ساختار Zero Trust، یک مدل در مبحث امنیت اطلاعات است. این مدل برای هر شخص و دستگاهی که سعی در دسترسی به اطلاعات موجود در یک شبکه خصوصی دارد، احراز هویت انجام می دهد. در این مدل تفاوتی ندارد که شخص یا دستگاه در داخل شبکه یا خارج از آن باشند. ZTNA یا Zero Trust Network Access، اصلی ترین فناوری مربوط به Zero Trust است. از سوی دیگر، Zero Trust رویکردی کلی جهت برقراری امنیت در شبکه می باشد و چندین فناوری مختلف را در بر می گیرد.
امنیت شبکه فناوری اطلاعات سنتی، در حالت عادی مبتنی بر مفهوم "castle-and-moat" یا "قلعه و خندق" می باشد. در امنیت castle-and-moat، دسترسی از بیرون شبکه دشوار خواهد بود اما همه افراد داخل شبکه، به طور پیش فرض مورد تایید هستند. مشکل این است که در مدل فوق وقتی یک مهاجم به شبکه دسترسی پیدا می کند، به تمامی اجزای آن، آزادانه دسترسی خواهد داشت.
تصویر(1)
به دلیل اینکه شرکتها امروزه دادههای خود را در یک مکان قرار نمی دهند، نقص امنیتی موجود در سیستمهای امنیتی Castle-and-Moat، شدت یافته است. در این رویکرد، اطلاعات در میان سرویس دهندگان ابری توزیع می شود که کنترل امنیتی واحد روی کل شبکه را دشوارتر می کند.
امنیت Zero Trust به گونه ای است که هیچ شخص یا دستگاهی به طور پیشفرض از داخل یا خارج از شبکه مورد اعتماد نبوده و تمامی افراد یا دستگاه هایی که در تلاش هستند تا به اطلاعات موجود در شبکه دسترسی پیدا کنند، به احراز هویت نیاز دارند. ثابت شده که این لایه امنیتی اضافی، از نقض اطلاعات جلوگیری می کند. مطالعات نشان می دهد، میانگین خسارتی که تنها از طریق یک نقض اطلاعات وارد می شود، بیش از 3 میلیون دلار می باشد. این میزان از خسارت، بسیاری از سازمان ها را راغب به اخذ سیاست امنیتی Zero Trust کرده است.
Zero Trust Network Access یا (ZTNA) چیست؟
Zero Trust Network Access یا (ZTNA) فناوری است که به سازمان ها این امکان را می دهد تا بتوانند امنیت Zero Trust را پیاده سازی و اجرا کنند. مانند SDP (محیطی برای پنهان کردن زیر ساخت های اتصال به اینترنت مانند سرور ها و روترها)، فناوری ZTNA نیز اکثر زیرساخت ها و خدمات را مخفی نموده و ارتباطات رمزگذاری شده one-to-one را بین دستگاه ها و منابع مورد نیاز آنها، برقرار می کند.
امنیت شبکه فناوری اطلاعات سنتی، هر شخص و هر دستگاهی را در داخل شبکه، قابل اعتماد می پندارد اما معماری Zero Trust به هیچ یک از آنها اعتماد ندارد.
تاریخچه امنیت Zero Trust چیست؟
اصطلاح امنیت Zero Trust توسط یک تحلیلگر شرکت Forrester Research در سال 2010 ابداع گردید. چند سال بعد، گوگل اعلام نمود که Zero Trust را در شبکه خود پیاده سازی کرده است. همین امر، میزان پذیرش Zero Trust در جامعه فناوری را افزایش داد. در سال 2019، Gartner، یک شرکت تحقیقاتی و مشاوره جهانی، دسترسی امنیتی Zero Trust را به عنوان یکی از اجزای اصلی SASE اعلام نمود.
اصول Zero Trust چیست؟
- نظارت و اعتبار سنجی مستمر
تئوری شبکه Zero Trust، بر این اساس عمل می کند که قطعا کاربران مهاجمی در داخل یا خارج از شبکه حضور دارند. بنابراین به هیچ کاربر یا دستگاهی به طور خودکار اعتماد نخواهد کرد. Zero Trust، هویت و سطح دسترسی کاربر و از طرف دیگر هویت و امنیت دستگاه را بررسی می نماید. مدت زمان ورود و اتصال شبکه، به صورت دوره ای پایان می یابد و شبکه Zero Trust، کاربران و دستگاه ها را مجبور می کند تا مجدداً اعتبار سنجی انجام دهند.
- کمترین دسترسی
یکی دیگر از اصول امنیت Zero Trust، ارائه کمترین میزان دسترسی می باشد. بدین معنی که به کاربران فقط متناسب با نیازشان دسترسی داده می شود. این امر احتمال قرار گرفتن کاربران در معرض بخش های حساس شبکه را به حداقل می رساند.
بررسی و کنترل کمترین میزان دسترسی، مستلزم مدیریتی دقیق بر مجوزهای ارائه شده به کاربر است. VPN ها برای این رویکرد مناسب نیستند، زیرا ورود تحت VPN، به کاربر این امکان را می دهد تا به کل شبکه دسترسی داشته باشد.
- کنترل دسترسی دستگاه
Zero Trust نه تنها دسترسی های کاربر را کنترل می کند، بلکه روی دسترسی دستگاه ها نیز نظارت دارد. شبکه Zero Trust، بر دستگاههای مختلفی که در تلاش هستند تا به شبکه دسترسی یابند، نظارت کرده و اطمینان حاصل می کند که تمامی دستگاه ها مجاز هستند. از طرف دیگر باید تمامی دستگاهها را ارزیابی نماید تا مطمئن شود که آنها در معرض خطر قرار ندارند. این نکته، احتمال حمله به شبکه را کاهش خواهد داد.
- Microsegmentation یا تقسیم بندی به نقاط کوچک
شبکه های امنیت Zero Trust از Microsegmentation استفاده می نمایند. Microsegmentation روشی است که در آن محیطهای امنیتی به مناطق کوچک تر تقسیم می شوند تا سطح دسترسی جداگانه ای برای بخشهای مختلف شبکه، ایجاد شود. به عنوان مثال، یک شبکه با مجموعه ای از فایلها که در یک دیتا سنتر قرار دارند و از Microsegmentation استفاده میکنند را در نظر بگیرید. این شبکه می تواند حاوی دهها بخش مجزا و امن باشد. هر شخص یا برنامه ای که به یکی از آن مناطق دسترسی دارد، نمی تواند بدون مجوز، به هیچ یک از مناطق دیگر ورود کند.
- جلوگیری از حرکات جانبی
در امنیت شبکه، "حرکات جانبی" زمانی رخ می دهد که یک مهاجم پس از دسترسی به یک شبکه، در داخل آن جابجا می شود. حتی اگر نقطه ورود مهاجم مشخص شود تشخیص حرکت جانبی ممکن است دشوار باشد، زیرا مهاجم به سایر بخشهای شبکه آسیب وارد می کند.
طراحی ساختار امنیت Zero Trust به گونه ای است که هکر ها را مهار می کند تا امکان جابجایی به صورت جانبی برای آنها وجود نداشته باشد. از آنجایی که دسترسی Zero Trust به نقاط کوچک تقسیمبندی شده است و باید بهطور دورهای مجدداً اعتبار سنجی انجام شود، مهاجم نمیتواند به نقاط دیگر شبکه دسترسی پیدا کند. هنگامی که حضور مهاجم شناسایی شد، می توان دستگاه یا حساب کاربری که در معرض خطر است را مسدود کرد و سایر دسترسی های آن را لغو نمود. در مدل Castle-and-Moat، اگر حرکت جانبی برای مهاجم امکان پذیر باشد، مسدود کردن دستگاه یا کاربر آسیبدیده، تأثیر چندانی نخواهد داشت، زیرا مهاجم پیش از آن به بخشهای دیگر شبکه دسترسی پیدا کرده است.
- احراز هویت چند عاملی (MFA)
از ابزارهای اصلی در بحث امنیت Zero Trust، می توان به احراز هویت چند عاملی (MFA) اشاره کرد. MFA به معنای این است که بیش از یک فاکتور جهت احراز هویت کاربر نیاز خواهد بود و وارد کردن رمز عبور به تنهایی، کافی نیست. یکی از کاربردهای رایج MFA، احراز هویت دو عاملی (2FA) می باشد که در پلتفرم های آنلاین مانند فیس بوک و گوگل از آن استفاده می شود. کاربرانی که 2FA را برای این سرویسها فعال میکنند، علاوه بر وارد کردن رمز عبور، باید کدی را که به دستگاه دیگری مانند تلفن همراه آنها ارسال میشود، وارد نمایند.