. SDN) w EXATEL była rysująca się możliwość nowego sposobu zarządzania świadczonymi usługami i wymiarem cyberbezpieczeństwa. Adaptacyjność rozwiązań SDN daje w zarządzaniu siecią niezbędną przewagę, umożliwiając dynamiczne definiowanie polityk w elastycznym środowisku konfigurowanym programowo, wymuszanie tych polityk, ciągłe walidowania podjętych działań i raportowanie wszelkich odstępstw. Zaproponowana architektura Zero Trust wprowadza ten sposób zarządzania cyberbezpieczeństwiem jako fundament operacyjny, a SDN czy – uogólniając – podejście software-based do technologii staje się obligatoryjne.
Stosując podejście SDN do rozwiązywania problemów cyberbezpieczeństwa EXATEL położył nacisk między innymi na:
- Natywnie wbudowane mechanizmy ochrony danych przechowywanych, przesyłanych i przetwarzanych przez sieć EXATEL.
- Nowy model zarządzania tożsamością, uwierzytelnieniem i autoryzacją działań wszystkich Użytkowników, systemów oraz usług sieci SDN EXATEL.
- Rozwija własne moduły i usługi dla cyberbezpieczeństwa w ramach architektury SDN m.in. firewalling, segmentacja, komunikacja szyfrowania, detekcja cyberzagrożeń czy detekcja i mitygacja ataków Distributed Denial of Service w oparciu o autorski system TAMA [2].
- Tworzy systemy stowarzyszone analizy cyberzagrożeń na potrzeby widoczności i świadomości sytuacyjnej. To podejście przekłada się na wzmacnianie zdolności do szybkiego reagowania na wykryte anomalie i incydenty, przy wykorzystaniu automatyzacji podejmowania decyzji i działań.
Podejście EXATEL do cyberbezpieczeństwa znajduje poparcie w referencyjnej architekturze Zero Trust. Diagram 1 przedstawia przekrój kluczowych technologii dla paradygmatu Zero Trust, wśród których SDN został wybrany jako fundamentalna technologia do realizacji sieci i środowisk. Oznacza to de facto, że technologia SDN jest środowiskiem działania całej architektury Zero Trust i stanowi podstawę do funkcjonowania wszystkich innych stowarzyszonych usług i technologii w ramach paradygmatu Zero Trust.
Diagram 1 – Przegląd technologii fundamentalnych dla Zero Trust [1]
Niniejszy wpis otwiera serię dotyczącą cyberbezpieczeństwa w SDN EXATEL. W następnych wpisach planujemy poruszyć kolejne zagadnienia m.in.
- jak podchodzimy do aspektów cyberbezpieczeństwa platform i aplikacji SDN w procesie wytwórczym,
- zastosowanie Zero Trust w SDN w kontekście systemów i usług krytycznych (np. systemów przemysłowych),
- modelowy proces ewolucji własnej sieci do SDN i Zero Trust,
- jak mogą ewoluować aktywności operacyjne w cyberbezpieczeństwie (monitorowanie, alerty, reagowanie) dzięki SDN i paradygmatowi Zero Trust.
Zachęcamy do śledzenia wiadomości nt. rozwoju i adaptacji filozofii SDN przez EXATEL. Chcecie porozmawiać bezpośrednio jak EXATEL może pomóc Wam budować cyberodporność w oparciu na najlepszych wzorach i własnych technologiach? Chcecie razem z nami tworzyć rozwiązania oparte na SDN? Dowiedzcie się więcej o pracy w EXATEL.
***
Bibliografia:
[1] “Department of Defense (DOD) Zero Trust Reference Architecture”, Ver. 1.0, Joint Defense Information Systems Agency (DISA) and National Security Agency (NSA), 2021. https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v1.1(U)_Mar21.pdf
[2] TAMA – Autorski system Anty DDoS EXATEL https://exatel.pl/uslugi/cyberbezpieczenstwo/anty-ddos-tama/
