ZTN یک مدل امنیتی IT می باشد که نیازمند تأیید هویت دقیق برای هر شخص و دستگاهی ، صرف نظر از اینکه در محیط شبکه یا خارج از آن قرار دارد است. ZTNA فناوری اصلی مرتبط با معماری اعتماد صفر است. اما اعتماد صفر یک رویکرد جامع برای امنیت شبکه است که چندین اصل و فناوری مختلف را در بر می گیرد.
به بیان ساده تر: امنیت شبکه سنتی فناوری اطلاعات به هر کسی و هر چیزی در داخل شبکه اعتماد دارد. معماری Zero Trust به هیچ کس و هیچ چیز اعتماد ندارد.
امنیت شبکه سنتی فناوری اطلاعات مبتنی بر مفهوم قلعه و خندق است. در مدل دفاعی قلعه و خندق، دسترسی از خارج از شبکه دشوار است، اما همه افراد داخل شبکه به طور پیش فرض قابل اعتماد هستند. به بیانی دیگر در مدل های مدیریت امنیت سنتی، شبکه به دو بخش بیرون و داخل تقسیم می شده که در آن شبکه بیرون نا امن و غیر قابل اعتماد بوده است. در این مدل ها کابران شبکه داخلی کاملا صادق و مسئولیت پذیر و قابل اعتماد هستند اما از آنکه 80% آسیب ها در شبکه از طریق سوء استفاده افراد با دسترسی های ممتاز کاربران اتفاق افتاده است به همین دلیل شبکه ZTN شکل گرفت که دقیقا اعتماد را نقطه ضعف می داند.
این آسیب پذیری در سیستم های امنیتی قلعه و خندق با در نظر داشتن این واقعیت که شرکت ها دیگر داده های خود را فقط در یک مکان ندارند مضاعف می شود. امروزه، اطلاعات اغلب در میان فروشندگان ابری پخش می شود، که یک کنترل امنیتی واحد برای کل شبکه را دشوارتر می کند.
امنیت Zero Trust به این معنی است که هیچ کس به طور پیشفرض از داخل یا خارج از شبکه قابل اعتماد نیست و همه افرادی که تلاش میکنند به منابع موجود در شبکه دسترسی پیدا کنند، باید تأیید شوند. ثابت شده است که این لایه امنیتی افزوده از نقض اطلاعات جلوگیری می کند. مطالعات نشان داده است که میانگین هزینه یک نقض اطلاعات تنها بیش از 3 میلیون دلار است. با در نظر گرفتن این رقم، جای تعجب نیست که بسیاری از سازمان ها اکنون مشتاق به اتخاذ سیاست امنیتی Zero Trust هستند.
اصول اصلی امنیت Zero Trust چیست؟
نظارت و اعتبار سنجی مستمر
بر مبنای فلسفه شبکه اعتماد صفر فرض براین است که مهاجمانی هم در داخل و هم خارج از شبکه وجود دارند، بنابراین به هیچ کاربر یا ماشینی نباید به طور خودکار اعتماد کرد. Zero Trust هویت و امتیازات کاربر و همچنین هویت و امنیت دستگاه را تأیید می کند. زمان ورود و اتصالات به صورت دوره ای پس از ایجاد، پایان می یابد و کاربران و دستگاه ها را مجبور می کند که به طور مداوم مجدداً تأیید شوند.
کمترین امتیاز
یکی دیگر از اصول امنیت صفر، دسترسی با حداقل امتیاز است. این بدان معناست که به کاربران فقط به اندازه نیازشان دسترسی میدهیم، مانند یک ژنرال ارتش که اطلاعات سربازان را بر اساس نیاز به دانستن میدهد. این امر قرار گرفتن هر کاربر در معرض بخش های حساس شبکه را به حداقل می رساند.
اجرای حداقل امتیاز مستلزم مدیریت دقیق مجوزهای کاربر است. VPN ها برای رویکردهای با حداقل امتیاز برای مجوز مناسب نیستند، زیرا ورود به VPN به کاربر امکان دسترسی به کل شبکه متصل را می دهد.
کنترل دسترسی دستگاه
Zero Trust علاوه بر کنترلهای دسترسی کاربر، به کنترلهای دقیق دسترسی به دستگاه نیز نیاز دارد. سیستمهای Zero Trust باید بر تعداد دستگاههای مختلف نظارت داشته باشند که در تلاش برای دسترسی به شبکه خود هستند، اطمینان حاصل کنند که هر دستگاه مجاز است، و همه دستگاهها را ارزیابی کنند تا مطمئن شوند که در معرض خطر قرار نگرفتهاند. این امر نهایتا سطح حمله به شبکه را به حداقل می رساند.
بخش بندیهای بسیار کوچک ( Microsegmentation )
شبکه های Zero Trust نیز از Microsegmentation استفاده می کنند. Microsegmentation روشی است که در آن محیطهای امنیتی را به مناطق کوچک تقسیم میکنند تا دسترسی جداگانه برای بخشهای جداگانه شبکه حفظ شود. به عنوان مثال، شبکهای با فایلهایی که در یک مرکز داده قراردارند و از ریز بخشبندی استفاده میکنند، ممکن است حاوی دهها منطقه مجزا و امن باشد. شخص یا برنامه ای که به یکی از آن مناطق دسترسی داشته باشد، بدون مجوز جداگانه نمی تواند به هیچ یک از مناطق دیگر دسترسی داشته باشد.
جلوگیری از حرکت جانبی
در امنیت شبکه، “حرکت جانبی” زمانی است که یک مهاجم پس از دسترسی به آن شبکه در داخل یک شبکه حرکت می کند. تشخیص حرکت جانبی ممکن است دشوار باشد حتی اگر نقطه ورود مهاجم کشف شود، زیرا مهاجم به سایر بخشهای شبکه آسیب میزند.
Zero Trust طوری طراحی شده است که مهاجمان را مهار کند تا نتوانند به صورت جانبی حرکت کنند. از آنجایی که دسترسی Zero Trust تقسیمبندی شده است و باید بهطور دورهای مجدداً برقرار شود، مهاجم نمیتواند به ریزبخشهای دیگر در شبکه منتقل شود. هنگامی که حضور مهاجم شناسایی شد، دستگاه یا حساب کاربری در معرض خطر را می توان قرنطینه کرد و دسترسی بیشتر را قطع کرد. (در مدل قلعه و خندق، اگر حرکت جانبی برای مهاجم امکان پذیر باشد، قرنطینه کردن دستگاه یا کاربر آسیبدیده اصلی تأثیر چندانی ندارد، زیرا مهاجم قبلاً به بخشهای دیگر شبکه رسیده است.)
احراز هویت چند عاملی (MFA)
Multi-factor authentication (MFA)
احراز هویت چند عاملی (MFA) نیز یک ارزش اصلی امنیت Zero Trust است. MFA به معنای نیاز به بیش از یک مدرک برای احراز هویت یک کاربر است. فقط وارد کردن رمز عبور برای دسترسی کافی نیست. یکی از کاربردهای رایج MFA مجوز دو عاملی (2FA) است که در پلتفرم های آنلاین مانند فیس بوک و گوگل استفاده می شود. کاربرانی که 2FA را برای این سرویسها فعال میکنند، علاوه بر وارد کردن رمز عبور، باید کدی را نیز وارد کنند که به دستگاه دیگری مانند تلفن همراه ارسال میشود، بنابراین دو مدرک نشان میدهد که آنها همان چیزی هستند که ادعا میکنند هستند.
