معماری امنیتی Zero Trust چیست؟ و چگونه می توان اعتماد صفر را اجرا کرد
Zero Trust به یکی از مباحث مهم و هیجان انگیز امنیت شبکه تبدیل شده است.اگه به دنیای امنیت علاقه مندید ضروری است که بدانید Zero Trust چیست و همچنین Zero Trust چه چیزی نیست.
Zero Trust یک طراحی استراتژیک است که با حذف مفهوم اعتماد از معماری شبکه یک سازمان، برای جلوگیری از نقض موفقیت آمیز امنیت داده ها به ما کمک می کند. ریشه در اصل “هرگز اعتماد نکنید، همیشه تحقیق کنید” ، Zero Trust برای محافظت از محیط دیجیتال مدرن با استفاده از تقسیم شبکه Network Segmentation، جلوگیری از حرکت جانبی، و محافظت در لایه ۷ برای جلوگیری از تهدید و کنترل دسترسی کاربر به صورت دقیق طراحی شده است.
Zero Trust توسط جان کیندرواگ، در زمان تصدی وی به عنوان معاون اجرایی و تحلیلگر اصلی تحقیقات فارستر، ایجاد شد. براساس این درک که مدل های امنیتی سنتی بر اساس فرض منسوخ شده ای عمل می کنند که باید به همه چیز در داخل شبکه یک سازمان اعتماد کرد. طبق این مدل اعتماد شکسته، فرض بر این است که هویت کاربر به خطر نیفتد و همه کاربران با مسئولیت پذیری عمل می کنند و می توان به آنها اعتماد کرد. مدل Zero Trust تشخیص می دهد که اعتماد یک آسیب پذیری است. پس از ورود به شبکه ، کاربران – از جمله عوامل تهدید و افراد ناخوشایند – آزاد هستند که به صورت جانبی حرکت کنند و به هر داده ای که محدود نیستند، دسترسی داشته و یا آنها را فیلتر کنند. به یاد داشته باشید، نقطه نفوذ حمله اغلب محل هدف نیست.
Zero Trust در مورد ایجاد اعتماد به سیستم نیست بلکه در عوض از بین بردن اعتماد است.
معماری Zero Trust چیست
در Zero Trust ، شما یک “سطح محافظت Protect Surface ” را شناسایی می کنید. سطح محافظ از مهمترین و ارزشمندترین داده ها، دارایی ها، برنامه ها و خدمات شبکه تشکیل شده است. سطوح محافظ مخصوص هر سازمان متفاوت است. از آنجا که فقط شامل موارد مهم برای فعالیتهای سازمان است، سطح محافظ دارای گستردگی کمتری نسبت به سطح حمله است و همیشه قابل آگاهی است.
با شناسایی سطح محافظ، می توانید نحوه حرکت ترافیک در سازمان را به مقصد سطح محافظت مشخص کنید. دانستن اینکه کاربران چه کسانی هستند، از کدام برنامه ها استفاده می کنند و نحوه اتصال آنها تنها راه تعیین و اجرای سیاستی است که دسترسی ایمن به داده های شما را تضمین می کند. هنگامی که وابستگی متقابل بین سطح محافظت، زیرساخت ها، خدمات و کاربران را درک کردید، باید کنترل ها را تا جایی که ممکن است به سطح محافظت کننده نزدیک کرده و یک حسگر حساس در اطراف آن ایجاد کنید. این حسگر هرجا که می رود با سطح محافظ حرکت می کند. می توانید این حسگر را با استقرار یک پورت تقسیم بندی که از طریق فایروال های نسل جدید به عنوان گیت وی مشخص کنید. با اعمال سیاست های دسترسی می توانید اطمینان حاصل کنید که فقط ترافیک شناخته شده، مجاز یا برنامه های قانونی به سطح محافظ شده دسترسی دارند.
Segmentation Gateway دید بسیار خوبی را در ترافیک ایجاد می کند و لایه های اضافی بازرسی و کنترل دسترسی را با خط مشی لایه ۷ بر اساس روش Kipling ، که سیاست اعتماد صفر را بر اساس چه کسی، چه چیزی، کی، کجا، چرا و چگونه تعریف می کند، اعمال می کند. سیاست اعتماد صفر تعیین می کند چه کسی می تواند در هر زمان از داده ای را از حسگر را منتقل کند و از این طریق کاربران غیرمجاز از دسترسی به سطح محافظت شما جلوگیری می کنند و از خرابکاری و نفوذ به اطلاعات حساس جلوگیری می کند. اعتماد صفر فقط در لایه ۷ امکان پذیر است.
هنگامی که سیاست اعتماد صفر خود را در اطراف سطح محافظت خود ایجاد کردید، همچنان به نظارت و نگهداری و بهبود آن در گذر زمان ادامه می دهید، به دنبال مواردی مانند آنچه در سطح محافظت باید بگنجانید، وابستگی های متقابل هنوز حساب نشده و راه های بهبود خط مشی هستید.
Zero Trust: به گستردگی سازمان شما
Zero Trust به مکانی وابسته نیست. کاربران ، دستگاه ها و حجم کار برنامه اکنون در همه جا وجود دارد ، بنابراین شما نمی توانید Zero Trust را در یک مکان اعمال کنید – باید در کل محیط شبکه شما تکثیر شود. کاربران مناسب باید به برنامه ها و داده های مناسب دسترسی داشته باشند.
همچنین کاربران از هرجایی مانند منازل، کافی شاپ ها، دفاتر و شعب کوچک به برنامه های کاربردی و داده های مهم دسترسی پیدا می کنند. اعتماد صفر به قابلیت مشاهده، اجرا و کنترل مداوم نیاز دارد که می تواند مستقیماً از طریق دستگاه یا از طریق ابر تحویل داده شود. یک محیط مشخص شده توسط نرم افزار دسترسی مطمئن کاربر را فراهم می کند و از اتلاف داده جلوگیری می کند، صرف نظر از اینکه کاربران در چه مکانی قرار دارند، از کدام دستگاه ها استفاده می شوند و یا حجم کار و داده شما در آن قرار دارد (به عنوان مثال مراکز داده ، ابرهای عمومی یا برنامه های SaaS).
برنامه های کاری بسیار پویا هستند و در چندین مرکز داده و ابرهای عمومی، خصوصی و ترکیبی جابجا می شوند. با استفاده از Zero Trust ، باید فعالیت و وابستگی متقابل کاربران، دستگاه ها، شبکه ها، برنامه ها و داده ها را کاملاً ببینید. دروازه های تقسیم بندی بر ترافیک نظارت می کنند، تهدیدها را متوقف می کنند و دسترسی گسترده به ترافیک شمال-جنوب و شرق-غرب را در مرکز داده داخلی و محیط های چند ابر اعمال می کنند.
استقرار معماری و سیاست Zero Trust
دستیابی به اعتماد صفر اغلب پرهزینه و پیچیده تلقی می شود. با این وجود ، Zero Trust بر اساس معماری موجود شما ساخته شده است و نیازی به حذف و جایگزینی فناوری موجود نیست. هیچ محصولی از Zero Trust وجود ندارد. محصولاتی وجود دارند که در محیط های Zero Trust به خوبی کار می کنند و محصولاتی که این کار را نمی کنند. استفاده از Zero Trust با استفاده از یک روش ساده پنج مرحله ای کاملاً ساده است. این فرایند هدایت شده به شما کمک می کند تا مکان خود را شناسایی کرده و سپس به جلو بروید:
- سطح محافظ را شناسایی کنید
- جریان داده ها را نقشه برداری کنید
- یک معماری Zero Trust بسازید
- سیاست اعتماد صفر ایجاد کنید
- نظارت و نگهداری کنید
چگونه می توان به معماری Zero Trust دست یافت
از Zero Trust برای به دست آوردن دید و شناسایی و دسته بندی همه ترافیک – در سراسر شبکه، کاربر ، دستگاه ، مکان و برنامه – به علاوه قابلیت تقسیم بندی شبکه برای مشاهده در ترافیک داخلی استفاده کنید. برای به دست آوردن قابلیت مشاهده، باید از طریق یک فایروال نسل جدید با قابلیت رمزگشایی استفاده شود. فایروال نسل جدید امکان تقسیم بندی محیط را فراهم می کند و به عنوان کنترل مرز در سازمان شما عمل می کند. اگرچه برای امنیت مرز خارجی محیط ضروری است ، اما برای تأیید ترافیک هنگام عبور از عملکردهای مختلف در شبکه، بسیار مهم تر است. افزودن روش تأیید اعتبار دو فاکتور و سایر روشهای تأیید ، توانایی شما در تأیید صحت کاربران را افزایش می دهد. برای شناسایی فرایندهای کسب و کار، کاربران، داده ها، جریان داده ها و خطرات مرتبط با آن، رویکرد Zero Trust را استفاده کنید و قوانین سیاستی را تنظیم کنید که می توانند به صورت خودکار و بر اساس خطرات مرتبط، با هر تکرار به روز شوند.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.67k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.