استفادۀ گسترده از رایانش ابری، گوشیهای موبایل و اینترنت اشیا موجب شده است که مرزهای سنتی شبکه از بین برود. امروزه، محیط شبکه به علت انتقال بارهای کاری به ابر تکامل یافته است؛ در عین حال موقعیت برنامههای کاربردی، کاربران و دستگاههای آنها دیگر ایستا نیست. داده ها دیگر در مراکز دادهی بزرگ محدود نیستند.
شکاف بین مشاهدهپذیری و حفاظت با تکامل سطح حمله در حال بزرگتر شدن است و این امر شرکتها را واداشته تا از چند ابزار مجزا برای مشاهده و ایمنسازی استفاده کنند.
راهکار امنیت سایبری Zero Trust
با راهکار امنیت سایبری زیرو تراست (Zero Trust)، نیاز به فرض وجود اطمینان بین کاربران و شبکه از بین میرود. تمرکز این راهکار بر ایمنسازی دسترسی به منابع، بدون توجه به موقعیت شبکه، کاربر و دستگاه است.
با این راهکار، وجود کنترلهای سختگیرانه برای دسترسی، بازرسی، پایش و ثبت مستمر ترافیک شبکه اجباری میشود. این امر نیازمند حفاظت در سطح داده، وجود ساختار استواری برای شناسایی هویت کاربران، و بخشبندی استراتژیک شبکه برای ایجاد منطقههای ذرهای اطمینان، پیرامون منابع دیجیتالی شرکت است.
در راهکار Zero Trust، درخواستهای دسترسی و رفتار ترافیک شبکه به صورت بلادرنگ در طول ارتباطهای باز، ارزیابی میشود و در عین حال، دسترسی به منابع شرکت به صورت پیوسته تنظیم میگردد.
اگر شرکتها معماریشان را برای استفاده از زیرو تراست بازطراحی کنند، خواهند توانست با آگاهیرسانی مجازی دربارهی کلیۀ تصمیمها درباره دسترسی و تعاملات بین سیستمها، خود را به صورت ایمن با پیچیدگی مجموعه متنوعی از حالتهای کاری وفق دهند.
شرکتها بر این اساس که هر نقطۀ پایانی که به شبکه متصل میشود باید به طور پیشفرض قابل اطمینان باشد باید به استفاده از مدل امنیت سایبری زیرو تراست روی بیاورند.
با راهکار زیرو تراست، هر چیزی از جمله کاربران، دستگاهها و نقاط انتهایی پیش از اینکه برای دسترسی به شبکه مجاز دانسته شوند باید به شکل مناسبی اعتبارسنجی شوند.
به کمک پروتکلهای موجود در یک شبکۀ زیرو تراست تضمین میشود که قوانین خاصی بر پایۀ نوع کاربر، موقعیت و سایر متغیرها برای تعیین میزان دسترسی اعطا شده وجود دارد.
اگر وضعیت امنیتی هر نقطۀ نهایی یا کاربر متصل شده را نتوان بررسی کرد، شبکۀ زیرو تراست طبق حالت پیشفرض مانع اتصال به او میشود. اگر اعتبار اتصالی تایید شود، آن اتصال تحت سیاست سختگیرانهای برای سطوح دسترسی به شبکه قرار میگیرد.
شبکههای زیرو تراست تحت اصل کمترین امتیاز دسترسی کار میکنند. بر پایۀ این اصل، کلیۀ برنامهها، فرآیندها، دستگاهها یا کاربران، پایینترین امتیاز دسترسی لازم برای انجام نیازهای کاربریشان را خواهند داشت.
در این نوع شبکهها، لازم نیست که حق دسترسی بیش از حد محدودکننده باشد زیرا حق دسترسی براساس امتیاز دسترسی، که بسته به موقعیت میتواند از امتیاز دسترسی کامل تا بدون امتیاز دسترسی باشد، متعادل میشود.
ضروری است متوجه باشیم که زیرو تراست یک نوع فناوری و یک رویکرد همهجانبه برای دستیابی به امنیت شبکه نیست. در واقع فناوری خودکارسازی؛ ابزاری ضروری برای کسب دسترسی، پایش و ارزیابی تهدیدها، سازگاری با تغییرات رفتاری و ارزیابی مستمر سطح اعتماد به ارتباطات است.
اما، برای دستیابی به ساختار Zero Trust Access در چشمانداز کنونی تهدیدات، به شکلی از خودکارسازی به ویژه برای پشتیبانی از سیاستگذاری پویا، اختیاردهی و احراز هویت نیاز است.
مسیر زیرو تراست
همگان بر این باورند که پیادهسازی معماری زیرو تراست مانع نفوذ در دادهها میشود. با این حال، معماری زیرو تراست برای مردم معنای مختلفی دارد زیرا بسیاری از شرکتها پیشاپیش از برخی جنبههای خاص این راهکار استفاده کردهاند.
معماری زیرو تراست را با چند روش میتوان طراحی و اجرا کرد. این مسیر به موارد استفادۀ شرکت، جریانهای کاری، مشخصۀ ریسکپذیری و عملکرد تجاری شبکه بستگی دارد.
بسیاری از شرکتها فهمیدهاند که فناوری سنتی کشف و جلوگیری دیگر برای فرونشانی تهدیدات بازیگران فرصتطلب کافی نیست. اطلاعات موجود دربارۀ شیوۀ انجام حملات پیشین تنها تا همین سطح آگاهی را فراهم میکند. کلید مقابله با این تهدیدات، برنامهریزی برای بدترین حالت است.
این امر بدین معنی است که شرکتها باید فرض کنند که همۀ شبکهها (و برنامههای کاربردی و دستگاههای آنها) ناامن است و پیشاپیش به شرکت نفوذ شده است. هم کاربران و هم دستگاهها باید دائماً احراز هویت شوند و حق دسترسی به منابع باید از طریق فرآیند تایید منسجمی اعطا شود.
برای کمک به ایجاد این روند، پیشنهاد ما پیادهسازی رویکرد همه جانبۀ زیرو تراستی است که تمرکزش بر حفاظت از منابع و سرمایههای مهم دیجیتالی میباشد. همانطور که پیشتر گفته شد، راهکار منحصر به فردی که شرکتها را به این نقطه برساند وجود ندارد، اما میتوان گفت چنانچه شرکتها تمرکزشان را بر مدیریت هویت و بخشبندی زیرو تراست قرار دهند، در جهت درستی حرکت خواهند کرد.
به همین ترتیب، مشاهدهپذیریِ ارتباطات در شبکه برای اطمینان از وجود سیاستهای بخشبندی مناسب حیاتی است. زیرو تراست به شرکتها کمک میکند تا مقاومتر شوند، ریسک سایبری را کاهش دهند و بر پایۀ ابتکارات برای گذار دیجیتالی در جهت مناسب حرکت کنند.
پیادهسازی زیرو تراست
- شرکتها برای محافظت از دادههایشان باید اصول، تغییرات فرآیندی و راهکارهای فناوری زیرو تراست را پیادهسازی کنند.
- بسیاری از شرکتها پیشاپیش برخی از عناصر یک معماری Zero Trust را در اختیار دارند.
اجرای یک استراتژی امنیتی ایدهآل علیه باجافزار باید با بهرهگیری از مدل زیرو تراست آغاز شود. شرکتهایی که از مدل زیرو تراست استفاده میکنند میتوانند ترکیب مناسبی از احراز هویت و بخشبندی را برای ایجاد حائل مقاومتری علیه مهاجمان بکار بگیرند.
شرکتها با استفاده از زیرو تراست و مبانی اصلی آن (بخشبندی و احراز هویت الزامی از طریق ارائهدهندگان خدمات احراز هویت) میتوانند شبکهها و منابع را به طور کامل آشکارسازی کنند تا اختصاص پایینترین امتیاز دسترسی تضمین شود، دسترسی به منابع شرکت ایمنسازی گردد و کلیۀ جنبههای امنیت شبکه روی ابر، برنامههای کاربردی و سرویسها کنترل شود.
زیرو تراست تواناییهای مشاهده، کنترل و بررسی تهدید را که برای حفاظت از شبکهها در برابر باجافزارها، حملات هدفمند و پالایش غیرمجاز دادههای حساس ضروری هستند فراهم میکند. هر شرکتی که خواهان امنسازی «مرزهای قابل اطمینان» بر اساس مدل امنیت Zero Trust است میتواند جایگاه کلی امنیتی خود را ارتقا دهد.
امروزه، امنیت سایبری اولویت مهمی برای شرکتها شده است. پرسش نخست را اینگونه میتوان تعریف کرد: اگر کاربران آلوده شوند، چطور میتوان اطمینان پیدا کرد که حرکت جانبی رخ نمیدهد؟ پاسخ ساده است: کاربران را به شبکه متصل نکنید، با فایروال و ویپیاِن خاکریز درست نکنید؛ در عوض، بر روی پیادهسازی استراتژی زیرو تراست تمرکز کنید، زیرا با این روش کاربران را نه به شبکه، بلکه به برنامهها متصل میکنید.