Vad är Zero Trust?

Vad är Zero Trust?

Zero Trust har blivit ett hett "buzzword", men det är kanske inte helt självklart vad det egentligen handlar om. Kärnprincipen är att företaget inte ska lita på någonting eller någon i sina system, varken på grund av vem de säger att de är eller var de befinner sig.

Arne Vedø-Hansen

Arne Vedø-Hansen
12. oktober 2021

Det kanske låter lite obehagligt att företaget ska verka med "zero trust", alltså noll tillit - men så som IT-system och tjänster fungerar idag har det blivit nödvändigt för att kunna upprätthålla datasäkerheten.

Lokal åtkomst och säkerhet

Tidigare var arbete och data nära kopplade till specifika lokaler med datorer på plats och lokala nätverk och servrar. Attackerna som skulle avvärjas var de som kom utifrån. Så länge du befann dig inom företagets fysiska väggar och nätverk hade du enkel tillgång till det mesta av informationen.

Komplexitet förändrar säkerhetsbilden

Med dagens strukturer har IT-landskapet blivit mycket mer komplext. Anställda kanske föredrar att arbeta både hemifrån och från sin stuga, och kan även behöva tillgång från sina mobiltelefoner när de är på semester.

Dessutom har antalet system och tjänster vuxit enormt, och de allra flesta företag använder molntjänster. Det gör att vi behöver ett nytt sätt att tänka kring säkerhet.

Säkerheten förbättras med kontinuerlig autentisering

Utan företagets fysiska väggar och brandväggar för att skydda sig själv är identiteter och autentisering de viktigaste säkerhetsverktygen de har 

Zero Trust handlar om att:

Säkerställa att eventuell identitet verifieras innan åtkomst ges till företagets data och system
Det finns inga omständigheter där man ska lita på att användaren är hen den säger att hen är
Även om det verkar som att användaren befinner sig på en plats som företaget anser vara tillförlitlig så är det inget vi ska hysa tillit till

Flera faktorer bör undersökas

För att vara säker på att själva autentiseringen är tillförlitlig och säker nog bör man undersöka flera faktorer. Det räcker inte med ett lösenord som kan gissas eller läckas. Ett bra första steg är två- eller multifaktorautentisering, som säkerställer att användaren som försöker logga in är den han säger att han är.

Kontextuell åtkomst

Vidare finns det ett antal faktorer företaget kan titta på för att bedöma risken med att logga in, så kallad kontextuell åtkomst:

  • Vilken applikation eller tjänst försöker du komma åt? Hur känslig är den information du kommer att få tillgång till?
  • Vilken användare försöker få åtkomst? Är det till exempel en vanlig eller en privilegierad användare
  • Vilken IP-adress loggar användaren in från? Är det en känd eller en ny IP-adress? Är det en IP-adress som vi har fått varningar om från en övervakningstjänst eller som tillhör en känd anonymiseringstjänst?
  • Vilken typ av enhet används? Är det en känd enhet som har använts tidigare, eller är den ny?
  • Var befinner sig användaren? Är det från en plats där vi har kontor, eller är det en slumpmässig plats i Brasilien? Är det en ny plats eller en plats som våra användare har besökt många gånger tidigare? Är det en plats 1000 kilometer bort från där användaren befann sig för fem minuter sedan?

Baserat på alla dessa analyser kan man räkna ut risken vid inloggning, och utifrån det ställa krav på identifieringen. Till exempel genom att kräva ytterligare faktorer eller helt enkelt avvisa inloggningen helt, om du anser att det är för riskabelt.

Åtkomstkontroll och synlighet

En annan princip i Zero Trust är åtkomstkontroll. Kort sagt handlar det om att se till att bara ge användarna tillgång till det de behöver för att kunna utföra sitt jobb.

Dessutom kan man segmentera nätverket utifrån data och användargrupper. Om ett användarkonto med sin åtkomstnivå utsätts för en attack, och angriparna får kontroll över ett konto, kommer angriparen bara ha åtkomst till det konto i stället för att kunna använda det för att få tillgång till betydligt mer.

Zero Trust-modellen rekommenderar full synlighet och loggning av händelser, så att all trafik och inloggningsförsök kan övervakas i realtid och undersökas i efterhand. På så sätt kan du hela tiden lära dig av det och vidareutveckla autentisering, riskbedömning och åtkomstkontroll.

Med Zero Trust säkerställer företaget att rätt användare har rätt åtkomstnivå till rätt tjänster i rätt kontext - och att systemen kontinuerligt kan bedöma dessa faktorer och anpassa sig till ändringar och justeringar på ett smidigt sätt.
Ladda ner whitepaper Zero Trust

Fler artiklar

10 trender inom IAM för 2024

10 trender inom IAM för 2024

5 åtgärder för att bli redo för NIS2 med Identity and Access Management

5 åtgärder för att bli redo för NIS2 med Identity and Access Management

Resebrev från Oktane 2023

Resebrev från Oktane 2023

Hur kan IAM hjälpa till att säkerställa compliance?

Hur kan IAM hjälpa till att säkerställa compliance?

Cloudworks och Saviynt ingår i ett strategiskt partnerskap för Identity Governance

Cloudworks och Saviynt ingår i ett strategiskt partnerskap för Identity Governance

Med BeyondTrust som partner stärks vår IAM-position med PAM-lösningar

Med BeyondTrust som partner stärks vår IAM-position med PAM-lösningar

Cloudworks Group AS

Cloudworks Norge
Cloudworks AS
Org.nr. 915 106 900

Karenslyst allé 2
0278 Oslo
(+47) 22 49 07 30
kontakt@cloudworks.no