امنیت اعتماد صفر چیست و چرا به آن نیاز داریم؟

فهرست مطالب

امنیت اعتماد صفر

معماری امنیت اعتماد صفر (Zero Trust Architecture) راهکاری برای محافظت از شبکه‌های کامپیوتری با هدف شناسایی و کم کردن نقاط ضعف، جلوگیری از نفوذ و به حداقل رساندن خطر نشت اطلاعات است.

در ‌روش‌های سنتی، فرض بر این بود که هر کاربر و دستگاهی که داخل شبکه قرار دارد قابل اعتماد است. بنابراین، دسترسی‌های زیادی به کاربر داده می‌شد، اما در معماری امنیت اعتماد صفر این رویکرد کنار گذاشته و اصل بر «اعتماد نکن، همیشه تایید کن» قرار دارد. این روش بر مبنای مکانیزم کنترل دسترسی با کمترین امتیاز، ریزبخش‌بندی (microsegmentation) دقیق و احراز هویت چند عاملی (MFA) امنیت شبکه را افزایش می‌دهد.

معماری اعتماد صفر و دسترسی شبکه اعتماد صفر چه تفاوتی دارند؟

قبل از این‌که دقیق‌تر به معماری امنیت اعتماد صفر نگاه کنیم، اجازه دهید تفاوت این دو اصطلاح را مورد بررسی قرار دهیم.

معماری اعتماد صفر (ZTA) سرنام zero trust architecture

طرح‌واره‌ای است که از اصول اعتماد صفر پشتیبانی می‌کند، مانند مدیریت دسترسی بسیار دقیق، احراز هویت کاربران و دستگاه‌ها با امنیت بالا و بخش‌بندی قوی. این روش با رویکرد قلعه و خندق (castle and moat) که به طور پیش‌فرض به هر چیزی داخل شبکه اعتماد می‌کند، کاملا متفاوت است.

دسترسی شبکه اعتماد صفر (ZTNA) سرنام Zero trust network access

راهکار مبتنی بر اعتماد صفر است که به کاربران دسترسی امن به برنامه‌ها و داده‌ها را ارائه می‌دهد، حتی زمانی که کاربران، برنامه‌ها یا داده‌ها درون یک محیط امنیتی سنتی (که امروزه با رایج شدن سرویس‌های ابری و کار ترکیبی کمتر دیده می‌شود) قرار ندارند.

به طور خلاصه، معماری اعتماد صفر، بستر لازم را برای سازمان‌ها فراهم می‌کند تا ZTNA را ارائه دهند تا کاربران بتوانند به سیستم‌ها، سرویس‌ها، رابط‌های برنامه‌نویسی (API)، داده‌ها و فرآیندهای خود از هر مکان، در هر زمان و از هر دستگاهی دسترسی داشته باشند.  

درک نیاز به معماری اعتماد صفر

برای دهه‌ها، سازمان‌ها شبکه‌های پیچیده هاب-اسپوک (hub-and-spoke networks) که مبتنی بر هاب مرکزی و شعب بود را در وسعت زیاد راه‌اندازی و پیکربندی می‌کردند. در این محیط‌ها، کاربران و شعب از طریق اتصالات اختصاصی به مرکز داده متصل می‌شدند. البته، کاربران برای دسترسی به برنامه‌های مورد نیاز باید عضوی از شبکه فیزیکی می‌بودند. شبکه‌های هاب-اسپوک با انبوهی از ابزارهای امنیتی مانند شبکه خصوصی مجازی و فایروال‌های نسل جدید ایمن می‌شدند، روشی که تحت عنوان امنیت شبکه قلعه و خندق شناخته می‌شود.

این رویکرد زمانی که برنامه‌ها در مراکز داده سازمان‌ها قرار داشتند به خوبی کار می‌کرد، اما اکنون – با محبوبیت روزافزون سرویس‌های ابری و نگرانی‌های فزاینده امنیت داده‌ها – این روش کارایی کمتری برای سازمان‌ها دارد.

امروزه، با روی آوردن سازمان‌ها به ابر، تحرک‌پذیری، هوش مصنوعی، اینترنت اشیاء (IoT) و فناوری عملیات (OT) برای چابکی و رقابت بیشتر، تحول دیجیتال سرعت گرفته است. کاربران در نقاط جغرافیایی مختلفی قرار دارند و داده‌های سازمان‌ها دیگر به شکل اختصاصی در مراکز داده آن‌ها قرار ندارند. همچنین، کاربران برای همکاری و حفظ بهره‌وری، می‌خواهند از هر مکان و در هر زمان دسترسی مستقیم به برنامه‌ها داشته باشند. این در حالی است که هدایت ترافیک به سمت مرکز داده برای دستیابی ایمن به برنامه‌های ابری منطقی نیست. به همین دلیل است که سازمان‌ها در حال کنار گذاشتن مدل شبکه هاب-اسپوک به نفع مدلی هستند که اتصال مستقیم به ابر را ارائه می‌دهد: معماری اعتماد صفر.

اصول اساسی امنیت اعتماد صفر چیست؟

امنیت اعتماد صفر، فراتر از صرفا ترکیب هویت کاربر، بخش‌بندی و دسترسی امن است. معماری فوق یک استراتژی امنیتی است که بر اساس آن می‌توان یک اکوسیستم امنیتی کامل ساخت. در هسته معماری مذکور سه اصل به شرح زیر قرار دارد:

  1. قطع همه اتصالات: بر خلاف روش‌های بازرسی رایج در فناوری‌های قدیمی (مانند فایروال‌ها) که صرفا بسته‌ها را عبور می‌دهند، یک معماری امنیت اعتماد صفر کارآمد، تمام اتصالات را قطع می‌کند تا یک پروکسی درون‌خطی بتواند همه ترافیک، از جمله ترافیک رمزگذاری‌شده را به صورت بلادرنگ -پیش از رسیدن به مقصد- بررسی کند.
  2. محافظت از داده‌ها با استفاده از سیاست‌های مبتنی بر زمینه با جزئیات دقیق: خط‌نشی‌های امنیت اعتماد صفر، درخواست‌های دسترسی و مجوزها را بر اساس زمینه تایید می‌کند که از آن جمله باید به هویت کاربر، دستگاه، مکان، نوع محتوا و برنامه‌ای که درخواست می‌دهد، اشاره کرد. این سیاست‌ها تطبیق‌پذیر هستند، بنابراین، اعتبارسنجی و امتیازات دسترسی کاربر با تغییر زمینه به طور مداوم ارزیابی مجدد می‌شوند.
  3. کاهش ریسک با از بین بردن سطح حمله: با رویکرد امنیت اعتماد صفر، کاربران مستقیما به برنامه‌ها و منابع متصل می‌شوند، نه به شبکه‌ها. اتصالات مستقیم، خطر حرکت جانبی در شبکه را از بین می‌برند و از آلوده شدن سایر منابع توسط دستگاه‌های به خطر افتاده جلوگیری می‌کند. علاوه بر این، کاربران و برنامه‌ها برای اینترنت نامرئی هستند، بنابراین نمی‌توان آن‌ها را کشف یا مورد حمله قرار داد.

چگونه معماری اعتماد صفر کار می‌کند؟

معماری امنیت اعتماد صفر بر اساس اصل «هرگز اعتماد نکن، همیشه تایید کن» بنا شده است. این رویکرد فرض می‌کند که هر چیزی در شبکه می‌تواند بالقوه تهدید باشد، بنابراین پیش از اعطای دسترسی، هویت کاربر، سلامت دستگاه و زمینه فعالیت‌ها را راستی‌آزمایی می‌کند.

کنترل‌های امنیتی سنتی، دید کافی برای چنین بازرسی عمیقی را ندارند، به همین دلیل معماری امنیت اعتماد صفر اغلب به یک معماری مبتنی بر پروکسی متکی است. این معماری، کاربران را مستقیما به برنامه‌ها متصل می‌کند و امکان اعمال کنترل‌های اضافی را پیش از تایید یا رد اتصال فراهم می‌آورد. فرآیند تایید شامل سه مرحله است:

  1. تایید هویت و زمینه: صرف‌نظر از شبکه، پس از دریافت درخواست اتصال از کاربر/دستگاه، بار کاری یا دستگاه اینترنت اشیا/فناوری عملیات، این معماری ابتدا اتصال را قطع می‌کند و بر مبنای اصل «چه کسی، چه چیزی و از کجا» درخواست را ارسال کرده به بررسی هویت و زمینه می‌پردازد.
  2. کنترل ریسک: پس از تایید هویت و زمینه و اعمال قوانین بخش‌بندی (segmentation)، این معماری ریسک مرتبط با درخواست اتصال را ارزیابی کرده و ترافیک را برای یافتن تهدیدات سایبری و داده‌های حساس بررسی می‌کند.
  3. اجرای خط‌نشی: برای کاربر، بار کاری یا دستگاه، امتیاز ریسک محاسبه می‌شود تا مشخص شود که دسترسی به طور کامل یا محدود ارائه شود یا به طور کلی رد شود. در صورت مجاز بودن، یک اتصال امن به اینترنت، برنامه SaaS یا محیط IaaS/PaaS برقرار می‌گردد.

پنج ستون اصلی معماری امنیت اعتماد صفر (Zero Trust) چیست؟

این پنج ستون برای اولین بار توسط موسسه CISA با هدف کمک به  سازمان‌های دولتی و سایر سازمان‌ها در راستای اجرای استراتژی‌های امنیت اعتماد صفر، تعریف شده‌اند. این پنج ستون به شرح زیر هستند:

هویت: حرکت به سمت رویکرد مدیریت هویت با حداقل دسترسی (کمترین سطح مجاز).

دستگاه‌ها: اطمینان از صحت و امنیت دستگاه‌هایی که برای دسترسی به سرویس‌ها و داده‌ها استفاده می‌شوند.

شبکه‌ها: همسو کردن تقسیم‌بندی شبکه و اقدامات امنیتی با نیازهای گردش کار برنامه‌های کاربردی، به جای اعتماد ضمنی که در تقسیم‌بندی سنتی شبکه وجود دارد.

برنامه‌ها و کاربرها: یکپارچه دقیق‌تر اقدامات امنیتی با گردش کار برنامه‌های کاربردی، و اعطای دسترسی به برنامه‌ها بر اساس هویت، انطباق دستگاه و سایر ویژگی‌ها.

داده‌ها: تغییر رویکرد امنیت سایبری به سمت رویکردی مبتنی بر داده، از طریق شناسایی، دسته‌بندی و فهرست‌برداری دارایی‌ها.

هر یک از این اصول پنج‌گانه می‌توانند با سرعت مشخصی مورد بررسی قرار گیرند و بنابراین، برخی از آن‌ها که برای یک سازمان اهمیت بیشتری دارند، ممکن است سریع‌تر از موارد دیگر مورد بررسی قرار گیرد. در نهایت، هماهنگی بین ستون‌ها (با تاکید بر قابلیت همکاری و وابستگی‌های متقابل) برای اطمینان از سازگاری، ضروری است. این امر به تکامل تدریجی و استقرار کامل امنیت اعتماد صفر کمک می‌کند.

مزایای معماری امنیت اعتماد صفر

معماری امنیت اعتماد صفر با اعطای دسترسی دقیق و مبتنی بر زمینه به کاربران، این امکان را می‌دهد که فعالیت‌های تجاری را بدون وقفه انجام دهید و در عین حال از کاربران و داده‌های خود در برابر بدافزار و سایر حملات سایبری محافظت کنید. این معماری به عنوان زیربنای دسترسی شبکه اعتماد صفر (ZTNA) به شما در موارد زیر کمک می‌کند:

  • ارائه دسترسی امن و سریع به داده‌ها و برنامه‌ها برای کارمندان دورکار و شرکایی که در هر مکان ممکن است قرار داشته باشند که در نهایت بهبود تجربه کاربری را به همراه خواهد داشت.
  • فراهم آوردن دسترسی از راه دور قابل اعتماد، مدیریت و اعمال خط‌مشی‌های امنیتی به روشی ساده و ثبات بیشتر نسبت به فناوری‌های قدیمی مانند شبکه‌های خصوصی مجازی.
  • محافظت از داده‌ها و برنامه‌های حساس، در محل یا در محیط ابری، در حال انتقال یا در حالت سکون، با کنترل‌های امنیتی سخت‌گیرانه، از جمله رمزگذاری، احراز هویت، بررسی سلامت و موارد دیگر.
  • جلوگیری از بروز تهدیدات داخلی با حذف اعتماد پیش فرض و ضمنی به هر کاربر یا دستگاهی داخل محیط شبکه.
  • محدود کردن حرکت جانبی در شبکه با اعمال سیاست‌های دسترسی دقیق تا سطح منابع، که احتمال نقض امنیتی را کاهش می‌دهد.
  • تشخیص، پاسخ و بازیابی سریع‌تر و موثرتر در صورت بروز حملات سایبری و به حداقل رساندن تاثیرات آن.
  • ارائه دید عمیق‌تر نسبت به فعالیت‌های کاربران و موجودیت‌ها با جزئیات مربوط به «چه»، «چه زمانی»، «چگونه» و «کجا» و همچنین نظارت و ثبت دقیق جلسات و اقدامات انجام‌شده.
  • ارزیابی ریسک به صورت بلادرنگ با دریافت گزارش‌های ورود به سیستم با جزئیات، بررسی سلامت دستگاه و منابع، تحلیل رفتار کاربر و موجودیت (entity) و موارد دیگر.

چرا معماری اعتماد صفر نسبت به مدل‌های امنیتی سنتی عملکرد بهتری دارد؟

معماری امنیت اعتماد صفر به دلیل رویکرد پیشگیرانه، تطبیق‌پذیر و داده‌محور خود، در مقایسه با مدل‌های امنیتی سنتی عملکرد بهتری ارائه می‌دهد. مدل‌های سنتی بر دفاع از محیط شبکه تکیه می‌کنند، در حالی که امنیت اعتماد صفر اذعان دارد که تهدیدات می‌توانند هم از داخل و هم از خارج از شبکه نشات بگیرند و به طور مداوم هویت و وضعیت امنیتی کاربران و دستگاه‌ها را اعتبارسنجی می‌کند.

امنیت اعتماد صفر با اجرای کنترل‌های دقیق دسترسی با کمترین امتیاز، تنها دسترسی ضروری را به کاربران و دستگاه‌ها اعطا می‌کند. نظارت مداوم، احراز هویت چند عاملی (MFA) و تحلیل رفتار، تهدیدات را به صورت بلادرنگ شناسایی می‌کنند، قبل از اینکه به حملات موفق تبدیل شوند. انعطاف‌پذیری این روش، باعث شده تا چابک‌تر از سایر روش‌های موجود باشد و در نتیجه برای ایمن‌سازی زیرساخت‌ها در برابر طیف گسترده‌ای از حملات و آسیب‌پذیری‌های جدیدی که مشخصه بارز دنیای کار ترکیبی جدید و ابرمحور هستند، نسبت به مدل‌های سنتی مناسب‌تر است. مهم‌تر از همه، امنیت اعتماد صفر بر محافظت از داده‌ها تمرکز دارد، نه شبکه. این روش، داده‌ها را در هر کجا که باشند یا جریان داشته باشند، در شبکه، در ابر، روی دستگاه‌های از راه دور یا هر جای دیگر، ایمن می‌کند.

مثالی از یک معماری امنیت اعتماد صفر: Zscaler Zero Trust Exchange

اکنون برای درک بهتر ماهیت این معماری اجازه دهید به یک نمونه مطالعاتی بپردازیم که از سوی Zscaler تحت عنوان Zscaler Zero Trust Exchange به عنوان یک پلتفرم یکپارچه و مبتنی بر ابر ارائه شده که بر اساس اصل دسترسی با کمترین امتیاز و ایده‌ای بنا شده است که هیچ کاربر، بار کاری یا دستگاهی ذاتا قابل اعتماد نیست. در عوض، این پلتفرم بر اساس هویت و زمینه مانند نوع دستگاه، مکان، برنامه و محتوا، دسترسی را برای ایجاد یک اتصال امن بین کاربر، بار کاری یا دستگاه – از طریق هر شبکه و از هر مکانی – براساس خط‌مشی‌های کسب‌وکار اعطا می‌کند. این پلتفرم امنیتی یکسری مزایا در اختیار کاربرانش قرار می‌دهد که از آن جمله به موارد زیر باید اشاره کرد:

دفع حملاتی که از طریق اینترنت انجام می‌شوند و همچنین حرکت جانبی در شبکه با هدف به دست آمدن امتیازات بیشتر. در معماری مذکور، ترافیک کاربر هرگز با شبکه سازمانی در ارتباط نخواهد بود. در مقابل، کاربران مستقیما از طریق تونل‌های رمزگذاری شده یک به یک به برنامه‌ها متصل می‌شوند که مانع از شناسایی دستگاه‌ها توسط هکرها شده و نقش موثری در پیشگیری از بروز حملات هدفمند دارد.

بهبود تجربه کاربری. برخلاف معماری‌های شبکه قدیمی و ایستا با یک «درب ورودی» که داده‌ها را به مراکز پردازش باز می‌گرداند، شبکه‌های اعتماد صفر کارآمد به طور هوشمندانه اتصالات مستقیم به هر مقصد ابری یا اینترنتی را مدیریت و بهینه‌سازی می‌کند و خط‌مشی‌ها و مکانیزم حفاظت‌های تطبیقی را به صورت درون خطی در لبه شبکه و نزدیک‌ترین مکان به کاربر، اجرا می‌کند.

ادغام یکپارچه با خدمات ارائه‌دهندگان خدمات ابری، هویت، حفاظت از نقطه انتهایی (Endpoint Protection) و SecOps. پلتفرم‌های جامع در این زمینه، عملکردهای امنیتی زیربنایی مثلSWG، DLP، CASB، فایروال و سندباکس را با فناوری‌های نوظهوری مانند ایزوله‌سازی مرورگر، نظارت بر تجربه دیجیتال و ZTNA در قالب یک مجموعه کامل امنیتی ابری ترکیب می‌کند.

کاهش هزینه و پیچیدگی. این شبکه‌ها فرآیند استقرار ساده و مدیریت‌پذیری دارند و در بیشتر موارد نیازی به شبکه خصوصی مجازی یا خط‌مشی‌های پیچیده فایروال در محیط شبکه ندارد.

ارائه امنیت مقیاس‌پذیر. شبکه‌های اعتماد صفر پیشرفته این ظرفیت را دارند تا در ساعات اوج بیش از 240 میلیارد تراکنش را پردازش کنند و روزانه 8.4 میلیارد تهدید را شناسایی و خنثی سازند. شکل یک معماری شبکه اعتماد صفر Zscaler را نشان می‌دهد.

امنیت اعتماد صفر (Zero Trust) چیست؟

سوالات متداول در ارتباط با امنیت اعتماد صفر

امنیت اعتماد صفر، یک چارچوب امنیتی است که بر این اصل استوار است که به هیچ کاربر یا برنامه‌ای به طور پیش‌فرض نباید اعتماد کرد. معماری امنیت اعتماد صفر، کنترل دسترسی با حداقل امتیاز را اجرا می‌کند که بر اساس بستر (برای مثال، شناسه کاربری و موقعیت مکانی، وضعیت امنیتی دستگاه نهایی، برنامه یا سرویسی که درخواست می‌شود) با بررسی خط‌مشی در هر مرحله، اعتمادسازی می‌کند. درخواست‌های دسترسی – حتی از افراد شناخته شده – تا زمانی که از تایید هویت دقیق عبور نکنند، هرگز اعطا نمی‌شوند.

امنیت اعتماد صفر به دلیل افزایش رایانش ابری و دورکاری، که باعث شده است تا محیط‌های امنیتی سنتی غیرقابل اعتماد شوند، آینده امنیت است. معماری امنیت اعتماد صفر با کنترل‌های دسترسی سخت‌گیرانه، نظارت مداوم و امنیت داده‌محور، با الگوهای کاری مدرن و پویا سازگار می‌شود و مکانیزم‌های دفاعی پیشگیرانه و قوی‌تری را در برابر تهدیدات داخلی و همچنین گستره‌ای از تکنیک‌های پیشرفته حملات سایبری امروزی ارائه می‌دهد.

پیاده‌سازی امنیت اعتماد صفر زمان‌بر است، اما سازمان‌های امروزی برای بقا و پیشرفت به آن نیاز مبرمی دارند. امنیت اعتماد صفر را می‌توان به چهار مرحله اصلی زیر تقسیم کرد:

  • توانمندسازی و ایمن‌سازی نیروی کار
  • محافظت از داده‌های سازمان در تعامل با بارهای کاری ابری
  •  به‌روزرسانی امنیت اینترنت اشیا / فناوری عملیاتی
  •  تعامل امن با مشتریان و تامین‌کنندگان

با انجام تک تک این مراحل – که در عین حال شبکه و امنیت سازمان را متحول می‌کند – به معماری امنیت اعتماد صفر دست خواهید یافت که کاربران، دستگاه‌ها و برنامه‌ها را به صورت ایمن به زیرساخت‌های سازمانی متصل کرده و دسترسی به منابع را امکان‌پذیر می‌کند.

اشتراک‌گذاری:
برای ثبت نام در خبرنامه، عضو شوید.
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.