بلاگ پارس پروشات

Zero Trust Network

08 مرداد

منظور از ZTN یک مدل امنیتی مدیریت و کنترل شبکه است. میزان اعتماد در آن به صفر می رسد. همچنین در سازمان های فناوری محور استفاده می شود.

در این مدل امنیتی به صورت پیش فرض به هیچ ماشین ، سرویس یا شخصی اعتماد نمی شود و در تمام مراحل از هرجایی کاربران و دستگاه ها باید احراز و تایید هویت شوند.
همچنین دسترسی آن ها به صورت <حداقل سطح دسترسی> به منابع مورد نیاز تعریف می شود.

با احراز هویت مداوم و محدود کردن سطوح دسترسی فقط به منابع کاملا ضروری فرصت های بسیار کم تر و محدودتری به هکرها و بدافزارها برای دستیابی به اطلاعات حیاتی داده می شود.
شبکه ای که با این مدل امنیتی طراحی اجرا و مدیریت می شود Zero Trust Network نامیده می شود.

تاریخچه ZTN

این راهبرد اولین بار در سال 2010 توسط جان کیندرواگ که در آن زمان تحلیلگر اصلی شرکت فارستر بود ، معرفی گردید.
گوگل اعلام کرد که در شبکه خود zero trust را پیاده سازی کرده که منجر به رواج آن در جامعه فناوری شده است.

در مدل های مدیریت امنیت سنتی شبکه به دو بخش بیرون و داخل تقسیم می شده که در آن شبکه بیرون ناامن و غیرقابل اعتماد بوده است. در این مدل ها کاربران شبکه داخلی کاملا صادق و مسئولیت پذیر و قابل اعتماد هستند.
اما از آنکه 80 درصد آسیب ها در شبکه از طریق سو استفاده افراد با دسترسی های ممتاز کاربران اتفاق افتاده است. به همین دلیل شبکه ZTN شکل گرفت که دقیقا اعتماد را نقطه ضعف می داند.

برخی فکر می کنند ZTN به معنای آن است که شبکه را به گونه ای طراحی می کنیم که قابل اعتماد باشد در حالی که این راهبرد دقیقا به منظور از بین بردن این اعتماد کاذب معرفی شده است.

امنیت شبکه سنتی به هرکسی و هرچیزی در داخل شبکه اعتماد دارد.
معماری Zero Trust به هیچ کس و هیچ چیز اعتماد ندارد.

شبکه های امروزی میزبان برنامه ها و داده های حیاتی تجاری هستند. این عامل آنها را برای حمله مجرمان سایبری آماده می سازد.
این حملات سبب سرقت و تخریب داده های حساس مانند اطلاعات شخصی مالکیت معنوی و مالی خواهد شد.
هیچ سیستم امنیتی به طور کامل و بدون نقص نمی باشد. اما با ایجاد zero trust می توان سطح حمله را تا حد زیادی کاهش داد.

اساس مدل امنیتی

  • به حداقل رساندن اعتماد
  • بخش بندی شبکه
  • دادن کمترین دسترسی ممکن به کاربران
  • مانیتورینگ کلیه فعالیت های شبکه و مراقبت از فعالیت های مشکوک
  • authorize هر جریان شبکه
  • آماده سازی لازم جهت برخورد با هر خطری در شبکه در هر زمان

مزیت ZTN

  • کاهش ریسک سازمانی
  • کنترل دسترسی برروی محیط های ابری
  • کمک به کاهش خطر نقض داده ها
  • حمایت از پیشگیری از خطرات

مبانی ZTN

یک استراتژی پایه ای برای ایجاد یک اکو سیستم امنیتی می باشد.
دارای 3 اصل مهم است :

  1. قطع هرگونه ارتباط : Zero Trust  هر اتصالی را خاتمه می دهد تا بتواند فایل های ناشناخته را قبل از رسیدن به نقطه ی پایانی نگه داشته و بررسی کند.
  2. محافظت از داده ها با استفاده از خط مشی های کسب و کار : از هویت و وضعیت دستگاه برای تایید دسترسی استفاده می کند و سیاست های تجاری را اعمال می کند.
    این سیاست های تجاری مانند مکان یا دستگاه ، امتیازات دسترسی به طور مداوم مورد ارزیابی مجدد قرار می گیرند.
  3. کاهش خطر یا حذف حمله : کاربران را مستقیما به برنامه ها و منابع مورد نیازشان وصل و هرگز آنها را به شبکه متصل نمی کند.

با فعال کردن اتصالات یک به یک خطر حرکت جانبی را از بین می برد و از آلوده کردن سایر منابع توسط دستگاه آسیب دیده جلوگیری می کند.
با zero trust کاربران و برنامه ها برای اینترنت نامرئی هستند پس نمی توان آن ها را کشف کرد یا مورد حمله قرار داد.

پیاده سازی معماری یک شبکه Zero Trust Network

در یک شبکه ZTN شما باید یک سطح محافظت را مشخص نمایید.
منظور از Protect Surface یک شبکه با اطلاعات حیاتی و با ارزش از Data و Assetها و Applicationها و Serviceها یا به اختصار DAAS است.
با مشخص کردن Protect Surfaceها شما می توانید تعیین کنید که چگونه ترافیک می بایست در طول شبکه سازمان شما حرکت کند و چطور کاربران و applicationها می بایست به آنها دسترسی داشته باشند.
شما باید کنترل هایی را در نزدیکی هر Protect Surface یا سطح محافظت شده قرار دهید تا از آن اصطلاحاً یک ناحیه microperimeter ایجاد کنید. این microperimeter می تواند با Protect Surface شما و هرجایی که آن می رود حرکت کند.
شما می توانید یک microperimeter را با پیاده سازی یک segmentation gateway ایجاد کنید که در واقع نوعی از Next-Generation Firewallها هستند که آنها را تحت عنوان SD-Firewall یا جدیدترین رده از فایروال های معرفی شده در سال 2019 می شناسیم.
به این طریق تنها به ترافیک یا application مشروعی که پیشتر مورد بررسی قرار گرفته اند اجازه دسترسی به Protect Surface مد نظر داده خواهد شد.

 Segmentation Gateway، یک دید granular و لایه ای اضافی جهت بازرسی و کنترل دسترسی با policyهای لایه 7ی granular مبتنی بر متند Kipling Method را فراهم می کند.
به عبارت بهتر Zero Trust Policy می گوید چه کسی، کی، کجا، چرا و چطور می بایست به منابع دسترسی پیدا کند بر خلاف شبکه های سنتی که امنیت شبکه در آنها مبتنی بر مفهوم castle-and-moat است.

بطور کلی ZTNها یک معماری یکسان ندارند و از سازمانی به سازمان دیگر ممکن است معماری های آنها متفاوت باشد.
جهت پیاده سازی یک Zero Trust می بایست موارد زیر را در نظر بگیرید:
  • مشخص کردن Protect Surface
  • مپ کردن transaction flowها
  • طراحی و ساخت یک معماری Zero Trust
  • ایجاد Zero Trust Policyها
  • مانیتور و نگهداری
Newer مثلث امنیت
Back to list
Older ?what is TD/LTE

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *