شبكه Zero Trust Network چيست؟
شبكه Zero Trust Network يا شبكه ZTN يك مدل مديريت امنيت و كنترل شبكه به شمار مي رود كه در آن همانطور كه از نام آن پيداست ميزان اعتماد به صفر مي رسد. به اين معني كه در اين مدل هيچ ماشين، سرويس و يا شخصي معتبر نبوده و در تمام مراحل و از هر جايي (داخل شبكه سازماني، DMZ، بيرون شبكه سازماني) كاربران و دستگاه ها بايد احراز و تأييد هويت شوند و دسترسي آنها به صورت كاملا محدود و تنها بر حسب نياز تعريف خواهد شد.
به طور كلي مفهوم شبكه Zero Trust Network اين است كه در دنياي سايبري هيچ كس و هيچ چيز قابل اعتماد نيست. اين راهبرد اولين بار در سال 2010 توسط جان كيندرواگ، كه در آن زمان تحليلگر اصلي شركت تحقيقات فارستر بود، معرفي گرديد. چند سال بعد گوگل اعلام كرد كه در شبكه خود Zero Trust را پياده سازي كرده كه منجر به رواج آن در جامعه فناوري شده است.
در مدل هاي مديريت امنيت سنتي، شبكه به دو بخش بيرون و داخل تقسيم مي شده كه در آن شبكه بيرون نا امن و غير قابل اعتماد بوده است. در اين مدل ها كابران شبكه داخلي كاملا صادق و مسئوليت پذير و قابل اعتماد هستند اما از آنكه 80% آسيب ها در شبكه از طريق سوء استفاده افراد با دسترسي هاي ممتاز كاربران اتفاق افتاده است به همين دليل شبكه ZTN شكل گرفت كه دقيقا اعتماد را نقطه ضعف مي داند.
يك اشتباه رايج اين است كه برخي فكر ميكنند عدم اعتماد (ZTN) به معناي آن است كه شبكه را به گونهاي طراحي كنيم كه قابل اعتماد باشد در حالي كه اين راهبرد دقيقا به منظور از بين بردن اين اعتماد كاذب معرفي شده است.
اساس مدل امنيتي Zero Trust:
ـ به حداقل رساندن اعتماد
ـ دادن كمترين دسترسي ممكن به كاربران: يعني تا حد ممكن از دادن دسترسي حتما به كاربران ممتاز هم خودداري گردد. در واقع هيچ كاربر يا ماشيني نبايد بصورت اتوماتيك در شبكه trust شده باشد و همانطور كه قبل اشاره شد مي بايست “حداقل سطح دسترسي” يا اصطلاحاً Least Privileged Security را براي آنها در نظر بگيريم.
ـ بخش بندي شبكه
ـ مانيتورينگ كليه فعاليت هاي شبكه و همچنين مراقبت از فعاليت هاي مشكوك
ـ هر دستگاه، كاربر يا جريان شبكه اي مي بايست authenticate و authorize شود.
ـ آماده لازم جهت برخورد با هر خطري در شبكه در هر زمان
مراحل پياده سازي شبكه Zero Trust Network:
1. سطح محافظت شونده يا Protect surface:
سطح محافظت شونده به واحدهاي كوچك از حساس ترين و با ارزش ترين المانهاي شبكه گفته ميشود كه شامل: داده (Data)، دارايي (Assets)، برنامههايكاربردي (Applications) و سرويسها (Services) شده كه به اختصار DAAS خوانده ميشوند.
همانطور كه گفته شد DAAS شامل:
- Data: شامل اطلاعات كارت اعتباري (PCI)، اطلاعات محافظت شده (PHI)، اطلاعات شخصي (PII) و مالكيت معنوي (IP)
- Applications: شامل برنامه ها و نرم افزارهاي سفارشي
- Assets: كنترل هاي SCADA ، پايانه هاي point-of-sale، تجهيزات پزشكي، دارايي هاي توليدي و دستگاه هاي اينترنت اشيا
- خدمات: DNS ، DHCP و Active Directory
2. نقشه جريان داده يا Transaction flow:
در معماري عدم اعتماد (ZTN) فقط ورود به سيستم مهم نيست بلكه استفاده از داده و مسير حركت آن در طول شبكه و يا به خارج از شبكه نيز در طول فعاليت كاربر بايد مورد بررسي قرار بگيرد.
3. طراحي معماري مبتني بر عدم اعتماد يا Zero Trust architecture:
هنگامي كه رابطه بين DAAS، زيرساخت، سرويسها و كاربران را درك كرديد بايد لايهاي محافظتي را اطراف سطح محافظت شونده(Protect surface) و تا جاي ممكن نزديك به آنها قرار دهيد. براي ايجاد اين لايه محافظتي و اطمينان از اينكه فقط ترافيك مجاز يا برنامههاي قانوني به سطح محافظت شونده دسترسي دارند ميتوان از فايروالها نسل جديد (next generation firewall)، استفاده كنيد.
4. ايجاد خطمشيهاي عدم اعتماد يا Zero Trust policy:
فايروالهاي نسل جديد شفافيت بالايي بر روي ترافيك عبوري داشته و اين امكان را به شما ميدهند كه بر اساس روش كيپلينگ (Kipling) لايههاي مختلف نظارت و كنترل دسترسي مبتني بر خط مشي را اعمال كنيد. از جمله اين سوالات شامل:
- Who: چه كسي بايد به يك منبع دسترسي داشته باشد؟
- What: از چه برنامه اي براي دسترسي به منابع داخلي استفاده مي شود؟
- When: چه زماني به منابع دسترسي پيدا مي شود؟
- Where: مقصد بسته كجاست؟
- Why: چرا اين بسته سعي مي كند به اين منبع در سطح محافظت دسترسي پيدا كند؟
- How: چگونه بسته از طريق يك برنامه خاص به سطح محافظ دسترسي پيدا مي كند؟
۵. نظارت و اصلاح دائم يا Monitor and maintain:
در مدل شبكه Zero Trust NetworkN بايد، بايد نظارت دقيقي بر روي فعاليت و روابط بين كاربران، دستگاهها، شبكهها برنامههاي كابردي و دادهها داشته باشيد.
Zero Trust Network Access يا ZTNA چيست؟
Zero Trust Network Access (ZTNA) اصلي ترين فناوري است كه سازمان ها را قادر مي سازد تا امنيت Zero Trust را پياده سازي كنند. اين فناوري بيشتر زيرساخت ها و خدمات را پنهان مي كند و ارتباطات رمزگذاري شده يك به يك بين دستگاه ها و منابع مورد نياز آنها را ايجاد مي كند.
منبع : https://mrshabake.com/zero-trust-network/