ZTNA، دسترسی بر پایه اعتماد صفر
از آنجایی که کسبوکارها از نوآوریهای دیجیتال، برنامههای ابری و مدلهای جدید کاری (هیبریدی) استقبال کردهاند، این موضوع باعث شده تا از طرفی شبکههای سازمانی به طور قابل توجهی پیچیده شوند و از طرفی پراکندگی و تعداد لبههای شبکه افزایش یابند. این رویکرد باعث شده تا مرزهای شبکه تقریباً ناپدید شوند. با اتصال تعداد زیادی از افراد و دستگاهها از مکانهای مختلف به شبکه، دیگر رویکرد سنتی محافظت از شبکه بر اساس مرزهای شبکه (محافظت از شبکه Trust در برابر شبکه Untrust اینترنت) به طور چشمگیری ناکارآمد شده است.
در حال حاضر سازمانها برای محافظت از داراییهای خود در برابر دامنه گسترده از حملات و تهدیدات مدرن، باید مدل اعتماد صفر “هرگز اعتماد نکردن، همیشه تأیید کردن” را پیادهسازی کنند. این مدل بر پایه احراز هویت کامل و کنترل دسترسی دقیق در سراسر شبکه توزیع شده میباشد تا کاربران، دستگاهها، نقاط پایانی، سرویسها و زیرساختهای ابری و سایر زیرساختها همگی مورد حفاظت قرار گیرند.
برای پیادهسازی موفق استراتژی دسترسی بر پایه اعتماد صفر، سازمانها باید راهحلهای امنیتی یکپارچه و قویی را انتخاب و اجرا کنند که زیرساخت لازم برای احراز هویت و مدیریت دسترسی بر مبنای نقاط پایانی، مکان اتصال و در سطح برنامه کاربردی را فراهم کند.
در حال حاضر در شرکتهای IT محور، برنامهها و دادههای کسبوکار به طور گسترده و خارج از مراکز داده سازمانها در دسترس میباشند، به طوری که کاربران دسترسی بیشتری به داراییهای اطلاعاتی شرکتها با استفاده از تعداد زیادی از نقاط پایانی از مکانهای مختلف دارند. از طرفی رشد سریع دستگاههای اینترنت اشیاء (IoT) و دستگاههای BYOD منجر به افزایش تعداد نقاط دسترسی و دستگاههای پایانی در شبکه شده است. به عبارت دیگر، مرز شبکههای سنتی در حال ناپدید شدن و سطح حملات در حال گسترش میباشد. همچنین علاوه بر افزایش تهدیدات سایبری، روز به روز تاکتیکها و تکنیکهای مهاجمان نیز در حال تکامل و پیشرفت به سمت پیچیدگی بیشتر میباشد.
با توجه به پیشبینیهای IDC، تا سال 2025 تعداد 55.7 میلیارد دستگاه متصل به اینترنت اشیاء (IoT) در سراسر جهان وجود خواهد داشت.
مدلهای امنیتی سنتی بر این فرضیه استوارند که هر چیزی درون شبکه سازمان مورد اعتماد میباشد. مشکل از اینجا شروع میشود که اتخاذ خودکار اعتماد به هر دستگاه یا کاربری، سازمان را در معرض خطر قرار میدهد. بگونهای که اگر هر یک از این موارد به هر دلیلی مورد حمله و آلودگی قرار بگیرد، ای موضوع کل سازمان را به خطر میاندازد. مهاجمان، بدافزارها و دستگاههای آلوده که از کنترلهای امنیتی لبه شبکه عبور میکنند، به دلیل این مدل امنیتی، دسترسی غیرمحدودی به شبکه دارند. بهرهبرداری از آسیبپذیریهایی و بدافزارها، مهاجمان را قادر میسازد تا به اطلاعات کاربری معتبر دسترسی پیدا کنند. با دسترسی به حساب کاربری معتبر مهاجمان میتوانند با یکبار دسترسی از داخل شبکه، به صورت جانبی حرکت کنند و از شبکه داخلی که به صورت Trust در نظر گرفته شده داراییها و منابع سازمان را مورد حمله قرار دهند.
طبق گزارش Verizon در سال 2023 در مورد نقض امنیت دادهها (DBIR)، 83 درصد از نقض اطلاعات در سال ۲۰۲۲ توسط عوامل خارجی اتفاق افتاده و 95 درصد از این نقضها با اهداف مالی بودهاند. طبق این گزارش، “سه روش اصلی که حملهکنندگان برای دسترسی به سازمان استفاده میکنند، شامل سرقت حسابهای کاربری معتبر، فیشینگ و بهرهبرداری از آسیبپذیریها بوده است.
سازمانها باید به این نکته توجه کنند، همانطور که شبکههای خود را برای سازگاری با کارکنان راه دور، معماریهای ابری چندگانه و نوآوری دیجیتال، مدرن میکنند، باید رویکردهای خود نسبت به امنیت را نیز تغییر دهند.
محدودیتهای کنترل دسترسی سنتی
روشهای کنترل دسترسی سنتی به طور ذاتی به یک کاربر یا دستگاه در شبکه اعتماد میکنند. این مفهوم از اعتماد، اغلب بر اساس موقعیت جغرافیایی کاربر یا دستگاه استوار است: به این معنی که آنها اگر در شبکه قرار داشته باشند، به آنها اعتماد میشود. اما همانطور که مرزهای سنتی متصور برای شبکه در حال ناپدید شدن است، این موضوع، تامین امنیت برای منابع شبکه را نیز به طور کامل غیرممکن میکند. کاربران در حال حاضر از خانه و سایر مکانها و همچنین دستگاههای همراه به شبکه سازمان متصل میشوند. همچنین منابع سازمان نیز به طور گستردهای در مکانهای مختلفی و خارج از شبکه سازمان مانند ابرهای خصوصی و عمومی قرار دارند. برای غلبه بر محدودیتهای کنترل دسترسی سنتی سازمانها به راهکارهایی نیازمند هستند که موارد زیر را ارائه دهند.
- تایید مستمر کاربران و دستگاهها
- تقسیم بندی دقیق شبکه برای ایجاد مناطق کنترل بیشتر. این موضوع کمک میکند تا تاثیر یک نفوذ محدود به یک منطقه از شبکه شود و نقاط کنترلی بیشتری به وجود بیاید.
- دسترسی با کمترین امتیاز (Least-privilege access) برای کاربران و دستگاهها، بنابراین کاربران فقط به دسترسیهایی که برای انجام نقش خود نیاز دارند دسترسی دارند و این موضوع کمک میکند تا تاثیر لو رفتن یک مجوز دسترسی یا دستگاه مورد نفوذ، محدود شود.
مفاهیم پایهای اعتماد صفر (Zero Trust)
مدل اعتماد صفر (Zero Trust) امنیت را از اعتماد ضمنی که بر مبنای مکان شبکه کاربر یا دستگاه استوار میباشد، تبدیل به اعتمادی میکند که برای هر تراکنش به صورت جداگانه انجام و در ادامه با تاییدهای مداوم نظارت میشود. در مدل اعتماد صفر، مکان شبکه یا آدرس IP، دیگر نشانهای از اعتماد ندارد. مدل اعتماد صفر نیازمند اعتمادی است که به طور صریح از ترکیبی از کنترلهای امنیتی مبتنی بر هویت و ماهیت در سطح بسیار دقیقی انجام و کنترل دسترسی بر اساس اصول امنیتی مبتنی بر حداقل امتیاز (least privilege) فراهم میشود.
معماری مدل اعتماد صفر با رویدکرد مسدود کردن پیش فرض همه ترافیکها شروع میشود. در مدل اعتماد صفر، هر زمان که یک کاربر یا دستگاه درخواست دسترسی به یک دارایی را میدهد، هویت آن قبل از اعطای دسترسی تایید میشود. تایید و اعتمتاد، نه تنها براساس هویت کاربر و دستگاه، بلکه ویژگیهای دیگری مانند محتوا و ماهیت آن، تاریخ و زمان، موقعیت جغرافیایی و وضعیت امنیتی (Secure Posture) دستگاه انجام میشود.
با این حال اعطای دسترسی یک عمل یکباره و همه جانبه نیست. زبرا دسترسی که به کاربر داده میشود به این معنی نیست که کاربر می تواند به صورت آزادنه در شبکه بچرخد. این دسترسی در سطح مشخص و منابع مورد نیاز کاربر و برای زمان مشخصی داده میشود. نکته کلیدی اعتماد صفر ارزیابی مستمر پارامترهای اعتماد میباشد. در واقع در این کعماری اگر ویژگی مهمی از کاربر یا دستگاه تغییر کند اعتبار کاربر صلب و دسترسی کاربر به منابع قطع میشود.
مزایای معماری Zero Trust
در معماری ZTNA برای حفاظت موثر در برابر تهدیدات مدرن، سازمانها به جای تلاش برای حفاظت از مرزهای شبکه پویای خود، از برنامهها و دادههای گسترده در میلیاردها نقطه، کاربر، سیستم، دستگاه و سایر منابع حیاتی خود حفاظت میکنند. استراتژی اعتماد صفر، با رویکرد “هرگز اعتماد نکردن، همیشه تأیید کردن”، دید کامل و حفاظت جامع را در دستگاهها، کاربران، نقاط پایانی، زیرساخت ابری و زیرساختهای داخلی سازمان فراهم میکند. از مزایای اصلی این معماری به موارد زیر میتوان اشاره کرد.
- کاهش ریسک: در صورتی که به تمام دستگاهها و کاربران در شبکه به طور خودکار اعتماد شود، این موضوع به معنی قرار دادن داراییهای سازمان در معرض خطر میباشد. زیرا هر کدام از این دستگاهها به هر دلیلی، عمدی یا غیر عمدی مورد تهدید قرار گیرند کل شبکه مورد تهدید قرار خواهد گرفت. مدل اعتماد صفر با محدود کردن دسترسی شبکه برای کاربران و همچنین انجام احراز هویت گسترده، نقاط آسیبپذیر را حذف میکند.زیرا در مدل اعتماد صفر کاربران فقط به دادهها و سیستمهای مربوط به نقش یا موقعیت خود در سازمان دسترسی دارند.
- افزایش شفافیت و دید: در معماری Zero Trust، در هر لحظهای مشخص است که چه کسی و چه چیزی به شبکه متصل میباشد.
- گسترش امنیت
استفاده از IAM به عنوان پایه و اساس ZTNA
گام اول در ایمنسازی منابع شبکه با استفاده از معماری ZTNA، اعتماد به کاربران با انجام احراز هویت و اعتبار سنجی آنها قبل از اعطای دسترسی میباشد. IAM پایه و اساس معماری ZTNA میباشد که امکان مدیریت دسترسیها در شبکه و اعمال سیاستها براساس نقش کاربران مبتنی بر Least Privilege فراهم میکند.
فاکتورهای اصلی احراز هویت در معماری ZTNA
- Federated identity
- Continuous Authentication
- Device Verification
- Adaptive Authorization
- Continuous Threat Assessment
- Risk
- Location
- Time
از مزایای استفاده از Federated Identity Management دسترسی امن و سریع به برنامههای کاربردی با استفاده از مکانیزیمهایی احراز هویت، مانند MFA و SSO میباشد.
۱۰ گام اصلی برای حرکت به سمت ZTNA
- ارزیابی داراییها و مشخص کردن اهمیت تجاری آنها
- شناسایی کاربران و موجودیتهای شبکه
- شناسایی نقاط پایانی در شبکه
- شناسایی برنامههای کاربردی مورد استفاده در سازمان
- ایجاد نواحی کنترلی در داخل شبکه (Network Segmentation)
- ایجاد و اعمال سیاستهای مبتنی بر نقش بر روی داراییها
- کنترل ارتباط نقاط پایانی در نقاط مختلف شبکه
- افزایش کنترلهای امنیتی برای سناریوهای اتصال از خارج سازمان
- اعمال سیاستهای کنترل دسترسی در سطح برنامههای کاربردی
- شناسایی و احراز هویت مستمر کاربران و نقاط پایانی
برطرف کردن چالشهای مدل کار هیبریدی با استفاده از راهکار جامع SASE
برای اطمینان از اتصال و امنیت یکپارچه کاربران هیبرید در هر جایی، راهکارهای شبکهای و امنیت باید در لبهها و زیرساختهای ابری همگرا شوند. SASE (Secure Access Service Edge) یک راه حل ابریست که قابلیتها و عملکردهای شبکهای و امنیت را در یک راهکار یکپارچه و مبتنی بر ابری ارائه میدهد که شامل موارد زیر میباشد:
- Secure software-defined wide-area networking (SD-WAN)
- Secure web gateway (SWG)
- Firewall-as-a-Service (FWaaS)
- Zero trust network access (ZTNA)
- Cloud access security broker (CASB)