شبکه مبتنی بر عدم اعتماد Zero Trust Network (ZTN)

1-3

 

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

معرفی

اعتماد در اصل یکی از بزرگترین اشکالات در دنیای دیجیتال به حساب می‌آید، شما نمی‌توانید مطمئن باشید که فرد آن طرف شبکه همان‌ کسی‌است که ادعا می‌کند،‌ فقط به این دلیل که رمزعبور معتبر جهت ورود به شبکه را در اختیار دارد.

ایده اصلی راهبرد عدم اعتماد (Zero Trust) بر مبنای همین اصل شکل می‌گیرد، که هیچ کس و هیچ چیز در دنیای سایبری قابل اعتماد نیست.

این راهبرد اولین بار در سال 2010 توسط جان کیندرواگ، که در آن زمان تحلیلگر اصلی شرکت تحقیقات فارستر بود، معرفی گردید. چند سال بعد گوگل اعلام کرد که در شبکه خود Zero Trust را پیاده سازی کرده‌ که منجر به رواج آن در جامعه فناوری شده ‌است.

مدل‌های امنیتی سنتی شبکه را به دو بخش داخل شبکه و بیرون شبکه تقسیم می‌کردند و فرض را بر این می‌گذاشتند که هرآنچه داخل شبکه وجود دارد مورد اعتماد است. بنابر این فرض، هویت کاربر قابل نقض نبوده و تمامی کاربران مسئولانه عمل می‌نمایند و در نتیجه قابل اعتماد هستند. مبنای راهبرد عدم اعتماد (ZTN)  دقیقا برروی از بین بردن این حس اعتماد به وجود آمده است.

در واقع مدل عدم اعتماد (ZTN) «اعتماد» را به عنوان یک آسیب‌پذیری در نظر می‌گیرد. به عنوان مثال نظر شما را به این واقعیت جلب می‌نماییم که ۸۰٪ نقض داده‌ها از طریق سوءاستفاده از دسترسی‌های ممتاز کاربران سطح بالا رخ داده است.

یک اشتباه رایج این است که برخی فکر می‌کنند عدم اعتماد (ZTN) به معنای آن است که شبکه‌ را به گونه‌ای طراحی کنیم که قابل اعتماد باشد در حالی که این راهبرد دقیقا به منظور از بین بردن این اعتماد کاذب معرفی شده است.

برای داشتن شبکه مبتنی بر عدم اعتماد (ZTN) باید ۴ اصل طراحی را در نظر گرفت و ۵ گام اجرایی را برداشت.

 طراحی ZTN

1-4

پیاده‌سازی شبکه مبتنی بر عدم اعتماد (ZTN)

ZTN بر روی شبکه موجود شما ایجاد شده و نیاز به تغییر تجهیزات و فناوری‌ها ندارید. ZTN در واقع یک راهبرد طراحی است و شما نمی‌توانید در بازار محصولی به نام ZTN پیدا کنید، تنها محصولاتی هستند که در محیط ZTN به خوبی کار می‌کنند و محصولاتی که با این راهبرد جور در نمی‌آیند.

همانطور که پیشتر اشاره شد برای پیاده سازی شبکه مبتنی بر عدم اعتماد ۵ گام اجرایی وجود دارد:

1. سطح محافظت شونده (Protect surface) را مشخص کنید

سطح محافظت شونده به واحد‌های کوچک از حساس ترین و با ارزش ترین المان‌های شبکه گفته می‌شود که شامل: داده (Data)، دارایی‌ه (Assets)، برنامه‌های‌کاربردی  (Applications) و سرویس‌ها (Services) شده که به اختصار DAAS خوانده می‌شوند.

2. نقشه جریان داده را ترسیم کنید

در معماری عدم اعتماد (ZTN)  فقط ورود به سیستم مهم نیست بلکه استفاده از داده و مسیر حرکت آن در طول شبکه و یا به خارج از شبکه نیز در طول فعالیت کاربر باید مورد بررسی قرار بگیرد.

3. معماری، مبتنی بر عدم اعتماد، را طراحی کنید

هنگامی که رابطه بین DAAS، زیرساخت، سرویس‌ها و کاربران را درک کردید باید لایه‌ای ‌محافظتی اطراف سطح محافظت شونده(Protect surface) و تا جای ممکن نزدیک به آن‌ها قرار داهید. برای ایجاد این لایه محافظتی و اطمینان از اینکه فقط ترافیک مجاز یا برنامه‌های قانونی به سطح محافظت شونده دسترسی دارند می‌توان از فایر وال‌ها نسل جدید(next generation firewall)، استفاده کنید.

4. خط‌مشی‌ها، عدم اعتماد، را تبیین کنید

فایروال‌های نسل جدید شفافیت بالایی بر روی ترافیک عبوری داشته و این امکان را به شما می‌دهند که بر اساس روش کیپلینگ (Kipling) لایه‌های مختلف نظارت و کنترل دسترسی مبتنی بر خط مشی لایه ۷ را اعمال کنید.

۵. نظارت و اصلاح دائم داشته باشید

در مدل ZTN باید، باید نظارت دقیقی بر روی فعالیت و روابط بین کاربران، دستگاه‌ها، شبکه‌ها برنامه‌های کابردی و داده‌ها داشته باشید.

1-2

استقرار شبکه مبتنی بر عدم اعتماد

برای داشتن نظارت دقیق بر روی ترافیک و محتوای آن باید از فایروال‌های نسل جدید با قابلیت رمزگشایی(decryption) استفاده کنید

فایروایل‌های نسل جدید با امکان تقسیم محیط به قسمت‌های کوچک به مانند مقر مرزبانی سازمان شما عمل می‌کند

از تایید اعتباری چندعاملی و دیگر روش‌های اعتبار سنجی استفاده کنید

از اهرم فشار ZTN استفاده کنید تا فرایند‌های کسب‌وکار، کاربران، داده‌ها، جریان داده و مخاطرات مرتبط با آن‌ها استفاده کنید و خط مشی را به گونه‌ای تبیین کنید که بر اساس مخاطرات مرتبط و با هر بار بازبینی به‌روز شوند.