Comments 18
А что если мы не только хотим знать, кто к нам пришел, но и узнать насколько пришедшее устройство защищено?
запуск любого антивируса, и что там еще может быть, по запросу удаленного агента, на этапе взаимного удостоверения? а если тот сам уже взломан и просит явно лишнее?
Антивирус, кажется, довольно долго и дорого запускать. А запрос излишних прав - логгируем и отправляем в SOC для истории. В нормальном режиме запрос новых прав - редирект в IDM и проход по процессу получения доступов.
все проще - это надо делать на уровне подключения VPN. те хост репортит, что соответсвует комплаенсу того сегмента, к которому подключается. что AV стоит, что базы там актуальные, что патчи в ОС тоже стоят. если нет то попадает в гетто, где доступна только установка АВ, обновления баз и тд.
cisco так умеет, например
Vpn перестал быть точкой безопасного входа. В нем так же есть уязвимости.
А про какой именно вы VPN и какие именно уязвимости имеете в виду?
Просто, знаете, реализации TLS тоже не застрахованы от уязвимостей. И в SSH. Но почему-то «перестал быть точкой безопасного входа» именно VPN, построенный ровно на тех же самых криптографических принципах.
Сразу могу вспомнить кучу дыр в vpn шлюзах cisco и palo alto, про наши гост шлюзы ни кто не напишет. Но и там они есть. Самое надежное это открытое ПО с открытым аудитом. Потому что как показала практика, владельцам закрытого ПО как то все равно на продукт. В лучшем случае обновят, в так себе будут отрицать, потом обновят, в худшем скажут оборудование устарело, купи новое, привет dlink.
<обязательный в таких темах коммент про терморектальный криптоанализ>
Надежно аутентифицировать устройство можно, сгенерировав сертификат в неизвлекаемом хранилище. Для этого подходит Secure Enclave в устройствах Apple и TPM для остальных устройств.
Я, конечно, не настоящий сварщик, но доверять закрытым продуктам и называть это нулевым доверием это как-то не по-Столлмановски. Получается, с вашей точки зрения нельзя доверять железякам у которых 100% FOSS.
Вот все так красиво поют про этот Zero Trust уже много лет, я читаю эти статьи, и нигде нет никакой конкретики. Что делать админу, а не разработчику? Можно ли обойтись без отдела безопасности хотя бы для минимального внедрения? Какой набор инструментов внедрить хотя бы на уровне тестового стенда? Есть ли такой набор в виде open-source и бесплатно, чтобы начать осваивать концепцию без вложения триллионов денег? Какой смысл писать руками правила для siem, когда угроз в минуту появляется больше, чем минут в моем рабочем дне? И главное, вот мы увнедрялись и упроверялись, а на ноуте разраба еще до всех наших внедрений сидел легитимный инструмент, переделанный под RAT и от его имени все наши zerotrust операторы этого RAT будут иметь и посмеиваться над гигантскими усилиями, которые они обошли.
Вот я поставил Wazuh или AlienVault. реализовал двойную проверку при подключениях Vpn (девайса и пользователя), антивирусы-шмантивирусы, а потом оказывается, что в моем nextgen-файрволле RCE и опять над моими усилиями будет смеяться школота, которая только и сделала, что скачала и запустила эксплоит с гитхаба.
Я не утверждаю, что эта концепция неправильная, или эти усилия не нужны, но это приблизительно милионная статья целиком из воды на эту тему. Дайте пошаговое руководство и примеры внедрения в реальных компаниях среднего размера. А перетирать про абстракции который год подряд смысла нет.
Извините, накипело.
А что если мы не только хотим знать, кто к нам пришел, но и узнать насколько пришедшее устройство защищено?
Это называется «аппаратная аттестация» и невозможно без аппаратных зондов, заложенных настолько глубоко, что без атомного микроскопа не дотянуться. Эппл такое любит и давно практикует в мобильных устройствах, но начиная с M-серии оно просочилось на десктоп. И хоть оно секьюрно просто до невозможности, мне почему-то ужасно не хочется торопиться в это светлое будущее.
это переизобретение RADIUS?
Zerotrust по-пацански