شبکه Zero Trust و چه اصولی آن

امنیت شبکه Zero Trust چیست و چه اصولی دارد؟

امنیت شبکه Zero Trust چیست و چه اصولی دارد؟

امنیت Zero Trust چیست ؟

 

Zero Trust security یک مدل از امنیت IT است که نیاز به تایید هویت دقیق برای هر شخص و دستگاهی دارد. به خصوص دستگاه هایی که سعی می کنند به منابع یک شبکه خصوصی دسترسی پیدا کند. با صرف نظر از اینکه آنها در داخل یا خارج از محیط شبکه نشسته اند. ZTNA فناوری اصلی مرتبط با معماری Zero Trust است. اما Zero Trust یک رویکرد جامع برای امنیت شبکه است که چندین اصل و فناوری مختلف را شامل می شود.

به بیان ساده تر: امنیت شبکه IT ستنی به هر کسی و هر چیزی در داخل شبکه اعتماد دارد. معماری Zero Trust به هیچ کس و هیچ چیز اعتماد ندارد.

امنیت شبکه IT سنتی بر اساس مفهوم castle-and-moat است. در امنیت castle-and-moat، دسترسی به خارج از شبکه دشوار است. اما به طور پیش فرض به همه افراد داخل شبکه اعتماد می شود. مشکل این رویکرد این است هنگامی که یک مهاجم به شبکه دسترسی پیدا می کند، اختیار کنترل همه چیز را در داخل شبکه دارد.

این آسیب پذیری در سیستم های امنیتی castle-and-moat، با این واقعیت تشدید می شود، که شرکت های دیگر داده های خود را فقط در یک مکان ندارند. امروزه اطلاعات اغلب در سراسر فروشندگان ابر منتشر می شود. این امر داشتن یک کنترل امنیتی واحد برای کل شبکه را دشوارتر می کند.

امنیت zero trust به این معناست که هیچ کس به طور پیش فرض از داخل یا خارج از شبکه مورد اعتماد قرار نمی گیرد. همچنین تایید صحت اطلاعات از هر کسی که سعی می کند به منابع شبکه دسترسی پیدا کند، ضروری است. این لایه امنیتی اضافی برای جلوگیری از نقض داده ها نشان داده شده است. مطالعات نشان داده است که هزینه متوسط یک داده نقض شده بیش از 3 میلیون دلار است. با در نظر گرفتن این رقم، نباید تعجب کرد که بسیاری از سازمان ها اکنون مشتاق اخذ سیاست امنیتی zero trust هستند.

 

اصول اصلی امنیت Zero Trust چیست ؟

 

نظارت و تایید مداوم

 

فلسفه پشت یک شبکه zero trust فرض می کند که مهاجمان در داخل و خارج از شبکه وجود دارند. بنابراین نباید به هیچ کاربر یا دستگاهی به طور خودکار اعتماد کرد. Zero Trust هویت و امتیازات کاربر و همچنین هویت و امنیت دستگاه را تایید می کند. ورود ها و اتصالات به صورت دوره ای پس از برقراری زمان، متوقف می شوند. سپس کاربران و دستگاه ها را مجبور می کند تا به طور مداوم دوباره تایید شوند.

 

حداقل امتیاز

 

یکی دیگر از اصول امنیت zero trust، دسترسی با حداقل امتیاز است. یعنی به کاربران تنها به اندازه نیاز خود دسترسی دهید. مانند یک ژنرال ارتش که اطلاعات سربازان را بر اساس نیاز اطلاع می دهد. با این کار قرار گرفتن هر کاربر در قسمت های حساس شبکه را به حداقل می رسد.

اجرای حداقل امتیاز، شامل مدیریت دقیق مجوز های کاربر است. VPN ها برای رویکردهای دارای حداقل امتیاز برای مجوز مناسب نیستند. زیرا ورود به VPN به کاربر امکان دسترسی به کل شبکه متصل را می دهد.

 

کنترل دسترسی دستگاه

 

Zero Trust علاوه بر کنترل دسترسی های کاربر، به کنترل های سخت افزاری برای دسترسی به دستگاه نیز نیاز دارد. سیستم های Zero Trust باید بر روی موارد زیر نظارت کنند:

 

  • چگونه بسیاری از دستگاه های مختلف، سعی می کنند به شبکه خود دسترسی داشته باشند.
  • اطمینان حاصل می کنند که هر دستگاه مجاز است.
  • همه دستگاه ها را ارزیابی میکنند تا مطمئن شوند که به خطر نیفتاده اند.

 

این امر سطح حمله شبکه را به حداقل می رساند.

 

تقسیم بندی ریز (Microsegmentation)

 

شبکه های Zero trust از تقسیم بندی های ریز استفاده می کنند. تقسیم بندی های ریز عمل تجزیه محیط های امنیتی به مناطق کوچک برای حفظ دسترسی جداگانه برای قسمت ها جداگانه شبکه است. برای مثال، یک شبکه با فایل هایی که در یک مرکز داده واحد زندگی می کنند و از تقسیم بندی های ریز استفاده می کند، ممکن است شامل ده ها منطقه جداگانه و امن باشد. شخص یا برنامه ای ک به یکی از آن مناطق دسترسی دارد. بدون مجوز جداگانه نمی تواند به هیچ یک از مناطق دیگر دسترسی پیدا کند.

 

جلوگیری از حرکت جانبی

 

در امنیت شبکه، حرکت جانبی (lateral movement) زمانی رخ می دهد که مهاجم پس از دسترسی به آن شبکه در داخل یک شبکه حرکت می کند. تشخیص حرکات جانبی حتی اگر نقطه ورود مهاجم کشف شود، دشوار است. زیرا مهاجم در حال به خطر انداختن سایر قسمت های شبکه است.

Zero trust به گونه ای طراحی شده است که شامل مهاجمان می شود تا نتوانند به صورت جانبی حرکت کنند. از آنجا که دسترسی Zero Trust تقسیم بندی می شود و باید به صورت دوره ای مجددا ایجاد شود، مهاجم نمی تواند به بخشهای کوچک دیگر در شبکه منتقل شود. هنگامی که حضور مهاجم مشخص شد، دستگاه یا حساب کاربری آسیب دیده میتواند قرنطینه شود و دسترسی قطع شود.

نکته:

در یک مدل castle-and-moat، اگر حرکت جانبی برای مهاجم امکان پذیر باشد، قرنطینه کردن دستگاه یا کاربر آسیب دیده اصلی هیچ تاثیری ندارد. زیرا مهاجم قبلا به قسمت های دیگر شبکه نیز رسیده است.

 

احراز هویت چند عاملی (MFA)

 

MFA یا احراز هویت چند عاملی ارزش اصلی امنیت Zero Trust است. MFA به معنای نیاز به بیش از یک مدرک برای احراز هویت کاربر است. زیرا فقط وارد کردن رمز عبور برای دسترسی کافی نیست. یکی از کاربردهای رایج MFA، مجوز دو عاملی (2FA) است که در سیستم عامل های آنلاین مانند فیس بوک و گوگل استفاده می شود. علاوه بر وارد کردن رمز عبور، کاربرانی که 2FA را برای این سرویس ها فعال می کنند، باید کد ارسال شده به دستگاه دیگر مانند تلفن همراه را نیز وارد کنند. بنابراین دو مدرک وجود دارد که نشان می دهد آنها هستند.

 

تاریخچه امنیت Zero Trust به چه شکل است؟

 

اصطلاح Zero Trust توسط یک شخص تحلیلگر در گزارش Forrester مطرح شد. در سال 2010 که برای اولین بار مدل مفهومی ارائه شد. چند سال بعد گوگل اعلام کرد که امنیت Zero Trust را در شبکه خود اجرا کرده است که منجر به افزایش علاقه به پذیرش در جامعه تکنولوژی شد. در سال 2019، Gartner یک شرکت تحقیقاتی و مشاوره ای جهانی، دسترسی امنیتی Zero Trust را به عنوان یکی از اجزای اصلی راه حل های دسترسی امن سرویس های (SASE) ذکر کرد.

 

منظور از دسترسی شبکه Zero Trust یا ZTNA چیست؟

 

ZTNA اصلی ترین فناوری است که سازمان ها را قادر می سازد امنیت zero trust را پیاده سازی کنند. مشابه محیط نرم افزاری (SDP) و ZTNA بیشتر زیرساخت ها و خدمات را پنهان می کند و ارتباطات رمزگذار شده یک به یک بین دستگاه ها و منابع مورد نیاز آنها را ایجاد می کند.

 

پیاده سازی امنیت Zero Trust

 

ممکن است zero Trust پیچیده به نظر برسد، اما اتخاذ این مدل امنیتی می تواند با شریک مناسب تکنولوژی نسبتا ساده باشد. به عنوان مثال یک پلتفرم از نوع SASE می تواند خدمات شبکه را با رویکرد Zero trust داخلی برای دسترسی کاربران و دستگاه ها ترکیب کند. همچنین مشتریان می توانند به طور خودکار حفاظت Zero Trust را در تمام دارایی ها و داده های خود پیاده سازی می کنند.

بستن