امنیت زیرو تراست یا Zero Trust یک مدل امنیتی در فناوری اطلاعات است که سختگیرانه هر شخص یا دستگاهی را که قصد دسترسی به منابع موجود در یک شبکهی خصوصی داشته باشد، ملزم به تأیید هویت میکند؛ صرف نظر از این که آن شخص یا دستگاه بیرون مرزهای شبکه باشد یا داخل آن. اگر چه ZTNA (Zero Trust Network Access) تکنولوژی اصلی در معماری Zero Trust است اما Zero Trust یک رویکرد جامع برای امنیت شبکه است که اصول و تکنولوژیهای مختلفی را شامل میشود.
به بیان سادهتر: رویکرد سنتی IT برای امنیت شبکه، به هرکس و هر دستگاهی که درون مرزهای شبکه قرار داشته باشد، اعتماد دارد، اما معماری Zero Trust به هیچکس و هیچ دستگاهی اعتماد ندارد.
رویکرد سنتی امنیت شبکه، مبتنی بر مفهوم castle-and-moat (قلعه و خندق) است. در این رویکرد، دستیابی به منابع شبکه از بیرون شبکه، دشوار است اما به صورت پیشفرض هرکسی درون شبکه قرار داشته باشد مورد اعتماد است. مشکل این رویکرد اینجاست که وقتی یک مهاجم به شبکه دست مییابد، بدون محدودیت به هر منبعی درون شبکه دسترسی خواهد داشت.
این واقعیت که شرکتها دیگر دادههایشان را تنها در یک مکان نگهداری نمیکنند، این آسیبپذیری در سیستمهای امنیتی مبتنی بر castle-and-moat را بدتر هم میکند. امروزه اطلاعات، اغلب در فضاهای ابری گوناگون پخش شده که این موضوع داشتن یک کنترل امنیتی واحد روی کل شبکه را دشوار میکند.
امنیت Zero Trust به این معناست که هیچکس چه از بیرون و چه از درون شبکه، به صورت پیشفرض مورد اعتماد نیست و تأیید هویت برای هر کسی که سعی در دسترسی به منابع شبکه دارد، ضروری است. تجربه نشان داده که این لایهی امنیتی اضافه میتواند از نفوذهای اطلاعاتی جلوگیری کند. آمارها نشان میدهد که میانگین هزینه تنها برای یک نفوذ اطلاعاتی، بیش از 3 میلیون دلار است. با در نظر گرفتن این رقم، نباید تعجب کرد که بسیاری از سازمانها اکنون مشتاق به اتخاذ سیاست امنیتی Zero Trust هستند.
از شبکهی سازمان خود محافظت کنید!
اصول مهم امنیت Zero Trust چه هستند؟
مانیتورینگ و اعتبارسنجی مداوم
فلسفه پشت امنیت Zero Trust فرض میکند که مهاجمان هم در بیرون و هم در درون شبکه وجود دارند بنابراین هیچ کاربر یا دستگاهی نباید به طور خودکار مورد اعتماد قرار بگیرد. امنیت Zero Trust، هویت و دسترسیهای کاربران و همچنین هویت و امنیت دستگاهها را ارزیابی میکند. لاگینها و اتصالات پس از برقرارشدن به صورت متناوب منقضی میشوند تا هویت کاربران و دستگاهها به صورت مداوم تأیید شود.
حداقل دسترسی (Least Privilege)
یک اصل دیگر از امنیت Zero Trust، کمترین حق دسترسی است. این یعنی به کاربران فقط به اندازهای که نیاز دارند، دسترسی داده شود؛ مانند یک ژنرال ارتش که به سربازان اطلاعاتی را میدهد که لازم است بدانند. با این کار، امکان تعامل کاربر با قسمتهای حساس شبکه به حداقل میرسد.
پیادهسازی سیاست حداقل دسترسی مستلزم مدیریت دقیق مجوزهای کاربر است. ویپیانها برای رویکرد حداقل امتیازات، مناسب نیستند؛ زیرا کاربر با ورود به یک ویپیان، به تمام شبکهی متصل به آن دسترسی مییابد.
کنترل دسترسی دستگاه
فرهنگ Zero Trust علاوه بر کنترل دسترسی کاربران، کنترل سختگیرانهای بر دسترسی دستگاهها دارد. سیستمهای Zero Trust لازم است تعداد دستگاههای گوناگونی را که تلاش میکنند به شبکهی آنها دسترسی داشتهباشند، پایش کنند تا از مجاز بودن هر دستگاه اطمینان یابند و تمام دستگاهها را ارزیابی کنند تا اطمینان یابند که مورد حمله قرار نگرفته باشند. این کار سطح حمله شبکه را به حداقل میرساند.
میکروسگمنتیشن (Microsegmentation)
شبکههای Zero Trust از میکروسگمنتیشن یا تقسیمبندی خرد نیز بهره میبرند. تقسیمبندی خرد، به معنی تجزیهی نواحی امنیتی به مناطق یا زونهای کوچک (Zone) است به طوری که برای هر بخش از شبکه، دسترسی جداگانهای داشته باشیم. برای نمونه، اگر در یک شبکه فایلهایی باشند که در یک مرکز دیتاسنتر نگهداری میشوند و روی این دیتاسنتر هم میکروسگمنتیشن انجام شده باشد، ممکن است شامل دهها زون مجزای امن باشد. یک شخص یا برنامه که به یکی از این زونها دسترسی دارد، بدون اخذ مجوز اختصاصی قادر نخواهد بود به سایر مناطق دسترسی پیدا کند.
جلوگیری از حرکت عرضی (Lateral Movement)
“حرکت عرضی” (lateral movement) در حوزه امنیت شبکه، به این معناست که یک مهاجم پس از کسب دسترسی به یک شبکه، شروع به جابجایی درون آن شبکه میکند. تشخیص حرکت عرضی، حتی وقتی نقطهی ورود مهاجم کشف شود هم ممکن است دشوار باشد؛ زیرا مهاجم برای حمله، به سایر قسمتهای شبکه جابهجا شده است.
Zero Trust به گونهای طراحی شده که مهاجمان را محدود کند، به طوری که نتوانند حرکت عرضی داشته باشند. از آنجا که در امنیت Zero Trust، منابع قابل دسترسی کاملا تقسیمبندی شدهاند و مجوزهای دسترسی باید به صورت متناوب مجددا اخذ شوند، مهاجم نمیتواند در سایر زونها درون شبکه حرکت کند. هنگامی که حضور مهاجم تشخیص داده شد، دستگاه یا حساب کاربری که مورد حمله قرار گرفته، قرنطینه و دسترسی آن قطع میشود. (در مدل سنتیِ castle-and-moat اگر تحرک جانبی برای مهاجم امکانپذیر باشد، قرنطینه کردن دستگاه یا کاربر اصلی که آسیبدیده بیفایده است، زیرا مهاجم به سایر قسمتهای شبکه دست یافته است.)
احراز هویت چندعاملی (MFA)
احراز هویت چندعاملی نیز یکی از قابلیتهای اصلی امنیت Zero Trust است. Multi-Factor Authentication به این معناست که بیش از یک شاخص برای احراز هویت کاربر نیاز است؛ این شاخصها عبارتند از:
• اطلاعاتی که کاربر میداند (مانند نام کاربری و رمز عبور)
• چیزهایی که کاربر در اختیار دارد (مانند توکن، کارت، تلفن همراه و…)
• مشخصههای مختص فرد (مانند اثر انگشت، اسکن عنبیه، تشخیص صدا و…)
در این نوع احراز هویت، فقط وارد کردن کلمهی عبور برای گرفتن مجوز دسترسی کافی نیست. یکی از کاربردهای رایج MFA احراز هویت دوعاملی (2FA) است که در پلتفرمهای آنلاین مانند گوگل و فیسبوک استفاده شده است. کاربرانی که 2FA را در این سرویسها فعال کرده باشند، علاوه بر ورود رمز عبور (اطلاعاتی که کاربر میداند) باید کدی را که به یک دستگاه دیگر مانند گوشی موبایل ارسال شده است، وارد کنند (دستگاهی که کاربر در اختیار دارد) به این ترتیب دو مدرک ارائه میکنند تا نشان دهند همان فردی هستند که ادعا میکنند.
تاریخچهی امنیت Zero Trust چیست؟
اصطلاح “Zero Trust” در سال 2010 توسط یک تحلیلگر در شرکت تحقیقاتی Forrester ابداع و مدل این مفهوم برای اولین بار مطرح شد. چند سال بعد گوگل اعلام کرد که امنیت Zero Trust را در شبکه خود پیادهسازی کرده است و این منجر به افزایش تمایل نسبت به استفاده از آن در جامعه فناوری شد. گارتنر (Gartner، یک مؤسسهی تحقیقاتی و مشاورهای جهانی) در سال 2019 دسترسی امنیتی Zero Trust را به عنوان یک مؤلفهی اصلی از راهکارهای سرویس لبه دسترسی ایمن (SASE) معرفی کرد.
دسترسی شبکهی Zero Trust (ZTNA) چیست؟
دسترسی شبکهی Zero Trust (ZTNA) فناوری اصلی است که سازمانها را قادر میسازد امنیت Zero Trust را پیادهسازی کنند. مشابه با Software-Defined Perimeter (مرزبندی تعریفشده با نرمافزار)، ZTNA با ایجاد ارتباطات رمزگذاریشدهی یکبهیک بین دستگاهها و منابع مورد نیازشان، بیشتر زیرساختها و سرویسها را در بر میگیرد.
چگونه امنیت Zero Trust را پیادهسازی کنیم؟
Zero Trust ممکن است پیچیده به نظر برسد، اما بهکارگیری این مدل امنیتی با داشتن یک مشاور فنی مناسب، میتواند نسبتاً ساده باشد. مشاوران و کادر فنی شرکت امنیتی لیان، آمادگی کامل برای کمک به انواع سازمانها و مجموعهها جهت پیادهسازی این معماری امنیتی در زیرساختهای متنوع را دارند.
منبع: CloudFlare
