زمان تخمینی مطالعه: 9 دقیقه 

امنیت اعتماد صفر (Zero Trust) یکی از پارادایم‌های اصلی دنیای امنیت و فناوری اطلاعات است و بر مبنای این اصل کار می‌کند که هر کاربر و دستگاهی که قصد اتصال به یک شبکه خصوصی و استفاده از منابع آن‌را دارد، باید به شکل دقیقی احراز هویت شود. نکته مهم این است که مهم نیست فرد درون سازمان مشغول به کار است یا خارج از سازمان قصد اتصال به شبکه سازمانی را دارد. در هر دو حالت، قبل از دسترسی به منابع باید احراز هویت شود و جالب آن‌‌که فرآیند فوق هر زمان که فرد قصد دسترسی به منابع سازمانی را دارد، تکرار می‌شود. امنیت اعتماد صفر مبتنی بر اصول و فناوری‌های مختلفی مثل ZTNA است که نقش مهمی در موفقیت این خط‌مشی دارند. به طور کلی، اعتماد صفر رویکرد جامعی به امنیت شبکه دارد که در این مقاله به شکل اجمالی به بررسی آن خواهیم پرداخت.

شبکه‌های سنتی فناوری‌اطلاعات به هر فرد و هر دستگاه درون سازمانی اعتماد دارند و اجازه دسترسی به منابع را می‌دهند، در حالی‌که در معماری اعتماد صفر به هیچ‌کس و هیچ دستگاهی اعتماد نمی‌شود. امنیت شبکه‌های سنتی فناوری‌اطلاعات الگویی شبیه به قلعه و خندق دارند. در امنیت قلعه و خندق، دسترسی از خارج از شبکه دشوار است، اما همه افراد داخل شبکه به طور پیش‌فرض قابل اعتماد در نظر گرفته می‌شوند. مشکل رویکرد فوق این است که به محض این‌که مهاجم به شبکه دسترسی پیدا کند، کنترل همه چیز را به‌دست می‌آورد و به منابع مختلفی دسترسی خواهد داشت.

آسیب‌پذیری در سامانه‌های امنیتی مبتنی بر الگوی قلعه و خندق با این واقعیت تشدید می‌شوند که شرکت‌ها دیگر داده‌های خود را در یک مکان واحد نگه‌داری نمی‌کنند. امروزه، اطلاعات بیشتر سازمان‌ها در زیرساخت‌های ابری شرکت‌های مختلف میزبانی شده است که همین مساله داشتن یک کنترل امنیتی واحد برای کل شبکه را دشوارتر می‌کند.

امنیت اعتماد صفر بر غلبه بر این مشکل پدید آمده و به این معنا است که هیچ کس به طور پیش‌فرض از داخل یا خارج از شبکه قابل اعتماد نیست و تایید همه افرادی که سعی در دسترسی به منابع موجود در شبکه دارند ضروری است. این لایه امنیتی مضاعف در عمل نشان داده که قادر است به میزان قابل‌توجهی مانع بروز نقض‌های داده‌ای شود. مطالعات انجام شده نشان می‌دهند که میانگین هزینه یک نقض اطلاعات برای برخی از سازمان‌های بزرگ بیش از 3 میلیون دلار است. با در نظر گرفتن این رقم، جای تعجب نیست که بسیاری از سازمان‌ها اکنون به سراغ اتخاذ خط‌مشی‌های امنیت مبتنی بر اعتماد صفر رفته‌اند.

اعتماد صفر ( Zero Trust ) بر مبنای چه اصولی استوار شده است؟

از مهم‌ترین و کلیدی‌ترین اصول به موارد زیر باید اشاره کرد:

نظارت و اعتبار‌سنجی مستمر

معماری شبکه مبتنی بر اعتماد صفر فرض می‌کند که مهاجمانی داخل و خارج از شبکه وجود دارند، بنابراین به هیچ کاربر یا ماشینی نباید به طور خودکار اعتماد کرد. اعتماد صفر هویت و امتیازات کاربر و همچنین هویت و امنیت دستگاه‌ها را تایید می‌کند، زمان ورود و اتصالات را به شکل دوره‌ای پس از ایجاد، خاتمه می‌دهد و کاربران و دستگاه‌ها را مجبور می‌کند که به طور مداوم هویت خود را به اثبات برسانند.

کم‌ترین امتیاز

یکی دیگر از اصول کلیدی امنیتی مبتنی بر اعتماد صفر دسترسی با حداقل امتیاز است. به بیان دقیق‌تر، به کاربران تنها بر مبنای شرح وظایف و مسئولیتی که دارند اجازه دسترسی به منابع داده می‌شود. این درست شبیه به استراتژی‌های جنگی است که یک ژنرال ارتش در مقایسه با سربازان به اطلاعات بیشتر و کلیدی‌تری دسترسی دارد. راهکار فوق باعث می‌شود تا کاربران عادی یک سازمان به بخش‌های حساس و کلیدی شبکه دسترسی نداشته باشند.

اجرای مکانیزم دسترسی بر مبنای حداقل امتیاز، مستلزم مدیریت دقیق مجوزهای کاربر است. همچنین، به این نکته دقت کنید که اگر قصد پیاده‌سازی استراتژی فوق را دارید نباید از VPNها استفاده کنید، زیرا VPNها یک کانال ارتباطی برای دسترسی به کل شبکه پیاده‌سازی می‌کنند که در تضاد به رویکرد حداقل امتیاز است.

کنترل دسترسی دستگاه

اعتماد صفر علاوه بر کنترل‌های دسترسی کاربر، به کنترل‌های دقیق دسترسی به دستگاه نیاز دارد. سامانه‌های اعتماد صفر باید بر دستگاه‌های مختلف که قصد دسترسی به شبکه را دارند، نظارت داشته باشند و اطمینان حاصل کنند که هر دستگاه مجاز به شبکه متصل خواهد شد. همچنین، همه دستگاه‌ها باید به دقت ارزیابی شوند تا اطمینان حاصل شود که آلوده به بدافزار یا مشکلات امنیتی نیستند. راهکار فوق نرخ حمله‌های موفقیت‌آمیز به شبکه را به حداقل می‌رساند.

شکستن یک شبکه واحد به شبکه‌های کوچک‌تر

شبکه‌های اعتماد صفر به شکل گسترده‌ای از راهکار Micro segmentation استفاده می‌کنند. راهکار فوق به این معنا است که یک شبکه واحد به شبکه‌های کوچک‌تری شکسته می‌شود و هر یک محیط‌های امنیتی مخصوص به خود را دارند. در این حالت، کاربران هر شبکه به منابع آن شبکه دسترسی خواهند داشت. برای مثال، مراکزداده بزرگ مبتنی بر شبکه‌های کوچک مختلفی هستند که هر یک میزبان داده‌های مختلفی هستند که درون مناطق امن قرار دارند. در این حالت، شخص یا برنامه‌ای که به یکی از آن مناطق دسترسی داشته باشد، بدون مجوز جداگانه نمی‌تواند به هیچ یک از مناطق دیگر دسترسی داشته باشد.

اجتناب از حرکت جانبی یا همان مارپیچی

در بحث امنیت شبکه، حرکت جانبی (lateral movement) زمانی است که یک مهاجم پس از دسترسی به شبکه داخل یک شبکه حرکت می‌کند. تشخیص حرکت جانبی ممکن است دشوار باشد حتی اگر نقطه ورود مهاجم کشف شود، زیرا ممکن است مهاجم به سایر قسمت‌های شبکه آسیب وارد کرده باشد.

اعتماد صفر به گونه‌ای طراحی شده است که مهاجمان را مهار کند تا نتوانند به صورت جانبی حرکت کنند. از آن‌جایی که دسترسی اعتماد صفر بر بخش‌بندی شبکه تاکید خاصی دارد و باید به‌صورت دوره‌ای دسترسی‌ها تمدید شوند، مهاجم نمی‌تواند به ریزشبکه‌های مختلف دسترسی داشته باشد. در این حالت، هنگامی که حضور مهاجم شناسایی شد، دستگاه یا حساب کاربری در معرض خطر را می‌توان قرنطینه کرد و دسترسی آن حساب به شبکه را قطع کرد. در رویکرد سنتی امنیت مدل قلعه و خندق، اگر حرکت جانبی برای مهاجم امکان‌پذیر باشد، قرنطینه کردن دستگاه یا کاربر آسیب‌دیده تاثیر چندانی ندارد، زیرا مهاجم قبلا به بخش‌های دیگر شبکه آسیب وارد کرده است.

احراز هویت چند عاملی (MFA)

احراز هویت چند عاملی (Multi-factor authentication) یکی دیگر از اصول قدرتمندی است که اعتماد صفر بر مبنای آن کار می‌کند. احراز هویت چند عاملی به‌معنای نیاز به بیش از یک مدرک برای احراز هویت کاربر است. به بیان دقیق‌تر، تنها وارد کردن رمز عبور برای دسترسی کافی نیست. یکی از کاربردهای رایج MFA، مجوز دو عاملی (2-factor authorization) است که پلت‌فرم‌های آن‌لاین مانند فیس‌بوک و گوگل از آن استفاده می‌کنند. کاربرانی که 2FA را برای این سرویس‌ها فعال می‌کنند، علاوه بر وارد کردن رمز عبور، باید کدی را نیز وارد کنند که به دستگاه دیگری مانند تلفن همراه ارسال می‌شود، بنابراین دو مدرک نشان می‌دهد که آن‌ها همان شخصی هستند که ادعا می‌کنند.

اعتماد صفر ( Zero Trust ) چه مزایایی برای شرکت‌ها به‌همراه دارد؟

اعتماد صفر به‌عنوان راهکار نوینی برای محافظت از محیط‌های مدرن فناوری‌اطلاعات شناخته می‌شود که قادر به حل مشکلات مختلفی است که رویکردهای امنیتی سنتی قادر به حل آن‌ها نیستند. با چنین طیف وسیعی از کاربران و دستگاه‌هایی که به داده‌های داخلی دسترسی دارند، و با داده‌هایی که هم داخل و هم خارج از شبکه (در فضای ابری) ذخیره می‌شوند، بسیار ایمن‌تر است که فرض کنیم هیچ کاربر یا دستگاهی قابل اعتماد نیست تا این‌که فرض کنیم اقدامات امنیتی پیشگیرانه همه آسیب‌‌پذیری‌ها و رخته‌ها را بسته‌اند.

مزیت اصلی استفاده از اصول اعتماد صفر کاهش حمله به شبکه‌های سازمانی است. علاوه بر این، اعتماد صفر با محدود کردن نفوذ به یک منطقه کوچک از طریق ریزشبکه‌ها، آسیب را در هنگام وقوع حمله به حداقل می‌رساند که هزینه بازیابی را نیز کاهش می‌دهد. اعتماد صفر تاثیر سرقت اطلاعات کاربری و حملات فیشینگ را با الزام کاربران به استفاده از مکانیزم احراز هویت چند عاملی کاهش می‌دهد. رویکرد فوق به از بین بردن تهدیدهایی کمک می‌کند که مکانیزم‌های سنتی محیط‌گرا قادر به دفع آن‌ها نیستند.

هنگامی‌که کاربر یا دستگاهی درخواست دسترسی به منبعی را صادر می‌کند، امنیت اعتماد صفر خطر ناشی از دستگاه‌های آسیب‌پذیر و به ویژه اینترنت چیزها را به میزان قابل‌توجهی کاهش می‌دهد و به کارشناسان شبکه و امنیت فرصت کافی برای امن‌سازی و به‌روزرسانی تجهیزات را می‌دهد.

دسترسی به شبکه اعتماد صفر (ZTNA) چیست؟

دسترسی به شبکه مبتنی بر اعتماد صفر (ZTNA) سرنام Zero Trust Network Access، فناوری امنیتی قدرتمندی است که سازمان‌ها را قادر می‌سازد امنیت اعتماد صفر را به بهترین شکل پیاده‌سازی کنند. ZTNA مانند عملکردی شبیه به شبکه‌های محیط نرم‌افزار محور (SDP) سرنام software-defined perimeter  دارد که بخش عمده‌ای از زیرساخت‌ها و خدمات را از دید کاربران پنهان می‌کنند و ارتباطات رمزگذاری شده یک به یک را بین دستگاه‌ها و منابع مورد نیاز برقرار می‌کنند.

منبع: cloudflare.com

بخوانید: چگونه امنیت تجهیزات اینترنت چیزها را تامین کنیم؟