زمان تخمینی مطالعه: 9 دقیقه
امنیت اعتماد صفر (Zero Trust) یکی از پارادایمهای اصلی دنیای امنیت و فناوری اطلاعات است و بر مبنای این اصل کار میکند که هر کاربر و دستگاهی که قصد اتصال به یک شبکه خصوصی و استفاده از منابع آنرا دارد، باید به شکل دقیقی احراز هویت شود. نکته مهم این است که مهم نیست فرد درون سازمان مشغول به کار است یا خارج از سازمان قصد اتصال به شبکه سازمانی را دارد. در هر دو حالت، قبل از دسترسی به منابع باید احراز هویت شود و جالب آنکه فرآیند فوق هر زمان که فرد قصد دسترسی به منابع سازمانی را دارد، تکرار میشود. امنیت اعتماد صفر مبتنی بر اصول و فناوریهای مختلفی مثل ZTNA است که نقش مهمی در موفقیت این خطمشی دارند. به طور کلی، اعتماد صفر رویکرد جامعی به امنیت شبکه دارد که در این مقاله به شکل اجمالی به بررسی آن خواهیم پرداخت.
شبکههای سنتی فناوریاطلاعات به هر فرد و هر دستگاه درون سازمانی اعتماد دارند و اجازه دسترسی به منابع را میدهند، در حالیکه در معماری اعتماد صفر به هیچکس و هیچ دستگاهی اعتماد نمیشود. امنیت شبکههای سنتی فناوریاطلاعات الگویی شبیه به قلعه و خندق دارند. در امنیت قلعه و خندق، دسترسی از خارج از شبکه دشوار است، اما همه افراد داخل شبکه به طور پیشفرض قابل اعتماد در نظر گرفته میشوند. مشکل رویکرد فوق این است که به محض اینکه مهاجم به شبکه دسترسی پیدا کند، کنترل همه چیز را بهدست میآورد و به منابع مختلفی دسترسی خواهد داشت.
آسیبپذیری در سامانههای امنیتی مبتنی بر الگوی قلعه و خندق با این واقعیت تشدید میشوند که شرکتها دیگر دادههای خود را در یک مکان واحد نگهداری نمیکنند. امروزه، اطلاعات بیشتر سازمانها در زیرساختهای ابری شرکتهای مختلف میزبانی شده است که همین مساله داشتن یک کنترل امنیتی واحد برای کل شبکه را دشوارتر میکند.
امنیت اعتماد صفر بر غلبه بر این مشکل پدید آمده و به این معنا است که هیچ کس به طور پیشفرض از داخل یا خارج از شبکه قابل اعتماد نیست و تایید همه افرادی که سعی در دسترسی به منابع موجود در شبکه دارند ضروری است. این لایه امنیتی مضاعف در عمل نشان داده که قادر است به میزان قابلتوجهی مانع بروز نقضهای دادهای شود. مطالعات انجام شده نشان میدهند که میانگین هزینه یک نقض اطلاعات برای برخی از سازمانهای بزرگ بیش از 3 میلیون دلار است. با در نظر گرفتن این رقم، جای تعجب نیست که بسیاری از سازمانها اکنون به سراغ اتخاذ خطمشیهای امنیت مبتنی بر اعتماد صفر رفتهاند.
اعتماد صفر ( Zero Trust ) بر مبنای چه اصولی استوار شده است؟
از مهمترین و کلیدیترین اصول به موارد زیر باید اشاره کرد:
نظارت و اعتبارسنجی مستمر
معماری شبکه مبتنی بر اعتماد صفر فرض میکند که مهاجمانی داخل و خارج از شبکه وجود دارند، بنابراین به هیچ کاربر یا ماشینی نباید به طور خودکار اعتماد کرد. اعتماد صفر هویت و امتیازات کاربر و همچنین هویت و امنیت دستگاهها را تایید میکند، زمان ورود و اتصالات را به شکل دورهای پس از ایجاد، خاتمه میدهد و کاربران و دستگاهها را مجبور میکند که به طور مداوم هویت خود را به اثبات برسانند.
کمترین امتیاز
یکی دیگر از اصول کلیدی امنیتی مبتنی بر اعتماد صفر دسترسی با حداقل امتیاز است. به بیان دقیقتر، به کاربران تنها بر مبنای شرح وظایف و مسئولیتی که دارند اجازه دسترسی به منابع داده میشود. این درست شبیه به استراتژیهای جنگی است که یک ژنرال ارتش در مقایسه با سربازان به اطلاعات بیشتر و کلیدیتری دسترسی دارد. راهکار فوق باعث میشود تا کاربران عادی یک سازمان به بخشهای حساس و کلیدی شبکه دسترسی نداشته باشند.
اجرای مکانیزم دسترسی بر مبنای حداقل امتیاز، مستلزم مدیریت دقیق مجوزهای کاربر است. همچنین، به این نکته دقت کنید که اگر قصد پیادهسازی استراتژی فوق را دارید نباید از VPNها استفاده کنید، زیرا VPNها یک کانال ارتباطی برای دسترسی به کل شبکه پیادهسازی میکنند که در تضاد به رویکرد حداقل امتیاز است.
کنترل دسترسی دستگاه
اعتماد صفر علاوه بر کنترلهای دسترسی کاربر، به کنترلهای دقیق دسترسی به دستگاه نیاز دارد. سامانههای اعتماد صفر باید بر دستگاههای مختلف که قصد دسترسی به شبکه را دارند، نظارت داشته باشند و اطمینان حاصل کنند که هر دستگاه مجاز به شبکه متصل خواهد شد. همچنین، همه دستگاهها باید به دقت ارزیابی شوند تا اطمینان حاصل شود که آلوده به بدافزار یا مشکلات امنیتی نیستند. راهکار فوق نرخ حملههای موفقیتآمیز به شبکه را به حداقل میرساند.
شکستن یک شبکه واحد به شبکههای کوچکتر
شبکههای اعتماد صفر به شکل گستردهای از راهکار Micro segmentation استفاده میکنند. راهکار فوق به این معنا است که یک شبکه واحد به شبکههای کوچکتری شکسته میشود و هر یک محیطهای امنیتی مخصوص به خود را دارند. در این حالت، کاربران هر شبکه به منابع آن شبکه دسترسی خواهند داشت. برای مثال، مراکزداده بزرگ مبتنی بر شبکههای کوچک مختلفی هستند که هر یک میزبان دادههای مختلفی هستند که درون مناطق امن قرار دارند. در این حالت، شخص یا برنامهای که به یکی از آن مناطق دسترسی داشته باشد، بدون مجوز جداگانه نمیتواند به هیچ یک از مناطق دیگر دسترسی داشته باشد.
اجتناب از حرکت جانبی یا همان مارپیچی
در بحث امنیت شبکه، حرکت جانبی (lateral movement) زمانی است که یک مهاجم پس از دسترسی به شبکه داخل یک شبکه حرکت میکند. تشخیص حرکت جانبی ممکن است دشوار باشد حتی اگر نقطه ورود مهاجم کشف شود، زیرا ممکن است مهاجم به سایر قسمتهای شبکه آسیب وارد کرده باشد.
اعتماد صفر به گونهای طراحی شده است که مهاجمان را مهار کند تا نتوانند به صورت جانبی حرکت کنند. از آنجایی که دسترسی اعتماد صفر بر بخشبندی شبکه تاکید خاصی دارد و باید بهصورت دورهای دسترسیها تمدید شوند، مهاجم نمیتواند به ریزشبکههای مختلف دسترسی داشته باشد. در این حالت، هنگامی که حضور مهاجم شناسایی شد، دستگاه یا حساب کاربری در معرض خطر را میتوان قرنطینه کرد و دسترسی آن حساب به شبکه را قطع کرد. در رویکرد سنتی امنیت مدل قلعه و خندق، اگر حرکت جانبی برای مهاجم امکانپذیر باشد، قرنطینه کردن دستگاه یا کاربر آسیبدیده تاثیر چندانی ندارد، زیرا مهاجم قبلا به بخشهای دیگر شبکه آسیب وارد کرده است.
احراز هویت چند عاملی (MFA)
احراز هویت چند عاملی (Multi-factor authentication) یکی دیگر از اصول قدرتمندی است که اعتماد صفر بر مبنای آن کار میکند. احراز هویت چند عاملی بهمعنای نیاز به بیش از یک مدرک برای احراز هویت کاربر است. به بیان دقیقتر، تنها وارد کردن رمز عبور برای دسترسی کافی نیست. یکی از کاربردهای رایج MFA، مجوز دو عاملی (2-factor authorization) است که پلتفرمهای آنلاین مانند فیسبوک و گوگل از آن استفاده میکنند. کاربرانی که 2FA را برای این سرویسها فعال میکنند، علاوه بر وارد کردن رمز عبور، باید کدی را نیز وارد کنند که به دستگاه دیگری مانند تلفن همراه ارسال میشود، بنابراین دو مدرک نشان میدهد که آنها همان شخصی هستند که ادعا میکنند.
اعتماد صفر ( Zero Trust ) چه مزایایی برای شرکتها بههمراه دارد؟
اعتماد صفر بهعنوان راهکار نوینی برای محافظت از محیطهای مدرن فناوریاطلاعات شناخته میشود که قادر به حل مشکلات مختلفی است که رویکردهای امنیتی سنتی قادر به حل آنها نیستند. با چنین طیف وسیعی از کاربران و دستگاههایی که به دادههای داخلی دسترسی دارند، و با دادههایی که هم داخل و هم خارج از شبکه (در فضای ابری) ذخیره میشوند، بسیار ایمنتر است که فرض کنیم هیچ کاربر یا دستگاهی قابل اعتماد نیست تا اینکه فرض کنیم اقدامات امنیتی پیشگیرانه همه آسیبپذیریها و رختهها را بستهاند.
مزیت اصلی استفاده از اصول اعتماد صفر کاهش حمله به شبکههای سازمانی است. علاوه بر این، اعتماد صفر با محدود کردن نفوذ به یک منطقه کوچک از طریق ریزشبکهها، آسیب را در هنگام وقوع حمله به حداقل میرساند که هزینه بازیابی را نیز کاهش میدهد. اعتماد صفر تاثیر سرقت اطلاعات کاربری و حملات فیشینگ را با الزام کاربران به استفاده از مکانیزم احراز هویت چند عاملی کاهش میدهد. رویکرد فوق به از بین بردن تهدیدهایی کمک میکند که مکانیزمهای سنتی محیطگرا قادر به دفع آنها نیستند.
هنگامیکه کاربر یا دستگاهی درخواست دسترسی به منبعی را صادر میکند، امنیت اعتماد صفر خطر ناشی از دستگاههای آسیبپذیر و به ویژه اینترنت چیزها را به میزان قابلتوجهی کاهش میدهد و به کارشناسان شبکه و امنیت فرصت کافی برای امنسازی و بهروزرسانی تجهیزات را میدهد.
دسترسی به شبکه اعتماد صفر (ZTNA) چیست؟
دسترسی به شبکه مبتنی بر اعتماد صفر (ZTNA) سرنام Zero Trust Network Access، فناوری امنیتی قدرتمندی است که سازمانها را قادر میسازد امنیت اعتماد صفر را به بهترین شکل پیادهسازی کنند. ZTNA مانند عملکردی شبیه به شبکههای محیط نرمافزار محور (SDP) سرنام software-defined perimeter دارد که بخش عمدهای از زیرساختها و خدمات را از دید کاربران پنهان میکنند و ارتباطات رمزگذاری شده یک به یک را بین دستگاهها و منابع مورد نیاز برقرار میکنند.
منبع: cloudflare.com
بدون دیدگاه