ناتان هو، معاون فناوری نوظهور و 5G در شرکت تولید محصولات بدون اعتماد Zscaler، در تصویر، تفاوت بین معماری سنتی و اعتماد صفر را مورد بحث قرار می دهد.
بسیاری از اعتماد صفر به عنوان یک کلمه کلیدی دیگر در فناوری یا عبارتی فراگیر برای امنیت آنلاین فکر می کنند، اما خیلی بیشتر از این است—این رویکردی است که می تواند مزایای تجاری واقعی را برای سازمان های مدرن امروزی فراهم کند.
برای کسانی که علاقه مند به اعتماد صفر هستند تا طیف گسترده ای از مزایایی که می تواند ارائه دهد را درک کنند، ابتدا باید نحوه عملکرد و تفاوت آن با معماری های امنیتی سنتی را بیاموزند – که البته نیاز به درک این معماری های سنتی دارد.
در اینجا قیاسی است که من دوست دارم بر اساس یک تجربه شخصی ارائه دهم. در سال 2018، برای تماشای بازی گلدن استیت وریرز در اوراکل آرنا، یکی از قدیمیترین استادیومهای ایالات متحده، رفتم. من توانستم صندلیهای واقعاً خوبی بگیرم، ده تا پانزده ردیف عقبتر از محوطه، و تنها کاری که برای دسترسی به آنها باید انجام میدادم نشان دادن بلیطم در ورودی استادیوم بود.
برای خودم آبجو خریدم و متوجه شدم که در آن سوی ورودی امنیت چندانی وجود ندارد، به سمت محوطه بیرون رفتم و در یک صندلی خالی برای تماشای بازی نشستم. من حدود 30 دقیقه آنجا بودم تا صاحب واقعی آن صندلی بیاید و مجبور شدم بلند شوم و بروم، اما خلاصه هیچ چیزی بین من و بهترین صندلی های خانه وجود نداشت، حتی امنیت.
این یک تفسیر واقعی از یک معماری امنیتی سنتی است. هنگامی که شخصی در محیط شبکه قرار می گیرد، چیزی برای جلوگیری از حرکت او در کل اکوسیستم وجود ندارد. این یک مشکل واقعی برای شرکت ها ایجاد می کند. همانطور که آنها به اضافه کردن نقاط اتصال بیشتر در مکان های بیشتر ادامه می دهند، خطر بهره برداری از شبکه افزایش می یابد و تهدیدها، زمانی که محیط را نقض کردند، می توانند به دلخواه به سمت جانبی حرکت کنند.
مفهوم اعتماد صفر نقطه مقابل یک معماری سنتی مبتنی بر محیط است. یعنی دسترسی به کل اکوسیستم منابع را در یک حرکت نمی دهد. در عوض، کنترلهای محکمی را بر اساس سیاست و زمینه کسبوکار ایجاد میکند تا فقط سطح دسترسی را که برای انجام وظیفهی کارمند لازم است، اعطا کند. برای بازگشت به قیاس قبلی من، اعتماد صفر به کاربر اجازه میدهد تا به صندلیهای رزرو شده خود برود، اما نه نزدیکتر.
بیایید با شکستن اعتماد صفر به سه رکن اصلی آن، کمی بیشتر آن را انتخاب کنیم.
1. بررسی کنید: چه کسی در حال اتصال است؟
هر شخص، دستگاه یا حجم کاری که یک اتصال را از طریق یک معماری اعتماد صفر آغاز می کند، باید یک فرآیند تأیید خاص را طی کند. ابتدا، شبکه باید هویت کاربر را بفهمد و مشخص کند که از کدام دستگاه وارد سیستم میشود. به عنوان مثال، یک کارمند می تواند سعی کند از طریق لپ تاپ کاری، لپ تاپ شخصی یا تلفن خود به شبکه دسترسی پیدا کند.
از اینجا، زمینه دستگاه آغازگر باید با جزئیات دقیق درک شود – نه فقط اینکه دستگاه چیست (به عنوان مثال، تلفن، لپتاپ، و غیره)، بلکه کاربر آغازگر کیست، نقش و مسئولیتهایش. چنین زمینه ای به تیم های زیرساخت و امنیت فناوری اطلاعات کمک می کند تا سیاست ها و کنترل های پویاتری را ایجاد کنند. به عنوان مثال، اگر کاربر در دستگاه خود باشد و از خانه کار کند، مجوزهای او ممکن است متفاوت از زمانی باشد که در دفتر یا Wi-Fi عمومی باشد.
2. کنترل: ارزیابی مستمر ریسک
با شناسایی کاربر و دستگاه، اعتماد صفر به دنبال این است که بفهمد کاربر به کجا میخواهد برود و دسترسی او به مقصد را کنترل میکند، که نیاز به دید کامل در خود اتصال دارد.
با دید کامل بر روی اتصال، یک معماری اعتماد صفر میتواند یک ارزیابی ریسک پویا برای هر کاربر و دستگاه انجام دهد، نه ارزیابی ریسک ثابت یکباره مانند اتصال شبکه سنتی. به عنوان مثال، اگر کاربر قرار بود به یک وبسایت مخرب متصل شود، ممکن است در ابتدا این اتصال مجاز باشد، اما اگر بخواهد روی پیوندی که حاوی یک بار آلوده است کلیک کند، اقدام بعدی که انجام میدهد باید مجدداً ریسک بالاتری در نظر گرفته شود. با اعتماد صفر، این نوع ارزیابی پویا پس از هر اقدامی که کاربر انجام می دهد انجام می شود.
درک اقدامات گذشته، حال و آینده یک کاربر به ایجاد یک پروفایل ریسک کمک می کند که شبکه بتواند امتیازی را به آن نسبت دهد. این برای تعیین سطح دسترسی هر کاربر استفاده می شود. اگر امتیاز ریسک کاربر از یک آستانه خاص عبور کند، اجازه دسترسی مستقیم به سایت را نخواهند داشت و ممکن است یک هشدار دریافت کنند یا دسترسی خود را ایزوله ببینند.
فراتر از ریسک کاربر، تیمهای فناوری اطلاعات و امنیت همچنین باید اطمینان حاصل کنند که از شرکتهای خود محافظت میکنند، به عنوان مثال، هر گونه محتوای مخربی را که ممکن است آغازگر در معرض آن قرار گیرد، جداسازی و تجزیه و تحلیل کنند. در نهایت، شرکت ها باید به فکر چگونگی جلوگیری از از دست دادن دارایی ها و داده های اصلی باشند. سوال بزرگی که اکثر شرکت ها پاسخی فوری برای آن ندارند این است که “از چه چیزی محافظت می کنید؟” وقتی این را فهمیدید، می توانید کنترل هایی برای محافظت از خود ایجاد کنید.
3. Enforce: تعیین خط مشی دسترسی
عنصر نهایی یک رویکرد امنیتی بدون اعتماد، اعمال سیاست و اجرای آن است. خط مشی محدود به این نیست که آیا دسترسی باید مجاز باشد – این رویکرد در محل کار منعطف و چابک امروزی بسیار باینری است. آنچه شما نیاز دارید این است که سیاست هایی داشته باشید که بر اساس سطح ریسک آغازگر اعمال شوند و بتوان آنها را تغییر داد.
بر اساس اطلاعات جمعآوریشده در طول مراحل تأیید و کنترل، سیاست میتواند به صورت جزئی و مشروط در هر درخواست دسترسی اعمال شود. این بدان معناست که یک کاربر ممکن است بتواند به اینترنت دسترسی داشته باشد، اما اگر در معرض هر گونه فعالیت مخرب بالقوه قرار گیرد، دسترسی به سایت های حساس دارای خط مشی مشروط خواهد بود، به عنوان مثال، انزوا، قرنطینه و غیره.
نتیجه
در حال حاضر سروصدای زیادی پیرامون اعتماد صفر وجود دارد و تنها با استانداردهای معماری متناقض متعددی که توسط شرکتها، دولتها و سازمانها منتشر میشود، بلندتر شده است. این می تواند درک شما از اعتماد صفر را تحت تأثیر قرار دهد و پیچیده کند، اما در Zscaler، ما واقعاً معتقدیم که اصول اصلی اعتماد صفر را می توان برای سهولت پذیرش و اجرا ساده کرد.
در سطح پایه، اعتماد صفر در مورد تأیید و ایجاد زمینه درخواست های اتصال و کنترل دسترسی با استفاده از اصل حداقل امتیاز است. با استفاده از این اصل، دسترسی تنها در صورت لزوم برای نقش صحیح مجاز است، بنابراین از ارزشمندترین دارایی های شما محافظت می شود. در یک محیط کاری ترکیبی، اشکال سنتی اتصال می خواهند مورد بهره برداری قرار گیرند. شما نیاز به معماری دارید که پویا و روان باشد و توانایی کارمندانتان را برای کار در هر کجا و هر طور که می خواهند تسهیل کند.
منبع: https://www.professionalsecurity.co.uk/news/interviews/zero-trust-architecture/