Mise en œuvre du décret sur la cybersécurité de l'administration Biden avec la confiance zéro

Last week, the Biden Administration took a firm stance on the cybersecurity improvements needed at the federal level, and really across all organizations. Among other recommendations, there was a strong acknowledgement of the need for a Zero Trust strategy.

La confiance zéro est une approche coordonnée de la cybersécurité, un cadre de sécurité et une architecture qui élimine la confiance implicite en empêchant l'accès automatique à toute source - interne ou externe - et suppose que le trafic du réseau interne ne peut être fiable sans autorisation préalable et sans vérification continue basée sur des informations en temps réel provenant de sources multiples. La confiance zéro élimine l'idée d'une confiance excessive entre les réseaux, les appareils, les utilisateurs ou les charges de travail et permet un contrôle d'accès granulaire basé sur le moindre privilège, ce qui réduit considérablement la surface d'attaque en limitant la portée et les mouvements à l'intérieur du réseau pour les attaquants.

Andrew Rubin et moi-même avons créé Illumio avec ces mêmes principes à l'esprit pour aider les organisations de toutes tailles à améliorer leur sécurité en facilitant l'adoption de cet état d'esprit.

Permettez-moi de rappeler un certain nombre de ces principes en les citant dans le décret.

Supposons qu'il y ait eu violation

Let’s discuss the concept of assume breach. “The Zero Trust Architecture security model assumes that a breach is inevitable or has likely already occurred.” This is embracing a somewhat uncomfortable stance by assuming that an attacker is likely already inside your perimeter, and, therefore, organizations should build up security controls to prevent such infiltrations from becoming large, catastrophic events. First and foremost, organizations must embrace a mindset shift and adopt security controls that get you to least privilege models everywhere.

Listes d'admissibilité

Le décret précise également que "par essence, une architecture de confiance zéro permet aux utilisateurs d'avoir un accès total, mais seulement au strict minimum dont ils ont besoin pour effectuer leur travail". Il suggère que "ce modèle de sécurité centré sur les données permet d'appliquer le concept de l'accès le moins privilégié à chaque décision d'accès". Aider nos clients à construire et à maintenir des modèles de moindre privilège est au cœur de ce que nous faisons à Illumio et de la façon dont nos produits sont construits et architecturés. Et ce n'est pas facile. Nombreux sont ceux qui vantent les mérites des modèles de confiance zéro et qui vous permettent ensuite d'établir des listes de refus afin d'éviter que de mauvaises choses ne se produisent. Il ne s'agit pas d'une confiance zéro.

Embracing Zero Trust means building a minimal allow list. It means understanding what people need access to in order to do their jobs and providing no additional access. “The Zero Trust security model eliminates implicit trust in any one element, node, or service.” It requires driving every bit of implicit trust out of your network and environment at all levels. “The Zero Trust security model eliminates implicit trust in any one element, node, or service.” This means that you need to take a holistic view of your environment.

Visibilité unifiée

Comme le précise le décret, "l'architecture de confiance zéro intègre une surveillance complète de la sécurité, des contrôles d'accès granulaires basés sur les risques et l'automatisation de la sécurité des systèmes de manière coordonnée dans tous les aspects de l'infrastructure afin de se concentrer sur la protection des données en temps réel dans un environnement de menaces dynamique". Les organisations ont besoin d'une visibilité unifiée pour voir et comprendre, avec un meilleur contexte, la communication entre les terminaux, les utilisateurs et les charges de travail dans des environnements hétérogènes sur site et multicloud.

Le parcours de la confiance zéro

Often people start on a Zero Trust journey with a Zero Trust Network Access (ZTNA) solution, to apply some of the principles between end-users and the applications and systems, and then leave an implicit (non-zero) trust model behind the ZTNA gateway. While that is part of Zero Trust strategy, ZTNA alone is not enough. The recent SolarWinds attack proves this as the breach occurred between workloads.

Segmentation sans confiance

The other key piece of the puzzle is Zero Trust Segmentation, which allows you to build least privilege policy between workloads for all your crown jewel applications in your data center and clouds. We see more and more attacks like the recent supply chain attacks on SolarWinds and CodeCov that don’t exploit user access, but rather exploit the implicit trust between workloads. Zero Trust Segmentation is foundational to achieving a holistic Zero Trust posture.

Formuler une approche de confiance zéro

Ce qu'il faut, c'est une approche globale qui permette à la confiance zéro de fonctionner partout dans votre environnement - dans le centre de données, dans le nuage et à la périphérie.

Il est important de mettre en œuvre une architecture de confiance zéro qui peut éliminer les silos de sécurité dans les outils informatiques, de réseau et de sécurité existants afin de vous aider à réduire les risques, les coûts et le temps de déploiement de la confiance zéro.

Pour vous aider dans votre démarche de confiance zéro, vous devez élaborer et mettre en œuvre une stratégie, une architecture et un plan de mise en œuvre complets de confiance zéro.

Are you looking to meet the White House's Executive Order requirements faster? Learn how here or join us for a workshop where you'll learn how to design a Zero Trust architecture for your federal agency.