Ano ang zero trust sa madaling salita?

Ang zero trust ay isang paraan ng pag-set up ng teknolohiya na sinisiyasat ang access sa tuwing may papasok, batay sa kung sino ang user, anong device ang ginagamit nila, kung ano ang sinusubukan nilang puntahan, at kung may anumang mukhang kakaiba.

Sa madaling salita, ibig sabihin nito, “huwag basta ipagpalagay, laging beripikahin.” Maaaring payagang gumamit ang isang staff ng email at payroll, ngunit hindi ang sistema ng camera sa silid ng server o ang folder ng pagbabangko ng may-ari. Maaaring payagang kumonekta ang isang laptop kung updated at may proteksyon ito, ngunit hindi kung luma na, kulang sa security updates, o galing sa hindi pangkaraniwang lokasyon.

Hindi ibig sabihin nito na walang makakapagtrabaho. Ibig sabihin, nakakakuha ang mga tao ng access na talagang kailangan nila—sa pinakaligtas na praktikal na paraan. Para sa isang maliit na negosyo, ang zero trust ay kadalasang mas tungkol sa paglalagay ng ilang makabuluhang tuntunin kaysa sa pagbili ng iisang malaking produkto.

Maraming maliliit na negosyo ang umaasa pa rin sa lumang palagay: anumang nasa loob ng opisina, o sinuman na may password, ay malamang na ligtas. Mas makabuluhan iyon noon, noong ang trabaho ay nangyayari sa isang gusali at sa ilang desktop computer.

Ngayon, nagtatrabaho ang mga tao mula sa bahay, sa mga telepono, laptop, tablet, cloud app, at shared files. Maaaring remote na lumalogin ang mga vendor. Maaaring aprubahan ng mga may-ari ang mga pagbabayad habang nasa biyahe. Kapag may nakaw na password, o mahina ang isang device, puwedeng maging mas malaking problema ang malawak na access.

Tinutulungan ng zero trust na limitahan ang risk na iyon. Maaari nitong bawasan kung gaano kalayo ang kayang maikalat ng pagkakamali, nakaw na password, o infected na device. Wala namang tapat na provider na nangangakong hindi ma-hack ang network, pero ang mas maayos na rules sa access ay puwedeng gawing mas maliit at mas madaling kontrolin ang mga pang-araw-araw na problema.

Nakakatulong din ito sa basic na disiplina sa negosyo. Kapag malinaw ang pag-aayos ng access, mas madaling i-onboard ang mga bagong empleyado, alisin ang access kapag may umalis, at makita kung sino ang dapat pinapayagang gumamit ng aling mga system.

Ang praktikal na zero trust setup kadalasan nagsisimula sa identity. Ibig sabihin, kumpirmahin kung sino talaga ang tao bago sila makapasok sa email, files, accounting, o line-of-business apps. Karaniwang hakbang ang MFA, o multi-factor authentication, na humihingi ng pangalawang patunay tulad ng code, prompt sa app, o security key—kasama ng password.

Ang susunod ay device trust. Puwedeng kailanganin ng isang negosyo na matugunan ng mga laptop at telepono ang ilang pamantayan bago sila makakonekta. Halimbawa, dapat updated ang device, may disk encryption, at may security software. May maririnig kang salitang endpoint, na ang ibig sabihin ay user device tulad ng laptop, desktop, phone, o tablet.

Pagkatapos, nililimitahan ang access ayon sa role. Dapat ang staff ay makakuha ng pinakamababang access na kailangan para sa kanilang trabaho. Madalas itong tinatawag na least privilege. Hindi kailangan ng bookkeeper ang parehong permissions gaya ng operations manager. Ang isang dating empleyado ay hindi dapat may access pa rin sa shared folders pagkalipas ng anim na buwan.

May isa pang bahagi: tuloy-tuloy na pagsusuri. Maaaring kabilang dito ang patching, na nangangahulugan ng paglalapat ng software at security updates; logging; alerts; at mga patakarang humaharang sa mga sign-in na mukhang hindi pangkaraniwan. Ang ilang managed IT provider ay gumagamit din ng EDR, o endpoint detection and response, na software na nagbabantay sa mga business device para sa kahina-hinalang galaw at tumutulong sa pag-imbestiga o pag-kontrol ng mga problema.

Ang magandang zero trust ay hindi dapat parang maze. Dapat malinaw, dokumentado, at akma sa paraan ng pagtatrabaho ng iyong team. Dapat alam ng staff kung paano sila maglo-login, kailan kailangan ang MFA, anong apps ang puwede nilang gamitin, at ano ang gagawin kapag nawala o napalitan ang isang device.

Karaniwang kasama sa maayos na setup ang hiwalay na accounts para sa admin work, mas kaunting shared logins, at mabilis na pag-alis ng access kapag nagbago ang role. Dapat mas mahigpit ang kontrol sa mga sensitibong system tulad ng payroll, banking, customer records, o medikal na impormasyon kaysa sa isang pangkalahatang shared drive.

Maganda rin ito kapag tumutugma sa negosyo mo. Ang isang opisina na may 12 tao ay hindi kailangang magkaroon ng parehong setup gaya ng isang kumpanyang may 200 empleyado na may maraming lokasyon. Nag-iiba ang requirements ayon sa industry at estado. Kung humahawak ka ng impormasyon sa healthcare, maaaring mahalaga ang HIPAA, o Health Insurance Portability and Accountability Act. Kung tumatanggap ka ng payment cards, maaaring mahalaga ang PCI, o Payment Card Industry Data Security Standard. Ang ilang customer ay maaari ring magtanong tungkol sa SOC 2, na karaniwang framework ng pag-uulat para sa kung paano hinahawakan ng isang kumpanya ang mga security controls.

Kung nagtatrabaho ka sa managed IT provider, na tinatawag ding MSP, magtanong kung paano nila tinatapatan ang identity, pamantayan ng device, access reviews, at offboarding. Itanong kung ano ang unang irerekomenda nila, ano ang puwedeng ipagpaliban, at ano ang talagang praktikal para sa laki ng iyong negosyo.

Ang zero trust ay hindi iisang magic product. Kung may magpapakita nito na ganoon, mag-ingat. Ito ay isang strategy na binubuo ng mga polisiya, settings, tools, at mga gawi.

Hindi rin ito katulad ng pag-block ng lahat. Ang magandang approach ay balansehin ang kaligtasan at produktibidad. Kung hindi makakapagtrabaho ang team mo nang regular nang walang palaging exceptions, malamang kailangan ng ayos ang setup.

Hindi lang ito para sa malalaking enterprise. Puwing gamitin ng maliliit at mid-sized na negosyo ang parehong pangunahing ideya sa mas simple na anyo. Madalas, ang mga unang hakbang ay diretso lang: mas matitibay na sign-in rules, mas malinis na user access, mas mahusay na pamantayan sa device, at mas kaunting shared accounts.

Kung sinusubukan mong maintindihan ang mga opsyon, magbasa pa ng mga sagot na plain-English o tingnan ang mga paksa ng managed IT service. Kung gusto mo ng tulong sa paghahanap ng independiyenteng provider na kakausapin, makipag-match. Ang NodeBridge IT ay libreng matching service. Hindi namin ine-manage, ine-monitor, ine-secure, ine-repair, o ine-access ang iyong mga system.