Tillitsløs sikkerhetsmodell

Fra Wikipedia, den frie encyklopedi

En tillitsløs sikkerhetsmodell[1][2] er en arkitektur for sikkerhet innen IT-systemer hvor ingen automatisk stoles på selv om de er innenfor et sikret område eller tidligere har blitt verifisert. Hovedtanken bak en tillitsløs sikkerhetsmodell kan oppsummeres med det russiske ordtaket doveryay, no proveryay som betyr «stol på, men verifiser«, eller snarere «aldri stole på, alltid bekrefte». For eksempel innebærer dette at elektroniske enheter ikke kan stole på andre enheter som standard, selv om disse er koblet til samme nettverk innenfor en bedrift sitt lokalnett og tidligere har blitt verifisert.[trenger referanse]

Denne sikkerhetsmodellen har fått økt oppmerksomhet etter hvert som moderne bedriftsnettverk har blitt mer komplekse og består av mange sammenkoblede soner, skytjenester og skyinfrastruktur, tilkoblinger til eksterne og mobile miljøer, og tilkoblinger til ikke-konvensjonell IT som for eksempel IoT-enheter.[trenger referanse]

Historie[rediger | rediger kilde]

I 1994 ble begrepet zero trust for første brukt i doktoravhandlingen til Stephen Paul Marsh ved University of Stirling.[3] Tillitsløse sikkerhetsmodeller ble for alvor populære i slutten av 2010-årene sammen med økt bruk av mobil-og skytjenester.[trenger referanse]

I 2019 gikk Det nasjonale cybersikkerhetssenteret i Storbritannia (NCSC) ut med en anbefaling om at tillitsløs nettverksarkitekturer bør vurderes for nye IT-systemer, særlig dersom bruk av skytjenester er planlagt.[4]

Prinsipper[rediger | rediger kilde]

I 2019 beskrev Det nasjonale cybersikkerhetssenteret i Storbritannia (NCSC) at noen viktige prinsipper for en tillitsløs arkitekturer er å ha:

  • Én enkelt og sterk kilde til brukeridentitet
  • Brukergodkjenning
  • Maskinautentisering
  • Ekstra kontekst, for eksempel policyoverholdelse og enhetstilstand
  • Autorisasjonspolicyer for å få tilgang til et program
  • Tilgangskontrollpolicyer i et program

Gjensidig autentisering[rediger | rediger kilde]

En tillitsløs tilnærming fremmer gjensidig autentisering, inkludert kontroll av identitet og integritet til enheter uten hensyn til lokasjon, og at man gir tilgang til applikasjoner og tjenester basert på tillit til enhetsidentitet og enhetshelse i kombinasjon med brukerautentisering.[5]

Referanser[rediger | rediger kilde]