Zero Trust چیست و چگونه می توان یک استراتژی zero-trust ایجاد کرد؟
اکثر کارشناسان بر این باور هستند که اتخاذ یک رویکرد zero-trust برای امنیت سایبری، امری کاملا ضروری است. معنا و مفهوم واقعیِ این مدل امنیتی، بسیار واضح و قابل درک است. در حقیقت تهدیدات و خطرات مرتبط با دسترسیِ کنترل نشده را مورد بررسی قرار می دهد. در زبان پارسی به این مدل امنیتی، “اعتماد صفر” گفته می شود، دلیل آن هم کاملا واضح است؛ زیرا فرض بر این است که به هیچ چیز در داخل و یا خارج از شبکه نمی توان به طور کامل اعتماد کرد. همه کاربران، دستگاه ها، اپلیکیشن ها و فعالیت ها به عنوان بالقوه مشکوک تلقی می شوند تا زمانی که بتوان آن ها را تایید و احراز هویت کرد.
تغییرات ساختاریِ شبکه
منظور از استراتژی Zero-Trust چیست؟
هدف اصلی از اتخاذ استراتژی zero-trust این است که سازمان ها بتوانند امنیتی سطح بالا برای محیط های مختلف اعم از فیزیکی، هیبرید و کلود تامین کنند. بر اساس یکی از نظرسنجی های فورتی نت، ۸۴ درصد از سازمان ها دارای استراتژی zero-trust می باشند.
به سازمان هایی که به دنبال اجرای استراتژی امنیت سایبری در قالب zero-trust می باشند، توصیه می شود مدل Zero Trust Maturity را از آژانس CISA برگزینند. چرا که این اصول و چارچوب ها را می توان به عنوان پایه و اساسی برای تمامیِ استراتژی های امنیت سایبری در نظر گرفت که به محافظت از دیتای دیجیتالی و کاهش تهدیدات سایبری نیز کمک فراوانی می کند.
تمایل به اجرای اصول Zero-trust در ایالات متحده تا حدودی به دلیل فرمان ۲۰۲۱ White House Executive Order (EO) 14028 است. لازم به ذکر است فرمان EO 14028 به طور خاص بر بهبود امنیت سایبری تمرکز دارد. سازمان مدیریت و بودجه آمریکا (Office of Management and Budget یا OMB) به تبعیت از فرمان مذکور حکم M-22-09 را در سال ۲۰۲۲ برای استراتژی Zero Trust منتشر ساخت. بر اساس این حکم، سازمان ها مجبور به اتخاذ اصول امنیت سایبری با رویکرد Zero Trust بوده تا شبکه های خود را تا پایان سال مالی ۲۰۲۴، منطبق با استانداردهای امنیت سازند. به این ترتیب، هر دو مدلِ Zero Trust (Department of Defense و CISA Zero Trust Maturity ) به کار گرفته می شود. اتخاذ استراتژیهای zero-trust در دولت فدرال، تأثیر گسترده ای بر مشاغل بخش خصوصی با قراردادهای دولتی نیز داشته است.
مفاهیم Zero-Trust به خصوص در دنیای امروزه و با رواج بیشترِ دورکاری (WFA) از اهمیت بسزایی برخوردار شده اند. سازمان ها همواره در تلاش برای رسیدگی به تهدیدات پیچیده ی ناشی از ransomware، phishing، botnet و سایر موارد هستند.
با وجود کاربران، تجهیزات و اپلیکیشن ها در مکان های مختلف، راهکارهای امنیتیِperimeter-base دیگر روشی موثر برای ایمن سازیِ دسترسی به منابع شبکه محسوب نمی شود. (منظور از perimeter-base، راهکارهایی است که تمرکز اولیه آن ها بر تقویت مرزهای بیرونی یا “محیطِ” شبکه برای محافظت در برابر تهدیدات خارجی است)
پیادهسازی اصول zero-trust در واقع به یک رویکرد عملی اشاره دارد که میتواند به صاحبان مشاغل در مدیریت کارمندان دورکار کمک نموده و در عین حال از وجود پروتکلهای امنیتی مناسب اطمینان حاصل کند.
پیاده سازیِ اصول zero-trust لزوما نیازی به بازسازی کامل زیرساخت شبکه شما از ابتدا ندارد. اکثر سازمان ها به دلیل هزینه، زمان و ملاحظاتِ عملیاتی نمی توانند این کار را انجام دهند. در اصل طراحی استراتژی zero-trust، مستلزمِ اتخاذ چارچوب امنیتی مناسب در کنار ابزارهای صحیح می باشد. یکی از مهم ترین تغییرات در اجرای استراتژی امنیتی Zero Trust تغییر در طرز فکر و فرهنگ سازمانی است. سازمان ها باید متعهد به تغییر نحوه اعطای دسترسی و نحوه حفظ امنیت در سراسر سازمان باشند.
Zero Trust به جای فرض اعتماد بر اساس موقعیت شبکه یا هویت کاربر، تأیید هر درخواست دسترسی را بدون در نظر گرفتن منبع الزامی می کند.
نسخه دوم مدل CISA Zero Trust Maturity که در آوریل ۲۰۲۲ منتشر شد، پنج رکن اصلی را اعلام می کند که باید بخشی از تمامِ استراتژی های امنیتی zero-trust باشد:
- Identity
- Devices
- Networks
- Applications and workloads
- Data
چطور می توان به کل شبکه نظارت پیدا کرد؟
راه اندازی یک استراتژی جامعِ zero-trust
مسیر پیادهسازی ZTNA از سازمانی به سازمان دیگر متفاوت خواهد بود. این نیاز به یک رویکرد مناسب دارد که نیازها و ویژگی های خاص سازمان را در نظر بگیرد.
هر سازمانی، محیط IT، چالش های امنیتی و وضعیت امنیتی خود را دارد؛ بنابراین مسیر پیادهسازی Zero Trust از سازمانی به سازمان دیگر متفاوت خواهد بود. Zero-Trust Access (ZTA) قادر است اصول zero-trust را برای کاربران و دستگاه هایشان و همین طور برای تجهیزات غیر مرتبط مانند دستگاه های IoT اعمال کند. به عبارتی ZTA همان فاکتور اصلی است که نظارت جامع و گسترده بر روی شبکه را ارائه می دهد.
بهبود امنیت هویت دیجیتال
نخستین گام در توسعه یک استراتژی zero-trust، تصمیم گیری در این خصوص است که چه کسی مجاز به انجام چه کاری است! در واقع zero trust با هویت و احراز آن آغاز می گردد. شما بایستی تعیین کنید که چه کسی، بر اساس چه معیارهایی و به چه منابعی، دسترسی داشته باشد. افراد تنها باید به منابع مورد نیاز، دسترسی داشته باشند، نه بیشتر! Role-based access control یکی از اصلی ترین ارکانِ مدیریت دسترسی است.
شناسایی و احراز هویت کاربران پیش از اعطا دسترسی به آن ها، یک ضرورت امنیتی است. راهکارهای Identity and access management (IAM) با دقت بالایی، دسترسی کاربران به منابع را تعریف نموده تا از تهدیدات ناشی از دسترسی های غیر مجاز، جلوگیری کنند. یک سیستم IAM که به خوبی طراحی شده، اقدامات امنیتی زیر را حتما باید در بر داشته باشد:
- Multi-factor authentication: ترکیبی از پسورد، توکن و همین طور احراز هویت بیومتریک مانند اثر انگشت
- Role-based access control (RBAC): اعطا یا محدود کردن دسترسی کاربر به منابع و سیستم های دیجیتال بر اساس مسئولیت ها و الزامات خاص شغلی
- Attribute-based access control (ABAC): روشی برای کنترل دسترسی است که انواع ویژگی های کاربر، شرایط محیطی و ویژگی های منابع را برای تصمیم گیری در مورد دسترسی در نظر می گیرد. این ویژگیها میتواند شامل نقشهای کاربر، موقعیت جغرافیایی، نوع دستگاه و زمان باشد.
غالبا سازمان ها راهکار Single Sign-on (SSO) را بر می گزینند تا مراحل فوق الذکر را برای کاربران، تسهیل کنند.
چگونه می توان تجهیزات و شبکه را ایمن ساخت؟
قدم بعدی، حصول اطمینان از امنیت دستگاه هایی است که کاربران از آن ها استفاده می کنند. فراهم آوردن رویکرد ZTA شامل access control بر اپلیکیشن ها، شبکه و همین طور قابلیتهای قدرتمندِ احراز هویت برای دستگاههای مرتبط و حتی غیر مرتبط با کاربران می باشد.
دستگاه های مرتبط با کاربران از جمله لپ تاپ و یا گوشی های هوشمند، دارای عوامل نرمافزاری امنیتی هستند که وضعیت دستگاه ها را مورد بررسی قرار می دهند. دستگاه های غیر مرتبط با کاربران مانند تجهیزات IoT که با کاربران خاصی مرتبط نیستند، همچنان بخش جدایی ناپذیر زیرساخت شبکه یک سازمان محسوب می گردند؛ مانند پرینترها، سیستم های تهویه و یا سیستم های دسترسی درب. با توجه به اینکه این دستگاه ها نام کاربری یا رمز عبوری برای شناسایی ندارند، بنابراین سازمان ها باید از راهکارهای NAC برای کنترل دسترسی استفاده کنند. در ضمن سازمان ها می توانند با اعمال پالیسی های NAC، اصول zero-trust را در مورد حداقل دسترسی به دستگاه های IoT و دسترسی کافی به شبکه اعمال کنند.
سازمانها به اقدامات، فرآیندها و فنآوریهای خاصی نیاز دارند تا به دستگاههایی که به صورت پویا به شبکههایشان متصل و دیسکانکت میشوند، رسیدگی کنند. در اینجا ملاحظات و نیازهای کلیدی عنوان شده است:
- Network Access Control: برای شناسایی و اسکن نمودن خودکار پیش از ارائه دسترسی
- Next-generation Firewalls (NGFWها): به منظور microsegment کردن شبکه و گروه بندی تجهیزات مشابه IoT با یکدیگر
- Endpoint detection and response (EDR): برای شناسایی و خنثی نمودن تهدیدات احتمالی به صورت فوری و در لحظه
ایمن سازی دسترسی به اپلیکیشن ها (application access)
یکی از وجوهِ اصلی و حیاتیِ ZTNA، نظارت و کنترل بر روی application access بوده که عنوانِ Zero Trust Network Access (ZTNA) را به همراه دارد. Zero-trust network access با گسترش اصول ZTA، اقدام به احراز هویت کاربران و تجهیزات، پیش از هر بار درخواست برای دسترسی نموده و همچنین با پشتیبانی از احراز هویت چند مرحله ای، بالاترین سطح امنیت را تامین می کند.
سازمان ها با اتخاذ رویکرد Zero Trust برای دسترسی ایمن به اپلیکیشن ها، بسیار کمتر از گذشته به شبکه های virtual private یا V.P*N برای پنهان نمودن ترافیک شبکه، نیاز پیدا خواهند کرد. با توجه به اینکه غالبا، V.P*Nها دسترسی نامحدود به شبکه را فراهم می کنند، این احتمال به وجود می آید که کاربران یا بدافزارها بتوانند در شبکه به دنبال منابعی برای اکسپلویت باشند. به طور کلی راهکارِ virtual private network، این طور فرض می کند که هر کاربر یا هر تجهیزی که از کنترل محیطی شبکه گذر کند، قابل اعتماد است. اما ZTNA، دقیقا رویکرد مخالف را در پیش میگیرد: هیچ کاربر یا دستگاهی، قابل اعتماد نیست؛ مگر اینکه خلاف آن ثابت شود. مدل ZTNA برخلافِ V.P*N مدلِ zero-trust را فراتر از شبکه برده و با پنهان نمودن اپلیکیشن ها در فضای اینترنت، به کاهش تهدیدات کمک فراوانی می کند.
امروزه به دلیل رواج دورکاری، ZTNA از محبوبیت بالایی برخودار شده است. در واقع این روش، صرف نظر از لوکیشن کاربر و اپلیکیشن، application access را مورد بررسی قرار می دهد. با این حال، توصیه می شود ZTNA برای همه کاربران و در همه جا، اعمال شود.
در فضای دورکاری امروزه، کاربران از هر لوکیشنی به منابع سازمانی دسترسی پیدا می کنند و اپلیکیشن ها نیز در دیتاسنتر و یا private cloud و یا حتی بر روی public internet قرار دارند. این در حالی است که ZTNA قادر است پالیسی های امنیتی را برای کاربران واقع در شرکت و کارمندان دورکار، به طور یکسان اعمال کند. بنابراین سازمان مورد نظر، امنیت یکدستی را برای همه کارمندانش دریافت می کند.
سازمانها با استفاده از راهکارهای ذیل میتوانند یک وضعیت امنیتی قوی ایجاد کنند، از دسترسیهای غیرمجاز جلوگیری کنند و از پالیسی ها و مقررات امنیتی پیروی کنند. این اقدامات برای محافظت از دادهها، شبکهها و منابع حساس در برابر تهدیدات و آسیبپذیریهای امنیتی ضروری هستند.
-
Zero-trust network access
شامل احراز هویت کاربران و دستگاه ها برای هر درخواستِ اتصال به اپلیکیشن می گردد
دسترسی ایمن به منابع سازمانی از دستگاه های مختلف
ادغام SD-WAN با راهکارهای امنیت شبکه به منظور ارتقا امنیت سازمانی
چگونه می توان تامین امنیت توسط استراتژی zero trust را فراتر از کنترل اولیه برد؟
اگرچه یک استراتژی zero -trust به کنترل بر مجموعه ای از فاکتورهای کلیدی، نیاز دارد، اما باید گفت این فرایند یک رویکرد پویا است که مستلزم سازگاری مداوم با چالش های امنیتی در حال تحول است. به عنوان مثال وضعیت امنیتی یک سازمان در محیط های پویای کلود، مدام در حال تغییر و تحول است که در نهایت ممکن است به ناکارامدی منجر گردد. از طرفی مدیریت دستی و غیر اتوماتیک در محیط های مدرن و به هم پیوسته ی امروزی، کاری بسیار دشوار و طاقت فرسا به نظر می رسد. بنابراین زمانی که استراتژی zero-trust در سازمانی به تکامل می رسد باید از کنترل اولیه فراتر رفته و فناوری هایی با امکانات ذیل را ارائه دهند:
- Visibility and analytics: نظارتی متمرکز در همه بخش ها
- Automation and orchestration: اعتبارسنجی و احراز هویت فوری و همچنین تامین امنیتی مستمر که از قابلیت ML برای اجرای پالیسی ها استفاده می کند.
- Governance: این رویکرد به سازمان ها کمک می کند تا به طور موثر استراتژی Zero Trust خود را پیاده سازی و مدیریت کنند و در عین حال سطح بالایی از امنیت را در مقابله با چالش های امنیتی در حال تحول حفظ کنند.
به منظور ایجاد یک استراتژی موثر zero-trust، می بایست پروتکل ها و همین طور پالیسی های مسنجمی را در شبکه اجرا نمود. اکثر سازمان ها، رویکرد hybrid را برای شبکه های خود، انتخاب کرده اند؛ البته بسیاری از ارائه دهندگانِ راهکارهای zero-trust به دنبال توسعه راهکارهای cloud-only می باشند. اما در عین حال به سازمان ها توصیه می شود تنها بر راهکارهای مبتنی بر فضای ابری، تکیه نکنند و استفاده از ابزارهای امنیتی zero trust را گسترش دهند تا ساختارهای متنوع شبکه و چشم انداز در حال تغییر دورکاری را نیز در خود جای دهند. به این ترتیب، سازمان ها قادر خواهند بود وضعیت امنیت قوی و پایداری را در کل زیرساخت فناوری اطلاعات خود تجربه کنند.
کنترل دسترسی بر روی ساختار های Hybrid-Cloud
حصول اطمینان از اینکه استراتژی امنیتی zero trust، بدون توجه به لوکیشنِ کاربر و یا اپلیکیشن، قادر به ارائه پروتکل های یکسان باشد، بسیار ضروری است. بسیاری از سازمان ها، دارای اپلیکیشن ها و پلتفرم های کلود متعددی هستند که بخشی از شبکه ی آن ها را شامل می شود، که هر کدام دارای قابلیت ها، ابزارها و عملکردهای متفاوتی هستند. اما هر یک از این محیط های کلود، از نظر امنیتی، دارای زیرساخت های متفاوتی می باشند که میتواند پیامدهای منفی برای امنیت کلی شبکه داشته باشد. بنابراین بهتر است سازمانها به دنبال اجرای یک استراتژی امنیتی یکپارچه و متمرکز باشند که تمام محیطهای ابری آنها را در بر گیرد.
چالش های احتمالی در اجرای استراتژی Zero-Trust
با تعاریف ارائه شده کاملا مشخص است اجرای موفقیت آمیز zero-trust برای محافظت از سازمان شما، چقدر ضروری است. البته zero trust یک فرایند است و ممکن است ممکن است با چالشها و موانعی مواجه شود، بهویژه در مراحل اولیه. چالش هایی که ممکن است سازمان ها در مسیر اجرای zero trust تجربه کنند، عبارتند از:
-
فقدان مهارت و بودجه
مشخصه ی این چالش کمبود متخصصان امنیت سایبری با تخصص مورد نیاز و بودجه محدود برای پشتیبانی از اجرای موفق استراتژی امنیتی Zero Trust است. سازمانها اغلب به دلیل تقاضای زیاد برای چنین استعدادهایی، جذب و حفظ پرسنل ماهر امنیت سایبری را دشوار میدانند و این کمبود میتواند مانع از توانایی آنها برای ایجاد و حفظ چارچوب Zero Trust شود.
-
ابزارهای disconnect
ابزارهای disconnect، به یکی دیگر از چالش های رایج در اجرای موفقیتآمیز استراتژی Zero Trust اشاره دارد. غالبا سازمانها ابزارها و راهکارهای امنیتی متعددی را اتخاذ می کنند که جنبههای خاصی از چارچوب Zero Trust را مورد توجه قرار میدهند، مانند سیستمهای IAM و نرمافزارهای anti-malware. اما ممکن است این ابزارها با یکدیگر یکپارچه یا سازگار نباشند. در نتیجه، سازمان نمی تواند نظارت و کنترلی جامع بر روی دسترسی کاربران داشته باشد. این عدم یکپارچگی می تواند منجر به بروز باگ هایی در نظارت و اجرای امنیت در چارچوب Zero Trust گردد.
-
مقاومت در برابر تغییرات
گاها ممکن است مدیران فناوری اطلاعات و کاربران با ایجاد تغییرات، موافق نباشند. مدیران IT غالبا بر این باور هستند که استراتژی های قدیمی مانند استفاده از P*Nها برای ایمن سازیِ دسترسی کاربران به شبکه ها کافی است. این در حالی است که end-userها با کنترل های امنیتی مانند احراز هویت برای همه درخواست های اتصال مشکل دارند، زیرا کار آن ها را دشوارتر می سازد.
مولفه ها و المان های یک راهکارِ Zero-Trust
یک استراتژی قدرتمندِ zero trust باید بتواند تجارب کاربران را با ارائه نظارت و اتوماسیون بهبود بخشیده و مسئولیت سنگین تیم امنیت را متعادل کند. سازمان ها باید در خصوص قابلیت های زیر اطمینان حاصل کنند:
- Identity and access management: یک فناوری قدرتمند IAM می تواند از طرق زیر فرایند احراز هویت را به طور ایمن و موثر برای تمام سیستم ها و اپلیکیشن ها اعمال کند.
- شناسایی و احراز هویت از طریق login ، MFA و certificate که می تواند نقطه ی شروعی برای امنیت zero-trust باشد و حتی ممکن است با بررسی های مداوم در آینده پیشرفته تر گردد.
- ارائه اطلاعات خاص بر اساس نقش یک فرد به هنگام ورود به سیستم، به خصوص زمانی که کاربر دارای حقوق دسترسی ویژه است
- ایجاد و پیاده سازی پالیسی های مربوطه برای ارائه حداقل میزان دسترسیِ role-based
- ارائه یک لایه امنیتی بیشتر با استفاده از Single Sign-On (SSO) تا کاربران بتوانند قوانین امنیتی را رعایت نموده و از سیستم به درستی استفاده کنند
- بررسی و تأیید کانکشن های ایجاد شده توسط دستگاه ها و کاربران برای هر درخواست ارسالی به اپلیکیشن ها
- ارائه privileged access management (PAM) برای نظارت بر کاربران مهم و دسترسی آن ها
- Endpoint access control: سازمان ها باید با در نظر گرفتن اتصال کاربران دورکار، در پیِ ادغام استراتژی های IAM با فناوری های endpoint access باشند تا تهدیدات را کشف، نظارت و ارزیابی کنند:
- پشتیبانی از کانکشن های ایمن و رمزنگاری شده در سراسر شبکه با پشتیبانی از tunneling و خدمات SASE
- ارائه اطلاعات مداوم در خصوص امنیت endpointها از جمله اپلیکیشن ها و سیستم عامل (OS)، آسیب پذیری های شناخته شده، پچ ها و همین طور وضعیت امنیتی
- پشتیبانی از ZTNA remote access که دسترسی یکپارچه به اپلیکیشن ها را بدون توجه به لوکیشن کاربر یا اپلیکیشن، فراهم می کند.
- Application access control: زمانی که کاربران به شبکه دسترسی پیدا کردند، وظیفه ی سازمان ها این است که از سطح مناسب دسترسی آن ها که تنها برای تکمیل وظایف شغلی شان است، اطمینان حاصل کنند. سازمان هایی که برای حل این مشکل، راهکارِ ZTNA را بر می گزینند، باید موارد ذیل را مد نظر قرار دهند:
- تایید کاربران و دستگاه ها برای هر بار درخواستِ مبتنی بر کانکت
- کنترل و نظارت بر دسترسیِ کاربران به اپلیکیشن ها بر اساس پالیسی های تعریف شده
- اجرای پالیسیِ application access بدون توجه به لوکیشن کاربر، حتی زمانی که از محل سازمان، قصد کانکت شدن دارد
- ایجاد یک کانکشن ایمن و رمزنگاری شده بین کاربر و ZTNA proxy point
- سازگاری با فایروال ها، فایروال های VM و همین طور خدمات SASE
-
Security operations:
با توجه به یکپارچگی کامل و قابلیت تعامل فناوری ها در ZTA، سازمان ها به یک کنسول مدیریتی نیاز دارند که بتوانند کلیه ی فعالیت های مشکوک را رصد کرده و سپس به صورت خودکار، آن ها را خنثی سازند. برای یافتن بهترین گزینه در خصوص چنین فناوری، توصیه می شود موارد ذیل در نظر گرفته شود:
- تهدیدات را شناسایی نموده و امنیت را به صورت جامع و گسترده، تامین کنند.
- بتوانند به صورت متمرکز و با قدرت هوش مصنوعی، به تجزیه و تحلیل پرداخته و به صورت خودکار، از بروز حملات جلوگیری کنند.
- برای امنیت بهتر و بالاتر، شبکه هایی self-healing و context-aware ایجاد کنند.
ارائه ZTNA توسط فورتی نت
شبکه های امروزی دائما در حال تغییر هستند و مرزهای آن ها کمتر تعریف می شوند، بنابراین پیاده سازی استراتژی امنیتی zero-trust یک ضرورت محسوب می گردد. با توجه به اینکه بسیاری از تهدیدات امنیتی، هم از داخل شبکه رخ می دهند و هم از خارجِ آن؛ دور از ذهن نیست که با هر درخواستِ اتصال به شبکه، مانند یک تهدید رفتار شود.
لازم به ذکر است ایجاد یک استراتژی zero-trust و اعمال تدابیر امنیتی مورد نیاز، لزوما به تغییرات اساسی شبکه وابسته نیست.
ساختارِ ZTNA
فورتی نت، راهکارهای zero trust خود را به عنوان بخشی از پلتفرم Fortinet Security Fabric ارائه داده، بنابراین سازمان ها می توانند به سادگی از اقدامات امنیتی مهم Zero Trust بهره برده و از اتوماسیون برای قوی نگه داشتن آنها استفاده کنند. از آنجا که راهکارهای امنیتی فورتی نت از طریق Security Fabric با هم یکپارچه می گردند، سازمان ها قادر به گنجاندنِ کنترل های امنیتی در جنبه های مختلف شبکه خود می باشند؛ از جمله IAM، endpointها، networkها، applicationها و همین طور داده ها.
و اما راهکارِ Fortinet Zero-Trust به طور مداوم و مستمر، به بررسی هویت کاربران و دستگاههایی می پردازد که به شبکهها و اپلیکیشن ها دسترسی دارند. راهکارهای Fortinet میتوانند endpointها را تشخیص داده و پالیسی های امنیتی را اعمال کنند؛ در عین حال، امکان نظارت و کنترلی جامع برای تیمهای فناوری اطلاعات، فراهم می آورند.