سه نکته برای افزایش امنیت با Zero Trust
استفاده از مفاهیم Zero Trust برای افزایش امنیت این روزها توجه زیادی را به خود جلب کرده است. دلیل اصلی آن هم استقبال سازمانها از فراهم کردن شرایط دورکاری به واسطه همهگیری ویروس کرونا است. برای دورکاری، امنیت باید در هر شرایطی یکسان باشد و البته راهحلها باید امکان سازگار شدن با مدلهای کاری مختلف را داشته باشند. سازمان نباید یک گزینه برای کارمندان راه دور و یک گزینه دیگر برای کارکنان حاضر در محل داشته باشند؛ راهحلها باید به اندازه کافی انعطافپذیر و یکپارچه باشند تا به طور ایمن و با خطمشیهای مشخص، پاسخگوی تمام سناریوهای ممکن باشند. در واقع باید بتوانند حفاظت و مدیریت سازگار برای کاربران راه دور، شعب دیگر، Cloud و مراکز داده را فراهم کنند.
مدل امنیت شبکه Zero Trust، سطح حملات را کاهش میدهد و دسترسی امن به برنامهها و کنترل دسترسی پویا را فراهم میکند. در واقع موثرترین استراتژی و یک رویکرد جامع است که دید و کنترل همه کاربران و دستگاهها را در شبکه و حتی خارج از شبکه را در دست میگیرد. در ادامه سه نکته برای افزایش امنیت با Zero Trust را مشخص و هر کدام را بررسی خواهیم کرد:
۱. کشف و شناسایی دستگاهها
با مدل امنیتی Zero Trust، لازم است بدانید که در هر زمان کدام افراد و چه دستگاههایی در شبکه حضور دارند. بنابراین اولین قدم، استفاده از کنترل دسترسی شبکه (NAC) برای کشف و شناسایی هر دستگاهی است که در شبکه حضور دارد یا به دنبال دسترسی به آن است. در مرحله بعدی باید از خطرناک نبودن درخواست اطمینان حاص شود. دستگاههایی که به شبکه دسترسی دارند، ممکن است شامل کامپیوترهای رومیزی، موبایل، تجهیزات اداری تحت شبکه، سیستمهای خردهفروشی، فناوریهای عملیاتی، تعداد زیادی حسگر توزیعشده و سایر دستگاههایی باشد که به عنوان اینترنت اشیا یا IoT شناخته میشوند. چالش مدیریت همه این دستگاهها در پراکندگی گسترده آنها، سطوح مختلف نظارت بر هر کدامشان و عدم پشتیبانی از پروتکلهای ارتباطی استاندارد در دستگاههای قدیمیتر است.
در طول فرآیند کشف، راهحل NAC باید تلاشهای حمله MAC Authentication Bypass را شناسایی کرده و این حوادث را ثبت کند. همچنین باید تمام اطلاعاتی را که جمعآوری میکند با سایر دستگاههای شبکه و اجزای زیرساخت امنیتی به اشتراک بگذارد. فرآیندهای NAC باید تنها در چند ثانیه انجام شوند تا احتمال به خطر افتادن دستگاه به حداقل برسد. در حالت ایدهآل، یک راهحل NAC باید به راحتی در دفتر مرکزی مستقر شود و عملکرد ثابتی را در تمام شبکههای باسیم و بیسیم ارائه دهد. با قرار گرفتن NAC در دفتر مرکزی، به حسگرهای کمتری نیاز خواهد بود و همین میتواند هزینههای استقرار و مدیریت را کاهش دهد.
۲.تقسیمبندی شبکه
تقسیمبندی یکی دیگر از اجزای کلیدی شبکه Zero Trust است. با تقسیمبندی و ایجاد چندین ریزشبکه، هر دستگاه بر اساس تعدادی از عوامل از جمله نوع دستگاه، عملکرد و هدف از حضورش در شبکه، به یک بخش مناسب از شبکه دسترسی پیدا خواهد کرد. تقسیمبندی مبتنی بر هدف میتواند بهطور هوشمندانهای، دستگاهها را بر اساس اهداف تجاری خاصی مانند الزام به رعایت قوانین حفظ حریم خصوصی GDPR یا محافظت از تراکنش PCI-DSS تقسیمبندی کند. تقسیمبندی شبکه به چندین ریزبخش به دو صورت امنیت شبکه را افزایش میدهد؛ اولی شکستن مسیرهای جانبی (east-west) است که دسترسی هکرها و کرمها را به دستگاهها دشوارتر خواهد کرد. دومی هم کاهش خطر حمله به شبکه توسط هکر با استفاده از دستگاههای آلوده است.
برای بهرهمندی از تقسیمبندی شبکه، لازم است فایروالهای نسل بعدی (NGFW) به گونهای طراحی شوند که بتوانند کلیه ترافیک تمام بخشها را با حداقل تاخیر ممکن پردازش کنند. به حداقل رساندن تاخیر پردازش باعث میشود که افزایش امنیت، مانعی برای حفظ بهرهوری کلی سازمان نباشد. فایروالی که توانایی مدیریت همزمان دسترسی به شبکه Zero Trust و SD-WAN را داشته باشد، حتی عملکردی بهتر از حالت قبل ارائه خواهد داد.
۳. شناسایی کاربران و نقشها
شناسایی هویت کاربران و نقشهایشان یکی دیگر از سنگ بناهای Zero Trust است. درست مثل رفتاری که با دستگاهها میشود، هر کاربر باید همراه با نقشی که در سازمان ایفا میکند شناسایی شود. مدل Zero Trust روی خط مشی «کمترین دسترسی» تمرکز دارد و به کاربران فقط اجازه دسترسی به منابعی را میدهد که برای نقش یا شغل آنها ضروری است. دسترسی به منابع اضافی فقط در صورت نیاز و به شکل موردی فراهم میشود.
راهحلهای احراز هویت و صدور مجوز باید با زیرساخت امنیتی شبکه شرکت و یک پایگاه داده Active Directory مبتنی بر سیاست ادغام شوند. این کار برای اجرای خودکار و فراهم شدن مدیریت آسان سیاستهای دسترسی با حداقل امتیاز ضروری است. در این مرحله، هر سازمانی باید از احراز هویت چند عاملی استفاده کند. بنابراین اگر در حال حاضر از چنین سیستمی استفاده نمیکنید، این یک حوزه کلیدی برای بهبود به حساب میآید و بدون شک ارزش سرمایهگذاری دارد. خدمات احراز هویت، مجوز و حساب (AAA)، مدیریت دسترسی و ورود به سیستم واحد (SSO)، همگی برای شناسایی و اعمال سیاستهای دسترسی مناسب به کاربران بر اساس نقش آنها در سازمان استفاده میشود. هویت کاربر را میتوان از طریق ورود به سیستم، ورود چند عاملی (احراز هویت با یا بدون رمز عبور) یا گواهیها احراز کرد. سپس میتوان برای ایجاد دسترسی مورد نظر به کاربر احراز هویت شده، به کنترل دسترسی مبتنی بر نقش (RBAC) متصل شد. ایجاد امنیت بیشتر نباید بهرهوری را مختل کند؛ بنابراین راهحلها باید با حداقل تاخیر اجرا شوند تا پروسه انطباق را تسهیل کرده و سختی کار را برای کاربر به حداقل برسانند.
جمعبندی: قدم به قدم با Zero Trust
بسیاری از سازمانهایی که از رویکردی جزئی برای Zero Trust استفاده میکنند، در فناوری و پیچیدگی غرق میشوند. وقتی محصولاتی دارید که از چندین فروشنده تهیه میشوند، با پنلهای مدیریتی متعدد و ادغامهای چالشبرانگیز مواجه خواهید شد که مشخص نیست با سیستمهایی که از قبل دارید سازگاری دارند یا خیر. اما همیشه کارهای بیشتری هستند که میتوانید برای ارتقای وضعیت امنیتی خود از طریق مفاهیم Zero Trust انجام دهید. رویکردهای جزئی از Zero Trust میتواند باعث پیدایش شکافهای امنیتی شود و مدیریت را پرهزینه و دشوار کند. بنابراین بهتر است به جای اتخاذ روبکردهای جزئی، از طراحیهای یکپارچه استفاده کنید که استقرار، پیکربندی و نگهداری آسانتری دارند.
کلید ادغام موفقیت آمیز مفاهیم Zero Trust این است که قدم به قدم اجرا شوند. بسیاری از سازمانها همین حالا هم از برخی عناصر Zero Trust بهرهمند هستند. آنها ممکن است راهحلهایی را اتخاذ کرده باشند که دسترسی برنامهها را محدود کند یا از احراز هویت چند عاملی استفاده کنند. بهترین راهحل این است که قدمهایی برای بهبود امنیت را برای تجهیزاتی که در حال حاضر استفاده میکنید بردارید و به مرور زمان قابلیتهای بیشتری از Zero Trust را به آن اضافه کنید.
تهران،سعادت آباد،میدان فرهنگ،ساختمان سهند،طبقه پنجم،واحد 15
982122139230+
info[@]ictn[.]ir
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.