معماری اعتماد صفر | امنیت حرفه ای


ناتان هو، معاون فناوری نوظهور و 5G در شرکت تولید محصولات بدون اعتماد Zscaler، در تصویر، تفاوت بین معماری سنتی و اعتماد صفر را مورد بحث قرار می دهد.

بسیاری از اعتماد صفر به عنوان یک کلمه کلیدی دیگر در فناوری یا عبارتی فراگیر برای امنیت آنلاین فکر می کنند، اما خیلی بیشتر از این است—این رویکردی است که می تواند مزایای تجاری واقعی را برای سازمان های مدرن امروزی فراهم کند.

برای کسانی که علاقه مند به اعتماد صفر هستند تا طیف گسترده ای از مزایایی که می تواند ارائه دهد را درک کنند، ابتدا باید نحوه عملکرد و تفاوت آن با معماری های امنیتی سنتی را بیاموزند – که البته نیاز به درک این معماری های سنتی دارد.

در اینجا قیاسی است که من دوست دارم بر اساس یک تجربه شخصی ارائه دهم. در سال 2018، برای تماشای بازی گلدن استیت وریرز در اوراکل آرنا، یکی از قدیمی‌ترین استادیوم‌های ایالات متحده، رفتم. من توانستم صندلی‌های واقعاً خوبی بگیرم، ده تا پانزده ردیف عقب‌تر از محوطه، و تنها کاری که برای دسترسی به آن‌ها باید انجام می‌دادم نشان دادن بلیطم در ورودی استادیوم بود.

برای خودم آبجو خریدم و متوجه شدم که در آن سوی ورودی امنیت چندانی وجود ندارد، به سمت محوطه بیرون رفتم و در یک صندلی خالی برای تماشای بازی نشستم. من حدود 30 دقیقه آنجا بودم تا صاحب واقعی آن صندلی بیاید و مجبور شدم بلند شوم و بروم، اما خلاصه هیچ چیزی بین من و بهترین صندلی های خانه وجود نداشت، حتی امنیت.

این یک تفسیر واقعی از یک معماری امنیتی سنتی است. هنگامی که شخصی در محیط شبکه قرار می گیرد، چیزی برای جلوگیری از حرکت او در کل اکوسیستم وجود ندارد. این یک مشکل واقعی برای شرکت ها ایجاد می کند. همانطور که آنها به اضافه کردن نقاط اتصال بیشتر در مکان های بیشتر ادامه می دهند، خطر بهره برداری از شبکه افزایش می یابد و تهدیدها، زمانی که محیط را نقض کردند، می توانند به دلخواه به سمت جانبی حرکت کنند.

مفهوم اعتماد صفر نقطه مقابل یک معماری سنتی مبتنی بر محیط است. یعنی دسترسی به کل اکوسیستم منابع را در یک حرکت نمی دهد. در عوض، کنترل‌های محکمی را بر اساس سیاست و زمینه کسب‌وکار ایجاد می‌کند تا فقط سطح دسترسی را که برای انجام وظیفه‌ی کارمند لازم است، اعطا کند. برای بازگشت به قیاس قبلی من، اعتماد صفر به کاربر اجازه می‌دهد تا به صندلی‌های رزرو شده خود برود، اما نه نزدیک‌تر.

بیایید با شکستن اعتماد صفر به سه رکن اصلی آن، کمی بیشتر آن را انتخاب کنیم.

1. بررسی کنید: چه کسی در حال اتصال است؟

هر شخص، دستگاه یا حجم کاری که یک اتصال را از طریق یک معماری اعتماد صفر آغاز می کند، باید یک فرآیند تأیید خاص را طی کند. ابتدا، شبکه باید هویت کاربر را بفهمد و مشخص کند که از کدام دستگاه وارد سیستم می‌شود. به عنوان مثال، یک کارمند می تواند سعی کند از طریق لپ تاپ کاری، لپ تاپ شخصی یا تلفن خود به شبکه دسترسی پیدا کند.

از اینجا، زمینه دستگاه آغازگر باید با جزئیات دقیق درک شود – نه فقط اینکه دستگاه چیست (به عنوان مثال، تلفن، لپ‌تاپ، و غیره)، بلکه کاربر آغازگر کیست، نقش و مسئولیت‌هایش. چنین زمینه ای به تیم های زیرساخت و امنیت فناوری اطلاعات کمک می کند تا سیاست ها و کنترل های پویاتری را ایجاد کنند. به عنوان مثال، اگر کاربر در دستگاه خود باشد و از خانه کار کند، مجوزهای او ممکن است متفاوت از زمانی باشد که در دفتر یا Wi-Fi عمومی باشد.

2. کنترل: ارزیابی مستمر ریسک

با شناسایی کاربر و دستگاه، اعتماد صفر به دنبال این است که بفهمد کاربر به کجا می‌خواهد برود و دسترسی او به مقصد را کنترل می‌کند، که نیاز به دید کامل در خود اتصال دارد.

با دید کامل بر روی اتصال، یک معماری اعتماد صفر می‌تواند یک ارزیابی ریسک پویا برای هر کاربر و دستگاه انجام دهد، نه ارزیابی ریسک ثابت یک‌باره مانند اتصال شبکه سنتی. به عنوان مثال، اگر کاربر قرار بود به یک وب‌سایت مخرب متصل شود، ممکن است در ابتدا این اتصال مجاز باشد، اما اگر بخواهد روی پیوندی که حاوی یک بار آلوده است کلیک کند، اقدام بعدی که انجام می‌دهد باید مجدداً ریسک بالاتری در نظر گرفته شود. با اعتماد صفر، این نوع ارزیابی پویا پس از هر اقدامی که کاربر انجام می دهد انجام می شود.

درک اقدامات گذشته، حال و آینده یک کاربر به ایجاد یک پروفایل ریسک کمک می کند که شبکه بتواند امتیازی را به آن نسبت دهد. این برای تعیین سطح دسترسی هر کاربر استفاده می شود. اگر امتیاز ریسک کاربر از یک آستانه خاص عبور کند، اجازه دسترسی مستقیم به سایت را نخواهند داشت و ممکن است یک هشدار دریافت کنند یا دسترسی خود را ایزوله ببینند.

فراتر از ریسک کاربر، تیم‌های فناوری اطلاعات و امنیت همچنین باید اطمینان حاصل کنند که از شرکت‌های خود محافظت می‌کنند، به عنوان مثال، هر گونه محتوای مخربی را که ممکن است آغازگر در معرض آن قرار گیرد، جداسازی و تجزیه و تحلیل کنند. در نهایت، شرکت ها باید به فکر چگونگی جلوگیری از از دست دادن دارایی ها و داده های اصلی باشند. سوال بزرگی که اکثر شرکت ها پاسخی فوری برای آن ندارند این است که “از چه چیزی محافظت می کنید؟” وقتی این را فهمیدید، می توانید کنترل هایی برای محافظت از خود ایجاد کنید.

3. Enforce: تعیین خط مشی دسترسی

عنصر نهایی یک رویکرد امنیتی بدون اعتماد، اعمال سیاست و اجرای آن است. خط مشی محدود به این نیست که آیا دسترسی باید مجاز باشد – این رویکرد در محل کار منعطف و چابک امروزی بسیار باینری است. آنچه شما نیاز دارید این است که سیاست هایی داشته باشید که بر اساس سطح ریسک آغازگر اعمال شوند و بتوان آنها را تغییر داد.

بر اساس اطلاعات جمع‌آوری‌شده در طول مراحل تأیید و کنترل، سیاست می‌تواند به صورت جزئی و مشروط در هر درخواست دسترسی اعمال شود. این بدان معناست که یک کاربر ممکن است بتواند به اینترنت دسترسی داشته باشد، اما اگر در معرض هر گونه فعالیت مخرب بالقوه قرار گیرد، دسترسی به سایت های حساس دارای خط مشی مشروط خواهد بود، به عنوان مثال، انزوا، قرنطینه و غیره.

نتیجه

در حال حاضر سروصدای زیادی پیرامون اعتماد صفر وجود دارد و تنها با استانداردهای معماری متناقض متعددی که توسط شرکت‌ها، دولت‌ها و سازمان‌ها منتشر می‌شود، بلندتر شده است. این می تواند درک شما از اعتماد صفر را تحت تأثیر قرار دهد و پیچیده کند، اما در Zscaler، ما واقعاً معتقدیم که اصول اصلی اعتماد صفر را می توان برای سهولت پذیرش و اجرا ساده کرد.

در سطح پایه، اعتماد صفر در مورد تأیید و ایجاد زمینه درخواست های اتصال و کنترل دسترسی با استفاده از اصل حداقل امتیاز است. با استفاده از این اصل، دسترسی تنها در صورت لزوم برای نقش صحیح مجاز است، بنابراین از ارزشمندترین دارایی های شما محافظت می شود. در یک محیط کاری ترکیبی، اشکال سنتی اتصال می خواهند مورد بهره برداری قرار گیرند. شما نیاز به معماری دارید که پویا و روان باشد و توانایی کارمندانتان را برای کار در هر کجا و هر طور که می خواهند تسهیل کند.




منبع: https://www.professionalsecurity.co.uk/news/interviews/zero-trust-architecture/