مزایای استفاده از زیرو تراست (Zero Trust Architecture) در امنیت شبکه
- mentorx
- ۲۰ مرداد ۱۴۰۳
در این مقاله به بررسی زیرو تراست (Zero Trust) که یکی از جدیدترین فناوریها در این حوزه به حساب میآید می پردازیم.
مزایای استفاده از زیرو تراست (Zero Trust Architecture) در امنیت شبکه
در دنیای امروز که درصد زیادی از کسبوکارها به صورت آنلاین فعالیت میکنند و برای ذخیره اطلاعات و دادههای حساس از شبکهها استفاده میکنند، یکی از مهمترین دغدغهها تأمین امنیت شبکه به صورت کامل و پایدار و جلوگیری از نفوذ افراد غیر مجاز به آن است. به منظور تأمین امنیت شبکه از فناوریهای مختلفی استفاده میشود که هر کدام قابلیتها و ویژگیهای منحصر به فردی دارند. زیرو تراست (Zero Trust) یکی از جدیدترین فناوریها در این حوزه به حساب میآید که با استفاده از قابلیتهای خود میتواند امنیت شبکه را به صورت پایدار تأمین کند.
Zero Trust چیست؟
در تعریف زیرو تراست باید گفت که یک چارچوب امنیتی به حساب میآید که در آن همه کاربران که داخل یا خارج از شبکه هستند، باید پیش از دسترسی به دادههای مختلف در شبکه احراز هویت شوند؛ همچنین در این چارچوب برای پیکربندی هر سیستم باید وضعیت امنیتی آنها مورد بررسی قرار بگیرد. در این چارچوب امنیتی تفاوتی ندارد که شبکه از نوع محلی (LAN) یا در فضای ابری (Cloud) یا ترکیبی از هر دو باشد. زیرو تراست چارچوبی جهت ایمنسازی زیرساختها و دادهها در کسب و کارهای امروزی است تا بتواند چالشهای مدرن آنها مانند تأمین امنیت کارکنان از راه دور (ریموت)، محیطهای ابری ترکیبی و همچنین تهدیدات بدافزارها را رفع کند.
اصول و فناوریهای اصلی zero trust چیست؟
به عنوان یک چارچوب در امنیت شبکه در زیرو تراست از اصول و فناوریهای مختلفی استفاده میشود که به شرح زیر است:
- اعتبارسنجی مستمر: فلسفه اصلی در یک شبکه Zero Trust این است که مهاجمان در داخل و خارج از شبکه وجود داشته و به همین دلیل نمیتوان به هیچ کاربر یا دستگاهی به صورت خودکار اعتماد کرد.
- حداقل دسترسی: یکی از مهمترین اصول در زیرو تراست این است که کاربران به همان اندازه که نیاز دارند به شبکه و دادههای موجود در آن دسترسی پیدا میکنند تا بتوان به این ترتیب از قرار گرفتن هر کاربر در قسمتهای حساس شبکه جلوگیری کرد.
- تقسیمبندی خرد (میکروسگمنتیشن): در این اصل، محدوده امنیتی به مناطق کوچکتر شکسته میشود تا بتوان دسترسی جداگانه به بخشهای مختلف شبکه را حفظ کرد. در واقع در این روش کاربر در صورت داشتن مجوز دسترسی به یک منطقه امکان دسترسی به مناطق دیگر را نخواهد داشت.
- احراز هویت چند عاملی (MFA): یکی از مهمترین اصول امنیتی در زیرو تراست به حساب میآید که برای دسترسی و احراز هویت کاربران مورد استفاده قرار میگیرد. بر اساس این اصل، برای احراز هویت کاربران فقط رمز عبور کافی نبوده و به یک عامل دیگر مانند کدی که از طریق پیامک ارسال میشود، نیاز دارند.
- کنترل دسترسی دستگاهها: در زیرو تراست کنترل دسترسی برای امنیت شبکه محدود به کاربران نبوده و برای دستگاهها نیز کنترلهای دقیق و سختگیرانه اعمال میشود. در این چارچوب امنیتی، تعداد دستگاههای متقاضی دسترسی به شبکه کنترل شده و مجاز بودن هر دستگاه مورد بررسی قرار میگیرد. این امر باعث میشود که سطح حمله در شبکه به میزان قابل توجهی کاهش پیدا کند.
سازمانها و کسبوکارها برای استقرار زیرو تراست چه اصولی را باید رعایت کنند؟
در خصوص Zero Trust به عنوان یک راهحل امنیتی و هدف نهایی آن باید گفت که هدف اصلی از اجرای آن در سازمانها و کسبوکارها، تجدید نظر در مورد امنیت محیطهای مدرن، ابری و تلفن همراه است. سازمانها و کسبوکارهایی که قصد دارند با استفاده از زیرو تراست به این اهداف دست پیدا کنند باید یک سری اصول و قواعد را رعایت کنند. در ادامه با مهمترین اصولی که توسط سازمانها و کسبوکارها به منظور استقرار زیرو تراست باید رعایت شود، آشنا میشویم.
شناسایی دادههای حساس
تا زمانی که یک سازمان یا کسبوکار در حال ذخیره کردن اطلاعات شخصی، مالی یا مالکیت معنوی محرمانه باشد، مهاجمان در کمین هستند زیرا این اطلاعات برای آنها از ارزش زیادی برخوردار است. امنیت دادهها و اطلاعات در قلب زیرو تراست قرار دارد؛ به همین دلیل یک سازمان یا کسب و کار باید اقدامات زیر را برای شناسایی دادههای حساس و تأمین امنیت آنها انجام دهد:
- اطلاع از محل قرارگیری و ذخیره دادههای حساس
- اطلاع از افراد مجاز به دسترسی و سطح دسترسی آنها به دادههای حساس
- ثبت هرگونه تلاش برای دسترسی به دادهها
اجرای دقیق کنترل دسترسی
یکی از اصول مهم در Zero Trust و پیادهسازی آن این است که بتوان دسترسی به شبکه و دادهها را به خوبی کنترل و محدود کرد. سازمانها و کسبوکارهایی که قصد دارند از زیرو تراست برای تأمین امنیت شبکه استفاده کنند میتوانند از ابزارهای و تکنیکهای مختلفی استفاده کرده و به این ترتیب از تلاشهای دسترسی غیر قابل اعتماد جلوگیری کنند. از مهمترین تکنیکها و ابزارهای اجرای دقیق کنترل دسترسی در زیرو تراست میتوان به موارد زیر اشاره کرد:
کنترل دسترسی با حداقل امتیاز
با استفاده از این تکنیک در زیرو تراست میتوان به کاربران و دستگاههای آنها امکان داد که فقط به منابع مورد نیاز برای انجام کارهای خود دسترسی داشته باشند. با این روش با توجه به اینکه میزان قرارگیری هر کاربر در برابر اطلاعات و برنامههای موجود در شبکه به حداقل میرسد، سطح حمله به شبکه نیز به میزان قابل توجهی کاهش پیدا خواهد کرد. به عنوان مثال در صورتی از طریق تصاحب یک حساب کاربری نقض امنیتی صورت بگیرد، کل شبکه در خطر نبوده و تنها منابعی که آن حساب کاربری اختصاص داده شده بود، در معرض خطر قرار خواهد گرفت. استفاده از این تکنیک و رویکرد کنترل دسترسی، باعث میشود که بتوان از عمیقتر شدن حملات به شبکه و دسترسی به اطلاعات جلوگیری کرد.
احراز هویت چند عاملی (MFA)
یکی از روشها و ابزارهای مؤثر برای استقرار زیرو تراست در یک سازمان و کسبوکار است که به عنوان روشی برای تأیید هویت کاربران و امنیت شبکه مورد استفاده قرار میگیرد، احراز هویت چند عاملی است. در واقع با استفاده از این روش میتوان فرایند احراز هویت را با استفاده از عواملی که در مقایسه با رمز عبور امنیت بیشتری دارند (به عنوان مثال اثر انگشت در تلفن هوشمند) تقویت کرد. از روشهای اعتبارسنجی مختلفی به عنوان عامل دوم میتوان استفاده کرد که هرکدام دارای درجه مشخصی از حفاظت و قابلیت استقرار هستند. در واقع این سازمان است که باید بررسی کند که کدام روش مناسب بوده و بستر استفاده از آن وجود دارد.
دسترسی زیرو تراست (ZTNA)
ZTNA یا دسترسی Zero Trust یکی از تکنیکهایی است که میتوان شبکه را ایزوله کرده و از آن محافظت کند. در این روش که یک مدل اعتماد تطبیقی است، کنترل دسترسی به برنامهها از دسترسی به شبکه جدا شده و تنها کاربران مجاز دسترسی پیدا میکنند. در واقع در این روش هر کاربر به برنامه یا برنامههای مورد نیاز خود دسترسی خواهد داشت.
موشکافی دقیق هر نقطه پایانی
یکی از اصول مهم در مدل زیرو تراست که باید توسط سازمانها و کسبوکارها مورد توجه قرار بگیرد، این است که هر کاربر، دستگاه و نقطه اتصال به عنوان یک تهدید بالقوه در نظر گرفته میشود؛ به خصوص آنهایی که درون شبکه قرار دارند. به همین دلیل در این مدل هر درخواست باید برای دسترسی به سیستم اعتبارسنجی شده و مجاز و رمز شده تشخیص داده شود. برای استقرار مدل Zero Trust، سازمانها باید محدودیتهایی را برای نحوه دسترسی به منابع داخلی و خارجی شبکه تعیین کرده و از این طریق رفتار کاربران را کنترل کنند.
در شبکههای زیرو تراست، دستگاهها یکی از عوامل خطرناک محسوب میشوند؛ زیرا هر دستگاهی که خطر افتاده باشد، یک نقطه ورود بالقوه برای دسترسی مهاجم به شبکه خواهد بود. به همین دلیل در این مدل باید هر دستگاهی که به شبکه متصل میشود را جداسازی، ایمن و کنترل کرد. بهترین راه حل برای این کار، مدیریت دسترسی زمینهای است. با استفاده از این راهکار میتوان سیاستهای کنترل دسترسی لازم برای مدیریت ریسک را تنظیم و بر اساس آن تصمیمات هوشمندانهتری اتخاذ کرد. در واقع باید با استفاده از معیارهایی مانند نقش شغلی کاربر، دستگاه، محل سکونت، زمان درخواست و غیره اطلاعات بیشتری در مورد هر کاربر و دستگاه کسب کرده و بر این اساس دسترسی مناسب را ایجاد کرد.
سرمایه گذاری بر آنالیز و مانیتورینگ در لحظه
در صورتی که یک سازمان یا کسبوکار قصد دارد یک شبکه زیرو تراست را اجرا کند، تیمهای مدیریت و امنیت باید بتوانند همه اتفاقات رخ داده در سیستم را درک کنند. در واقع با تشخیص تهدید و تجزیه و تحلیل رفتار کاربر میتوان حملات و تلاشهای صورت گرفته برای سرقت اطلاعات را همزمان متوقف کرد و بین ورد مجاز به سیستم و حساب کاربری به خطر افتاده، تفاوت قائل شد.
خودکار بودن تا حد ممکن
همانطور که اشاره شد، شناسایی دقیق و شبانهروزی تهدیدات و نظارت بر رویدادهای مختلف یکی از نیازهای اصلی زیرو تراست است؛ اما اتکا به مهارت پرسنل سازمان برای این روش کافی نیست. به همین دلیل سازمانها باید تا حد ممکن از راهکارهای آنالیز و مانیتورینگ خودکار استفاده کنند. استفاده از این ابزارها به تیمهای امنیتی امکان میدهد که تمرکز خود را بر روی وظایف اصلی مانند واکنش به حوادث معطوف کنند.
استفاده از مدل زیرو تراست در امنیت شبکه چه مزایایی دارد؟
همانطور که گفته شد، مدل زیرو تراست میتواند شرایط امنیتی قابل اعتمادتری در شبکه ایجاد کند و به این ترتیب از سازمانها و کسبوکارهای مختلف در برابر حملات سایبری و هکری، سرقت و دسترسی غیر مجاز به اطلاعات و داراییها محافظت کند. از مهمترین مزایای استفاده از مدل Zero Trust در سازمانها و کسب و کارهای مختلف میتوان به موارد زیر اشاره کرد:
- حفاظت از دادهها و اطلاعات سازمان
- تقویت امکان انجام ممیزی انطباق
- کاهش ریسک نقض امنیت
- کاهش مدت زمان تشخیص نقض امنیت
- بهبود شرایط مانیتورینگ ترافیک در شبکه
- افزایش کنترلها در محیطهای ابری (Cloud)
جمعبندی
امنیت شبکه در دنیای امروز که درصد زیادی از کسبوکارها از آن به منظور ذخیره دادهها و اطلاعات مختلف استفاده میکنند، از اهمیت زیادی برخوردار است؛ زیرا در صورتی که امنیت به خوبی تأمین نشده باشد، هکرها و افراد غیر مجاز میتوانند به دادههای حساس و داراییها دسترسی پیدا کرده و آنها را سرقت کنند. این شرایط در برخی موارد میتواند منجر به فروپاشی یک سازمان یا کسبوکار شود. به همین دلیل امروزه از روشها و تکنیکهای مختلفی به منظور تأمین امنیت شبکه استفاده میشود که هر کدام قابلیتهای متفاوتی دارند. مدل زیرو تراست یکی از مدلهای کاربردی است که در آن اصل بر این است که همه کاربران، دستگاهها و نقاط که قصد دسترسی به شبکه دارند، به صورت بالقوه تهدید بوده و باید مورد بررسی قرار گرفته و مجاز شناخته شوند.
سوالات متداول
زیرو تراست چیست؟
یک چارچوب امنیتی برای شبکه به حساب میآید که در آن همه کاربران و دستگاهها چه در خارج و چه در داخل شبکه، به عنوان تهدید محسوب شده و پیش از دسترسی به شبکه باید احراز هویت شوند.
زیرو تراست از چه اصولی برای امنیت شبکه استفاده میکند؟
زیرو تراست به عنوان یک مدل امنیت شبکه از اصول مختلفی استفاده میکند که از جمله مهمترین اصول آن میتوان به اعتبارسنجی مستمر، حداقل دسترسی، میکروسگمنتیشن، احراز هویت چند عاملی، کنترل دسترسی دستگاه و غیره اشاره کرد.
دسترسی زیرو تراست (ZTNA) چیست؟
یک روش برای ایزوله کردن و محافظت از شبکه است که در آن هر یک از کاربران تنها به برنامه یا برنامههای مورد نیاز خود دسترسی پیدا میکنند و نمیتوانند به همه برنامهها در شبکه دسترسی داشته باشند.