top of page
  • Forfatters billedeKaj Asmussen

Stol ikke på nogen!

Det lyder så uvenligt, men det er i kort form hovedbudskabet i en Zero Trust modellen som anbefales af de førende eksperter.


Men hvad betyder det i praksis, og hvordan implementerer man denne strategi?


Den gamle strategi var trust-but-verify, hvor vi i udgangspunktet stolede på en bruger, hvis de havde adgang. Det tør vi ikke basere vores sikkerhed på længere.


Zero Trust bygger på 3 principper:

  1. Assume breach

  2. Verify explicitly

  3. Least privilege access

Lad os se lidt nærmere på principperne.


Asume breach

Dette er på mange måder et mindset. I stedet for at antage vi i udgangspunktet ikke er i fare, antager vi med assume breach at vores netværk, servere og applikationer er sårbare og at vi højst sandsynlig allerede er under angreb.


Dette er en vigtig forudsætning, som bringer os ud af vores comfortzone og tvinger os til at tænke proaktivt.


Verify explicitly

Dette princip betyder at vi skal verificere brugernes adgang ud fra alle tilgængelige parametre og datapunkter fx enhed, lokation, enhedsstatus, data som der ønskes adgang til og sågar brugerens adfærd. Denne verificering skal ske løbende.


Least privilege access

Dette princip betyder at vi skal sikre at brugere kun har de nødvendige rettigheder, men ikke nok med det, vi skal også sikre at de kun har dem når det er krævet. Her taler vi om Just-In-Time and Just-Enough Access (JIT/JEA).


Jo mere omfattende rettigheder vi taler om, jo vigtigere er det.


Men Zero Trust principperne gælder for alle entiteter - det vi også kalder sikkerhed i dybden.

  • Brugerkonti, 2-faktor, rettigheder

  • Enheder, overvågning, antimalware, opdatering

  • Applikationer, kun godkendte, roller, opdaterede

  • Data, klassificerede og krypterede samt logning af adgang

  • Infrastruktur, konfiguration og adgang, samt overvågning

  • Netværk, patches, segmenteres og overvåges


Så som du kan se, er det nødvendigt ikke at stole på nogen. Zero Trust er en god model/tjekliste når du arbejder med den tekniske IT-sikkerhed.


Vi bruger Zero Trust modellen i vores arbejde med IT-sikkerhed. Skal vi hjælpe din virksomhed?


Figur 1: Elementer i en Zero-Trust model. Kilde Microsoft.

3 visninger0 kommentarer

Seneste blogindlæg

Se alle

コメント


bottom of page