شبکه Zero Trust Network چیست؟
شبکه Zero Trust Network یا شبکه ZTN یک مدل مدیریت امنیت و کنترل شبکه به شمار می رود که در آن همانطور که از نام آن پیداست میزان اعتماد به صفر می رسد. به این معنی که در این مدل هیچ ماشین، سرویس و یا شخصی معتبر نبوده و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ، بیرون شبکه سازمانی) کاربران و دستگاه ها باید احراز و تأیید هویت شوند و دسترسی آنها به صورت کاملا محدود و تنها بر حسب نیاز تعریف خواهد شد.
به طور کلی مفهوم شبکه Zero Trust Network این است که در دنیای سایبری هیچ کس و هیچ چیز قابل اعتماد نیست. این راهبرد اولین بار در سال 2010 توسط جان کیندرواگ، که در آن زمان تحلیلگر اصلی شرکت تحقیقات فارستر بود، معرفی گردید. چند سال بعد گوگل اعلام کرد که در شبکه خود Zero Trust را پیاده سازی کرده که منجر به رواج آن در جامعه فناوری شده است.
در مدل های مدیریت امنیت سنتی، شبکه به دو بخش بیرون و داخل تقسیم می شده که در آن شبکه بیرون نا امن و غیر قابل اعتماد بوده است. در این مدل ها کابران شبکه داخلی کاملا صادق و مسئولیت پذیر و قابل اعتماد هستند اما از آنکه 80% آسیب ها در شبکه از طریق سوء استفاده افراد با دسترسی های ممتاز کاربران اتفاق افتاده است به همین دلیل شبکه ZTN شکل گرفت که دقیقا اعتماد را نقطه ضعف می داند.
یک اشتباه رایج این است که برخی فکر میکنند عدم اعتماد (ZTN) به معنای آن است که شبکه را به گونهای طراحی کنیم که قابل اعتماد باشد در حالی که این راهبرد دقیقا به منظور از بین بردن این اعتماد کاذب معرفی شده است.
اساس مدل امنیتی Zero Trust:
ـ به حداقل رساندن اعتماد
ـ دادن کمترین دسترسی ممکن به کاربران: یعنی تا حد ممکن از دادن دسترسی حتما به کاربران ممتاز هم خودداری گردد. در واقع هیچ کاربر یا ماشینی نباید بصورت اتوماتیک در شبکه trust شده باشد و همانطور که قبل اشاره شد می بایست “حداقل سطح دسترسی” یا اصطلاحاً Least Privileged Security را برای آنها در نظر بگیریم.
ـ بخش بندی شبکه
ـ مانیتورینگ کلیه فعالیت های شبکه و همچنین مراقبت از فعالیت های مشکوک
ـ هر دستگاه، کاربر یا جریان شبکه ای می بایست authenticate و authorize شود.
ـ آماده لازم جهت برخورد با هر خطری در شبکه در هر زمان
مراحل پیاده سازی شبکه Zero Trust Network:
1. سطح محافظت شونده یا Protect surface:
سطح محافظت شونده به واحدهای کوچک از حساس ترین و با ارزش ترین المانهای شبکه گفته میشود که شامل: داده (Data)، دارایی (Assets)، برنامههایکاربردی (Applications) و سرویسها (Services) شده که به اختصار DAAS خوانده میشوند.
همانطور که گفته شد DAAS شامل:
- Data: شامل اطلاعات کارت اعتباری (PCI)، اطلاعات محافظت شده (PHI)، اطلاعات شخصی (PII) و مالکیت معنوی (IP)
- Applications: شامل برنامه ها و نرم افزارهای سفارشی
- Assets: کنترل های SCADA ، پایانه های point-of-sale، تجهیزات پزشکی، دارایی های تولیدی و دستگاه های اینترنت اشیا
- خدمات: DNS ، DHCP و Active Directory
2. نقشه جریان داده یا Transaction flow:
در معماری عدم اعتماد (ZTN) فقط ورود به سیستم مهم نیست بلکه استفاده از داده و مسیر حرکت آن در طول شبکه و یا به خارج از شبکه نیز در طول فعالیت کاربر باید مورد بررسی قرار بگیرد.
3. طراحی معماری مبتنی بر عدم اعتماد یا Zero Trust architecture:
هنگامی که رابطه بین DAAS، زیرساخت، سرویسها و کاربران را درک کردید باید لایهای محافظتی را اطراف سطح محافظت شونده(Protect surface) و تا جای ممکن نزدیک به آنها قرار دهید. برای ایجاد این لایه محافظتی و اطمینان از اینکه فقط ترافیک مجاز یا برنامههای قانونی به سطح محافظت شونده دسترسی دارند میتوان از فایروالها نسل جدید (next generation firewall)، استفاده کنید.
4. ایجاد خطمشیهای عدم اعتماد یا Zero Trust policy:
فایروالهای نسل جدید شفافیت بالایی بر روی ترافیک عبوری داشته و این امکان را به شما میدهند که بر اساس روش کیپلینگ (Kipling) لایههای مختلف نظارت و کنترل دسترسی مبتنی بر خط مشی را اعمال کنید. از جمله این سوالات شامل:
- Who: چه کسی باید به یک منبع دسترسی داشته باشد؟
- What: از چه برنامه ای برای دسترسی به منابع داخلی استفاده می شود؟
- When: چه زمانی به منابع دسترسی پیدا می شود؟
- Where: مقصد بسته کجاست؟
- Why: چرا این بسته سعی می کند به این منبع در سطح محافظت دسترسی پیدا کند؟
- How: چگونه بسته از طریق یک برنامه خاص به سطح محافظ دسترسی پیدا می کند؟
۵. نظارت و اصلاح دائم یا Monitor and maintain:
در مدل شبکه Zero Trust NetworkN باید، باید نظارت دقیقی بر روی فعالیت و روابط بین کاربران، دستگاهها، شبکهها برنامههای کابردی و دادهها داشته باشید.
Zero Trust Network Access یا ZTNA چیست؟
Zero Trust Network Access (ZTNA) اصلی ترین فناوری است که سازمان ها را قادر می سازد تا امنیت Zero Trust را پیاده سازی کنند. این فناوری بیشتر زیرساخت ها و خدمات را پنهان می کند و ارتباطات رمزگذاری شده یک به یک بین دستگاه ها و منابع مورد نیاز آنها را ایجاد می کند.
منبع : https://mrshabake.com/zero-trust-network/
:: بازدید از این مطلب : 595
|
امتیاز مطلب : 0
|
تعداد امتیازدهندگان : 0
|
مجموع امتیاز : 0