چرا رویکرد Zero Trust برای امنیت سایبری حیاتی است؟

حتی در بهترین شرایط ممکن هم احتمال این وجود دارد که حفظ دید، تنظیم سیاست‌های امنیتی و اجرای مداوم کنترل‌‌ها در سراسر شبکه، چالش برانگیز شود. این فرآیند به‌ویژه در چند سال گذشته و به‌واسطه استقبال سازمان‌ها از نوآوری‌های دیجیتال، دشوار شده است. تحول استراتژی‌های تجاری و شدت رقابت در بازار دیجیتال امروزی، محیط شبکهها را چندتکه کرده، سطح حملات احتمالی را گسترش داده و باعث منسوخ شدن مدل‌‌ها و راه‌حل‌های امنیتی سنتی شده است. شدت این چالش‌ها زمانی شدیدتر شد که سازمان‌ها برای فراهم کردن امکان دورکاری برای کارکنانشان به رقابت پرداختند. از منظر شبکه و امنیت که به این اقدام نگاه کنیم، هر کارمند در هر زمان و از یک شعبه مستقل نیاز به اتصال دارد و این خواه‌ناخواه با ناامنی ختم می‌شود.

علاوه بر این، کارمندان راه دور اغلب نیاز دارند که به منابع مهم شرکت، چه در Data Center یا در Cloud متصل شوند؛ بخش چالش‌برانگیز ماجرا اینجاست که کارکنان با استفاده از دستگاه‌های کاری یا شخصی و به‌کمک شبکه‌های خانگی که عمدتا امن نیستند فعالیت می‌کنند. در چنین شرایطی، سازمان‌‌ها دیگر نمی‌توانستند به راه‌حل‌های امنیتی که در شبکه و برای محافظت در برابر مجرمان سایبری به کار گرفته بودند تکیه کنند؛ بنابراین، آن‌‌ها مجبور شدند از VPN استفاده کنند و حالا با در دسترس بودن ۵G، این چالش‌‌ها بیشتر هم خواهند شد.

تکیه بیش از حد به فناوری VPN مشکلاتی در محافظت از شبکه ایجاد می‌کند. راه‌اندازی، نگهداری و عیب‌یابی اتصالات VPN همیشه ساده نیست و یک VPN اساسا مسیری برای دستیابی به منابعی است که کاربران برای انجام کارهای خود نیاز دارند. VPN بازرسی خاصی روی ترافیک عبوری انجام نمی‌دهد و فقط می‌تواند به اندازه دستگاه یا شبکه‌ای که از آن استفاده می‌کند ایمن باشد.

علاوه بر این، بسیاری از شبکه‌‌ها حول یک مدل اعتماد Implicit ساخته شده‌اند؛ این در واقع بدین معناست که «اگر توانستید از شبکه عبور کنید، می‌توانید به هر کجا که بخواهید بروید» و در نتیجه، VPN کاربران را از فایروال رد می‌کند و درست به وسط شبکه می‌برد! مجرمان سایبری به دنبال راه‌هایی برای ورود به شبکه‌های شرکتی هستند و چنین فرصت‌هایی را از دست نمی‌دهند. بنابراین با ورود به شبکه از طریق VPN، می‌توانند آزادانه در سراسر شبکه به دنبال منابع مهم برای سرقت یا از بین بردن آن‌ها باشند. این‌ها فقط بخشی از دلایلی است که باعث شد آزمایشگاه FortiGuard شاهد افزایش هفت برابری حملات باج‌افزار در نیمه دوم سال ۲۰۲۰ باشد.

ایمن‌سازی شبکه با Zero Trust آغاز می‌شود

اولین قدم برای ایمن‌سازی شبکه‌های Highly Distributed این است که به هیچ چیز و هیچ کس اعتماد نکنید. این امر به‌ویژه برای شبکه‌هایی که تعداد زیادی کارمندان دورکار، حجم انبوهی از کاربران جدید و دستگاه‌های IoT دارند مهم است. رویکرد درست این است که فرض کنیم به هیچ چیز و هیچ کس نمی‌توان اعتماد کرد و Zero Trust دقیقا تصور می‌کند که هر کاربر یا دستگاهی که به دنبال دسترسی به شبکه است خطرناک محسوب می‌شود.

رویکرد Zero Trust دقیقا همان چیزی است که به نظر می‌رسد؛ سازمان‌‌ها به جای اینکه به دستگاه‌‌ها اجازه دهند آزادانه به منابع شرکت متصل شوند، برای حفظ امنیت اجازه دسترسی ندادن را به عنوان گزینه پیش‌فرض در نظر می‌گیرند. هر کاربر یا دستگاهی که می‌خواهد به شبکه دسترسی داشته باشد، برای دریافت دسترسی باید اعتبارنامه‌های معتبری را ارائه کند. در صورت موفق بودن اعتبارسنجی، آن‌‌ها فقط اجازه استفاده از منابعی را دارند که به‌طور خاص برای انجام کارشان به آن‌ها نیاز دارند. از آنجایی که تمام ترافیک‌های تایید نشده، به‌طور پیش‌فرض رد می‌شوند، مهاجمان و دستگاه‌هایی که مشکلات امنیتی دارند، حتی نمی‌توانند شبکه را Ping کنند تا منابع موجود دیگر را ببینند. با این حساب آن‌ها حتی متوجه وجود باقی بخش‌های شبکه نخواهند شد. اجرای کامل رویکرد Zero Trust، مستلزم اتخاذ دو استراتژی حیاتی است که دسترسی Zero Trust (ZTA) و دسترسی به شبکه Zero Trust (ZTNA) هستند.

مقاله پیشنهادی: “سه نکته برای افزایش امنیت با Zero Trust“

دسترسی Zero Trust (ZTA)

ZTA کنترل‌های دسترسی محیطی معمول که سازمان‌‌ها دارند، مانند فایروال‌ها، احراز هویت، صدور مجوز و حسابرسی (AAA) و SSO را گسترش می‌دهد. در واقع سطوح تایید بیشتری مانند دسترسی به نقش هر کاربر، موقعیت جغرافیایی آن‌ها و حتی زمان درخواست دسترسی اضافه می‌شوند. دستگاه‌‌ها چه دارایی شرکت باشند یا غیرشرکتی و فارق از نرم‌افزاری که اجرا می‌کنند، در صورتی که آخرین Patchهای امنیتی و راه‌حل‌های مورد نیاز را داشته باشند، سطح یکسانی از بررسی روی آن‌ها انجام می‌گیرد.

هر شبکه‌ای شامل دستگاه‌های زیادی مثل چاپگرها، دوربین‌های امنیتی، سیستم‌های HVAC و سایر راه‌حل‌های IoT است که کاربر نهایی را مستقیما درگیر نمی‌کنند. هر راه‌حل ZTA باید شامل NAC برای کشف، احراز هویت و کنترل دستگاه‌هایی باشد که به‌طور مستقیم توسط انسان کنترل نمی‌شوند. در نتیجه حتی این دستگاه‌ها هم با همان رویکرد Zero Trust و با حداقل دسترسی ممکن فعالیت خواهند کرد. درست مثل کاربران معمول، این دستگاه‌ها هم فقط مجوزهای لازم برای انجام نقش‌هایشان را خواهند داشت. از آنجایی که هر دستگاه و کاربر با ZTA احراز هویت می‌شود، تیم‌های فناوری اطلاعات هم همیشه در مورد هر چیزی که در شبکه حضور دارد، اطلاعاتی کامل و به‌روز دارند تا بتوانند سطح ثابتی از کنترل‌ را روی همه آن‌ها داشته باشند. آن‌‌ها همچنین می‌توانند هر چیزی را که نباید در شبکه وجود داشته باشد، به‌راحتی شناسایی کرده و اقدامات مناسب را در برابر آن انجام دهند.

دسترسی به شبکه Zero Trust (ZTNA)

ZTNA بخش‌های جدیدی را به مدل Zero Trust اضافه کرد و در واقع برای مشاغل و کاربرانی طراحی شده که به برنامه‌ها متکی هستند و نیاز دارند که امکان استفاده از برنامه‌ها با VPN را داشته باشند. ZTNA دسترسی پویا و ایمن به برنامه‌های تجاری را فراهم می‌کند که می‌توانند در Data Center و در Cloud خصوصی یا عمومی مستقر شوند. این محافظتی فراتر از آنچه توسط توسط VPN ارائه می‌شود دارد، زیرا مبتنی بر محیط نیست؛ کاربران و دستگاه‌‌ها احراز هویت می‌شوند، بر اساس خط‌مشی‌های تعیین شده دسترسی‌های لازم به آن‌ها اعطا، ترافیک عبوری بازرسی و امنیت اعمال می‌شود. با چنین سناریوی کاملی، هر کاربر، در هر مکان و با هر شبکه و دستگاهی، از سطح یکسانی از حفاظت برخوردار می‌شود. وقتی که کاربری احراز هویت شد، به‌ازای هر تراکنش، دسترسی مجزایی دریافت خواهد کرد. به عبارت دیگر، اگر کاربر بخواهد به یک برنامه HR دسترسی داشته باشد، به او اجازه داده می‌شود که فقط از آن منبع استفاده کند و هیچ دسترسی دیگری نخواهد داشت.

جمع‌بندی: پذیرش Zero Trust مهم است

بیشتر شدن تعداد کارمندان دورکار، پیش از همه‌گیری ویروس کرونا هم اتفاق افتاده بود و تیم‌‌ها و مدیران فناوری اطلاعات به دنبال راه‌هایی برای حفظ کنترل و ایجاد دید کافی بودند، چرا که شبکه‌ها روزبه‌روز متنوع‌تر و گسترده‌تر می‌شدند. اما پس از تغییرات ناشی از همه‌گیری، نیاز به داشتن دید مداوم روی شبکه و کنترل داشتن روی دسترسی‌ها برای همه حیاتی شد. این روند به احتمال زیاد تغییر نخواهد کرد، زیرا دورکاری حتی درصورت بازگشایی تمام دفاتر در سراسر جهان هم تا حد زیادی ادامه پیدا خواهد کرد. از طرفی شبکه‌ها در هر شرایطی به سمت پیچیده‌تر شدن می‌روند و از آنجایی که کاربران و دستگاه‌‌ها ممکن است در موقعیت‌های جغرافیایی و شرایط مختلفی قرار داشته باشند، برای کنترل دسترسی به شبکه و منابع آن، تیم‌های فناوری اطلاعات و امنیتی، نیاز به اجرای سیاست‌های Zero Trust دارند.

منبع