هرآنچه درباره معماری Zero Trust باید بدانید

در دوره‌ای که به واسطه‌ی اتصال و دیجیتالی‌سازی بی‌سابقه شناخته می‌شود، مرزهای امنیتی سنتی که زمانی به عنوان یک سد محافظت‌کننده برای سازمان‌ها عمل می‌کرد، به سرعت در حال منسوخ شدن است. با توجه به اینکه سازمان‌ها به طور فزاینده‌ای به زیرساخت‌های دیجیتال وابسته هستند، با تهدیدات متنوع سایبری روبه‌رو می‌شوند که از آسیب‌پذیری‌های داخلی و خارجی بهره‌برداری می‌کنند. سازمان‌هایی که چارچوب اعتماد صفر را پذیرفته‌اند، به‌طور قابل توجهی می‌توانند از قرارگیری خود در معرض تهدیدات سایبری بکاهند. گزارشی که توسط IBM در سال ۲۰۲۲ منتشر شد، نشان داد که عواقب مالی متوسط یک نفوذ داده تقریباً به ۴.۲۴ میلیون دلار می‌رسد. با اجرای اصول اعتماد صفر، سازمان‌ها می‌توانند این بار مالی را با کاهش سطح تعرض و کاهش تأثیرات بالقوه هر گونه نفوذ ممکن کم کنند. با پیاده‌سازی اصول Zero Trust، حتی کاربران داخلی نیز باید قبل از دسترسی به منابع احراز هویت شوند.

با این رویکرد جدید، سازمان‌ها می‌توانند امنیت شبکه و داده‌های خود را به طور قابل ملاحظه‌ای افزایش دهند و از تهدیدات سایبری پیشگیری کنند. امنیت اعتماد صفر، یک چارچوب امنیتی است که بر این اصل استوار است که به هیچ کاربر یا برنامه‌ای به طور پیش‌فرض نباید اعتماد کرد. درخواست‌های دسترسی – حتی از افراد شناخته شده – تا زمانی که از تایید هویت دقیق عبور نکنند، هرگز اعطا نمی‌شوند. با افزایش پذیرش راه‌حل‌های مبتنی بر ابر و استقبال از محیط‌های کاری از راه دور، پیاده‌سازی معماری امنیتی قوی که قابلیت انطباق و مقیاس‌پذیری در برابر تهدیدات نوظهور را داشته باشد، به‌طور فزاینده‌ای حائز اهمیت است. اعتماد صفر تنها به ادغام روان فناوری‌های نوآورانه کمک نمی‌کند، بلکه اطمینان حاصل می‌کند که پروتکل‌های امنیتی به‌طور مستمر در طول این تکامل حفظ می‌شوند.

کارکنان ممکن است در برابر اجرای اقدامات امنیتی جدید مقاومت کنند اگر آنها را مانع تولید بدانند. مهم است که رهبری به وضوح مزایای پذیرش چهارچوب اعتماد صفر را بیان کند و این اصول را در فرهنگ سازمانی گنجانده و آن‌ها را ترویج کند. این امر به سازمان‌ها این امکان را می‌دهد که هرگونه فعالیت مشکوک را به سرعت شناسایی و با آن برخورد کنند. ZTA یک چارچوب امنیتی برای سازمان ها فراهم می کند تا با تغییر چشم انداز تهدید و نیازهای تجاری در حال تغییر سازگار شوند. من قویاً رهبری کسب‌وکار و فناوری را تشویق می‌کنم تا ZTA را در محیط خود به کار گیرند تا دفاع خود را تقویت کنند و از دارایی‌های دیجیتال خود در برابر تهدیدات سایبری در حال تکامل محافظت کنند.

Zero Trust در برنامه‌ها مفهومی است که اعتماد ضمنی بین اجزای مختلف آنها را که هنگام تعامل با یکدیگر دارند، از بین می‌برد. این امر نیاز به نظارت مداوم دارد تا اطمینان حاصل شود که برنامه‌ها در حال پیروی از رفتار صحیح هستند. کاربران ، دستگاه ها و حجم کار برنامه اکنون در همه جا وجود دارد ، بنابراین شما نمی توانید Zero Trust را در یک مکان اعمال کنید – باید در کل محیط شبکه شما تکثیر شود. سطح محافظ از مهمترین و ارزشمندترین داده ها، دارایی ها، برنامه ها و خدمات شبکه تشکیل شده است. از آنجا که فقط شامل موارد مهم برای فعالیتهای سازمان است، سطح محافظ دارای گستردگی کمتری نسبت به سطح حمله است و همیشه قابل آگاهی است. این شبکه‌ها فرآیند استقرار ساده و مدیریت‌پذیری دارند و در بیشتر موارد نیازی به شبکه خصوصی مجازی یا خط‌مشی‌های پیچیده فایروال در محیط شبکه ندارد.

بنابراین "معماری اعتماد صفر" یا ZTA چیست؟ به طور خلاصه، روشی برای طراحی زیرساخت امنیت سایبری شبکه یک سازمان بر اساس مدل امنیتی Zero Trust است. Zero Trust در هسته خود بر این اصل کار می کند که هیچ اعتماد ضمنی به هیچ بخشی از شبکه وجود ندارد. یا به زبان ساده، یک سازمان نباید بدون تأیید به هیچ درخواستی اعتماد کند، صرف نظر از اینکه درخواست از داخل یا خارج از محیط آن منشا گرفته باشد. مدل Zero Trust در تلاشی برای کاهش خطر بالقوه حملات به یک شبکه و افزایش وضعیت امنیتی آن توسعه یافته است. مدل امنیتی Zero Trust با اصول و روش‌های نوین خود، می‌تواند به عنوان یکی از بهترین راهکارها برای افزایش امنیت وب‌سایت‌ها و سرورها مطرح شود. با استفاده از این مدل، سازمان‌ها می‌توانند از داده‌های حساس خود محافظت کنند، دسترسی‌ها را کنترل نمایند و ریسک حملات سایبری را به حداقل برسانند.

برنامه های کاری بسیار پویا هستند و در چندین مرکز داده و ابرهای عمومی، خصوصی و ترکیبی جابجا می شوند. با استفاده از Zero Trust ، باید فعالیت و وابستگی متقابل کاربران، دستگاه ها، شبکه ها، برنامه ها و داده ها را کاملاً ببینید. دروازه های تقسیم بندی بر ترافیک نظارت می کنند، تهدیدها را متوقف می کنند و دسترسی گسترده به ترافیک شمال-جنوب و شرق-غرب را در مرکز داده داخلی و محیط های چند ابر اعمال می کنند. برای آن که دسترسی غیرمجاز به صورت تهدید واقع نشود، Duo برای هر برنامه کاربردی MFA فراهم می‌کند که بخشی از ساختار Cisco Zero Trust محسوب می‌گردد. یک لایه اضافه برای تایید هویت می‌تواند دسترسی مهاجم از طریق رمزهای عبور ربوده‌شده یا حملات Brute-Force را کاهش دهد. این قابلیت در کنار Device Insight And Policies در Duo پایه‌ی مستحکمی را برای نیروی کاری Zero Trust فراهم می‌کند.

یک عامل حیاتی برای اجرای ZTA باید شناسایی منابعی باشد که نیاز به حفاظت دارند و بهترین روش حفاظت از آنها باشد. داده ها باید در حالت استراحت و در حال انتقال محافظت شوند، بنابراین رمزگذاری، به ویژه با استفاده از آن انجام می شود PKI، سنگ بنای اجرای ZTA. جمع‌آوری داده‌ها در رابطه با کارایی سیاست‌های اعمال‌شده و رفتار کاربر نیز در ایجاد یک سیستم پویا که قادر به انطباق با محیط همیشه در حال تغییر یعنی امنیت سایبری است، حیاتی است. در مدل Zero Trust، با هر درخواست شبکه باید طوری رفتار شود که انگار شبکه قبلاً در معرض خطر قرار گرفته است و حتی درخواست های ساده باید به عنوان یک تهدید بالقوه در نظر گرفته شوند. علاوه بر این، هر زمان که یک کاربر احراز هویت درخواست دسترسی به یک منبع جدید را دارد، اعتبار آنها باید دوباره بررسی شود.

در این ترتیب از معماری Zero Trust به عنوان یکی از بهترین شیوه ها برای مدرن سازی امنیت سایبری دولت فدرال یاد شده است. ادغام یکپارچه با خدمات ارائه‌دهندگان خدمات ابری، هویت، حفاظت از نقطه انتهایی (Endpoint Protection) و SecOps. پلتفرم‌های جامع در این زمینه، عملکردهای امنیتی زیربنایی مثلSWG، DLP، CASB، فایروال و سندباکس را با فناوری‌های نوظهوری مانند ایزوله‌سازی مرورگر، نظارت بر تجربه دیجیتال و ZTNA در قالب یک مجموعه کامل امنیتی ابری ترکیب می‌کند. SMB ها به طور فزاینده ای سطح حمله پیچیده تری دارند زیرا اکثر آنها اکنون ترکیبی از سیستم های داخلی و ابری دارند و رویکردی انعطاف پذیر برای کار از خانه یا دفتر کار برای کارمندان خود اتخاذ کرده اند. این را با یک چشم انداز تهدید در حال تکامل ترکیب کنید و امنیت قوی تر به عنوان یک ضرورت ظاهر می شود.

طرح‌واره‌ای است که از اصول اعتماد صفر پشتیبانی می‌کند، مانند مدیریت دسترسی بسیار دقیق، احراز هویت کاربران و دستگاه‌ها با امنیت بالا و بخش‌بندی قوی. این روش با رویکرد قلعه و خندق (castle and moat) که به طور پیش‌فرض به هر چیزی داخل شبکه اعتماد می‌کند، کاملا متفاوت است. بنابراین، سازمان‌ها باید در سرمایه‌گذاری در برنامه‌های آموزشی جامع که به آموزش کارکنان درباره‌ی اصول اعتماد صفر، تهدیدات فیشینگ و اهمیت رعایت عادات آنلاین ایمن می‌پردازند، اولویت قائل شوند. کمپین‌های آگاهی‌بخشی که به‌طور منظم برنامه‌ریزی می‌شوند می‌توانند این ابتکارات آموزشی را به‌طور قابل توجهی تقویت کنند. سازمان‌هایی که معماری Zero Trust را اتخاذ می‌کنند، خود را در خط مقدم امنیت فناوری اطلاعات قرار می‌دهند. ZTA لایه‌هایی از امنیت را اضافه می‌کند و انعطاف‌پذیری را به زیرساخت سازمان ارائه می‌کند.

این رویکرد به سازمان‌ها کمک می‌کند تا دفاع خود را در برابر تهدیدات سایبری بهبود بخشند و زیرساخت شبکه خود را ساده‌تر کنند. ابتکار BeyondCorp گوگل به عنوان یک نمونه برتر از معماری اعتماد صفر در عمل شناخته می‌شود. این طرح در سال ۲۰۱۴ معرفی شد و به کارمندان این امکان را می‌دهد که از هر مکانی به‌طور ایمن کار کنند بدون اینکه به یک شبکه خصوصی مجازی (VPN) وابسته باشند. با بازتخصیص کنترل‌های امنیتی از یک مدل محوری مبتنی بر مرزهای سنتی به تمرکز بر دستگاه‌ها و کاربران فردی، گوگل وضعیت امنیت داخلی خود را بهبود بخشید و در عین حال قابلیت‌های موثر کار از راه دور را فراهم کرد. اصل اساسی معماری اعتماد صفر حول محور «هرگز اعتماد نکنید، همیشه بررسی کنید» می‌چرخد.

سازمان‌ها باید تجزیه و تحلیل شکاف انجام دهند تا آسیب‌پذیری‌ها، فناوری‌های قدیمی و نقاط ضعف سیاستی که می‌تواند خطرات امنیتی آن‌ها را افزایش دهد، شناسایی کنند. Zero Trust یک طراحی استراتژیک است که با حذف مفهوم اعتماد از معماری شبکه یک سازمان، برای جلوگیری از نقض موفقیت آمیز امنیت داده ها به ما کمک می کند. Cisco Encrypted Traffic Analytics یا به اختصار ETA، امکان شناسایی و رفع تهدیدات شبکه در ترافیک رمزگذاری‌شده را فراهم می‌کند تا بدون رمزگشایی بتوان به بینش عمیق‌تری از آن رسید. همچنین به کمک این قابلیت می‌توان به سرعت تجهیزات و کاربردهای آلوده را مهار کرد و در عین حال شبکه را ایمن نمود. به علاوه می‌توان به کمک ترکیب این قابلیت با Cisco Stealthwatch، با استفاده از یادگیری ماشینی و تجزیه و تحلیل ساختارمند، به مانیتورینگ Real-Time دست یافت. نحوه مسیریابی درخواست‌ها از طریق پایگاه داده بسیار مهم است تا اطمینان حاصل شود که این داده‌ها از دسترسی‌های غیرمجاز محافظت می‌شوند.

این رویکرد زمانی که برنامه‌ها در مراکز داده سازمان‌ها قرار داشتند به خوبی کار می‌کرد، اما اکنون – با محبوبیت روزافزون سرویس‌های ابری و نگرانی‌های فزاینده امنیت داده‌ها – این روش کارایی کمتری برای سازمان‌ها دارد. هزینه پیاده‌سازی Zero Trust ممکن است برای برخی سازمان‌ها قابل تحمل نباشد، به‌ویژه برای آنهایی که نیاز به ارتقاء یا جایگزینی راهکارهای امنیتی موجود دارند. هزینه‌های مربوط به سخت‌افزار، نرم‌افزار و نیروی انسانی می‌تواند به سرعت افزایش یابد و Zero Trust را به گزینه‌ای دشوار برای برخی سازمان‌ها تبدیل کند. مایکروسافت با هدف یکپارچه‌سازی دسترسی به تمامی خدمات شرکتی خود، مانند اپلیکیشن‌های آفیس و برنامه‌های تجاری، مدل صفر اعتماد را پیاده‌سازی کرد. این مدل به‌طور خاص روی اپلیکیشن‌های اصلی که کارکنان روزانه از آنها استفاده می‌کنند، بر روی پلتفرم‌های مختلف مانند iOS و Android اجرا شد.

پیاده‌سازی معماری Zero Trust با عدم دسترسی به سیستم‌ها و نیاز به تأیید برای هر تعامل دیجیتالی، امنیت را تقویت می‌کند و سازمان‌ها را قادر می‌سازد تا با اطمینان و انعطاف‌پذیری بیشتر به پیچیدگی‌های امنیت دیجیتال رسیدگی کنند. سیاست‌های امنیتی این مدل به مدیران شبکه امکان واکنش سریع به تغییرات محیطی را خواهد داد. در دنیای امروزی که تهدیدات سایبری روز به روز پیچیده‌تر و متنوع‌تر می‌شوند، امنیت وب‌سایت‌ها و سرورها به یکی از اولویت‌های اصلی تبدیل شده است. یکی از راهکارهای نوین و موثر در این زمینه، مدل امنیتی Zero Trust است که به طور چشمگیری می‌تواند سطح امنیتی را افزایش دهد. در این مقاله به بررسی مفهوم Zero Trust و کاربرد آن در امنیت میزبانی‌ها می‌پردازیم. قبل از این‌که دقیق‌تر به معماری امنیت اعتماد صفر نگاه کنیم، اجازه دهید تفاوت این دو اصطلاح را مورد بررسی قرار دهیم.

اگرچه برای امنیت مرز خارجی محیط ضروری است ، اما برای تأیید ترافیک هنگام عبور از عملکردهای مختلف در شبکه، بسیار مهم تر است. افزودن روش تأیید اعتبار دو فاکتور و سایر روشهای تأیید ، توانایی شما در تأیید صحت کاربران را افزایش می دهد. برای شناسایی فرایندهای کسب و کار، کاربران، داده ها، جریان داده ها و خطرات مرتبط با آن، رویکرد Zero Trust را استفاده کنید و قوانین سیاستی را تنظیم کنید که می توانند به صورت خودکار و بر اساس خطرات مرتبط، با هر تکرار به روز شوند. سیاست اعتماد صفر تعیین می کند چه کسی می تواند در هر زمان از داده ای را از حسگر را منتقل کند و از این طریق کاربران غیرمجاز از دسترسی به سطح محافظت شما جلوگیری می کنند و از خرابکاری و نفوذ به اطلاعات حساس جلوگیری می کند. Microsoft Azure Active Directory (AD) اصول اعتماد صفر را با تسهیل دسترسی ایمن به منابع، بدون توجه به دستگاه یا مکان، تجسم می‌بخشد.

امنیت برای هر کسب و کاری حیاتی است و Zero Trust Architecture (ZTA) یک رویکرد قدرتمند برای محافظت در برابر تهدیدات سایبری است. ZTA از مدل‌های اعتماد سنتی جدا می‌شود و نیاز به احراز هویت و تأیید عمیق برای هر شی دیجیتال دارد و محافظت قوی در برابر تهدیدات دیجیتال ارائه می‌کند. این روزها، معماری Zero Trust  در بسیاری از Policyها و برنامه‌های امنیت سایبری‌ که به دنبال کاهش محدودیت دسترسی به داده‌ها و منابع هستند حضور دارد. در این مطلب نیز سعی شده که هم «تعریفی انتزاعی» از ZTA ارائه شود و هم راهنمایی بیشتری در خصوص مدل‌های پیاده‌سازی، موارد کاربردی و دستورالعمل‌هایی برای اجرا فراهم گردد. این اصول تلاش می‌کنند فناوری را ناشناس باشند و هدفشان بهبود وضعیت امنیتی سازمان است.

سازمان‌های امروزی به یک مدل امنیتی جدید نیاز دارند که به طور مؤثرتری با پیچیدگی و خطرات محیط‌های مدرن سازگار شود، مکان‌های کاری ترکیبی را در بر بگیرد و از افراد، دستگاه‌ها، برنامه‌ها و داده‌ها در هر کجا که هستند محافظت کند. Zero Trust Architecture اولین راهنمای جامع برای معماران، مهندسان و سایر متخصصان فنی است که می خواهند از نظریه اعتماد صفر به اجرا و عملیات مداوم موفق حرکت کنند. تیمی از کارشناسان و مجریان برجسته سیسکو جامع‌ترین و اساسی‌ترین راهنمای Zero Trust را ارائه می‌کنند که وضوح، چشم‌انداز، تعاریف عملی و تخصص دنیای واقعی را به فضایی که غرق در تبلیغات شده است، ارائه می‌کنند. نویسندگان توضیح می‌دهند که چرا مدل‌های مبتنی بر هویت Zero Trust می‌توانند انعطاف‌پذیری بیشتر، عملیات ساده‌تر، زمینه بصری را در پیاده‌سازی و مدیریت امنیت کمترین امتیاز ایجاد کنند. سپس، بر اساس مدل خود سیسکو، آنها به طور سیستماتیک روش‌ها، فناوری‌های پشتیبانی و ادغام‌های مورد نیاز در سفر به هر مدل مبتنی بر هویت Zero Trust را روشن می‌کنند. از طریق تجربیات دنیای واقعی و نمونه‌های مطالعه موردی، می‌آموزید که چه سؤالاتی را بپرسید، چگونه برنامه‌ریزی را شروع کنید، امروز چه مولفه‌هایی باید پدیدار شوند و تکامل یابند، و چگونه در کوتاه‌مدت با اجرای آن، ارزش ایجاد کنید.

در مقابل، کاربران مستقیما از طریق تونل‌های رمزگذاری شده یک به یک به برنامه‌ها متصل می‌شوند که مانع از شناسایی دستگاه‌ها توسط هکرها شده و نقش موثری در پیشگیری از بروز حملات هدفمند دارد. برای پیاده‌سازی Zero Trust ، نیاز به راهکارهای فنی مختلفی از جمله مدیریت هویت و دسترسی (IAM)، میکروسگمنتیشن، نظارت مستمر، امنیت شبکه و داده‌ها داریم. پیاده‌سازی مدل امنیتی Zero Trust می‌تواند یک فرآیند پیچیده و چالش‌برانگیز باشد، اما با توجه به تکامل تهدیدات سایبری، روز به روز بیشتر به یک نیاز ضروری تبدیل می‌شود. قبل از شروع به پیاده‌سازی استراتژی Zero Trust ، بسیار مهم است که کاربران به‌طور کامل ایمن شوند. این امر شامل پیاده‌سازی تدابیر امنیتی مختلف مانند احراز هویت چندعاملی و استفاده از سیاست‌های دسترسی محدود می‌شود. این رویکرد نوین، با حذف فرضیه ی اعتماد به کاربران داخلی یا خارجی، می‌تواند امنیت سازمان‌ها را در برابر تهدیدات پیشرفته به طرز چشم‌گیری افزایش دهد.

مدل امنیتی BeyondCorp  که توسط گوگل توسعه یافته، به‌عنوان یکی از موفق‌ترین پیاده‌سازی‌های معماری Zero Trust شناخته می‌شود. این مدل ابتدا به‌عنوان یک ابتکار داخلی در سال ۲۰۱۲ به منظور کمک به کارمندان گوگل برای کار کردن از هر مکانی، بدون نیاز به استفاده از VPN، معرفی شد. هدف اصلی BeyondCorp  فراهم کردن امنیت برای دسترسی به منابع شرکتی بود، فارغ از مکان جغرافیایی کاربر. برای پذیرش واقعی اصول اعتماد صفر، سازمان‌ها باید به طور استراتژیک در فناوری‌های امنیتی مناسب سرمایه‌گذاری کنند. این شامل راه‌حل‌های مقیاس‌پذیر برای IAM، MFA، امنیت نقاط پایانی و استراتژی‌های قوی رمزنگاری داده‌هاست که همگی مؤلفه‌های ضروری یک استراتژی جامع اعتماد صفر هستند. نخستین گام به سوی اجرای موفق اعتماد صفر، انجام ارزیابی دقیق از چشم‌انداز امنیتی موجود است.

تمام دستگاه‌ها و داده‌هایی که به شبکه‌ها یا داده‌های سازمانی دسترسی دارند باید به‌عنوان منابع سازمانی تعریف شوند و با اصول Zero Trust ایمن شوند. این موارد شامل سرورها، ایستگاه‌های کاری، دستگاه‌های موبایل و هر دستگاه دیگری با دسترسی به منابع سازمانی است. با اعمال سیاست‌های دقیق و پویا، تنها کاربران مجاز به منابع مشخص دسترسی خواهند داشت و تمامی ارتباطات نظارت و مدیریت می‌شوند. این امر باعث می‌شود تا سازمان‌ها بتوانند دسترسی به منابع خود را به طور دقیق مدیریت کنند. دفع حملاتی که از طریق اینترنت انجام می‌شوند و همچنین حرکت جانبی در شبکه با هدف به دست آمدن امتیازات بیشتر.

می توانید این حسگر را با استقرار یک پورت تقسیم بندی که از طریق فایروال های نسل جدید به عنوان گیت وی مشخص کنید. با اعمال سیاست های دسترسی می توانید اطمینان حاصل کنید که فقط ترافیک شناخته شده، مجاز یا برنامه های قانونی به سطح محافظ شده دسترسی دارند. تمام ارتباطات با منابع سازمانی یا بین منابع سازمانی باید رمزگذاری و احراز هویت شوند تا دسترسی ایمن فراهم شود. همچنین سیستم‌ها باید سطح امنیتی مناسب را بر اساس زمینه کاربر اعمال کنند؛ برای مثال، درخواست‌هایی که از درون شبکه انجام می‌شوند در مقایسه با نقاط دسترسی از راه دور ممکن است نیازمند اقدامات امنیتی متفاوتی باشند. پیچیدگی محیط‌های مدرن امروزی نیازمند مدل‌های امنیتی جدیدی است که بتوانند به طور مؤثر با تغییرات سازگار شوند. این مدل‌ها باید از داده‌ها و دستگاه‌های سازمان‌ها محافظت کرده و در عین حال امکان کار بی‌وقفه در محیط‌های کاری هیبریدی را فراهم کنند.

با پیاده سازی Zero Trust Architecture (ZTA)، سازمان ها می توانند به طور موثر خطرات را در محیط های پیچیده فناوری اطلاعات امروز کاهش دهند. رویکرد فعال ZTA، که به طور پیش‌فرض همه دسترسی‌ها را رد می‌کند و برای هر تعامل دیجیتالی به تأیید نیاز دارد، تضمین می‌کند که حتی در مواجهه با حملات سایبری پیچیده، از دسترسی غیرمجاز جلوگیری می‌شود. به جای استفاده از رمز عبور، BeyondCorp  گوگل از احراز هویت مبتنی بر هویت کاربر استفاده می‌کند. این رویکرد امنیتی اطمینان می‌دهد که تنها افرادی که تأیید هویت شده‌اند، مجاز به دسترسی به منابع حساس شرکت هستند، و این روش به‌طور قابل توجهی از بروز نقض‌های امنیتی جلوگیری می‌کند. برای اجرای موفقیت‌آمیز استراتژی Zero Trust، نیاز به شفافیت در ترافیک شبکه و شناسایی کاربران در محیط وجود دارد.

این ویژگی با ارائه امکاناتی مانند مدیریت دستگاه و اعتبارسنجی سلامت دستگاه‌ها، فرآیند احراز هویت را به سطحی جدید از امنیت رساند. علاوه بر این، معرفی Windows Virtual Desktop  به کارکنان این امکان را داد تا به منابع شرکتی خود از هر دستگاهی دسترسی پیدا کنند، حتی اگر آن دستگاه تحت مدیریت سازمان نباشد. دسترسی به منابع سازمانی یا شبکه‌ها باید به‌صورت درخواست‌محور باشد و نیازمند احراز هویت امن کاربران باشد. Zero Trust با ترکیب فناوری‌های Cloud Workload، حفاظت هویتی و نسل جدید سیستم‌های امنیتی و نقطه پایانی (Next-Generation Endpoint Security) اطمینان حاصل می‌کند که سیستم‌ها ایمن باقی می‌مانند. همچنین عواملی که بر بهداشت سیستم تأثیر می‌گذارند، مانند رمزگذاری ایمیل و کاهش خطر دسترسی غیرمجاز، در نظر گرفته می‌شوند.

Zero Trust به یکی از مباحث مهم و هیجان انگیز امنیت شبکه تبدیل شده است.اگه به دنیای امنیت علاقه مندید ضروری است که بدانید Zero Trust چیست و همچنین Zero Trust چه چیزی نیست. به علاوه NIST بیان می‌کند که ZTA بر خلاف نام غلط‌اندازش، صرفا از یک شبکه تشکیل نشده است، بلکه دارای مجموعه‌ای از اصول پیشبرنده است. افق وب مجله آموزشی و خبری حوزه فناوری، طراحی وب و سئو با هدف ارائه آموزش های نوین و به روز به وبمستران در سال 1395 تاسیس شده است. روش‌های قدیمی با این که مانع حملات اینترنتی می‌گردند، ممکن است در تشخیص یا ممانعت از حملاتی که از داخل خود شبکه نشات گرفته‌اند، موثر واقع نشوند. این وب سایت استفاده می کند گوگل آنالیز & Statcounter برای جمع آوری اطلاعات ناشناس مانند تعداد بازدیدکنندگان سایت و محبوب ترین صفحات. در بیشتر موارد، یک فایروال نسل جدید)  NGFW (  به‌عنوان ابزاری برای تقسیم‌بندی شبکه استفاده خواهد شد.

Zero Trust در امنیت وب‌سایت نقش کلیدی دارد، زیرا این رویکرد بر این اصل استوار است که هیچ کاربر یا دستگاهی نباید به‌طور پیش‌فرض مورد اعتماد قرار گیرد، حتی اگر در داخل شبکه یا سرورهای هاست باشد. در خدمات میزبانی، پیاده‌سازی Zero Trust می‌تواند از طریق احراز هویت چندعاملی، رمزنگاری داده‌ها و نظارت مداوم بر فعالیت‌ها انجام شود. این اقدامات به‌ویژه برای جلوگیری از دسترسی غیرمجاز به وب‌سایت‌ها و محافظت از داده‌های حساس کاربران و سازمان‌ها بسیار مهم است. در نتیجه، Zero Trust کمک می‌کند تا تهدیدات امنیتی کاهش یابد و اطمینان حاصل شود که فقط افراد و دستگاه‌های معتبر می‌توانند به منابع وب‌سایت دسترسی داشته باشند. به همین دلیل نیاز است که در فرایند و مسیر خرید هاست به بحث امنیت آن توجه ویژه داشته باشید. در عصری که مدل‌های امنیتی سنتی ناکافی در محافظت از اطلاعات حساس به اثبات رسیده‌اند، معماری اعتماد صفر نوید یک تحول در امنیت سایبری را ارائه می‌دهد.

تمرکز بر این دارایی‌ها به سازمان کمک می‌کند تا خطرات را کاهش داده و یک محیط امن‌تر ایجاد کند. داشتن قابلیت دید نسبت به بخش‌های مختلف اتصال و دسترسی، مبنایی اصلی را برای شروع ارزیابی فعالیت و ارزیابی آن در داخل و خارج شبکه فراهم می‌کند. او به یک کمیته سنا گفت که هکرها از طریق یک شبکه خصوصی مجازی قدیمی دسترسی پیدا کردند که شرکت معتقد بود از کار افتاده است. آ مقاله CNN از 4 ژوئن 2021 نشان می دهد که برای دسترسی به این شبکه تنها یک رمز عبور در معرض خطر تنها مورد نیاز است. سازمان NIST به تازگی با انتشار مطلبی در مورد معماری Zero Trust  که به اختصار ZTA خوانده می‌شود، مروری بر این رویکرد جدید به امنیت شبکه داشته است.

به همین دلیل، امنیت مبتنی بر Zero Trust  به عنوان رویکردی محبوب برای حفاظت از داده‌ها در حال گسترش است. باید خطوط‌مشی کنترل دسترسی را تعریف و اعلام کرد که مشخص کند چه کسی مجاز به دسترسی به کدام منابع است، تحت چه شرایطی و برای چه اهداف خاصی. این سیاست‌ها باید پروتکل‌های احراز هویت کاربر، اقدامات امنیتی دستگاه و معیارهای دسترسی به داده‌ها را شامل شوند. این امر به سازمان‌ها این امکان را می‌دهد که تنها کاربران مجاز به منابع دسترسی داشته باشند. معماری امنیت اعتماد صفر (Zero Trust Architecture) راهکاری برای محافظت از شبکه‌های کامپیوتری با هدف شناسایی و کم کردن نقاط ضعف، جلوگیری از نفوذ و به حداقل رساندن خطر نشت اطلاعات است.

در مطلب سازمان NIST، همچنین به برنامه قدرتمند Continuing Diagnotics and Mitigation یا به اختصار CDM اشاره شده و از آن به عنوان «کلید موفقیت ZTA» یاد شده است. به لیست ایمیل من بپیوندید تا بینش های ارزشمند و استراتژی های نوآورانه را مستقیماً در صندوق ورودی خود دریافت کنید. با خیال راحت با من در لینکدین ارتباط برقرار کنید تا در تماس باشید و به گفتگو در Mastodon بپیوندید. مثل همیشه، نظرات و سوالات شما قابل قدردانی است – از طریق فرم تماس با من در تماس باشید. تک‌نت24 با تیمی متشکل از متخصصان جوان، علاقمند به همکاری با متخصصان با ‌انگیزه است.

پیاده سازی معماری Zero Trust Architecture (ZTA) یک سفر استراتژیک است که نیاز به برنامه ریزی و اجرای دقیق دارد. در این مقاله از سلام دیجی، به بررسی استراتژی امنیتی Zero Trust، مزایای آن و چگونگی پیاده‌سازی آن در سازمان‌ها می‌پردازیم. از دید واقع‌گرایانه‌ی NIST، انتقال به معماری Zero Trust بیشتر از اینکه جایگزینیِ کامل زیرساخت یک سازمان باشد، شبیه به یک سیر تحول است. عملکرد بیشتر سازمان‌ها، تا زمانی که به سرمایه‌گذاری‌های مدرن‌سازی IT ادامه می‌دهند،‌ احتمالا به صورت Hybrid (دوگانه)، با هر دو مدل معماری Zero Trust و حالت قدیمی در کنار هم ادامه خواهد یافت. اجزای معماری Zero Trust  بر پیاده‌سازی کنترل‌های دسترسی دقیق و حذف دسترسی‌های از پیش‌مجوزدار تمرکز دارند.

ZTA به بخش مهمی از زیرساخت فناوری اطلاعات تبدیل می شود و به عنوان یک مانع در برابر حملات می ایستد. ZTA بین سیستم های سازمان قرار می گیرد و از هرگونه دسترسی از منابع غیرمجاز جلوگیری می کند. سازمان های سخت افزاری ZTA بدون توجه به تغییرات در چشم انداز تهدید، با موفقیت از رخنه ها جلوگیری کرده اند. Zero Trust نیازمند یکپارچه‌سازی چندین راهکار امنیتی است، از جمله فایروال‌ها، سیستم‌های شناسایی و جلوگیری از نفوذ، رمزنگاری و ابزارهای مدیریت اطلاعات امنیتی و رویدادها  (SIEM). یکپارچه‌سازی این راهکارها می‌تواند چالش‌برانگیز باشد، به‌ویژه برای سازمان‌هایی که ترکیبی از سیستم‌های محلی و ابری دارند. در مدل‌های سنتی، مرزهای یک سازمان به‌عنوان اولین خط دفاع در برابر حملات در نظر گرفته می‌شود.

این رویکرد به محدود کردن حرکت جانبی هنگامی که یک تهدید در داخل شبکه قرار دارد کمک می کند و به شناسایی، شناسایی و خنثی سازی سریع تهدیدها، چه از خارج و چه از داخل شبکه کمک می کند. برای دهه‌ها، سازمان‌ها شبکه‌های پیچیده هاب-اسپوک (hub-and-spoke networks) که مبتنی بر هاب مرکزی و شعب بود را در وسعت زیاد راه‌اندازی و پیکربندی می‌کردند. البته، کاربران برای دسترسی به برنامه‌های مورد نیاز باید عضوی از شبکه فیزیکی می‌بودند. شبکه‌های هاب-اسپوک با انبوهی از ابزارهای امنیتی مانند شبکه خصوصی مجازی و فایروال‌های نسل جدید ایمن می‌شدند، روشی که تحت عنوان امنیت شبکه قلعه و خندق شناخته می‌شود. امنیت قوی برای جلوگیری از نقض و محافظت از داده های حساس در برابر حملاتی که سیستم های فناوری اطلاعات مدرن با آن مواجه هستند ضروری است.

درک جزئیات معماری شبکه به شما کمک می‌کند تا مشخص کنید کدام کنترل‌های شبکه باید پیاده‌سازی شوند و در کدام نقاط مستقر شوند. بسیاری از استانداردهای امنیتی و مقررات حاکمیتی نیازمند پیاده‌سازی مدل‌هایی مانند Zero Trust هستند. در یک معماری Zero Trust، تمام ترافیک باید بررسی و Log شده سپس مورد تجزیه و تحلیل قرار گیرد تا حملات شبکه‌ای به سازمان شناسایی شده و به آن‌ها پاسخ داده شود. اما ممکن است مانیتورینگ قسمتی از ترافیک شبکه دشوار باشد، چرا که این ترافیک از سیستم‌های Third-Party یا برنامه‌هایی کاربردی‌ می‌آید که به دلیل ترافیک رمزگذاری‌شده قابل بررسی نیستند. یکی از نوآوری‌های کلیدی مایکروسافت در این زمینه، Windows Hello for Business  بود که به تقویت امنیت احراز هویت کمک شایانی کرد.

اما این امر منجر به یک حرکت جانبی درون شبکه نیز شده است که یکی از بزرگ‌ترین چالش‌های امنیتی محسوب می‌گردد. اگرچه معمولاً شبکه Zero Trust با تأمین امنیت کاربران مرتبط است، اما برای محافظت از اجزای مختلف زیرساخت سازمان، نیاز به یک رویکرد جامع نیز وجود دارد. احراز هویت یک کاربر یا دستگاه نباید به طور خودکار دسترسی به منابع دیگر را فراهم کند. پذیرش اعتماد صفر نیازمند سرمایه‌گذاری‌های قابل توجهی در فناوری و نیروی کار ماهر است. به‌ویژه، شرکت‌های کوچک ممکن است با موانع قابل توجهی در تأمین سرمایه مالی و انسانی لازم برای اجرای این استراتژی روبه‌رو شوند. FedRAMP Authorized Authentication، قابلیت دسترسی امن برای نمایندگی‌های فدرال و دیگر مشتریان بخش دولتی، شامل Policyهای دسترسی مبتنی بر نقش یا مبتنی بر موقعیت مکانی، احراز هویت زیست‌سنجشی و … را فراهم می‌کند.

این روش، داده‌ها را در هر کجا که باشند یا جریان داشته باشند، در شبکه، در ابر، روی دستگاه‌های از راه دور یا هر جای دیگر، ایمن می‌کند. امنیت اعتماد صفر به دلیل افزایش رایانش ابری و دورکاری، که باعث شده است تا محیط‌های امنیتی سنتی غیرقابل اعتماد شوند، آینده امنیت است. این مدل امنیتی نه تنها به حفاظت از داده‌ها و منابع شبکه کمک می‌کند، بلکه به سازمان‌ها این امکان را می‌دهد که با تغییرات و تهدیدات جدید به سرعت سازگار شوند و امنیت خود را به طور مداوم بهبود بخشند. به همین دلیل، Zero Trust به عنوان یکی از ابزارهای حیاتی در امنیت سایبری و مدیریت دسترسی‌ها شناخته می‌شود. با توجه به افزایش روزافزون تهدیدات سایبری، اکنون زمان مناسبی برای پیاده‌سازی و بهره‌برداری از مدل Zero Trust در سازمان‌هاست تا بتوانند امنیت شبکه خود را به حداکثر برسانند و از هرگونه تهدیدات سایبری پیشگیری کنند.