امنیت zero trust چیست؟
امنیت zero trust یک مدل امنیتی IT است که صرف نظر از اینکه هر شخص و دستگاهی در محیط شبکه یا خارج از شبکه قرار داشته باشد و بخواهد به منابع موجود در یک شبکه خصوصی دسترسی پیدا کند، نیاز به تأیید هویت دقیق برای آنها دارد. شبکههای zero trust نیز از microsegmentation استفاده میکنند. microsegmentation عمل تجزیه محیطهای امنیتی به مناطق کوچک به منظور حفظ دسترسی جداگانه برای قسمتهای جداگانه شبکه است. امروزه بسیاری از سازمانها VPNها را با راه حلهای امنیتی آن مانند Cloudflare Access جایگزین میکنند. در حالی که از اشکالات عمده استفاده از VPN جلوگیری میشود، میتوان برای مدیریت کنترل دسترسی هم برای کارمندان در محل کار و هم از راه حلهای امنیتی zero trust استفاده کرد.
امنیت zero trust
هیچ فناوری خاصی با معماری zero trust همراه نیست. این یک رویکرد جامع برای امنیت شبکه است که چندین اصل و فن آوری مختلف را در خود جای داده است. امنیت شبکه سنتی فناوری اطلاعات براساس مفهوم castle-and-moat است. در امنیت castle-and-moat، دستیابی از خارج از شبکه دشوار است، اما افراد داخل شبکه به طور پیش فرض قابل اعتماد هستند. مشکل این رویکرد این است که مهاجم به محض دسترسی به شبکه، بر همه چیز در درون آن تسلط خواهند داشت.
این آسیب پذیری در سیستمهای امنیتی castle-and-moat با این واقعیت بیشتر تشدید میشود که شرکتها دیگر اطلاعات خود را فقط در یک مکان ندارند. امروزه، اطلاعات اغلب در بین فروشندگان ابری پخش میشوند، که وجود کنترل امنیتی واحد برای کل شبکه را دشوارتر میکند.
امنیت zero trust به این معنی است که از داخل یا خارج از شبکه به طور پیش فرض به کسی اعتماد نمیشود و برای هر کسی که سعی در دستیابی به منابع موجود در شبکه دارد، تأیید لازم است. نشان داده شده است که این لایه امنیتی اضافی از نقض داده جلوگیری میکند. یک مطالعه اخیر با حمایت مالی IBM نشان داده است که متوسط هزینه نقض داده بیش از ۳ میلیون دلار است. با توجه به این رقم، تعجب آور نیست که اکنون بسیاری از سازمانها مشتاقانه به دنبال اتخاذ سیاست این سیستم امنیتی هستند.
اصول و فناوری های اصلی پشتیبان امنیت zero trust چیست؟
فلسفه وجود یک شبکه zero trust این است که تصور بر این است که مهاجمان چه در داخل و چه در خارج از شبکه وجود دارند، بنابراین به هیچ کاربر یا دستگاهی نباید به طور خودکار اعتماد کرد. اصل دیگر امنیت zero trust دستیابی به حداقل امتیاز است. این به این معنی است که کاربران فقط به اندازه نیاز خود دسترسی دارند، مانند یک ارتش بد ارتش اطلاعات لازم را به سربازان میدهد. با این کار میزان مواجهه هر کاربر با قسمتهای حساس شبکه به حداقل میرسد. شبکههای zero trust نیز از microsegmentation استفاده میکنند. microsegmentation عمل تجزیه محیطهای امنیتی به مناطق کوچک به منظور حفظ دسترسی جداگانه برای قسمتهای جداگانه شبکه است. به عنوان مثال، شبکهای با پروندههایی که در یک مرکز داده واحد قرار دارند و از microsegmentation استفاده میکنند، ممکن است شامل دهها منطقه امن و جداگانه باشد.
فرد یا برنامه ای که به یکی از آن مناطق دسترسی داشته باشد بدون مجوز جداگانه نمی تواند به هیچ یک از مناطق دیگر دسترسی پیدا کند.
احراز هویت چند عاملی (MFA) نیز یک ارزش اصلی امنیت zero trust است. MFA به سادگی به بیش از یک مدرک برای احراز هویت کاربر احتیاج دارد. فقط وارد کردن رمز عبور برای دسترسی کافی نیست. یکی از کاربردهای معمول MFA، مجوز ۲ عاملی (۲FA) است که در پلتفرمهای آنلاین معروف مانند فیس بوک و گوگل استفاده میشود. علاوه بر وارد کردن رمز ورود، کاربرانی که ۲FA را برای این سرویسها فعال میکنند باید کدی را که به دستگاه دیگری مانند تلفن همراه ارسال میشود نیز وارد کنند و بدین ترتیب دو مدرک اثبات کنند که آنها همان کسی هستند که ادعا میکنند.
علاوه بر کنترلهای دسترسی کاربر، zero trust به کنترلهای دقیق دسترسی دستگاه نیز نیاز دارد. سیستمهای zero trust باید تعداد دستگاههای مختلفی را که میخواهند به شبکه آنها دسترسی داشته باشند کنترل کرده و از مجاز بودن هر دستگاه اطمینان حاصل کنند. این کار بیشتر سطح حمله شبکه را به حداقل میرساند.
بیشتر بخوانید: امنیت شبکه چیست؟
سابقه امنیت zero trust چیست؟
اصطلاح ” zero trust” توسط یک تحلیلگر در Forrester Research Inc. در سال ۲۰۱۰ زمانی که مدل برای اولین بار ارائه شد، ابداع گردید. چند سال بعد، گوگل اعلام کرد که آنها امنیت zero trust را در شبکه خود اعمال کردهاند، که منجر به افزایش علاقه به پذیرش و کاربرد آن در جامعه فناوری میشود. در سال ۲۰۱۹، گارتنر، یک شرکت تحقیقاتی و مشاورهای جهانی، دسترسی به zero trust را به عنوان مؤلفه ی اصلی راه حلهای خدمات دسترسی امن (SASE) ذکر کرد.
نحوه اجرای امنیت zero trust
تاکنون، zero trust نیاز به پیاده سازی و اجرای دقیق مهندسان امنیتی داشت که بر اصول اصلی و فن آوری های ذکر شده در بالا تمرکز دارد. اما به لطف معرفی Cloudflare Access، اکنون هر سازمانی میتواند به سرعت و به آسانی یک سیستم امنیتی zero-trust را در شبکه خود پیاده سازی کند.