فورتی‌نت، معماری امنیت اعتماد صفر را چگونه تعریف می‌کند؟

معماری امنیت اعتماد صفر
فهرست مطالب

معماری امنیت اعتماد صفر چیست؟

در معماری اعتماد صفر، تایید هویت دقیق برای هر فرد یا دستگاهی که قصد دسترسی به شبکه یا برنامه را دارد، الزامی است. این فرآیند تایید هویت برای همه دستگا‌ها و کاربران عضو شبکه به یکسان انجام می‌شود و فرقی نمی‌کند شما مدیر ارشد یا کارمند یک دپارتمان باشید، در هر دو حالت، فرآیند احراز و تایید هویت به شکل یکسانی انجام می‌شود. تایید هویت کاربر یا دستگاه می‌تواند با رویدادهایی مانند تغییر دستگاه‌های در حال استفاده، موقعیت جغرافیایی کاربر، دفعات ورود به سیستم یا تعداد تلاش‌های ناموفق برای ورود به سیستم فعال می‌شود.

سطح محافظت

فرآیند محافظت با تعیین سطح و بر مبنای داده‌ها، برنامه‌های کاربردی، دارایی‌ها یا سرویس‌هایی آغاز می‌شود که تحت عنوان DAAS شناخته می‌شوند. این اصطلاح مخفف واژگان زیر است:

دادهها (Data): از چه داده‌هایی باید محافظت کنید؟

برنامهها (Applications): کدام برنامه‌ها شامل اطلاعات حساس هستند؟

دارایی‌ها (Assets): حساس‌ترین دارایی‌های شما کدامند؟

سرویسها (Services): یک هکر در تلاش برای قطع عملکرد عادی زیرساخت فناوری اطلاعات، از کدام سرویس‌ها می‌تواند سوء استفاده کند؟

تعیین سطح محافظت، به شما کمک می‌کند تا دقیقا روی آنچه نیاز به محافظت دارد تمرکز کنید. این رویکرد نسبت به تلاش برای محافظت از زیرساخت‌ها در برابر طیف گسترده‌ای از حملات، بدون آگاهی در ارتباط با میزان ریسک‌پذیری دارایی‌ها ارجحیت دارد، به ویژه در عصر جدید که دامنه حملات، روزبه‌روز افزایش پیدا کرده و پیچیده‌تر می‌شود.

یک خط‌مشی امنیت اعتماد صفر، شامل تنظیم ترافیک مرتبط با داده‌ها و مولفه‌های حیاتی با تعریف ریزمحیط‌ها‌ (micro perimeters) است. در لبه یک ریزمحیط، یک شبکه امنیت اعتماد صفر از یک دروازه جداسازی (segmentation gateway) استفاده می‌کند که ورود افراد و داده‌ها را کنترل می‌کند. این دروازه تمهیدات امنیتی را اعمال می‌کند که برای بررسی دقیق کاربران و داده‌ها، قبل از اعطای دسترسی با استفاده از فایروال لایه 7 و روش کیپلینگ (Kipling method) مورد استفاده قرار می‌گیرند.

یک خط‌مشی لایه 7 شامل بررسی محتوای بسته‌ها با هدف مشاهده و بررسی این موضوع است که آیا آن‌ها با انواع شناخته‌شده ترافیک مطابقت دارند یا خیر. اگر بسته‌ای شامل داده‌هایی باشد که مطابق با پارامترهای قانون لایه 7 نباشد، دسترسی مسدود می‌شود. روش کیپلینگ با مطرح کردن شش پرسش کلیدی در مورد ورود و اینکه چه کسی سعی در ورود دارد، اعتبار تلاش ورود را به چالش می‌کشد: چه کسی؟ چه چیزی؟ چه زمانی؟ کجا؟ چرا؟ چگونه؟ انجام می‌شود. اگر پاسخ به هر یک از سوالات پرچم قرمزی را نشان دهد، دسترسی اعطا نمی‌شود.

تایید اعتبار چند عاملی

تایید اعتبار چند عاملی (MFA) با نیاز به ارائه چند اعتبارنامه توسط کاربر، هویت او را تایید می‌کند. بر مبنای روش‌های ورود با رمز عبور سنتی، یک عامل مخرب تنها باید یک نام کاربری و رمز عبور را بفهمد که اغلب به دست آوردن آنها برای هکر آسان است. با MFA، کاربران چند روش شناسایی را مشخص می‌کنند. به طور مثال، برای یک کاربر ممکن است، رمز عبور و قفل سخت‌افزاری که از طریق یک حافظه فلش به سیستم متصل می‌شود تعریف شده باشد تا بتواند به منابع موردنیاز خود دسترسی پیدا کند. در این حالت، مجرمان سایبری بدون داشتن هر دو عامل موفق نخواهند شد به منابع دسترسی پیدا کنند. به طور کلی، تایید اعتبار چند عاملی با افزایش تعداد اعتبارنامه‌های خاص که یک کاربر برای دسترسی به منابع مختلفی در یک شبکه مبتنی بر امنیت اعتماد صفر به آن‌ها نیاز دارد، ضرورت پیدا می‌کند. استفاده از MFA می‌تواند با ضریب دو، سه، چهار یا بیشتر، کار را برای هکرها سخت کند.

تایید اعتبار نقطه پایانی (Endpoint)

برای اطمینان از اینکه هر نقطه پایانی توسط فرد مناسب کنترل می‌شود، نیاز به تایید آن وجود دارد. تایید اعتبار نقطه اتصال یا همان نقطه پایانی، عملکرد امنیت اعتماد صفر را تقویت می‌کند، زیرا هم کاربر و هم خود نقطه اتصال باید اعتبارنامه خود را به شبکه ارائه دهند. هر نقطه اتصال دارای لایه تایید اعتبار خاص خود است که کاربران را ملزم می‌کند قبل از دسترسی به شبکه، نشان دهند که مجوز دسترسی در اختیار دارند.

سپس، برای اینکه یک مولفه یا برنامه در شبکه به نقطه اتصال اجازه دسترسی بدهد، یک درخواست تایید به سمت نقطه اتصال ارسال می‌کند. سپس، کاربر روی دستگاه خود پاسخ می‌دهد. داده‌های ارسالی از نقطه اتصال برای بررسی اعتبار استفاده می‌شود و فرآیند دریافت و انتقال موفق، به دستگاه از طریق تخصیص وضعیت “قابل اعتماد” اعطا می‌شود.

مدیریت یکپارچه نقطه اتصال (UEM) به مدیران سیستم اجازه می‌دهد از طریق به‌کارگیری مجموعه واحدی از ابزارهایی که می‌توانند برای تایید صحت چند نقطه اتصال استفاده شوند، فرآیند مدیریت زیرساخت‌های فناوری اطلاعات را متمرکز کنند. در این رهیافت، تشخیص و پاسخ نقطه پایانی (EDR) سرنام Endpoint detection and response ایمنی و امنیت نقطه پایانی را تایید می‌کند. EDR شبیه به یک آنتی‌ویروس چندوجهی عمل می‌کند. این نرم‌افزار، نقطه پایانی را اسکن می‌کند، تهدیدات را شناسایی می‌کند و سپس اقداماتی را برای محافظت از نقطه پایانی و در نهایت کل شبکه انجام می‌دهد.

ریز بخش‌بندی (Micro segmentation)

ریز بخش‌بندی شامل ایجاد مناطقی (zones) داخل شبکه برای جدا‌سازی و ایمن‌سازی بخش‌هایی از شبکه است که ممکن است شامل اطلاعات حساس باشند یا دسترسی را برای بازیگران مخرب فراهم کنند. رویکرد امنیتی اعتماد صفر به بهترین شکل از مزایای ریز بخش‌بندی سود می‌برد، زیرا هنگامی که منطقه امن، ریز بخش‌بندی شد، فرآیند محافظت از آن منطقه در برابر تهدیدات کار سختی نخواهد بود. فایروال یا فیلتری که مانعی پیرامون این منطقه ایجاد می‌کند، همچنین می‌تواند مانع بروز تهدیدات درون شبکه‌ای شود و اجازه ندهد کارمندان به شکل غیر مجاز اطلاعاتی را به خارج از شبکه انتقال دهند که در نهایت باعث محافظت از کل شبکه می‌شود.

دسترسی با حداقل مجوز (Least-privilege access)

دسترسی با حداقل مجوز به معنای آن است که فرآیند تخصیص مجوز به دستگاه‌ها و کاربران تنها برای منابعی که به آن‌ها نیاز دارند در اختیارشان قرار می‌گیرد تا بتوانند وظایف محوله را انجام دهند. به طور کلی، امنیت اعتماد صفر مبتنی بر تخصیص حداقل مجوزها است، زیرا تعداد نقاط ورودی یا دسترسی به زیرساخت‌های حساس را محدود می‌کند. همچنین، دسترسی با حداقل مجوز باعث صرفه‌جویی در زمان و منابع شود، زیرا تعداد اقدامات امنیتی مبتنی بر تایید هویت دو عاملی و حجم اعتبارنامه‌های شناسایی که باید اعطا و مدیریت شوند را محدود می‌کند.

دسترسی شبکه اعتماد صفر (ZTNA)

دسترسی شبکه اعتماد صفر که به اختصار (ZTNA) سرنام Zero trust network access  نامیده می‌شود یکی از مولفه‌های دسترسی با اعتماد صفر است که بر کنترل دسترسی به برنامه‌ها تمرکز دارد. ZTNA اصول دسترسی با اعتماد صفر (ZTA) را برای تایید کاربران و دستگاه‌ها قبل از هر جلسه/نشست (Session) برای اطمینان از تطابق اطلاعات با خط‌مشی‌های سازمان برای دسترسی به یک برنامه کاربردی را مورد بررسی قرار داده یا در صورت لزوم، گسترش می‌دهد. ZTNA یک مکانیزم حفاظتی مبتنی بر تایید هویت چند عاملی را ارائه می‌دهد تا شانس هکرها برای نفوذ به شبکه را کم کند.

یک عنصر کلیدی در معماری ZTNA، عدم وابستگی کاربر به یک موقعیت مکانی خاص است. فرآیند تایید و سیاست دسترسی به برنامه برای کاربرانی که داخل یا خارج از شبکه هستند یکسان است. به بیان دقیق‌تر، کاربرانی که داخل شبکه هستند نسبت به کاربرانی که خارج از شبکه هستند، ارجحیت ندارند و همگی به شکل یکسانی مورد بررسی قرار می‌گیرند.

برای کاربرانی که خارج از شبکه هستند، ZTNA یک تونل رمزگذاری شده امن برای اتصال دستگاه کاربر به نقطه واسط برنامه ZTNA تعریف می‌کند. ماهیت خودکار این تونل باعث می‌شود استفاده از آن نسبت به تونل‌های شبکه خصوصی مجازی سنتی آسان‌تر باشد. بهبود تجربه کاربری باعث شده است تا بسیاری از سازمان‌ها از رویکرد شبکه خصوصی مجازی به سمت ZTNA حرکت کنند.

نقطه واسط برنامه ZTNA عملکردی فراتر از دسترسی از راه دور شفاف و امن به کاربر ارائه می‌دهد، به طوری که یکسری مزایای بالقوه در اختیار سازمان‌ها قرار می‌دهد. با قرار دادن برنامه‌ها پشت یک نقطه واسط، ZTNA برنامه‌ها را از دید اینترنت پنهان می‌کند و فقط کاربرانی که تایید شده‌اند می‌توانند به آن برنامه‌ها دسترسی پیدا کنند.

مزایای مدل اعتماد صفر

بسیاری از شرکت‌ها به دلایل مختلف، معماری اعتماد صفر را در دکترین دفاعی خود قرار داده‌اند که از آن جمله به موارد زیر باید اشاره کرد:

محافظت از داده‌های مشتری: مانع از بروز نشت داده‌های مشتری می‌شود که علاوه بر هزینه‌های مادی، از دست دادن مشتریان را برای سازمان به همراه دارد.

کاهش موازی کاری و پیچیدگی ابزارهای امنیتی: زمانی که یک سیستم اعتماد صفر تمام توابع امنیتی را کنترل می‌کند، می‌توانید انبوهی از فایروال‌های اضافی، دروازه‌های وب و سایر ابزارهای امنیتی مجازی و سخت‌افزاری را حذف کنید.

کاهش نیاز به استخدام و آموزش متخصصان امنیتی: یک سیستم مرکزی اعتماد صفر به این معنی است که شما مجبور نیستید افراد زیادی را برای مدیریت، نظارت، ایمن‌سازی، اصلاح و به‌روزرسانی کنترل‌های امنیتی استخدام کنید.

شرکت‌ها بدون داشتن معماری اعتماد صفر، خود را در معرض نشست داده و جریمه‌های سنگین قرار می‌دهند. به عنوان مثال، در ماه مه 2014، هکرها به آدرس، نام، تاریخ تولد و رمز عبور 145 میلیون کاربر eBay دسترسی پیدا کردند. آنها برای ورود به سیستم، به سادگی از اعتبارنامه ورودی سه کارمند eBay استفاده کردند.

چطور امنیت اعتماد صفر را پیاده‌سازی کنیم؟

با ابزارهای مناسب، اجرای رویکرد امنیت اعتماد صفر تنها به چند مرحله اساسی نیاز دارد که به شرح زیر هستند:

تعیین سطح محافظت

انواع داده‌ها یا مولفه‌های شبکه‌ای که به طور کامل نیاز به محافظت دارند را مشخص کنید. برای بسیاری از شرکت‌ها، این موارد ممکن است شامل موارد زیر باشد:

  • داده‌های مشتری
  • سوابق مالی
  • اطلاعات کارمندان
  • دارایی‌های اختصاصی مانند نقشه‌ها و اختراعات
  • تجهیزات شبکه مانند سرورها، سوئیچ‌ها و روترها

محدود کردن دسترسی به داده‌ها

مشخص کنید هر کاربر برای انجام وظایف خود نیاز به دسترسی به چه منابعی دارد و مطمئن شوید که آنها فقط می‌توانند به آن بخش‌های خاص دسترسی داشته باشند. محدود کردن سطح حمله، باعث می‌شود تا دامنه حملات بدافزاری و فیشینگ به دلیل خطای انسانی به شکل قابل توجهی کاهش پیدا کند. به طور مثال، اگر یک کاربر فقط یک رمز عبور ضعیف داشته باشد که برای چند نقطه دسترسی استفاده می‌شود، یک هکر می‌تواند آن رمز عبور را کشف کند و اثرات یک نفوذ را گسترش دهد. به بیان دقیق‌تر، هکر می‌تواند به مناطقی نفوذ کند که برای کاربر مهم است و به تدریج سطح اختیارات خود را از طریق به خطر انداختن سایر حساب‌های کاربری افزایش دهد.

به تیم خود دید کافی بدهید

هنگامی که تیم فناوری اطلاعات دید کاملی داشته باشد، می‌تواند به کاربران در استفاده بهینه از شبکه و مراقبت از سیستم‌ها کمک کند.  ابزارهایی که دید یا به عبارت دقیق‌تر، مشاهده‌پذیری خوبی در اختیار تیم‌های فناوری اطلاعات قرار می‌دهند به شرح زیر هستند:

  • گزارش‌ها: گزارش‌های فعالیت کاربر را می‌توان برای شناسایی تلاش‌های نفوذ به سیستم تجزیه و تحلیل کرد
  • تحلیل: تجزیه و تحلیل فعالیت کاربر در طول یک دوره زمانی ممکن است الگوهای رفتاری را نشان دهد. شکستن الگو می‌تواند نشان‌دهنده تلاش برای دور زدن پروتکل های امنیتی باشد.
  • نظارت: نظارت لحظه‌ای بر سیستم می‌تواند تلاش‌های نفوذ هکرها را در همان لحظه که رخ می‌دهند، آشکار کند.
  • لاگ‌ها: هنگامی که فعالیت سیستم‌ها ثبت می‌شود، می‌توانید داده‌ها را برای یافتن ناهنجاری‌هایی که ممکن است ناشی از تلاش برای نفوذ باشند، تجزیه و تحلیل کنید. همچنین، با مطالعه لاگ‌ها می‌توانید روش هکرها را کشف کنید.

راه‌حل شرکت فورتینت در این زمینه چیست؟

شرکت فورتینت به سازمان‌ها کمک می‌کند تا کارمندان و دستگاه‌های دورکار خود را به برنامه‌ها و منابع حیاتی، به صورت امن و مطمئن متصل کند. Fortinet Universal ZTNA یک راه‌حل امنیتی قدرتمند است که به کسب‌وکارها انعطاف‌پذیری، کنترل دسترسی دقیق و تایید مداوم را ارائه می‌دهد. این راه‌حل به شما امکان می‌دهد تا خط‌مشی‌های امنیتی را برای کاربران بدون توجه به موقعیت مکانی‌شان تعریف کنید. با کنترل دسترسی دقیق، دسترسی فقط برای همان نشست به برنامه‌های خاص اعطا می‌شود که امنیت بهتری را فراهم می‌آورد. با مدل راه‌اندازی‌شده توسط کاربر، تیم فناوری اطلاعات دید و کنترل بیشتری روی نقطه انتهایی (اندپوینت) دارد و در عین حال، تجربه‌ای سریع‌تر و آسان‌تر را برای کاربران به ارمغان می‌آورد. Universal ZTNA به هیچ مجوز اضافی نیاز ندارد و یک ویژگی رایگان در FortiOS و FortiClient است که به مشتریان امکان می‌دهد مطابق با نیازهای خود از VPN به سمت ZTNA تغییر دهند.

با توجه به جابه‌جایی مداوم بین محیط‌های درون سازمانی، شبکه خانگی و شبکه عمومی، امنیت اعتماد صفر (Zero Trust)، امنیت نقطه پایانی و امنیت شبکه را از طریق یک چارچوب امنیتی و مدیریتی متمرکز کنترل می‌کند. راه‌حل‌هایی که توسط مجموعه‌ای مشترک از رابط‌های برنامه‌نویسی کاربردی (API) و نقاط یکپارچه‌‌شده به یکدیگر متصل شده‌اند، اطمینان می‌دهند کاربران می‌توانند به‌طور یکپارچه از یک مکان به مکان دیگر جابه‌جا شوند و از یک تجربه کاربری سازگار که به‌طور مناسب با امنیت مبتنی بر محتوا محافظت می‌شود، بهره‌مند شوند. فورتینت تنها عرضه‌کننده‌ای است که قادر به ارائه این رویکرد یکپارچه است و امنیت پیشگیرانه، یکپارچه و مبتنی بر محتوا را امکان‌پذیر می‌سازد که به‌طور خودکار با توجه به مکان کاربران، دستگاهی که استفاده می‌کنند و منابعی که به آن‌ها دسترسی پیدا می‌کنند، سازگار می‌شود.

فورتینت با استفاده از مجموعه‌ای گسترده از راه‌حل‌های امنیت اعتماد صفر، امنیت نقطه پایانی و امنیت شبکه در بستر امنیتی فورتینت (Fortinet Security Fabric)، امنیت، خدمات و هوش تهدید را ارائه دهد که می‌تواند از کاربران در شبکه‌های توزیع‌شده به بهترین شکل محافظت کند. به بیان دقیق‌تر، Security Fabric می‌تواند یک مکانیزم حفاظتی قدرتمند را بر مبنای ریسک کنترل شده تعریف کند و به سازمان‌ها اجازه دهد از کاربران درون و برون سازمانی خود به شکل دقیقی محافظت کرده و در صورت نیاز، مکانیزم‌های امنیتی را متناسب با الگوهای جاری ارتقا دهند.

همچنین، مواردی مثل اینترنت اشیا زنجیره بلوکی، کلان داده‌ها و غیره را در زیرمجموعه تحول دیجیتال قرار دادم که به نظرم جذاب‌تر می‌شود، هرچند امکان پرداختن به آن‌ها به‌شکل مجزا نیز وجود دارد.

 

نویسنده: حمیدرضا تائبی

اشتراک‌گذاری:
برای ثبت نام در خبرنامه، عضو شوید.
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.