Zašto Zero Trust često puca na sloju mrežnog saobraćaja
Autor u ovom opinion tekstu tvrdi da mnoge Zero Trust inicijative izgledaju dobro na papiru, ali padaju tamo gde saobraćaj stvarno ulazi i kreće se kroz okruženje. Fokus je na slabostima u ingress tačkama, load balancerima, API gateway-ima, TLS politici, validaciji zahteva i east-west komunikaciji između servisa. Poenta teksta je da identitet, MFA i politike nisu dovoljni ako je enforcement na traffic layer-u nedosledan, rasut između više timova i opterećen izuzecima i starim konfiguracijama.
U praksi se ovde vidi stari problem: bezbednosna strategija može da bude ispravna, a da operativna izvedba ipak ostavi otvorena sporedna vrata. Za firme je ovo važno zato što se stvarna kontrola ne završava na login ekranu, već na načinu na koji se svaki zahtev prima, usmerava, proverava i prati kroz sistem.
- Mapirati sve ulazne tačke ka aplikacijama, uključujući CDN, load balancere, stare endpoint-e i API-je
- Ujednačiti TLS politiku i ukloniti zastarele protokole, slabe cipher-e i ad hoc izuzetke
- Definisati jasan ownership između mrežnih, bezbednosnih i aplikativnih timova za ingress i service-to-service saobraćaj
- Uvesti doslednu validaciju i normalizaciju zahteva pre nego što dođu do aplikativne logike
- Obezbediti end-to-end vidljivost kako bi tokom incidenta moglo da se utvrdi kojim putem je zahtev prošao