Zero Trust, beveiliging van Windows-toepassingen en GO-Global
De term "Zero Trust" werd in 2010 bedacht door Forrester™ Research-analist John Kindervag om een nieuwe, aanzienlijk strengere benadering van de toegangscontrole van gebruikers en cyberbeveiligingsmaatregelen te beschrijven dan wat toen algemeen gangbaar was. De term is afgeleid van een Russisch gezegde "vertrouw, maar verifieer", dat werd overgenomen en vaak herhaald door Ronald Reagan tijdens zijn presidentschap.
Het zero trust beveiligingsmodel is een benadering van de strategie, het ontwerp en de implementatie van IT-systemen. Net als het spreekwoord is de basis voor zero trust dat gebruikers en apparaten niet standaard vertrouwd moeten worden, ongeacht locatie of eerdere vertrouwde relaties.
Hoewel de term voor het eerst werd gebruikt in 2010, duurde het een decennium voordat zero trust computerarchitecturen de overhand kregen op traditionele cyberbeveiliging en gebruikerstoegangspraktijken. Traditioneel wordt aan een gebruiker of apparaat, zodra deze toegang krijgt tot een netwerk, meestal een groot vertrouwen toegekend en krijgen ze brede toegangsrechten.
Maar met de opkomst van cloud computing, de proliferatie van mobiele apparaten, de toename van het aantal netwerktypes en de work-from-anywhere gebruikersscenario's die alomtegenwoordig werden tijdens de pandemie, bleek die traditionele aanpak helaas onvoldoende tegen de geavanceerde bedreigingen van vandaag.
Windows® ISV's die hun applicaties vanuit de cloud leveren aan klanten die zich overal bevinden, werken al jaren met dit scenario. Omdat aanvallen echter steeds geavanceerder en wijdverspreider zijn geworden, is het voor Windows ISV's van cruciaal belang geworden om hun applicaties, klantgegevens en infrastructuur voor de levering van applicaties te beveiligen. Hier bij GO-Global zien we een aanzienlijke toename van Windows ISV's die GO-Global® opnemen als onderdeel van een zero trust-initiatief voor de beveiliging van Windows-toepassingen.
Wat valt er onder een zero trust-initiatief en hoe kan GO-Global helpen?
Principes van Zero Trust
Perimeterbeveiliging was ooit de focus van een allesomvattend IT-beveiligingsplan. Zero Trust identificeert echter 5 principes die IT moet overnemen als onderdeel van haar strategie.
Oppervlak beschermen:
Bestaat uit alle gebruikers, apparaten, applicaties, gegevens, diensten en het netwerk waarop gevoelige bedrijfsgegevens worden getransporteerd. Als gevolg van de pandemie zijn gebruikers nu veel meer verspreid, zodat het beschermingsgebied van een organisatie zich veel verder uitstrekt dan het LAN van het bedrijf.
Cyberbeveiligingstools in deze categorie zijn onder andere tools die verder gaan dan de netwerkrand om zo dicht mogelijk bij apps, gegevens en apparaten te komen, zodat beveiligingsteams de apps, gegevens, apparaten en gebruikers die beveiligd moeten worden, kunnen identificeren en prioriteren. Daarnaast moeten beveiligingsarchitecten inzicht krijgen in de locatie van kritieke bronnen en wie er toegang toe moet hebben om de meest geschikte oplossing te implementeren.
Huidige cyberbeveiligingscontroles:
Nadat het beschermingsoppervlak in kaart is gebracht, moeten de beveiligings- en IT-teams de controles identificeren die al aanwezig zijn. Worden ze op de meest geschikte locatie ingezet? Moeten ze opnieuw worden ingezet, een andere bestemming krijgen of worden vervangen?
Moderniseer de architectuur en maak gebruik van nieuwe tools voor cyberbeveiliging:
Na het identificeren van het bijgewerkte beschermingsoppervlak en de huidige set cyberbeveiligingshulpmiddelen, wat moet een organisatie toepassen om de gaten op te vullen of verouderde hulpmiddelen te vervangen?
Voorbeelden van tools die worden gebruikt als onderdeel van een zero trust modernisering zijn netwerk microsegmentatie en veilige toegangscontroles voor apps en gegevens met behulp van single sign-on en multifactor authenticatie. Om opkomende bedreigingen te identificeren, kunnen nieuwe tools voor geavanceerde bescherming tegen bedreigingen, veelal ondersteund door AI, beveiligingsbeleidslijnen pushen naar waar ze nodig zijn in de hele beveiligingsservice.
Een gedetailleerd zero trust-beleid toepassen:
Nadat de benodigde technologieën zijn geïnstalleerd, moeten beveiligingsbeheerders een strikte set standaarden opstellen op basis van "least privilege" die alleen toegang toestaan wanneer dat absoluut noodzakelijk is. Deze beleidsregels voor laagste privileges beschrijven precies welke gebruikers en apparaten toegang moeten hebben tot welke applicaties en diensten, welke applicaties toegang moeten hebben tot welke gegevens en wanneer die toegang is toegestaan.
Nadat deze beleidsregels zijn opgesteld, kunnen beheerders apparaten en tools configureren om zich aan de voorgeschreven beleidsregels te houden.
Voortdurende bewaking en waarschuwingen:
Zelfs met een zero trust raamwerk is niets volledig veilig. IT-beveiligingsteams moeten monitoring- en waarschuwingstools inzetten om vast te stellen of het beleid werkt en of het bestaande beveiligingsraamwerk scheurtjes vertoont die dreigen te worden uitgebuit.
Wanneer er een kwaadaardige activiteit plaatsvindt, moet het team de activiteit onmiddellijk stoppen en een oorzakenanalyse uitvoeren om de oorzaak te achterhalen en de fouten te herstellen die de kwetsbaarheid hebben veroorzaakt. Moderne beveiligingstools zoals netwerkdetectie en -respons kunnen veel van deze activiteiten automatiseren, waardoor er minder tijd en personeel nodig is.
Uitdagingen om Zero Trust te bereiken
Hoewel een zero trust beveiligingsmodel een aanzienlijke ROI kan opleveren, is het moeilijk om het volledig te implementeren. Volgens Gartner® hebben veel organisaties een zero trust beveiligingsmodel geïmplementeerd als onderdeel van hun cyberbeveiligingsstrategie, maar "slechts 1% van de organisaties heeft momenteel een volwassen programma dat voldoet aan de definitie van zero trust".
De kritieke uitdagingen voor het bereiken van een volledige implementatie van een zero trust architectuur zoals gedefinieerd door Gartner zijn onder andere:
- Zelfs een kleine fout in de systeemarchitectuur kan het zero trust model ongeldig maken.
- Er is geen one-size-fits-all product dat zero trust mogelijk maakt; in plaats daarvan moet elke organisatie de combinatie van oplossingen en praktijken bepalen die werkt met de IT-infrastructuur en -architectuur om zero trust te bereiken.
- Organisaties die vertrouwen op verouderde bedrijfssystemen en -technologie kunnen een zero trust-model niet aanpassen vanwege de verouderde infrastructuur.
- Het invoeren van zero trust vereist een onmiddellijke toename van het aantal applicaties, gebruikers en apparaten dat moet worden gemonitord, een nauwgezette naleving van software- en hardware-updates en onderhoud, en regelmatige audits; veel organisaties beschikken niet over het personeel, de expertise of het budget dat nodig is voor een volledige implementatie.
- Zoals hierboven opgemerkt, kan een organisatie niet simpelweg 'zero trust' implementeren en het 'goed' noemen. Om 'zero trust' te implementeren, moet IT een continu procesmodel volgen dat de hierboven genoemde principes doorloopt en dan opnieuw begint - wat een niet aflatende focus vereist die moeilijk vol te houden is in de loop der tijd.
- Het Zero Trust Model moet voortdurend worden aangepast aan hoe bedreigingen, technologie en bedrijfsdoelen en -praktijken in de loop der tijd veranderen. Een voorbeeld van hoe snel het model kan veranderen, is dat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in augustus 2021 zijn eerste referentiedocument voor het Zero Trust Maturity Model heeft uitgebracht, in maart 2022 een herziening heeft gepubliceerd en in april 2023 een tweede herziening heeft gepubliceerd.
Voor veel organisaties is een volledige implementatie van een zero trust architectuur, zoals gedefinieerd door Gartner, bijna onmogelijk vanwege de kosten, moeite en opschudding die nodig zijn om dit te bereiken. Een bedrijfsorganisatie kan bijvoorbeeld afhankelijk zijn van een of meer bedrijfskritische legacy applicaties, systemen of technologieën om het bedrijf te laten draaien en kan niet blijven functioneren zonder die legacy investering. Een Windows ISV heeft misschien niet de tijd, de bandbreedte of het personeel om de beveiliging van Windows-applicaties te garanderen door die applicatie te herschrijven als een webgebaseerde applicatie om SSO mogelijk te maken, of wil niet graag klanten van zich vervreemden die van de applicatie houden en ervan afhankelijk zijn door deze te vervangen door een webapplicatie.
Het is echter absoluut mogelijk om een aanzienlijk percentage naleving te bereiken met het zero trust model. Go-Global kan daarbij helpen.
Hoe GO-Global het Zero Trust Model ondersteunt
Windows ISV's kunnen GO-Global gebruiken om zich op verschillende gebieden aan te passen aan het zero trust model:
Oppervlak/Netwerk beschermen
GO-Globaal Sessieprotocol:
De basis voor GO-Global is een eigen protocol met lage bandbreedte voor connectiviteit via seriële lijnen, RapidX Protocol (RXP) genaamd. RXP is adaptief, gebruikt meerdere compressielagen en is geoptimaliseerd om het laagst mogelijke bandbreedtegebruik te garanderen. Omdat RXP closed source is, biedt het extra verdediging tegen aanvallers, vergeleken met open-source protocollen zoals Microsoft® RDP, waar zwakke plekken in de beveiliging zijn gevonden en uitgebuit.
Encryptie van clientsessies:
Standaard versleutelt GO-Global sessies met DES (DataEncryption Standard) met een sleutelsterkte van 56 bits voor alle clientsessieverbindingen om bescherming te bieden tegen basispakketsniffers en clients die ruwe datacommunicatie onderscheppen. Het is snel, betrouwbaar en biedt een direct beveiligingsniveau voor LAN-gebaseerde verbindingen via GO-Global.
Voor internetcommunicatie biedt GO-Global transport op basis van TLS met de volgende versleutelingsalgoritmen: 128-bits RC4, 168-bits 3DES en 256-bits AES. Voor deze hogere versleutelingsalgoritmen moet de beheerder een ondertekend TLS-certificaat toepassen op de host, dat kan worden gegenereerd met behulp van elke standaardcertificaatautoriteit. Beheerders kunnen ook vertrouwde TLS-certificaten genereren voor GO-Global Hosts via het tabblad Beveiliging van het dialoogvenster Hostopties in de beheerconsole, wanneer de GO-Global Host een openbaar geregistreerd DNS-adres heeft. Hierdoor kunnen beheerders sterke encryptie en TLS-beveiliging inschakelen zonder een certificaat aan te schaffen bij een certificeringsinstantie van derden.
Proxyserver-tunneling:
GO-Global ondersteunt Proxy Server Tunneling, ook bekend als HTTP Connect. Hierdoor kan een gebruiker die het internet opgaat via een webproxyserver verbinding maken met GO-Global hosts op het internet. Houd er bij het gebruik van een proxyserver rekening mee dat standaard alle verkeer op alle hostpoorten wordt geweigerd, dus de GO-Global Host moet worden geconfigureerd om alleen verbindingen op poort 443 te accepteren.
Geïntegreerde Windows-verificatie:
Beheerders kunnen de netwerkbeveiliging van GO-Global eindgebruikers verbeteren door Standaardverificatie (vragen om gebruikersnaam en wachtwoord) uit te schakelen en Geïntegreerde Windows-verificatie in te schakelen op het tabblad Verificatie van het dialoogvenster Hostopties in de beheerconsole. Met deze configuratie wordt alle niet-Windows clients de toegang tot GO-Global hosts geweigerd, zodat GO-Global eindgebruikers zich moeten aanmelden bij hun Windows clientbesturingssystemen met een Active Directory account die de GO-Global host vertrouwt. Daarnaast krijgen gebruikersaccounts die zich lokaal bevinden op de GO-Global Host geen toegang. De gebruiker wordt geverifieerd als lid van de NETWORK-groep en de toegang tot netwerkbronnen van de GO-Global Host is beperkt.
Bescherm oppervlakte-/gebruiker- en apparaattoegang
Zoals hierboven vermeld, gaat zero trust ervan uit dat interne en externe netwerken mogelijk gecompromitteerd zijn en dat geen enkele gebruiker of apparaat automatisch vertrouwd moet worden. Zero trust dicteert dat verificatie, authenticatie en autorisatie van gebruikers en hun apparaten moet worden toegepast voor gebruikers om in te loggen en zich bezig te houden met het IT-systeem, applicaties en gegevens.
Dit is hoe elk concept wordt gedefinieerd in een zero trust architectuur.
Verificatie is het proces van het bevestigen van de juistheid van een claim - bijvoorbeeld de identiteit van een gebruiker. Als een gebruiker een naam en wachtwoord invoert, controleert het systeem of die gebruikersnaam en dat wachtwoord aan een bepaalde account gekoppeld zijn.
Authenticatie is het leveren van een identiteitsbewijs bij toegang tot een systeem. Vóór zero trust was authenticatie meestal zo eenvoudig als een gebruikersnaam en wachtwoord. Met zero trust gaat authenticatie verder dan gebruikersnamen en wachtwoorden en omvat nu ook multifactor authenticatie (MFA), eenmalige wachtwoorden, pincodes, smartcards en biometrie.
Autorisatie bepaalt de toegangsrechten van een gebruiker, d.w.z. wat een gebruiker of apparaat mag openen of doen in het systeem; bijvoorbeeld de applicaties die een gebruiker mag openen en gebruiken.
Single sign-on (SSO) en multifactor authenticatie (MFA) technologieën worden meestal toegepast bij het mogelijk maken van toegang voor gebruikers en apparaten in een zero trust architectuur. GO-Global maakt beide mogelijk.
GO-Global Authenticatie met twee factoren is een geavanceerde verificatiefunctie die een extra beveiligingslaag biedt door gebruikers optioneel te vragen een 6-cijferige code in te voeren van een authenticatie-app voor smartphones (bijvoorbeeld Google Authenticator, Authy en Microsoft Authenticator), naast hun gebruikersnaam en wachtwoord. Dit zorgt ervoor dat zelfs als het wachtwoord van een gebruiker gecompromitteerd is, de aanvaller nog steeds geen toegang kan krijgen tot het hostsysteem zonder toegang tot de ontgrendelde telefoon van de gebruiker. Dit maakt het zoeken naar brute kracht en woordenboeken voor wachtwoorden nutteloos, wat vooral belangrijk is als je op afstand werkt met kwetsbare remote desktop clients. 2FA vermindert ook de last van het afdwingen van een complex wachtwoordbeleid.
GO-Global+ SSO: GO-Global's ondersteuning voor OpenID Connect stelt Windows ISV's in staat moderne identiteitsproviders zoals Okta™, OneLogin, Microsoft Active Directory Federated Services (ADFS) en Microsoft Azure® AD Seamless SSO te gebruiken om eenmalige aanmelding op GO-Global® Windows hosts mogelijk te maken.
GO-Global stelt IT in staat om elke identiteitsprovider die OpenID Connect ondersteunt rechtstreeks in zijn hosts te integreren, zodat ze Windows-hosts kunnen delen met de gebruikers die ze al authenticeren voor webtoepassingen. GO-Global's ondersteuning voor OpenID Connect elimineert de noodzaak voor domeincontrollers op het bedrijfsnetwerk, voor aangepaste credential providers voor sterke authenticatie en voor interactieve aanmeldingen.
Zonder GO-Global zouden Windows ISV's die SSO willen toevoegen dure en complexe oplossingen moeten aanschaffen zoals Citrix NetScaler® Unified Gateway geïntegreerd met Citrix Hypervisor®.
Oppervlakte-/toepassingsbeveiliging beschermen
GO-Global installeert of onderhoudt geen eigen gebruikers- of toepassingsdatabase. In plaats daarvan erft het alle aspecten van gebruikers- en gegevensbeveiliging van het Windows Server®-besturingssysteem. De beveiligingsinstellingen voor de gebruiker en toepassingen worden geconfigureerd op het niveau van het Windows® OS en worden tijdens het aanmeldingsproces doorgegeven aan GO-Global.
Bovendien worden Windows-machtigingen voor bestanden, mappen, delen, printers en het register allemaal gerespecteerd door GO-Global en zijn deze essentieel voor de beveiliging van elk Windows-systeem. Tenzij eindgebruikers beheerdersrechten of verhoogde rechten krijgen, kunnen ze geen toegang krijgen tot systeemmappen, de server beschadigen of verbreken of anderszins veiligheidsrisico's veroorzaken.
GO-Global raadt aan om Windows Groepsbeleid te gebruiken voor alle beveiligingsinstellingen aan de systeemkant, vooral in een load balanced serverfarm, om consistentie op alle hosts te garanderen.
Gedetailleerd Zero-Trust beleid toepassen
Basisinstallatie en standaardinstellingen: GO-Global kan eenvoudig worden geïnstalleerd met één installatieprogramma op de host waarmee de GO-Global software wordt geïnstalleerd of geüpgraded. Wanneer de installatie is voltooid, moet de host opnieuw worden gestart om de registerinstellingen te initialiseren en de GO-Global software en stuurprogramma's in te schakelen.
Het is de bedoeling dat alle configuratieopties van GO-Global die het delen van server- of clientbronnen mogelijk maken, zijn uitgeschakeld. Bovendien publiceert GO-Global geen standaardtoepassingen. Hostconfiguratie, beheer en beveiligingsfuncties van GO-Global zijn toegankelijk via de beheerconsole in het menu Host-opties. Beheerders kunnen via dit menu toepassingen publiceren, gebruikers- en hostactiviteiten bewaken en functies inschakelen zoals clientprinten, clientklembord, codering en verificatie.
Als je als Windows ISV op zoek bent naar oplossingen om een zero trust architectuur mogelijk te maken voor het leveren van je applicaties aan klanten, overweeg dan GO-Global en haar meerlagige beveiligingssysteem, inclusief SSO en MFA.
Klik hier om de prijzen voor gelijktijdige gebruikers met SSO van GO-Global te bekijken en uw geschatte prijzen voor GO-Global te berekenen.
Klik hier om een demo aan te vragen; klik hier voor een gratis proefversie van 30 dagen van GO-Global.