Ako funguje zero trust: Prečo už samotné pripojenie neznamená bezpečie

Pojem zero trust môže znieť tvrdo, ale v skutočnosti rozhodne nejde o nedôveru k všetkému okolo. Základná myšlienka je jednoduchá. Dôvera sa nepovažuje automaticky len preto, že je niečo súčasťou siete alebo systému. Každý prístup sa berie ako nový a je potrebné s ním tak aj zaobchádzať.

Tento pohľad vznikol v čase, keď prestalo dávať zmysel spoliehať sa na samotné pripojenie alebo prostredie. Internet už dávno nie je jedno miesto ani jeden uzavretý priestor. Prístupy sa menia podľa zariadenia, služby aj situácie a bezpečnosť sa tomu musela prispôsobiť.

Práve proti automatickej dôvere sa vymezuje zero trust model. Neodráža sa v tom, že sieť alebo pripojenie samo osebe vytvára bezpečný priestor. Dôvera nie je stav, ktorý platí navždy, ale niečo, čo sa priebežne overuje podľa toho, čo sa v danej chvíli deje.

Samotný pojem sa začal používať vo firemnom prostredí, kde bolo potrebné lepšie pracovať s prístupmi k dátam a službám. Postupne sa ale ukázalo, že nejde len o firemnú tému, ale o všeobecnú reakciu na to, ako internet funguje dnes. A práve preto má zmysel pozrieť sa na to, prečo pôvodná predstava dôvery v sieti prestala stačiť.

Prečo starý model dôvery prestal fungovať?

Dlhú dobu fungoval internet na pomerne jednoduchom princípe. Existovala sieť a všetko mimo nej. Sieť sa brala ako bezpečný priestor a hlavná kontrola prebiehala vo chvíli, keď sa niekto pripájal. Akonáhle bol prístup povolený, systém už ďalej príliš neriešil, čo sa vnútri deje.

Tento prístup dával zmysel v čase, keď sa pracovalo z jedného miesta a na obmedzenom počte zariadení. Väčšina služieb bola súčasťou jednej siete a hranice medzi vnútorným a vonkajším svetom boli pomerne jasné. Ak sa podarilo ustrážiť vstup, zvyšok fungovania sa už toľko nestrážil.

Lenže dnešný internet takto prehľadný nie je. Dáta putujú medzi rôznymi službami, zariadeniami a miestami. Prístup k nim nie je viazaný na jednu sieť ani jedno prostredie. Vo chvíli, keď sa niekto dostane „dovnútra“, systém už nemá veľa spôsobov, ako rozoznať, či sa správa správne. Práve vtedy sa môže problém začať rozbiehať.

Slabina starého modelu teda neleží v technológiách, ale v samotnom predpoklade dôvery. Akonáhle sa začne automaticky dôverovať celej sieti, prestáva sa riešiť, kto k dátam skutočne pristupuje a za akých okolností. A práve tu začína byť jasnejšie, čo znamená zero trust v praxi. Neverí sa priestoru ako celku, ale posudzujú sa jednotlivé prístupy.

Ako funguje zero trust v praxi?

V praxi to znamená, že prístup k službám a dátam nie je daný raz a navždy. Prihlásenie zo známeho zariadenia obvykle prebehne bez oneskorenia. Rovnaký účet, ale nové zariadenie alebo iné miesto už môže vyvolať ďalšie overenie. Nejde o chybu, ale o reakciu na zmenu situácie. Práve takto sa bežne prejavuje to, ako funguje zero trust.

Podobne fungujú aj citlivejšie operácie. Čítanie obsahu prebehne bez obmedzení, ale zmena hesla alebo nastavenia účtu už vyžaduje potvrdenie navyše. Systém sa nerozhoduje podľa toho, kto je pripojený k sieti, ale podľa toho, čo sa snaží urobiť v danom okamihu.

Kontrola sa netýka celej siete ani všetkých zariadení naraz. Vzťahuje sa vždy ku konkrétnemu prístupu. Ak sa správanie drží bežného vzorca, nič sa nemení. Akonáhle sa okolnosti líšia, prístup sa sprísni.

Vďaka tomu zero trust model nepôsobí ako neustále obmedzenie. Väčšinu času je neviditeľný a prejaví sa až vo chvíli, keď sa niečo odchýli od bežného používania.

Zero trust nie je len pre firmy, týka sa aj bežného internetu

Princípy, o ktorých je reč, už dnes nie sú zatvorené len vo firemných systémoch. Bežný používateľ sa s nimi stretáva pri používaní služieb, ktoré považuje za samozrejmosť. Prihlásenie k rovnakému účtu môže prebiehať zakaždým inak podľa toho, odkiaľ a ako k nemu pristupuje.

Z pohľadu používateľa sa to prejavuje nenápadne. Niekedy je potrebné potvrdiť prihlásenie navyše, inokedy služba reaguje opatrnejšie pri zmene správania. Nejde o náhodu ani o chybu systému, ale o snahu nerozhodovať podľa jedného signálu. Práve týmto spôsobom sa princípy zero trust postupne stávajú súčasťou bežného internetu.

Dôležité je, že sa tento prístup neuplatňuje plošne. Netýka sa celej siete ani všetkých zariadení naraz. Vždy reaguje na konkrétnu situáciu a konkrétny krok. Vďaka tomu môže internet zostať použiteľný a zároveň lepšie reagovať na veci, ktoré sa vymykajú bežnému fungovaniu.

Čo zero trust znamená pre domácnosti a inteligentné zariadenia?

V domácnostiach dnes funguje sieť skôr ako malý ekosystém než ako jedno pripojenie. Okrem počítačov a telefónov sú pripojené televízie, reproduktory, kamery, vysávače alebo termostaty. Každé z týchto zariadení komunikuje inak, s inými službami a v iných intervaloch.

Práve tu začína byť rozdiel v prístupe k bezpečnosti vidieť najviac. Nie všetky zariadenia potrebujú rovnaké oprávnenia a nie všetky sa správajú rovnako. Zatiaľ čo notebook alebo telefón aktívne pracujú s účtami a dátami, iné zariadenia len pravidelne odosielajú informácie alebo čakajú na povel. Posudzovať ich rovnakým spôsobom by nedávalo zmysel.

V praxi to znamená, že sa u domácej siete čoraz viac riešia jednotlivé úlohy zariadení. Čo má prístup von, čo len dovnútra, čo môže meniť nastavenia a čo má fungovať skôr izolovane. Tento prístup znižuje riziko, že problém na jednom zariadení ovplyvní zvyšok domácnosti. Práve týmto smerom sa postupne premieta zero trust aj do bežného domáceho prostredia.

Z pohľadu používateľa sa to väčšinou nijak dramaticky neprejavuje. Skôr sa mení to, ako sú zariadenia oddelené a ako spolu komunikujú. Výsledkom nie je zložitejšie ovládanie, ale sieť, ktorá je odolnejšia voči chybám aj neočakávanému správaniu jednotlivých prvkov.

Prinesie zero trust viac bezpečia, alebo viac nepohodlia?

Otázka bezpečia a pohodlia sa u technológií často stavia proti sebe, ako keby jedno muselo nutne ubírať z druhého. U zero trust je ale tento protiklad trochu zavádzajúci. Nejde toľko o to, že by sa niečo „utažovalo“, ale skôr o to, že sa menia naše očakávania. Zvykli sme si, že technológie majú byť plynulé, okamžité a ideálne neviditeľné. Akonáhle nás niečo vyruší, berieme to ako problém.

Lenže pohodlie, na ktoré sme si zvykli, vzniklo v čase, keď bol internet jednoduchší a pomalší. Dnes je digitálne prostredie oveľa bližšie k nášmu súkromiu, rozhodnutiam aj každodenným návykom. A čím bližšie je, tým menej dáva zmysel spoliehať sa na automatiku. Zero trust do toho vnáša určitý druh pozornosti. Pripomína, že veci majú kontext, že záleží na situácii, a že nie všetko musí prejsť bez otázky len preto, že to tak fungovalo včera.

Nepohodlie sa objavuje hlavne vo chvíli, keď čakáme starý svet v nových podmienkach. Ak ale prijmeme, že technológie nie sú neutrálna kulisa, ale aktívna súčasť nášho života, začne tento prístup dávať iný zmysel. Nie ako obmedzenie, ale ako forma digitálnej zrelosti. Podobne ako zamykáme dvere, aj keď žijeme v pokojnej švrti, alebo sa rozhliadneme, aj keď máme zelenú.

Zero trust tak nakoniec nestojí ani tak na otázke bezpečia verzus pohodlie, ale skôr na tom, ako chceme s internetom žiť ďalej. Či ako s prostredím, ktoré berieme ako samozrejmosť, alebo ako s priestorom, kde má zmysel občas spomaliť a vedieť, komu a čomu dávame prístup.