شبکه Zero Trust چیست؟
Zero Trust یک مدل امنیتی مبتنی بر اصل حفظ کنترلهای دسترسی و عدم اعتماد پیشفرض به کسی، حتی کسانی که در حال حاضر در محیط شبکه هستند است. سناریویی را تصور کنید که در آن همه افراد ساکن در یک شهر، یک دفترچه تلفن با شماره تلفن همه ساکنین دیگر دارند و هر کسی میتواند با هر شمارهای تماس بگیرد. حال سناریویی را تصور کنید که در آن هر فرد یک شماره تلفن اختصاصی دارد که در دسترس همگان نیست و برای تماس با افراد دیگر، باید شماره تلفنشان را از خودشان بخواهد. این سناریوی دوم چند مزیت را ارائه میکند که شامل حذف تماسهای ناخواسته، تماسهای تصادفی با شخص اشتباه و کاهش احتمال مزاحمت میشود؛ این مشابه همان چیزی است که شبکه Zero Trust ارائه میکند.
امنیت Zero Trust چیست؟
امنیت Zero Trust یک مدل امنیتی فناوری اطلاعات است که برای هر شخص یا دستگاهی که سعی میکند به منابع موجود در شبکه خصوصی دسترسی پیدا کند، نیاز به تایید هویت دقیق دارد. این کار با صرف نظر از اینکه شخص یا دستگاه در محیط شبکه هستند یا خارج از آن انجام میشود. Zero Trust Network Access یا ZTNA، فناوری اصلی مرتبط با معماری Zero Trust است. اما Zero Trust یک رویکرد جامع برای امنیت شبکه است که چندین اصل و فناوری مختلف را در بر میگیرد.
به بیان ساده تر، امنیت شبکه سنتی فناوری اطلاعات به هر کسی و هر چیزی که داخل شبکه قرار دارد اعتماد میکند. در سمت مقابل آن، معماری Zero Trust به هیچ کس و هیچ چیز اعتماد ندارد! امنیت شبکه سنتی فناوری اطلاعات مبتنی بر مفهوم Castle-and-Moat است. در امنیت Castle-and-Moat، دسترسی از خارج از شبکه دشوار است، اما همه افراد داخل شبکه به طور پیشفرض قابل اعتماد در نظر گرفته میشوند و دسترسی دائمی دارند. مشکلی که این رویکرد ایجاد میکند، این است که برای هر فردی که اجازه دسترسی را دریافت کرده است، امکان کنترل آزادانه بر هر چیزی که داخل شبکه قرار دارد فراهم است؛ این فرد میتواند یک مهاجم باشد!
آسیبپذیری ذکر شده در مورد سیستمهای امنیتی Castle-and-Moat با این واقعیت که همه دادههای شرکتها در یک محل واحد ذخیره نمیشوند تشدید هم میشود. امروزه، اطلاعات شرکتها اغلب در میان فروشندگان و شعب مختلف، به کمک فضاهای ابری پخش میشود و همین امر، داشتن یک کنترل امنیتی واحد برای کل شبکه را دشوارتر میکند. امنیت Zero Trust به این معنی است که هیچ کس به طور پیشفرض از داخل یا خارج از شبکه قابل اعتماد نیست و همه افرادی که تلاش میکنند به منابع موجود در شبکه دسترسی پیدا کنند، نیاز به دریافت تاییدیه دارند. این لایه امنیتی مضاعف، به شکل چشمگیری از نقض اطلاعات جلوگیری میکند. مطالعات نشان دادهاند که میانگین هزینه فقط یک مورد از نقض اطلاعات، بیش از ۳ میلیون دلار است. با در نظر گرفتن این رقم، جای تعجب نیست که بسیاری از سازمانها مشتاق به اتخاذ یک سیاست امنیتی Zero Trust شدهاند.
اصول امنیت Zero Trust چیست؟
نظارت و اعتبارسنجی مستمر
شبکه Zero Trust فرض میکند که چه در داخل و چه در خارج شبکه مهاجمانی وجود دارند. بنابراین به هیچ کاربر یا ماشینی نباید به طور پیشفرض اعتماد کرد. Zero Trust هویت، امتیازات و امنیت کاربران و دستگاهها را تایید میکند. زمان ورود و دسترسیها، پس از ایجاد باز هم به صورت دورهای منقصی میشوند و کاربران و دستگاهها را مجبور میکند که به طور مداوم برای حفظ دسترسی، مجددا تاییدیه دریافت کنند.
کمترین مزایا
یکی دیگر از اصول Zero Trust، ایجاد دسترسی با کمترین مزایا است. این بدان معناست که به کاربران تنها به اندازهای که نیاز دارند، دسترسی داده شود؛ درست مثل یک ژنرال ارتش که به سربازانش فقط به اندازه نیاز اطلاعات میدهد. با چنین سیاستی، میزان قرار گرفتن بخشهای حساس شبکه در اختیار کاربران به حداقل میزان ممکن میرسد. اجرای سیاست کمترین مزایا، مستلزم مدیریت دقیق مجوزهای کاربر است. شاید اولین راه حلی که به ذهن میرسد استفاده از VPN باشد. اما VPNها برای چنین رویکری که قرا است حداقل مزایا را در نظر بگیرد مناسب نیستند؛ زیرا ورود به VPN به کاربر امکان دسترسی به کل شبکه را میدهد و این با هدف مورد نظر کاملا در تضاد است.
کنترل دسترسی دستگاه
در شبکه Zero Trust علاوه بر کنترل دسترسی کاربر، به کنترل دقیق دسترسی دستگاه نیز نیاز است. سیستمهای Zero Trust باید بر تعداد دستگاههای مختلفی که در تلاش برای دسترسی به شبکه هستند نظارت داشته باشند و از مجاز بودن درخواست آنها اطمینان حاصل کنند. با ارزیابی همه دستگاهها و اطمینان از ایمن و مجاز بودن آنها میزان حمله به شبکه به حداقل میرسد.
میکرو سگمنتیشن
شبکههای Zero Trust از میکرو سگمنتیشن استفاده میکنند؛ روشی که در آن محیطهای امنیتی به بخشهای کوچک تقسیم میشوند تا برای هر بخش دسترسی جداگانه صادر شود. این روش به حفظ امنیت شبکه کمک شایانی میکند. به عنوان مثال، شبکهای با فایلهایی که در یک مرکز داده ذخیره میشوند و از میکرو سگمنتیشن استفاده میکند ممکن است شامل دهها منطقه مجزا و امن باشد. شخص یا برنامهای که به یکی از مناطق دسترسی داشته باشد، بدون مجوز جداگانه نمیتواند به هیچ یک از مناطق دیگر دسترسی پیدا کند و برای این کار نیاز به تایید صلاحیت مجدد دارد.
جلوگیری از حرکت عرضی
در امنیت شبکه، حرکت عرضی به حالتی گفته میشود که یک مهاجم پس از دسترسی به شبکه، در داخل آن حرکت میکند و به بخشهای مختلف دسترسی پیدا میکند. تشخیص حرکت عرضی ممکن است حتی در صورت کشف نقطه ورود مهاجم هم سخت باشد. زیرا مهاجم صرفا از یک نقطه وارد میشود و به سایر بخشهای شبکه آسیب میزند. Zero Trust به گونهای طراحی شده که جلوی حرکت عرضی مهاجمان را بگیرد. از آنجایی که در Zero Trust از میکرو سگمنتیشن استفاده میشود و مجوز دسترسی باید به طور دورهای تجدید شود، مهاجم نمیتواند به بخشهای دیگر شبکه دسترسی پیدا کند. در شرایطی که حضور مهاجم شناسایی شد، میتوان دستگاه یا حساب کاربری در معرض خطر را قرنطینه کرد و در واقع دسترسی به آن را قطع کرد. در مدل Castle-and-Moat، اگر حرکت جانبی برای مهاجم امکانپذیر باشد، قرنطینه کردن دستگاه یا کاربری که بیشترین میزان آسیبدیدگی را داشته هم تاثیر چندانی ندارد؛ چون که مهاجم به احتمال زیاد به بخشهای دیگر شبکه دسترسی پیدا کرده است.
احراز هویت چند عاملی (MFA)
احراز هویت چند عاملی (MFA) یکی از فاکتورهای امنیتی اصلی Zero Trust است. احراز هویت چند عاملی به معنای نیاز به بیش از یک مدرک برای احراز هویت کاربر است و صرف وارد کردن رمز عبور برای دسترسی کافی نخواهد بود. یکی از کاربردهای رایج MFA مجوز دو عاملی است که در پلتفرمهای آنلاین مانند فیسبوک و گوگل هم استفاده میشود. کاربرانی که مجور دو عاملی را برای این سرویسها فعال میکنند، علاوه بر وارد کردن رمز عبور، باید کد ارسال شده به دستگاه دیگری که عموما تلفن همراه است هم وارد کنند. با این حساب، دو مدرک مختلف اثبات میکند که درخواست از سمت همان شخصی است که درخواست صدور مجوز ورود داشته است.
مقاله پیشنهادی: “فایروال FortiGate چیست؟ آشنایی با محصول امنیتی Fortigate“
تاریخچه امنیت Zero Trust چیست؟
اصطلاح Zero Trust توسط یک تحلیلگر در Forrester Research Inc در سال ۲۰۱۰ و زمانی که مدل مفهومی برای اولین بار ارائه شد ابداع شد. چند سال بعد، گوگل اعلام کرد که امنیت Zero Trust را در شبکه خود پیادهسازی کرده که منجر به افزایش علاقه و پذیرش آن در جامعه فناوری شد. در سال ۲۰۱۹، گارتنر، یک شرکت تحقیقاتی و مشاوره جهانی، دسترسی امنیتی Zero Trust را به عنوان یکی از اجزای اصلی Secure Access Service Edge فهرست کرد.
Zero Trust Network Access چیست؟
Zero Trust Network Access یا به اختصار ZTNA، فناوری اصلی است که سازمانها را قادر میسازد امنیت Zero Trust را پیادهسازی کنند. شبیه به یک محیط نرمافزاری تعریفشده (SDP)، ZTNA زیرساختها و خدمات را پنهان کرده و ارتباطات رمزنگاریشده بین دستگاهها و منابع مورد نیاز را فراهم میکند.
جمعبندی: چرا باید از Zero Trust استفاده کنیم؟
اجرای این چارچوب، با استفاده از فناوریهای پیشرفتهای مانند احراز هویت چند عاملی، افزایش ایمنی سازمانی را با مدیریت سختگیرانه دسترسیها فراهم میکند. در Zero Trust، بر خلاف سیستمهای امنیت شبکه سنتی، اعطای دسترسی فقط با تایید صورت میپذیرد. رویکرد سنتی به طور خودکار به کاربران در محدوده سازمان اعتماد میکند و سازمان را در معرض خطر عوامل مخرب قرار میدهد. سیستمهای سنتی میتوانند به حسابهای غیرمجاز و در خطر هم دسترسی دهند. اما در Zero Trust حتی پس از دسترسی دادن، این پروسه در بازههای مشخصی مجددا تکرار میشود و هیچ دسترسیای همیشگی نیست.
