Mikä on Zero Trust Security ja miten se eroaa perinteisestä verkkoturvallisuudesta?

Zero Trust Security on kyberturvallisuuskehys, joka rakentuu periaatteelle "älä koskaan luota, tarkista aina". Toisin kuin perinteinen tietoturva, joka luottaa verkkoperimetrin sisällä oleviin käyttäjiin, Zero Trust edellyttää jatkuvaa todennusta ja valtuutusta jokaiselta käyttäjältä, laitteelta ja yhteydeltä riippumatta sijainnista tai verkon alkuperästä.

Miksi Zero Trust Security on muuttumassa entistä tärkeämmäksi etätyön myötä?

Etätyö poisti selkeät verkkorajat, mikä teki perinteisestä perimertriperusteisesta tietoturvasta vanhentuneen. Työntekijät käyttävät yrityksen resursseja kotiverkoista, kahviloista ja henkilökohtaisista laitteista, mikä luo lukemattomia potentiaalisia haavoittuvuuksia. Zero Trust vastaa tähän käsittelemällä jokaista pääsypyyntöä mahdollisesti uhkaavana ja vaatimalla tiukkaa henkilöllisyyden todentamista riippumatta siitä, mistä yhteys on peräisin.

Mitkä ovat Zero Trust Security -mallin ydinperiaatteet?

Zero Trust perustuu kolmeen pääpilariin: tarkista eksplisiittisesti todentamalla aina kaikkien saatavilla olevien tietopisteiden avulla, käytä vähimmän oikeuden periaatetta rajoittamalla käyttäjien käyttöoikeudet vain välttämättömään, ja oleta tietomurto suunnittelemalla järjestelmät siten, että hyökkääjät saattavat jo olla läsnä — minimoiden vaikutusalue verkkosegmentoinnin ja salauksen avulla.

Tarkoittaako Zero Trust Securityn käyttöönotto VPN:ien täydellistä poistamista?

Ei välttämättä. Vaikka Zero Trust voi vähentää VPN-riippuvuutta, monet organisaatiot käyttävät molempia rinnakkain siirtymäkausien aikana. VPN:t luovat salattuja tunneleita, kun taas Zero Trust lisää niiden päälle jatkuvan todentamisen kerroksen. Modernit Zero Trust Network Access -ratkaisut korvaavat yhä useammin perinteiset VPN:t tarjoamalla yksityiskohtaisemman, sovellustason käyttöoikeuksien hallinnan ilman täyttä verkkoaltistusta.

Zero Trust Security

Zero Trust Security: Älä koskaan luota, tarkista aina

Vuosikymmeniä verkkoturvallisuus toimi kuin linna vallihautojen ympäröimänä. Kun pääsit muurien sisäpuolelle, sinuun luotettiin. Zero Trust hylkää tämän oletuksen täysin. Zero Trust -mallissa kukaan ei pääse helpolla — ei työntekijät, ei laitteet, ei edes sisäiset järjestelmät. Jokaista pääsypyyntöä pidetään mahdollisesti vihamielisenä, kunnes toisin todistetaan.

Mitä se on

Zero Trust on tietoturvakehys, ei yksittäinen tuote tai työkalu. Analyytikko John Kindervarg Forrester Researchilta muodollisti sen vuonna 2010, vaikka taustalla olevat ideat olivat kehittyneet jo vuosia. Ydinperiaate on yksinkertainen: älä luota mihinkään oletusarvoisesti, tarkista kaikki eksplisiittisesti ja anna käyttäjille vain se vähimmäiskäyttöoikeus, jota he tarvitsevat työssään.

Tämä on suora vastaus siihen, miten nykyaikainen työ käytännössä tapahtuu. Ihmiset käyttävät yrityksen järjestelmiä kotivverkoista, kahviloista, henkilökohtaisista laitteista ja pilvialustoilta. Vanha käsitys palomuurin ympäröimästä turvallisesta "sisäisestä verkosta" ei enää vastaa todellisuutta.

Miten se toimii

Zero Trust perustuu useisiin toisiinsa kytkeytyviin mekanismeihin:

Jatkuva todennus ja valtuutus

Sen sijaan, että kirjaudutaan sisään kerran ja saadaan laaja pääsy, käyttäjät ja laitteet tarkistetaan jatkuvasti uudelleen. Jos jokin muuttuu — sijaintisi, laitteesi tila tai käyttäytymisesi — pääsy voidaan peruuttaa välittömästi.

Vähimmäisoikeusperiaate

Käyttäjät saavat vain ne käyttöoikeudet, joita he tarvitsevat tiettyä rooliaan tai tehtäväänsä varten. Markkinointityöntekijällä ei ole asiaa käyttää teknisen osaston tietokantaa, ja Zero Trust valvoo tätä erottelua automaattisesti.

Mikrosegmentointi

Verkot on jaettu pieniin, eristettyihin alueisiin. Vaikka hyökkääjä murtautuisi yhteen segmenttiin, hän ei pysty liikkumaan vapaasti muualla verkossa. Sivuttaisliike — keskeinen taktiikka suurissa tietomurroissa — muuttuu äärimmäisen vaikeaksi.

Laitteiden kunnon tarkistus

Ennen pääsyn myöntämistä järjestelmä tarkistaa, onko laitteesi vaatimusten mukainen: onko ohjelmisto ajan tasalla, onko päätepisteiden suojaus käynnissä ja onko laite rekisteröity organisaation hallintajärjestelmään?

Monivaiheinen tunnistautuminen (MFA)

Zero Trust -ympäristöissä vaaditaan lähes aina MFA. Pelkkä varastettu salasana ei yleensä riitä pääsyn myöntämiseen.

Miksi tällä on merkitystä VPN:n käyttäjille

VPN:illä ja Zero Trustilla on mielenkiintoinen suhde. Perinteiset VPN:t toimivat verkkoperiminettimallilla — kun yhteys on muodostettu, käyttäjät saavat usein laajan pääsyn sisäisiin resursseihin. Tämä on juuri sellaista implisiittistä luottamusta, jonka Zero Trust hylkää.

Monet organisaatiot siirtyvät nyt Zero Trust Network Accessiin (ZTNA) perinteisten VPN:ien tarkkarajaisempana vaihtoehtona tai täydennyksenä. Sen sijaan, että kaikki liikenne tunneloidaan yhden pääsypisteen kautta, ZTNA myöntää pääsyn tiettyihin sovelluksiin henkilöllisyyden ja kontekstin perusteella.

VPN:illä on kuitenkin edelleen roolinsa Zero Trust -arkkitehtuureissa. VPN voi suojata siirtokerroksen — salata liikenteen laitteesi ja palvelimen välillä — kun taas Zero Trust -käytännöt hallitsevat sitä, mitä voit todella tehdä yhdistämisen jälkeen. Ne ovat eri tietoturvakerroksia, jotka voivat toimia yhdessä.

Jos käytät VPN:ää etätyöhön, Zero Trustin ymmärtäminen auttaa sinua hahmottamaan, miksi yrityksesi saattaa vaatia MFA:ta, laiterekisteröintiä tai sovellustason käyttöoikeuksien hallintaa VPN-yhteyden lisäksi. Nämä eivät ole esteitä — ne ovat harkittuja tietoturvakerroksia.

Käytännön esimerkkejä

Etätyö: Työntekijä yhdistää yrityksen sovellukseen. Zero Trust -järjestelmä tarkistaa hänen henkilöllisyytensä, varmistaa, että laite on päivitetty ja vaatimusten mukainen, vahvistaa, että kirjautumispaikka on odotettu, ja myöntää pääsyn vain tarvittaviin työkaluihin — ei koko sisäiseen verkkoon.

Pilviympäristöt: Yritys, joka ajaa palveluja AWS:ssä, Azuressa ja Google Cloudissa, käyttää Zero Trust -käytäntöjä varmistaakseen, ettei yksittäinen vaarantunut tunnistetieto pysty käyttämään kaikkia kolmea ympäristöä samanaikaisesti.

Alihankkijapääsy: Freelancerille annetaan ajallisesti rajattu, sovelluskohtainen pääsy ilman, että hän koskaan koskettaa laajempaa yritysverkkoa. Sopimuksen päättyessä pääsy peruutetaan välittömästi.

Zero Trust on yhä enemmän standardi organisaatioille, jotka suhtautuvat tietoturvaan vakavasti. Olitpa sitten yritys, joka arvioi verkkoarkkitehtuuria, tai yksityishenkilö, joka yrittää ymmärtää, miksi nykyaikaiset tietoturvatyökalut toimivat niin kuin toimivat, Zero Trust on perustavanlaatuinen käsite, joka kannattaa tuntea.

Zero Trust SecurityKeskitaso

Zero Trust Security: Älä koskaan luota, tarkista aina

Mitä se on

Miten se toimii

Miksi tällä on merkitystä VPN:n käyttäjille

Käytännön esimerkkejä

// FAQ