امنیت Zero Trust چیست؟

امنیت زیرو تراست

امنیت زیرو تراست یا Zero Trust یک مدل امنیتی در فناوری اطلاعات است که سخت‌گیرانه هر شخص یا دستگاهی را که قصد دسترسی به منابع موجود در یک شبکه‌ی خصوصی داشته باشد، ملزم به تأیید هویت می‌کند؛ صرف نظر از این که آن شخص یا دستگاه بیرون مرزهای شبکه باشد یا داخل آن. اگر چه ZTNA (Zero Trust Network Access) تکنولوژی اصلی در معماری Zero Trust است اما Zero Trust یک رویکرد جامع برای امنیت شبکه است که اصول و تکنولوژی‌های مختلفی را شامل می‌شود.
به بیان ساده‌تر: رویکرد سنتی IT برای امنیت شبکه، به هرکس و هر دستگاهی که درون مرزهای شبکه قرار داشته باشد، اعتماد دارد، اما معماری Zero Trust به هیچ‌کس و هیچ دستگاهی اعتماد ندارد.

رویکرد سنتی امنیت شبکه، مبتنی بر مفهوم castle-and-moat (قلعه و خندق) است. در این رویکرد، دستیابی به منابع شبکه از بیرون شبکه، دشوار است اما به صورت پیش‌فرض هرکسی درون شبکه قرار داشته باشد مورد اعتماد است. مشکل این رویکرد اینجاست که وقتی یک مهاجم به شبکه دست می‌یابد، بدون محدودیت به هر منبعی درون شبکه دسترسی خواهد داشت.

مدل امنیتی قلعه و خندق

این واقعیت که شرکت‌ها دیگر داده‌هایشان را تنها در یک مکان نگهداری نمی‌کنند، این آسیب‌پذیری در سیستم‌های امنیتی مبتنی بر castle-and-moat را بدتر هم می‌کند. امروزه اطلاعات، اغلب در فضاهای ابری گوناگون پخش شده که این موضوع داشتن یک کنترل امنیتی واحد روی کل شبکه را دشوار می‌کند.

امنیت Zero Trust به این معناست که هیچکس چه از بیرون و چه از درون شبکه، به صورت پیش‌فرض مورد اعتماد نیست و تأیید هویت برای هر کسی که سعی در دسترسی به منابع شبکه دارد، ضروری است. تجربه نشان داده که این لایه‌ی امنیتی اضافه می‌تواند از نفوذهای اطلاعاتی جلوگیری کند. آمارها نشان می‌دهد که میانگین هزینه تنها برای یک نفوذ اطلاعاتی، بیش از 3 میلیون دلار است. با در نظر گرفتن این رقم، نباید تعجب کرد که بسیاری از سازمان‌ها اکنون مشتاق به اتخاذ سیاست امنیتی Zero Trust هستند.

از شبکه‌ی سازمان خود محافظت کنید!

اصول مهم امنیت Zero Trust چه هستند؟

مانیتورینگ و اعتبارسنجی مداوم

فلسفه پشت امنیت Zero Trust فرض می‌کند که مهاجمان هم در بیرون و هم در درون شبکه وجود دارند بنابراین هیچ کاربر یا دستگاهی نباید به طور خودکار مورد اعتماد قرار بگیرد. امنیت Zero Trust، هویت و دسترسی‌های کاربران و همچنین هویت و امنیت دستگاه‌ها را ارزیابی می‌کند. لاگین‌ها و اتصالات پس از برقرارشدن به صورت متناوب منقضی می‌شوند تا هویت کاربران و دستگاه‌ها به صورت مداوم تأیید شود.

حداقل دسترسی (Least Privilege)

یک اصل دیگر از امنیت Zero Trust، کمترین حق دسترسی است. این یعنی به کاربران فقط به اندازه‌ای که نیاز دارند، دسترسی داده شود؛ مانند یک ژنرال ارتش که به سربازان اطلاعاتی را می‌دهد که لازم است بدانند. با این کار، امکان تعامل کاربر با قسمت‌های حساس شبکه به حداقل می‌رسد.
پیاده‌سازی سیاست حداقل دسترسی مستلزم مدیریت دقیق مجوزهای کاربر است. وی‌پی‌ان‌ها برای رویکرد حداقل امتیازات، مناسب نیستند؛ زیرا کاربر با ورود به یک وی‌پی‌ان، به تمام شبکه‌ی متصل به آن دسترسی می‌یابد.

کنترل دسترسی دستگاه

فرهنگ Zero Trust علاوه بر کنترل دسترسی کاربران، کنترل سخت‌گیرانه‌ای بر دسترسی دستگاه‌ها دارد. سیستم‌های Zero Trust لازم است تعداد دستگاه‌های گوناگونی را که تلاش می‌کنند به شبکه‌ی آنها دسترسی داشته‌باشند، پایش کنند تا از مجاز بودن هر دستگاه اطمینان یابند و تمام دستگاه‌ها را ارزیابی کنند تا اطمینان یابند که مورد حمله قرار نگرفته باشند. این کار سطح حمله شبکه را به حداقل می‌رساند.

میکروسگمنتیشن (Microsegmentation)

شبکه‌های Zero Trust از میکروسگمنتیشن یا تقسیم‌بندی خرد نیز بهره می‌برند. تقسیم‌بندی خرد، به معنی تجزیه‌ی نواحی امنیتی به مناطق یا زون‌های کوچک (Zone) است به طوری که برای هر بخش از شبکه، دسترسی جداگانه‌ای داشته باشیم. برای نمونه، اگر در یک شبکه فایل‌هایی باشند که در یک مرکز دیتاسنتر نگهداری می‌شوند و روی این دیتاسنتر هم میکروسگمنتیشن انجام شده باشد، ممکن است شامل ده‌ها زون مجزای امن باشد. یک شخص یا برنامه که به یکی از این زون‌ها دسترسی دارد، بدون اخذ مجوز اختصاصی قادر نخواهد بود به سایر مناطق دسترسی پیدا کند.

جلوگیری از حرکت عرضی (Lateral Movement)

“حرکت عرضی” (lateral movement) در حوزه امنیت شبکه، به این معناست که یک مهاجم پس از کسب دسترسی به یک شبکه، شروع به جابجایی درون آن شبکه می‌کند. تشخیص حرکت عرضی، حتی وقتی نقطه‌ی ورود مهاجم کشف شود هم ممکن است دشوار باشد؛ زیرا مهاجم برای حمله، به سایر قسمت‌های شبکه جابه‌جا شده است.

Zero Trust به گونه‌ای طراحی شده که مهاجمان را محدود کند، به طوری که نتوانند حرکت عرضی داشته باشند. از آنجا که در امنیت Zero Trust، منابع قابل دسترسی کاملا تقسیم‌بندی شده‌اند و مجوزهای دسترسی باید به صورت متناوب مجددا اخذ شوند، مهاجم نمی‌تواند در سایر زون‌ها درون شبکه حرکت کند. هنگامی که حضور مهاجم تشخیص داده شد، دستگاه یا حساب کاربری که مورد حمله قرار گرفته، قرنطینه و دسترسی آن قطع می‌شود. (در مدل سنتیِ castle-and-moat اگر تحرک جانبی برای مهاجم امکان‌پذیر باشد، قرنطینه کردن دستگاه یا کاربر اصلی که آسیب‌دیده بی‌فایده است، زیرا مهاجم به سایر قسمت‌های شبکه دست یافته است.)

احراز هویت چندعاملی (MFA)

احراز هویت چندعاملی نیز یکی از قابلیت‌های اصلی امنیت Zero Trust است.‌ Multi-Factor Authentication به این معناست که بیش از یک شاخص برای احراز هویت کاربر نیاز است؛ این شاخص‌ها عبارتند از:
• اطلاعاتی که کاربر می‌داند (مانند نام کاربری و رمز عبور)
• چیزهایی که کاربر در اختیار دارد (مانند توکن، کارت، تلفن همراه و…)
• مشخصه‌های مختص فرد (مانند اثر انگشت، اسکن عنبیه، تشخیص صدا و…)

در این نوع احراز هویت، فقط وارد کردن کلمه‌ی عبور برای گرفتن مجوز دسترسی کافی نیست. یکی از کاربردهای رایج MFA احراز هویت دوعاملی (2FA) است که در پلتفرم‌های آنلاین مانند گوگل و فیس‌بوک استفاده شده است. کاربرانی که 2FA را در این سرویس‌ها فعال کرده باشند، علاوه بر ورود رمز عبور (اطلاعاتی که کاربر می‌داند) باید کدی را که به یک دستگاه دیگر مانند گوشی موبایل ارسال شده است، وارد کنند (دستگاهی که کاربر در اختیار دارد) به این ترتیب دو مدرک ارائه می‌کنند تا نشان دهند همان فردی هستند که ادعا می‌کنند.

تاریخچه‌ی امنیت Zero Trust چیست؟

اصطلاح “Zero Trust” در سال 2010 توسط یک تحلیلگر در شرکت تحقیقاتی Forrester ابداع و مدل این مفهوم برای اولین بار مطرح شد. چند سال بعد گوگل اعلام کرد که امنیت Zero Trust را در شبکه خود پیاده‌سازی کرده است و این منجر به افزایش تمایل نسبت به استفاده از آن در جامعه فناوری شد. گارتنر (Gartner، یک مؤسسه‌ی تحقیقاتی و مشاوره‌ای جهانی) در سال 2019 دسترسی امنیتی Zero Trust را به عنوان یک مؤلفه‌ی اصلی از راهکارهای سرویس لبه دسترسی ایمن (SASE) معرفی کرد.

دسترسی شبکه‌ی Zero Trust (ZTNA) چیست؟

دسترسی شبکه‌ی Zero Trust (ZTNA) فناوری اصلی است که سازمان‌ها را قادر می‌سازد امنیت Zero Trust را پیاده‌سازی کنند. مشابه با Software-Defined Perimeter (مرزبندی تعریف‌شده با نرم‌افزار)، ZTNA با ایجاد ارتباطات رمزگذاری‌شده‌ی یک‌به‌یک بین دستگاه‌ها و منابع مورد نیازشان، بیشتر زیرساخت‌ها و سرویس‌ها را در بر می‌گیرد.

چگونه امنیت Zero Trust را پیاده‌سازی کنیم؟

Zero Trust ممکن است پیچیده به نظر برسد، اما به‌کارگیری این مدل امنیتی با داشتن یک مشاور فنی مناسب، می‌تواند نسبتاً ساده باشد. مشاوران و کادر فنی شرکت امنیتی لیان، آمادگی کامل برای کمک به انواع سازمان‌ها و مجموعه‌ها جهت پیاده‌سازی این معماری امنیتی در زیرساخت‌های متنوع را دارند.

منبع: CloudFlare

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.