امنیت Zero Trust چیست؟
مقالات تخصصی IT و هاستینگ

امنیت Zero Trust چیست؟

ساختار Zero Trust، یک مدل در مبحث امنیت اطلاعات است. این مدل برای هر شخص و دستگاهی که سعی در دسترسی به اطلاعات موجود در یک شبکه خصوصی دارد، احراز هویت انجام می دهد. در این مدل تفاوتی ندارد که شخص یا دستگاه در داخل شبکه یا خارج از آن باشند. ZTNA یا Zero Trust Network Access، اصلی ترین فناوری مربوط به Zero Trust است. از سوی دیگر، Zero Trust رویکردی کلی جهت برقراری امنیت در  شبکه می باشد و چندین فناوری مختلف را در بر می گیرد.

امنیت شبکه فناوری اطلاعات سنتی، در حالت عادی مبتنی بر مفهوم "castle-and-moat" یا "قلعه و خندق" می باشد. در امنیت castle-and-moat، دسترسی از بیرون شبکه دشوار خواهد بود اما همه افراد داخل شبکه، به طور پیش فرض مورد تایید هستند. مشکل این است که در مدل فوق وقتی یک مهاجم به شبکه دسترسی پیدا می کند، به تمامی اجزای آن، آزادانه دسترسی خواهد داشت.

امنیت Zero Trust چیست و نحوه عملکرد آن به چه صورت است

تصویر(1)

به دلیل اینکه شرکت‌ها امروزه داده‌های خود را در یک مکان قرار نمی دهند، نقص امنیتی موجود در سیستم‌های امنیتی Castle-and-Moat، شدت یافته است. در این رویکرد، اطلاعات در میان سرویس دهندگان ابری توزیع می شود که کنترل امنیتی واحد روی کل شبکه را دشوارتر می کند.

امنیت Zero Trust به گونه ای است که  هیچ شخص یا دستگاهی به طور پیش‌فرض از داخل یا خارج از شبکه مورد اعتماد نبوده و تمامی افراد یا دستگاه هایی که در تلاش هستند تا به اطلاعات موجود در شبکه دسترسی پیدا کنند، به احراز هویت نیاز دارند. ثابت شده که این لایه امنیتی اضافی، از نقض اطلاعات جلوگیری می کند. مطالعات نشان می دهد، میانگین خسارتی که تنها از طریق یک نقض اطلاعات وارد می شود، بیش از 3 میلیون دلار می باشد. این میزان از خسارت، بسیاری از سازمان ها را راغب به اخذ سیاست امنیتی Zero Trust کرده است.

Zero Trust Network Access یا (ZTNA) چیست؟

Zero Trust Network Access یا (ZTNA) فناوری است که به سازمان ها این امکان را می دهد تا بتوانند  امنیت Zero Trust را پیاده سازی و اجرا کنند. مانند SDP (محیطی برای پنهان کردن زیر ساخت های اتصال به اینترنت مانند سرور ها و روترها)، فناوری ZTNA نیز اکثر زیرساخت ها و خدمات را مخفی نموده و ارتباطات رمزگذاری شده one-to-one را بین دستگاه ها و منابع مورد نیاز آنها، برقرار می کند. 

امنیت شبکه فناوری اطلاعات سنتی، هر شخص و هر دستگاهی را در داخل شبکه، قابل اعتماد می پندارد اما معماری Zero Trust به هیچ یک از آنها اعتماد ندارد.

تاریخچه امنیت Zero Trust چیست؟

اصطلاح امنیت Zero Trust توسط یک تحلیلگر شرکت Forrester Research در سال 2010 ابداع گردید. چند سال بعد، گوگل اعلام نمود که Zero Trust را در شبکه خود پیاده سازی کرده است. همین امر، میزان پذیرش Zero Trust در جامعه فناوری را افزایش داد. در سال 2019، Gartner، یک شرکت تحقیقاتی و مشاوره جهانی، دسترسی امنیتی Zero Trust را به عنوان یکی از اجزای اصلی SASE اعلام نمود.

اصول Zero Trust چیست؟

  • نظارت و اعتبار سنجی مستمر

تئوری شبکه Zero Trust، بر این اساس عمل می کند که قطعا کاربران مهاجمی در داخل یا خارج از شبکه حضور دارند. بنابراین به هیچ کاربر یا دستگاهی به طور خودکار اعتماد نخواهد کرد. Zero Trust، هویت و سطح دسترسی کاربر و از طرف دیگر هویت و امنیت دستگاه را بررسی می نماید. مدت زمان ورود و اتصال شبکه، به صورت دوره ای پایان می یابد و شبکه Zero Trust، کاربران و دستگاه ها را مجبور می کند تا مجدداً اعتبار سنجی انجام دهند.

  • کمترین دسترسی

یکی دیگر از اصول امنیت Zero Trust، ارائه کمترین میزان دسترسی می باشد. بدین معنی که به کاربران فقط متناسب با نیازشان دسترسی داده می شود. این امر احتمال قرار گرفتن کاربران در معرض بخش های حساس شبکه را به حداقل می رساند.

بررسی و کنترل کمترین میزان دسترسی، مستلزم مدیریتی دقیق بر مجوزهای ارائه شده به کاربر است. VPN ها برای این رویکرد مناسب نیستند، زیرا ورود تحت VPN، به کاربر  این امکان را می دهد تا به کل شبکه دسترسی داشته باشد.

  • کنترل دسترسی دستگاه

Zero Trust نه تنها دسترسی های کاربر را کنترل می کند، بلکه روی دسترسی دستگاه ها نیز نظارت دارد. شبکه Zero Trust، بر دستگاه‌های مختلفی که در تلاش هستند تا به شبکه دسترسی یابند، نظارت کرده و اطمینان حاصل می کند که تمامی دستگاه ها مجاز هستند. از طرف دیگر باید تمامی دستگاه‌ها را ارزیابی نماید تا مطمئن شود که آنها در معرض خطر قرار ندارند. این نکته، احتمال حمله به شبکه را کاهش خواهد داد.

  • Microsegmentation یا تقسیم بندی به نقاط کوچک

شبکه های امنیت Zero Trust از Microsegmentation استفاده می نمایند. Microsegmentation روشی است که در آن محیط‌های امنیتی به مناطق کوچک تر تقسیم می شوند تا سطح دسترسی جداگانه ای برای بخش‌های مختلف شبکه، ایجاد شود. به عنوان مثال، یک شبکه با مجموعه ای از فایل‌ها که در یک دیتا سنتر قرار دارند و از Microsegmentation استفاده می‌کنند را در نظر بگیرید. این شبکه می تواند حاوی ده‌ها بخش مجزا و امن باشد. هر شخص یا برنامه ای که به یکی از آن مناطق دسترسی دارد، نمی تواند بدون مجوز، به هیچ یک از مناطق دیگر ورود کند.

  • جلوگیری از حرکات جانبی

در امنیت شبکه، "حرکات جانبی" زمانی رخ می دهد که یک مهاجم پس از دسترسی به یک شبکه، در داخل آن جابجا می شود. حتی اگر نقطه ورود مهاجم مشخص شود تشخیص حرکت جانبی ممکن است دشوار باشد، زیرا مهاجم به سایر بخش‌های شبکه آسیب وارد می کند.

طراحی ساختار امنیت Zero Trust به گونه ای است که هکر ها را مهار می کند تا امکان جابجایی به صورت جانبی برای آنها وجود نداشته باشد. از آنجایی که دسترسی Zero Trust به نقاط کوچک تقسیم‌بندی شده است و باید به‌طور دوره‌ای مجدداً اعتبار سنجی انجام شود، مهاجم نمی‌تواند به نقاط دیگر شبکه دسترسی پیدا کند. هنگامی که حضور مهاجم شناسایی شد، می توان دستگاه یا حساب کاربری که در معرض خطر است را مسدود کرد و سایر دسترسی های آن را لغو نمود. در مدل Castle-and-Moat، اگر حرکت جانبی برای مهاجم امکان پذیر باشد، مسدود کردن دستگاه یا کاربر آسیب‌دیده، تأثیر چندانی نخواهد داشت، زیرا مهاجم پیش از آن به بخش‌های دیگر شبکه دسترسی پیدا کرده است.

  • احراز هویت چند عاملی (MFA)

از ابزارهای اصلی در بحث امنیت Zero Trust، می توان به احراز هویت چند عاملی (MFA) اشاره کرد. MFA به معنای این است که بیش از یک فاکتور جهت احراز هویت کاربر نیاز خواهد بود و وارد کردن رمز عبور به تنهایی، کافی نیست. یکی از کاربردهای رایج MFA، احراز هویت دو عاملی (2FA) می باشد که در پلتفرم های آنلاین مانند فیس بوک و گوگل از آن استفاده می شود. کاربرانی که 2FA را برای این سرویس‌ها فعال می‌کنند، علاوه بر وارد کردن رمز عبور، باید کدی را که به دستگاه دیگری مانند تلفن همراه آنها  ارسال می‌شود، وارد نمایند.

اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *