امنیت اطلاعات به مجموعه ای از فعالیت هایی گفته می شود که به منظور محافظت از شبکه های کامپیوتری انجام می پذیرد که آن را معمولاً با نام اختصاری و کوتاه شده Infosec نمایش می دهند. امنیت اطلاعات شیوه، سیاست ها و اصولی است که از داده های دیجیتالی و سایر انواع اطلاعات محافظت می کند. این شیوه ها و سیاست ها شبکه های کامپیوتری سازمان ها را در مقابل حملات و تهدیدات داخلی و خارجی امن می کند. امنیت داده بحث بسیار مهمی است که باید سازمان ها آن را جدی بگیرند. کلیه منابع سخت افزاری و نرم افزاری برای جلوگیری از دسترسی های غیرمجاز باید امن شوند، از این رو باید راهکارهای امنیتی جدی گرفته شوند تا شبکه و امنیت داده در سازمان ها محقق شود. امنیت Zero Trust یک مدل امنیتی فناوری اطلاعات است که برای هر شخص یا دستگاهی که سعی می کند به منابع موجود در شبکه خصوصی دسترسی پیدا کند، نیاز به تأیید هویت دقیق دارد.
آشنایی با شبکه Zero Trust
در دهه ی گذشته تقریباً تمام جوانب کسب و کار به سمت و سوی آنلاین پیش رفته است. این امر باعث شده است که تمام سازمان ها در معرض ریسک حملات سایبری قرار بگیرند که ممکن است هدف شان سرقت اطلاعات حساس مثل داده های مشتری و جزئیات پرداخت، دارایی های فکری و رازهای تجاری یا صرفاً ضرر رساندن به اعتبار سازمان باشد. افزایش محبوبیت کار از راه دور، حرکت به سوی Cloud و همچنین تکثیر دستگاه های متصل، به هکرها و مجرمان سایبری دیگر تقریباً توانایی نامحدودی برای انجام یک حمله داده است. این افزایش در تعداد آسیب پذیری ها به همراه افزایش پیچیدگی های مهاجمین دیجیتال باعث شده که سازمان ها مجبور شوند اقدامات امنیتی خود را تقویت و بروزرسانی کنند تا به طور خاص از دارایی های مبتنی بر Cloud حفاظت نمایند. امنیت فناوری اطلاعات تا حدودی مسئله ای قانونی است. برخی از کشورها از نظر قانونی کسب و کارها را ملزم به سرمایه گذاری در توسعه و اجرای مفاهیم فناوری اطلاعات می کنند، درحالی که مناطق دیگر استانداردهای سخت گیرانه ای را در رابطه با حریم خصوصی و امنیت داده ها در نظر می گیرند.
یکی از دارایی های مهم یک سازمان، اطلاعات و داده های آن مجموعه است. از این رو نگهداری و محافظت از داده ها در سازمان بسیار حائز اهمیت است. اگر کوچکترین مشکل امنیتی برای اطلاعات پیش بیاید ممکن است بخش های یک سازمان را تحت تأثیر قرار دهد. به همین دلیل باید تمامی حفره های امنیتی را شناخت و برای رفع آن در یک سازمان اقدام کرد. برای یک سازمان وجود یک طرح امنیتی و پیاده سازی یک مدل امنیتی حیاتی است. شبکه Zero Trust Network یا به اختصار ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمان های فناوری محور استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس و یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی کاربران و دستگاه ها باید احراز و تأیید هویت شوند و دسترسی آنها به صورت حداقل سطح دسترسی به منابع مورد نیاز تعریف شود.
اصطلاح Zero Trust Network یا شبکه با اعتماد صفر اولین بار توسط یک محقق مؤسسه فارستر در سال 2010 به کار برده شد و بعد از آن شرکت Google چند سال بعد اعلام کرد که این مدل را در شبکه خود پیاده سازی کرده است. بعدها شرکت هایی همچون Cisco و Symantec و غیره نیز راهکارهایی را در این رابطه ارائه کردند. در یک شبکه ZTN می بایست موارد زیر را همیشه در نظر گرفت:
• شبکه همیشه ناامن فرض شود.
• سطح محافظ شناسایی شود.
• فرض وجود تهدیدات داخلی و خارجی در هر زمانی در شبکه وجود داشته باشد.
• جریان داده ها نقشه برداری شود.
• همچنین Network Locality جهت trust بودن یک شبکه کافی نیست.
• سیاست اعتماد صفر ایجاد شود.
• هر device، کاربر یا جریان شبکه ای می بایست authenticate و authorize شود.
• پالیسی ها می بایست به صورت داینامیک و محاسبه شده به منابع مختلف شبکه اعمال شوند.
امنیت شبکه سنتی فناوری اطلاعات به هر کسی و هر چیزی که داخل شبکه قرار دارد اعتماد می کند. در سمت مقابل آن، معماری Zero Trust به هیچ کس و هیچ چیز اعتماد ندارد. امنیت شبکه سنتی فناوری اطلاعات مبتنی بر مفهوم Castle-and-Moat است. در امنیت Castle-and-Moat، دسترسی از خارج از شبکه دشوار است، اما همه افراد داخل شبکه به طور پیش فرض قابل اعتماد در نظر گرفته می شوند و دسترسی دائمی دارند. مشکلی که این رویکرد ایجاد می کند، این است که برای هر فردی که اجازه دسترسی را دریافت کرده است، امکان کنترل آزادانه بر هر چیزی که داخل شبکه قرار دارد فراهم است این در حالی است که این فرد می تواند یک مهاجم باشد. آسیب پذیری ذکر شده در مورد سیستم های امنیتی Castle-and-Moat با این واقعیت که همه داده های شرکت ها در یک محل واحد ذخیره نمی شوند تشدید هم می شود. امروزه، اطلاعات شرکت ها اغلب در میان فروشندگان و شعب مختلف، به کمک فضاهای ابری پخش می شود و همین امر، داشتن یک کنترل امنیتی واحد برای کل شبکه را دشوارتر می کند. امنیت Zero Trust به این معنی است که هیچ کس به طور پیش فرض از داخل یا خارج از شبکه قابل اعتماد نیست و همه افرادی که تلاش می کنند به منابع موجود در شبکه دسترسی پیدا کنند، نیاز به دریافت تأییدیه دارند.
در راستای اجرای اصول Zero Trust میبایست دانست که هدف نهایی Zero Trust تجدید نظر در مورد امنیت برای محیط های مدرن، ابری و تلفن همراه است. برای رسیدن به این هدف، این مدل توصیه می کند که شرکت ها اصول زیر را رعایت کنند:
1. شناسایی داده های حساس: تا زمانی که سازمان شما اطلاعات شخصی، اطلاعات مالی یا مالکیت معنوی محرمانه را ذخیره کند، این اطلاعات ارزش بسیار زیادی برای مهاجمان دارد. از آنجا که امنیت داده ها قلب Zero Trust است، منطقی است که این اقدامات را اولویت بندی کنید و بدانید که داده های حساس شما در کجا قرار دارند، چه کسی می تواند به آنها دسترسی داشته باشد و هرگونه تلاش برای دسترسی به آن ها را ثبت کنید.
2. اجرای دقیق کنترل دسترسی:
طبق چارچوب Zero Trust، شرکت ها باید از ابزارها و تکنیک های زیر برای جلوگیری از تلاش های دسترسی غیرقابل اعتماد استفاده کنند:
• کنترل دسترسی با حداقل امتیاز، به کاربران و دستگاه های آنها فقط امکان دسترسی به منابعی را که برای انجام کارهایشان نیاز دارند می دهد. سطح حمله شما با به حداقل رساندن میزان قرارگیری هر کاربر در برابر اطلاعات و برنامه های موجود در شبکه، کاهش می یابد. به عنوان مثال، در صورت نقض از طریق تصاحب یک حساب کاربری، فقط منابع اختصاص داده شده به آن حساب کاربری در معرض خطر قرار می گیرند. این رویکرد برای کنترل دسترسی، مانع از عمیق تر شدن حملات به سیستم شما و به دست آوردن اطلاعات حساس بیشتر می شود.
• احراز هویت چند عاملی یا MFA یکی از المان های اصلی امنیت Zero Trust است. MFA به عبارت ساده به معنای ارائه بیش از یک مدرک برای احراز هویت کاربر است و فقط وارد کردن رمز عبور برای دسترسی کافی نیست. احراز هویت چند عاملی به شما این امکان را می دهد که فرایند احراز هویت را با اجرای عواملی که امنیت بیشتری نسبت به رمز عبور فراهم می کنند را تقویت کنید. یکی از کاربردهای معمول احراز هویت چند عاملی، احرازهویت 2 عاملی یا 2FA است که در پلتفرم های آنلاین محبوبی مانند فیس بوک و گوگل استفاده می شود. کاربرانی که 2FA را برای این سرویس ها فعال می کنند باید کدی را که به دستگاه دیگری مانند تلفن همراهشان ارسال می شود نیز وارد کنند و بدین ترتیب با دو مدرک اثبات کنند که آنها کسی هستند که ادعا می کنند. علاوه بر کنترل های دسترسی کاربران، Zero Trust به کنترل دقیق و سختگیرانه دسترسی دستگاه ها نیز نیاز دارد. سیستم های Zero Trust باید تعداد دستگاه های مختلفی را که می خواهند به شبکه دسترسی داشته باشند کنترل کرده و از مجاز بودن هر دستگاه اطمینان حاصل کنند. این موضوع سطح حمله شبکه را تا حد زیادی به حداقل می رساند.
• دسترسی Zero Trust یا همان ZTNA شبکه را ایزوله و محافظت می کند. در یک مدل اعتماد تطبیقی،ZTNA کنترل دسترسی به برنامه ها را از دسترسی به شبکه جدا می کند و تنها دسترسی را برای کاربران مجاز فراهم می کند. همچنین با تقسیم بندی برنامه ها هر کاربر صرفاً به مجموعه برنامه های مورد نیاز خود دسترسی خواهند داشت.
3. موشکافی دقیق هر نقطه پایانی:
مدل Zero Trust در نظر می گیرد که هر کاربر، دستگاه و نقطه اتصال یک تهدید بالقوه است، از جمله آن هایی که درون شبکه سازمانی هستند. بنابراین، هر درخواست برای دسترسی به سیستم باید اعتبارسنجی شده، مجاز، و رمز شده باشد. محدودیت هایی را در مورد چگونگی دسترسی کاربران به منابع داخل و خارج از شبکه تعیین کنید و رفتار کاربر را کنترل کنید. دستگاه ها عوامل خطرناکی برای شبکه های Zero Trust هستند. هر دستگاهی که به خطر افتاده باشد، یک نقطه ورود بالقوه برای یک مهاجم به سیستم شما است. تیم امنیتی شما باید بتواند دسترسی هر دستگاهی که به شبکه شما متصل است را جداسازی، ایمن و کنترل کند. این اقدامات نباید برای نیروی کار شما اصطکاک ایجاد کنند، مدیریت دسترسی زمینه ای است. این راهکار به شما کمک می کند تا سیاست های کنترل دسترسی لازم برای مدیریت ریسک را تنظیم کرده و تصمیمات هوشمندانه تری بگیرید. با تجزیه و تحلیل معیارهایی مانند نقش شغلی کاربر، دستگاه، محل سکونت و زمان درخواست، می توانید پس از کسب اطلاعات بیشتر در مورد هر کاربر و دستگاه، دسترسی مناسب را ایجاد کنید.
4. سرمایه گذاری بر آنالیز و مانیتورینگ در لحظه:
برای اجرای یک شبکه Zero Trust، تیم های امنیت و مدیریت وقایع باید تمام اتفاقات رخ داده در سیستم های شما را درک کنند. تشخیص تهدید و تجزیه و تحلیل رفتار کاربر به شما کمک می کند تا حملات و تلاش برای سرقت داده ها را همزمان متوقف کنید و تفاوت بین ورود مجاز به سیستم و حساب های کاربری به خطر افتاده را تشخیص دهید.
5. خودکار بودن تا حد ممکن:
Zero Trust به شناسایی دقیق و شبانه روزی تهدیدات و نظارت بر رویدادها نیاز دارد. اما صرف اتکا به پرسنل سازمان برای نظارت بر رویدادها کفایت نکرده و روشی بهینه نیست. تا آنجا که ممکن است راهکارهای آنالیز و مانیتورینگ خود را خودکار کنید، زیرا این کار کمک می کند تا تیم های امنیتی شما بر روی وظایف اصلی خود مانند واکنش به حوادث تمرکز کنند. شما همچنین باید فرایندهای دستی و مستعد خطا مانند تهیه و خلع سلاح را برای محافظت از سازمان در برابر حسابهای کلاهبردار و دسترسی تصادفی به منابع اشتباه را خودکار کنید. با گسترش تهدیدات، استفاده از Zero Trust نیز باید افزایش یابد. کلید مدیریت دسترسی به روش Zero Trust احراز هویت پیوسته است. با دسترسی کاربران، دستگاه ها و سامانه ها به منابع سازمان میزان ریسک تغییر پیدا میکند. لذا سازمان ها باید بتوانند در طول نشست کاربر و با تغییر سطح ریسک، اقدامات مورد نیاز را انجام دهند.
در انتها باید خاطر نشان شد که اجرای این چارچوب، با استفاده از فناوری های پیشرفته ای مانند احراز هویت چند عاملی، افزایش ایمنی سازمانی را با مدیریت سخت گیرانه دسترسی ها فراهم می کند. در Zero Trust، بر خلاف سیستم های امنیت شبکه سنتی، اعطای دسترسی فقط با تأیید صورت می پذیرد. رویکرد سنتی به طور خودکار به کاربران در محدوده سازمان اعتماد می کند و سازمان را در معرض خطر عوامل مخرب قرار می دهد. سیستم های سنتی می توانند به حساب های غیرمجاز و در خطر هم دسترسی دهند. اما در Zero Trust حتی پس از دسترسی دادن، این پروسه در بازه های مشخصی مجدداً تکرار می شود و هیچ دسترسی ای همیشگی نیست.