فناوری Zero Trust Network چیست ؟

(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمان‌های فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ و بیرون از شبکه سازمانی) کاربران و دستگاه­‌ها باید احراز و تأیید هویت شده و دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف می شود.

با توجه به مزایای رویکرد ZTN در امنیت سایبری، در حالت ایده آل انتظار می‌رود که همه سازمان‌ها از آن استفاده کنند. در محیط‌های غیرقطعی و نامطمئن امروزی، استفاده از هر راهبرد امنیتی که موجب کاهش سطح مخاطره شود، بسیار حیاتی است. این موضوع در شرایطی که بیشتر سازمان ها به سمت دورکاری حرکت کرده اند، اهمیت بیشتری نیز پیدا می کند. محیط منازل کاربران به دلیل ماهیت خاص آن، آسیب‌پذیری بیشتری در برابر حملات سایبری دارد. به همین خاطر تلاش برای پیاده‌سازی ZTN به صورت کامل و صددرصد، با اهداف تجاری هر سازمانی همخوانی ندارد. با این حال و به ویژه با توجه به این که میانگین هزینه هر رخنه اطلاعاتی به ۴ میلیون دلار رسیده است، شرکت‌ها باید هر جا که امکان دارد راهبرد ZTN را اجرا و پیاده‌سازی کنند. خوشبختانه انجام این کار، چندان سخت نیست.

اصول ZTN

Zero Trust Network یکی از موضوعات داغ در دنیای امنیت سایبری است و از وقتی که شرکت گوگل حدود یک دهه پیش این معماری را مورد استفاده قرار داد، توجه زیادی به سمت آن جلب شد. پایه و اساس رویکرد ZTN مبتنی بر قواعد ریزتری است که برای دسترسی به منابع تعریف شده‌اند. در این فناوری با توجه به هویت کاربر، موقعیت جغرافیایی و سایر اطلاعات، اجازه دسترسی به منابع به وی داده می‌شود. در صورت عدم تأیید وضعیت امنیتی یک نقطه انتهایی در شبکه، احراز هویت برای آن انجام نمی‌شود. اگر احراز هویت انجام شود، امکان برقراری ارتباط با نقطه انتهایی به صورت محدود و متناسب با مجوزهای دسترسی کاربر مورد نظر وجود خواهد داشت.

پیاده‌سازی راهبرد امنیتی ZTN، پاسخ سریعی به همه مشکلات امنیتی سازمان ها نیست و پیش شرط آن داشتن راهبرد و برنامه‌ریزی دقیق است. Rod Soto محقق مستقل حوزه امنیت که تقریباً از سال ۲۰۱۰ میلادی حامی و طرفدار راهبرد ZTN است، معتقد است که ZTN به معنای واقعی، در حد صفر نیست. او گفته که: «اعتماد صفر، عملیاتی کردن اصل حداقل سطح دسترسی و تفکیک وظایف، با استفاده از فناوری‌های مختلف است که می‌تواند از بالاترین سطح امتیاز و بیشترین میزان دسترسی تا عدم دسترسی کامل متنوع باشد. این راهبرد را می توان برای برنامه‌های کاربری، تجهیزات و کاربران؛ چه در داخل و چه خارج از محیط سازمان پیاده‌سازی کرد».

موانع پیش رو

از نظر Soto، مفهوم ZTN رشد و تکامل بسیاری پیدا کرده است چرا که هم اکنون فناوری‌های مختلفی هستند که امکان پیاده‌سازی آن را فراهم می‌کنند. با این وجود، Soto هشدار می‌دهد که پیاده‌سازی ZTN در بعضی از محیط‌ها چالش برانگیز است و می‌تواند مانع بهره وری سازمانی شود.

مهمترین مانعی که شرکت‌ها در این خصوص با آن روبرو هستند حفظ حریم خصوصی، امنیت و حفاظت همزمان با فراهم کردن امکان دسترسی به منابع برای کارمندان است. میزان دسترسی کاربران از راه دور و وسایلی که نیازمند دسترسی به آنها هستند روز به روز بیشتر می‌شود. اینترنت اشیا هم می‌تواند در پیاده‌سازی ZTN مشکلاتی را ایجاد کند.

Soto می‌گوید: «ZTN همیشه پیاده‌سازی شده اما چالش آن همواره مربوط به برنامه‌ریزی و پیاده‌سازی است. ممکن است در بعضی محیط‌ها مثل محیط‌هایی با معماری یا برنامه‌های کاربردی قدیمی، ماهیت فناوری‌های مورد استفاده به نحوی باشد که امکان پیاده‌سازی این راهبرد وجود نداشته باشد. در محیط‌هایی که رشد، اکتساب و میزان فناوری‌های مورد استفاده در آنها هر روز بیشتر می‌شود، ممکن است محدود کردن دسترسی منجر به ایجاد مشکل و چالش‌هایی برای کاربران شود. به نظر من ZTN در هر محیطی قابل پیاده‌سازی نیست».

مزایای مشخص

اولین مزیتی که درباره ZTN به ذهن می‌رسد، ارتقای وضعیت امنیتی سازمان‌ها است. البته این راهبرد، چند مزیت دیگر هم برای سازمان‌ها دارد، از جمله:

• افزایش سطح کارایی شبکه، به دلیل کاهش ترافیک در زیرشبکه‌ها
• کاهش زمان تشخیص نفوذ
• افزایش سطح توانایی برای مقابله با مشکلات شبکه
• ساده‌تر شدن فرایند نظارت و ثبت اطلاعات، به دلیل ریزتر شدن سطح دسترسی‌ها

همچنین به گفته Soto، استفاده از ZTN می‌تواند به مدافعان سایبری کمک کند تا دید دقیق‌تر و عمیق تری نسبت به سطح حمله پیدا کنند.

نقشه راه

به منظور پیاده سازی ZTN، در گام اول باید تفکیک و بخش‌بندی شبکه به زیرشبکه‌های کوچکتر را در نظر داشته باشید. در این حالت سرویس‌ها و میزبان‌های حاوی داده‌های حساس، از سایر اجزای شبکه مجزا می‌شوند. بخش‌بندی جزئی به کاهش احتمال حرکات جانبی در شبکه هم کمک می‌کند. با پیاده‌سازی بخش‌بندی، وقتی مهاجمی به سیستم‌های شما نفوذ کند تنها به داده‌های یک قسمت از شبکه دسترسی خواهد داشت. در مدل ZTN دیگر هیچ مهاجمی امکان احراز هویت برای دسترسی به بخش‌هایی با داده‌های حساس را نخواهد داشت.

Soto به شدت توصیه می‌کند که منابع، محیط‌ها و دارایی‌ها به صورت شفاف بخش‌بندی و مجزا شوند زیرا در غیر این صورت، دسترسی هکرها به شبکه می‌تواند منجر به نفوذ و آسیب بیشتری شود. به گفته او: «این امر، در وهله اول و بیشتر از هر چیزی مستلزم مدیریت دارایی‌ها، نقشه برداری از شبکه و تدوین یک خط مشی دسترسی بر اساس بخش‌بندی وظایف است».

این موضوع به معنای آن است که باید مرزهای سیستم‌ها را به صورت دقیق تعریف کرده و یکایک نقاط شبکه را در نظر گرفت. خط مشی دسترسی شما باید به صورت صریح مشخص کند که چه کاربرانی به چه منابعی و تا چه حدی دسترسی دارند. این دسترسی باید بر اساس این فرض انجام شود که کاربران فقط به داده‌هایی دسترسی دارند که متناسب با وظایف شغلی آنها است.

شما تا چه اندازه به پیاده‌سازی ZTN نیاز دارید؟

اصولاً امکان توصیف درصد پیاده‌سازی ZTN توسط همه سازمان‌ها با یک عدد دقیق وجود ندارد. ایالت داکوتای شمالی در آمریکا که یکی از قوی‌ترین زیرساخت‌های امنیت سایبری را دارد، ZTN را در حدود ۷۰ درصد از شبکه‌های خودش پیاده‌سازی کرده است. همچنین برای یک شرکت آمریکایی، پیاده‌سازی کامل ZTN دو سال زمان برده است.

کارشناسان امنیتی مثل Soto انتظار ندارند که سازمان‌ها ZTN را به صورت صددرصد پیاده‌سازی کنند چون انجام این کار به راحتی ممکن نیست و مزایای پیاده‌سازی کامل این راهبرد هم چندان چشمگیر نمی باشد. انتظار می‌رود در آینده، ابزارهایی برای ساده سازی این فرایند عرضه شوند. به گفته Soto: «تا آن زمان، ZTN یک راهبرد مطلوب و مورد پسند است که پیاده‌سازی آن بسیار سخت است. امیدوارم فناوری‌های جدید به سازمان‌ها امکان بدهند که این راهبرد را با موفقیت بیشتری پیاده‌سازی کنند».

با وجود چالش‌های پیاده‌سازی، مفاهیم این راهبرد خیلی سخت نیستند و دهه‌ها است که در مورد آنها صحبت می‌شود؛ فقط باید با دقت و جدیت آنها را پیاده‌سازی کرد.

منبع: https://securityintelligence.com/articles/zero-trust-2020-more-important-than-ever-before/