logo-mini

Zero Trust چیست و چگونه به امنیت کمک میکند؟

به اشتراک گذاری این پست

Zero Trust چیست و چگونه به امنیت کمک میکند؟

Zero Trust دقیقا چیست؟

زیرو تراست نامی است که به یک مدل امنیت فناوری اطلاعات داده شده است که به همه کاربران و دستگاه‌ها، که در داخل یا خارج از محیط شبکه سازمان هستند، نیاز دارند تا احراز هویت و مجوز دسترسی به شبکه‌ها، برنامه‌ها و داده‌ها را داشته باشند.
وقتی صحبت از Zero Trust می‌شود، یک اعتبارسنجی واحد و سنتی کافی نیست. تهدیدها و ویژگی‌های کاربر احتمالا تغییر می‌کنند و هکرها و حملات سایبری پیچیده‌تر می‌شوند.

سازمان‌ها باید اطمینان حاصل کنند که تمام درخواست‌های دسترسی قبل از اجازه دادن به اتصال به هر دارایی (شبکه، برنامه‌ها، داده‌ها…) به‌طور مداوم تایید می‌شوند.

ارزش Zero Trust چیست؟

رویکرد Zero Trust به امنیت اطلاعات و مدیریت ریسک فقط یک موضوع فنی نیست، بلکه برای هر سازمانی تجاری یا غیرانتفاعی، بزرگ، متوسط یا کوچک ارزش تجاری به ارمغان می‌آورد:

  • صرفه جویی در هزینه بهره وری عملیاتی به لطف تمرکز و اتوماسیون سیاست‌های امنیتی
  • کاهش خطر افشای داده‌ها و زیان‌های مالی نتیجه حفاظت بهتر از داده‌های حساس و مالکیت معنوی است
  • اجتناب از مجازات‌‎های احتمالی و شهرت منفی برند
  • کاهش زمان، هزینه و تلاش هنگام برآورده کردن و گزارش در مورد الزامات انطباق

 

مفهوم Zero Trust از کجا می‌آید؟

مفهوم Zero Trust ریشه در این اصل دارد که به هیچ فرد یا سیستمی نباید به طور ضمنی اعتماد کرد، صرف نظر از اینکه آنها در داخل یا خارج از محیط سازمان هستند. زیرو تراست توسط جان کیندرواگ، تحلیلگر سابق تحقیقات Forrester، در سال 2010 ابداع شد. نقش NIST (موسسه ملی استاندارد و فناوری) در این زمینه قابل توجه بوده است. آن‌ها دستورالعمل‌هایی مانند SP 800-207 را تدوین کرده‌اند که معماری Zero Trust را ترسیم می‌کند و یک نقشه راه برای سازمان‌ها برای پیاده‌سازی آن ارائه می‌کند که منعکس‌کننده درک در حال تکامل از امنیت شبکه است.

Zero Trust اغلب با فریمورک CARTA (Continuous Adaptive Risk and Trust Assessment) گارتنر مقایسه می‌شود که رویکردی مشابه و در عین حال متمایز دارد. در حالی که هر دو بر احراز هویت مستمر و ارزیابی اعتماد تمرکز دارند، CARTA بر پاسخ‌های انطباقی به خطرات تاکید می‌کند، پویاتر است و کنترل‌های امنیتی را در زمان واقعی تنظیم می‌نماید، با در نظر گرفتن ریسک دائمی در حال تغییر مرتبط با کاربران و سیستم‌ها. از سوی دیگر، Zero Trust بدون در نظر گرفتن وضعیت یا رفتار کاربر یا سیستم، در انکار اعتماد ثابت باقی می‌ماند.

در حالی که مدل Zero Trust با این فرض عمل می‌کند که نقض اجتناب ناپذیر است و بنابراین همیشه همه چیز را تایید می‌کند، CARTA بر روی تجزیه و تحلیل مستمر سطوح ریسک و اعتماد کار می‌کند و اقدامات امنیتی را در صورت نیاز تطبیق می‌دهد. هدف هر دو استراتژی ارائه رویکردهای ظریف‌تر و انعطاف‌پذیرتر به امنیت نسبت به روش‌های سنتی است، اما نقاط کانونی و استراتژی‌های آن‌ها متفاوت است و فلسفه‌ها و روش‌شناسی‌های مختلف را در پارادایم‌های امنیت سایبری مدرن منعکس می‌کند.

 

ماهیت Zero trust بسیار انعطاف‌پذیر است و به همین دلیل، شبکه‌ها می‌توانند در فضای ابری، هیبریدی یا در محیط داخلی کنار کارمندان سازمان باشند. درواقع، سازمان‌ها صرف نظر از محل شبکه یا محل حضور کارمندان، می‌توانند از این فریمورک استفاده کنند؛ تفاوتی ندارد که دورکار باشند، دورکاری هیبریدی داشته باشند یا تمام‌وقت به صورت حضوری کار کنند. انعطاف‌پذیری زیرو تراست باعث می‌شود که یک چهارچوب امنیتی بسیار مناسب برای سازمان‌های مدرن باشد.

زیرا بسیاری از سازمان‌ها در حال حرکت به سمت محیط‌های شبکه هیبریدی هستند که شامل ترکیبی از منابع موجود در فضای ابری و منابع داخلی است. در زیرو تراست، فرض بر این است که هیچ کاربر یا دستگاهی به طور پیش‌فرض قابل اعتماد نیست و بدون تاییدیه لازم، نمی‌تواند به منابع دسترسی پیدا کند. این امر به منظور جلوگیری از دسترسی غیرمجاز به منابع سازمانی انجام می‌شود. تایید اعتبار مداوم، یکی از عواملی است که Zero Trust را به یک چهارچوب امنیتی بسیار موثر برای محافظت از شبکه‌های سازمانی تبدیل می‌کند.

 

در محیط دیجیتال امروزی که همه چیز با سرعت زیاد در حال تغییر و تحول است، استفاده از چهارچوب امنیت Zero Trust به ایمنی زیرساخت‌ها و داده‌ها کمک می‌کند و ضمن تضمین امنیت آن‌ها باعث می‌شود چالش‌های تجاری مدرن‌تر، به درستی مدیریت شوند.

برای اینکه دقیقا بدانید کاربرد Zero trust در تامین امنیت داده‌ها و شبکه یک سازمان چیست یک مثال می‌زنیم. از زمان همه‌گیری بیماری کرونا تا امروز، تامین امنیت نیروهای دورکار و سطح دسترسی‌های آن‌ها، برای سازمان‌هایی که به دنبال گسترش و توسعه نیروی کار خود هستند، اهمیت بسیار زیادی پیدا کرده است.

از طرفی دیگر، تهدیدات و حملات باج‌افزاری در حال افزایش هستند. زیرو تراست می‌تواند این تهدیدات را قبل از اینکه آسیبی وارد کنند، شناسایی کند؛ تفاوتی ندارد که این تهدیدات بدافزارهای جدید باشند یا بدافزارهای قدیمی تکامل یافته.

 

 

چرا zero trust اهمیت دارد؟

Zero Trust یک تفکر فعال در حوزه امنیت برای عصر اطلاعات ارائه می دهد. پیش از این، مدل های امنیتی ، محیط شبکه را که اغلب توسط فایروال ها و سایر راه حل های مشابه محافظت می شد ، به عنوان آخرین خط دفاعی در نظر می گرفتند. در مدل های سنتی کاربران درون شبکه سازمانی، قابل اعتماد محسوب می شدند و آزادانه به داده ها و منابع سازمان دسترسی داشتند. در حالی که افراد خارج از محیط غیرقابل اعتماد ارزیابی می شدند.

این روش به روش قلعه و خندق (castle-and-moat) شناخته می شود ، روشی که دسترسی از خارج از شبکه دشوار است ، اما همه در داخل از امتیازات دسترسی بالایی برخوردار هستند. مشکل چیست؟ هنگامی که یک نیروی مهاجم از خندق عبور می کند ، آنها آزادانه به قلعه حمله کرده و به تمام اطلاعات حساس مورد نیاز برای تخریب قلعه دسترسی می یابند.

 

هزینه رخنه نجومی است!

افراد متخاصم با استفاده از حساب های کاربری در خطر افتاده می‌توانند به راحتی از این سیستم برای انجام حملات گسترده در یک سازمان بهره‌مند شوند. گزارش سال 2020 موسسه Ponemon و IBM نشان داد که هزینه نقض داده ها به طور متوسط 3.68 میلیون دلار است و این علاوه بر آسیب های وارد شده به خود اشخاص است.

 

تغییر مدل‌های محیط کار نیازمند zero trust است.

Zero Trust نشان دهنده گستردگی تهدیدات امنیتی در دنیای امروز است. ظهور دستگاه‌های هوشمند و استفاده از راهکارهای ابری، بسیاری از سازمان‌ها را قادر ساخته‌ است تا مدل‌های کاری توزیع‌شده را اتخاذ کنند که در آن کارکنان، پیمانکاران و شرکا در سراسر جهان از ابزارها و شبکه‌ها در خارج از محدوده شرکت استفاده می‌کنند. انتظار داریم این روندها ادامه یابد ، به ویژه که سازمان ها مجبور شده اند محیط کاری پویاتر و انعطاف پذیرتری را ایجاد کنند. در حالی که شرکت ها لازم است به کارکنان خود اجازه دهند که به طور یکپارچه کار کنند ، حضور روزافزون دستگاه های غیرقابل اعتماد و نقاط اتصال ناامن، خطرات امنیتی بیشتری را ایجاد می کند. با گسترش روزافزون حملات سایبری و پذیرش این واقعیت که ترفندهای قدیمی مانند فیشینگ هنوز هم کار می کنند، واضح است که ایمن سازی محیط شبکه غیرقابل اجتناب است.

 

مقایسه Zero Trust با  trust but verify 

اصل trust but verify یا اعتماد کن، ولی راستی‌آزمایی کن؛ اگرچه به طور گسترده مورد استفاده قرار می‌گیرد، دارای اشکالاتی است. سطح معینی از اعتماد ذاتی در یک سازمان یا سیستم را در نظر می‌گیرد و سپس برای اطمینان از یکپارچگی به فرآیندهای تایید تکیه می‌کند که می‌تواند منجر به رضایت و وابستگی بیش از حد به روش‌های تایید شده و توسط خودی‌های مخرب یا مهاجمان پیچیده مورد سوء استفاده قرار گیرد. مکانیسم‌های تایید ممکن است در طول زمان ضعیف شده، یا به اشتباه پیکربندی شوند و امکان دسترسی غیرمجاز را فراهم کنند.

از سوی دیگر، رویکرد Zero Trust، با فرض عدم اعتماد به هیچ کاربر، سیستم یا فرآیندی، چه در داخل و چه در خارج از سازمان، موضع تردید آمیزتری اتخاذ می‌کند. این پارادایم مستلزم احراز هویت و مجوز مداوم برای همه کاربران و دستگاه‌ها است. با اعمال تدابیر امنیتی منسجم در کل شبکه، مدل Zero Trust خطرات مرتبط با اعتماد نابجا یا شکست تایید را به حداقل می‌رساند. تشخیص می‌دهد که تهدیدها می‌توانند هم از داخل و هم از خارج سازمان بیایند، بنابراین یک مکانیسم دفاعی جامع‌تر و تطبیقی ارائه می‌کند که به عنوان بهبودی نسبت به اصل trust but verify تلقی می‌شود.

رایج‌ترین موارد استفاده از Zero Trust چیست؟

مفهوم Zero Trust در معماری شبکه‌های مدرن گیرایی قابل توجهی پیدا کرده است و موارد استفاده مختلفی دارد.

  • امنیت کار از راه دور: با افزایش روش‌های کار از راه دور، Zero Trust برای اطمینان از تایید اعتبار و تایید مداوم همه اتصالات از راه دور استفاده می‌شود و تضمین می‌کند که کاربران می‌توانند بدون اعطای مجوزهای بیش از حد به منابع مورد نیاز، چه در داخل یا خارج از محیط سنتی شبکه، به طور ایمن دسترسی داشته باشند.
  • کنترل دسترسی شخص ثالث: سازمان‌ها اغلب با اشخاص ثالث مانند فروشندگان، مشاوران و شرکا همکاری می‌کنند. Zero Trust به کنترل و مانیتور بر دسترسی این اشخاص ثالث به اطلاعات حساس کمک می‌کند. با ارزیابی مستمر اعتماد و تنها اعطای حقوق دسترسی لازم، خطر نقض داده‌ها را می‌توان به حداقل رساند.
  • میکروسگمنتیشن (Microsegmentation) در محیط‌های ابری: در محیط‌های ابری پیچیده، میکروسگمنتیشن با استفاده از اصول Zero Trust به تجزیه شبکه به بخش‌های کوچک‌تر کمک می‌کند. با اعمال کنترل‌های امنیتی در هر بخش، می‌توان از دسترسی غیرمجاز جلوگیری کرد. اگر مهاجم به بخشی از سیستم دسترسی پیدا کند، همچنان از سایر بخش‌ها جدا شده و از دارایی‌های حیاتی محافظت می‌کند.
  • امنیت اینترنت اشیاء (IoT): از آنجایی که دستگاه‌های اینترنت اشیا در صنایع به گسترش خود ادامه می‌دهند، شبکه پیچیده‌ای از گجتهای به هم پیوسته را ایجاد می‌کنند که بسیاری از آنها دارای سطوح مختلف امنیتی هستند. Zero Trust می‌تواند برای مدیریت این دستگاه‌ها با تایید مداوم هویت آنها و اجرای کنترل دسترسی مبتنی بر خط مشی اعمال شود. حتی اگر دستگاهی در شبکه داخلی باشد، باز هم باید مشروعیت خود را ثابت کند و خطر سوء استفاده از یک دستگاه ناامن به عنوان نقطه ورود برای حمله را کاهش دهد.

Zero Trust با ترکیب این مورد استفاده اضافی، یک رویکرد جامع برای امنیت ارائه می‌کند که شامل کارمندان راه دور، دسترسی شخص ثالث، میکروسگمنتیشن ابری و دستگاه‌های IoT می‌شود. این یک مدل آینده‌نگر است که سیالیت و پیچیدگی محیط‌های دیجیتال مدرن را تشخیص می‌دهد و حفاظت لایه‌ای را ارائه می‌کند که به طور مداوم اعتماد را ارزیابی می‌کند و به طور سازگارانه به تهدیدات نوظهور پاسخ می‌دهد.

چرا رویکرد Zero Trust مهم است؟

سیاست‌های Zero Trust در سطح استراتژیک برای ایجاد، مانیتور و حفظ محیط‌های امن در دسترسی به شبکه‌ها، برنامه‌ها و داده‌ها اتخاذ می‌شوند.

از آنجایی که کاربران به طور فزاینده‌ای در حال تبدیل شدن به تلفن همراه هستند و با تهدیدات سایبری پیچیده مواجه می‌شوند، می‌توان انتظار داشت که سازمان‌ها به سرعت ذهنیت امنیتی Zero Trust را اتخاذ کنند تا گسترش نقض‌ها و عواقب آن را به حداقل برسانند. این امر به ویژه حیاتی است زیرا شرکت‌ها تمایل دارند تعداد نقاط پایانی را در شبکه خود افزایش دهند و زیرساخت‌های خود را به برنامه ها و سرورهای مبتنی بر ابر گسترش دهند.

چگونه MFA می‌تواند در دستیابی به Zero Trust کمک کند؟

در حالی که هیچ راه حل یکسانی برای همه وجود ندارد، برخی از عناصر ضروری برای هر دستگاه Zero Trust، از جمله MFA وجود دارد.

احراز هویت چند عاملی (MFA) یکپارچه از معماری Zero Trust است. در مدل‌های معمولی، کاربران داخل شبکه اغلب به صورت پیش فرض قابل اعتماد هستند. Zero Trust این اعتماد ذاتی را از بین می‌برد و MFA با نیاز به دو یا چند روش راستی آزمایی – چیزی که می‌دانید (رمز عبور)، چیزی که دارید (گوشی تلفن همراه) یا چیزی که هستید (تایید بیومتریک) این را تقویت می‌کند. این امر باعث پیچیدگی فرآیند احراز هویت می‌شود و دسترسی کاربران غیرمجاز را سخت‌تر می‌کند. با درخواست چندین مدرک برای هویت کاربر، MFA تضمین می‌کند که حتی اگر یک عامل (مانند رمز عبور) به خطر بیفتد، لایه‌های اضافی احراز هویت همچنان باید پاک شوند. این امر با اطمینان از کسب و تایید مجدد اعتماد به طور مداوم، فلسفه Zero Trust را تکمیل نموده و امنیت سیستم را به طور قابل توجهی تقویت می‌کند.

با این حال، همه راه‌حل‌های MFA یکسان نیستند، زیرا فناوری‌های پشت آن‌ها کاملا متفاوت هستند. معیارهای مختلفی برای ارزیابی امنیت و تجربه کاربری فروشندگان مختلف وجود دارد.

محمدرضا محمودی

محمدرضا محمودی هستم ، سعی شده در این وبلاگ مطالب مفید و کارامدی قرار بگیره ، از اینکه وقت میگذارید و مطالب رو مطالعه میکنید متشکرم... حتما نظرات خودتون رو ارسال کنید


امکان ارسال نظر موجود نیست