ZTNA skyddar ditt företags nätverk
Tele2 Företags säkerhetsblogg
Uppkopplade maskiner, exponering mot internet och medarbetarnas hybrida arbetsplatser. Lägg därtill ökande kapacitetskrav, behov av kortare svarstider samt leverantörers behov av access för att övervaka system. Allt detta är exempel som moderna nätverk behöver uppfylla – och det är också här de cyberkriminella hittar era svagheter.
Nyligen publicerade MSB sina föreslagna föreskrifter för detaljreglering av Cybersäkerhetslagen. Vi på Tele2 upplever ett mycket stort intresse för hur man ska tolka och i praktiken införa de tekniska krav som finns i föreskriften. Därför tar vi den här gången fasta på behov, risker och lösningar för säkra och framtidssäkrade nätverk.
Vi har tidigare snuddat vid verksamhetens behov av moderna nätverk, och nu går vidare till risker och marknadstrenderna för att hantera hoten. Den här gången skrivs Säkerhetsbloggen av Nicklas Dubén, produktchef för Tele2s nätverkslösningar, som förklarar hur era nätverk behöver moderniseras för att såväl förebygga hot som efterleva lagstiftning och säkerhetsstandarder.
ZTNA - Zero Trust Network Access
I vanlig ordning plockar vi gärna upp engelska begrepp, och när det kommer till säkra nätverkslösningar är Zero Trust Network Access (ZTNA) både en sofistikerad, populär och grundläggande lösning.
ZTNA möjliggör en säker anslutning till nätverket. Verksamheter kan med hjälp av teknik och konfiguration säkerställa vilka rättigheter och begränsningar klienter och applikationer ska ha, både inom och utanför det egna nätverket.
Annorlunda uttryckt - en nätverksstrategi för att ge enheter och applikation tillgång känslig data först efter att ha blivit accepterade. Nätverket ger inte access till någon eller något utan att först ha verifierat dess fastslagna rättigheter.
Finns det något skäl att inte segmentera nätverket?
Inte bara MSB pekar ut vikten av att segmentera nätverket. Även vårt svenska Nationella cybersäkerhetscentrum lyfter det på sin förteckning över rekommenderade tekniska säkerhetsåtgärder. Segmentering, eller rättare sagt mikrosegmentering, är en förutsättning för en modern och säker infrastruktur.
Du har säkert hört, eller själv beställt, att er verksamhet har segmenterade nätverk. Bra! Men med tanke på hur nätverk används idag är det inte längre tillräckligt att exempelvis segmentera kontorsnät från gästnät. Det ger inte ett verkningsfullt skydd för er verksamhets skyddsvärden.
En baksida av ”alltför säkra” nätverk är att de byggs statiskt, det vill säga på ett sätt som inte är användbart för verksamheten. Att låsa nätverk i olika segment, eller endast tillåta certifikatbaserade enheter (exempelvis 802.1x till Microsoft Entra ID), innebär ofta att verksamheten har svårt att utföra sitt huvuduppdrag – eller att man tvingas hitta nya, mindre säkra alternativ.
Så vad är problemet? Jo, dels;
att användare inte alltid befinner sig på arbetsplatsen.
att det inte bara är datorer med möjlighet till certifikat som ansluter sig till nätverk. Uppkopplade saker ökar i snabb takt. Från att tidigare bara avsett skrivare är det idag inte ovanligt med passagesystem, videosystem, uppkopplade kaffeautomater, kameror, sensorer, ventilation, belysning och så vidare. Listan på nya uppkopplade enheter ökar hela tiden och det är näst intill omöjligt att vara säker på att dessa enheter inte innehåller skadlig kod eller på annat sätt får tillgång till annat än vad som avsikten.
Med risk för att låta som en papegoja; vad är egentligen problemet?
Själv får jag ont i magen när jag tänker på hur medarbetares stulna inloggningsuppgifter kan missbrukas utan tekniska säkerhetsregelverk på nätverket, eller vad konsekvenserna kan bli om någon av alla enheter på ett nätverk är infekterade eller hackade. För att lösa detta behöver allt som finns på nätverket övervakas och hållas separerat från varandra. Icke betrodda enheter ska inte kunna nå betydelsefulla tillgångar.
En tydlig begränsning i äldre nätverkslösningar är också om utrustning ska bytas ut, vilket riskerar att bli en administrativ börda. Eller ännu värre, en inneboende säkerhetsrisk om gamla tillåtna enheter inte tas bort.
Dynamisk hantering av regelverk
I en ZTNA-miljö har de så kallade NAC-verktygen utvecklats till att dynamiskt övervaka accesser och applicera säkerhetspolicies efter flera typer av villkor.
Exempelvis:
Nätverksaccess genom autentisering, auktorisering och profilering av användare och enheter.
Säkerhetsnivå (posture), genom att verifiera OS, antivirus, kryptering med mera.
Med sådana regelverk uppnås riktig segmentering, så kallad micro-segmentering, som också kan styra vilka resurser som ska ha åtkomst till vad.
Bygger man ZTNA med expertstöd kan varje tillgång också tilldelas unika segment vid varje ny session – och det är hemligheten till grundläggande säkra nätverk. Verksamheter som inför detta kan kraftigt begränsa sina risker, exempelvis om en tillgång utan kontrollerat antivirus-skydd vill nå era skyddsvärda servrar och applikationer.
Vad tillför ZTNA i verksamhetens cybersäkerhetsarbete?
Minskar exponering och förhindrar spridning. Genom att aldrig implicit lita på användare och enheter minskar risken för att ta sig vidare inom ett nätverk, så kallade laterala attacker. Med andra ord – även om en angripare får tillgång till en identitet eller enhet begränsas skadan till specifika resurser i stället för att drabba hela nätverket.
Minskad attackyta. Applikationer exponeras inte öppet mot internet. Endast verifierade och auktoriserade användare och enheter tillåts. En behörig har bara rätt att se tilldelade resurser, medan övriga tillgångar förblir oexponerade.
Enklare efterlevnad (compliance). Med behovsprövad åtkomstkontroll och detaljerad realtidsloggning uppnås såväl förebyggande som reaktiv säkerhet. ZTNA ger också möjlighet till ständiga utveckling av er förmåga. Tillsammans ger det goda förutsättningar att efterleva krav enligt Cybersäkerhetslagen och dataskyddsförordningen, samt industrisäkerhetsstandarder som ISO 27001 eller CIS-kontroller.
Sammanfattning - framtiden kräver riktig Zero Trust
Vi har nått slutet av denna djupdykning, och vi summerar den kort i tre punkter.
Begreppet Zero Trust har mognat och utvecklats till Zero Trust Network Access – en förutsättning för moderna, distribuerade organisationer.
Fler uppkopplade enheter, ökande cyberhot och arbete bortom det traditionella kontoret – ZTNA innebär en säkerhetsmodell som kombinerar robusthet, flexibilitet och skalbarhet.
Funktionalitet, minskad administration och kraftigt minskad riskexponering – ZTNA är säkerhetslösningen som tagit sin utgångspunkt i verksamhetens behov av nätverksfunktionalitet.
Vi går nu in i en intensiv period med fokus på säkerhet och nätverk, särskilt genom lagtvingande krav. Vill ni veta mer kan jag och mina kollegor självklart utveckla vad ZTNA kan göra för er verksamhet. Välkommen att höra av er till er närmaste Tele2-kontakt.
Vänliga hälsningar
Nicklas Dubén
Produktägare Säkerhet och Nätverk
Läs mer om it-säkerhet
Ökad digitalisering betyder ökade säkerhetskrav
Digitaliseringen innebär stora fördelar för företag och organisationer - men i takt med att företagen blir allt mer digitala ökar också exponeringen för olika typer av cyberattacker.
Så får du ett säkrare nätverk med SD-WAN
Ökad datasäkerhet och säkrare drift är högt prioriterat bland företag – och en viktig fördel med SD-WAN som ofta lyfts fram. Men varför och på vilket blir det säkrare med SD-WAN?
Ligg steget före framtidens cybersäkerhet
En attack mot verksamhetens data kan få förödande konsekvenser. När cyberattacker blir allt vanligare, ökar kraven på säkerhet och skydd. Här berättar vi hur Tele2 arbetar för att bibehålla högsta möjliga säkerhetsnivå, både internt och för kunderna.
