معماری شبکه ZTN چیست؟
معماری شبکه ZTN چیست؟ معماری شبکه اعتماد صفر Zero Trust Network Architecture یا (ZTNA) چیست؟ Zero Trust یک استراتژی امنیتی است (نه یک محصول) که می گوید دستگاه ها و کاربران تا زمانی که احراز هویت نشوند غیرقابل اعتماد در نظر گرفته می شوند.
شبکه ZTN چیست
شبکه اعتماد صفر (ZTN) شبکهای است که مطابق با مدل امنیتی اعتماد صفر عمل میکند. این امر مستلزم احراز هویت دقیق کاربران و دستگاه هایی است که سعی می کنند به منابع دسترسی پیدا کنند، چه در داخل و چه خارج از شبکه خصوصی سازمان باشند.
شبکه Zero Trust چیست؟
شبکه اعتماد صفر (ZTN) شبکهای است که مطابق با مدل امنیتی اعتماد صفر عمل میکند. این امر مستلزم احراز هویت دقیق کاربران و دستگاه هایی است که در تلاش برای دسترسی به منابع هستند، چه در داخل و چه خارج از شبکه خصوصی سازمان باشند.
امنیت شبکه سنتی مبتنی بر مفهوم محیط شبکه محافظت شده است که دسترسی به آن از خارج دشوار است، اما به طور ضمنی به همه افراد در داخل اعتماد دارد. مشکل این رویکرد این است که وقتی یک مهاجم به شبکه دسترسی پیدا کند، آزاد است که به صورت جانبی حرکت کند و امتیازات را برای دستیابی به دارایی های حیاتی افزایش دهد.
معماری شبکه ZTN چیست
Zero Trust اصطلاحی است که توسط جان کیندرواگ در زمانی که او یک تحلیلگر در Forrester Research بود برای توصیف یک چارچوب استراتژیک که در آن هیچ چیز در شبکه به طور پیشفرض قابل اعتماد نیست. نه دستگاهها، نه کاربران نهایی و نه فرآیندها، ابداع شد. همه چیز باید احراز هویت، مجاز، تأیید و نظارت مستمر باشد.
رویکرد سنتی به امنیت مبتنی بر مفهوم «اعتماد، اما تأیید» بود. نقطه ضعف این رویکرد این است که به محض احراز هویت، افراد مورد اعتماد در نظر گرفته میشوند و میتوانند به صورت جانبی برای دسترسی به دادهها و سیستمهای حساسی که باید غیرمجاز میبودند حرکت کنند.
اصول اعتماد صفر این را به «هرگز اعتماد نکن، همیشه تأیید کن» تغییر میدهد. هدف معماری Zero Trust این نیست که یک سیستم را قابل اعتماد یا ایمن کند، بلکه هدف آن حذف مفهوم اعتماد به طور کلی است. مدلهای امنیتی Zero Trust فرض میکنند که یک مهاجم همیشه در محیط حضور دارد. اعتماد هرگز بدون قید و شرط یا دائم اعطا نمی شود، بلکه باید به طور مداوم مورد ارزیابی قرار گیرد.
معماری Zero Trust
توسعه رویکرد اعتماد صفر پاسخی به روشهای سنتی نحوه دسترسی به داراییها، منابع و دادههای سازمانی در طول سالها است. در روزهای اولیه محاسبات، شرکتها میتوانستند از دادههای خود از طریق استفاده از فایروالها و سایر فناوریهای امنیتی محافظت کنند که یک «محیط امن» در اطراف دادهها ایجاد میکنند. این فناوریها مانند دیوارهای قلعه در قرون وسطی به محافظت از آنچه در داخل آن بود (در بیشتر موارد) کمک میکردند.
اما محیط به زودی تغییر کرد، زیرا کارمندان، پیمانکاران و شرکای تجاری شروع به کار از راه دور کردند. دسترسی به منابع از طریق شبکههای مبتنی بر ابر یا با دستگاههای شخصی که همیشه نمیتوان آنها را کاملاً ایمن تأیید کرد. علاوه بر این، استقرار دستگاه های اینترنت اشیا (IoT) که اغلب به منابع شبکه دسترسی خودکار داشتند، افزایش یافت.
برای اینکه کارمندان بتوانند به منابع شبکه دسترسی داشته باشند، معماری Zero Trust به ترکیبی از فناوریها از جمله مدیریت هویت، مدیریت دارایی، تأیید اعتبار برنامه، کنترل دسترسی، تقسیمبندی شبکه و هوش تهدید نیاز دارد.
امنیت در معماری Zero Trust
عمل متعادل کننده Zero Trust افزایش امنیت بدون قربانی کردن تجربه کاربر است. پس از احراز هویت و مجوز، به کاربر اجازه دسترسی داده می شود، اما فقط به منابعی که برای انجام کار خود نیاز دارند. اگر دستگاه یا منبعی به خطر بیفتد، Zero Trust تضمین می کند که آسیب می تواند مهار شود.
خبر خوب برای بسیاری از شرکت ها این است که آنها احتمالاً قبلاً روی چندین فناوری فعال کننده Zero Trust سرمایه گذاری کرده اند. در اتخاذ رویکرد اعتماد صفر، شرکت ها به جای نصب سخت افزار جدید، به احتمال زیاد به اتخاذ و اجرای سیاست های جدید نیاز دارند.
مفاهیم اساسی ZTNA چیست؟
قبل از شروع به کارگیری معماری Zero Trust، چندین قانون اساسی وجود دارد که باید در سراسر شرکت رعایت شود تا سیستم کار کند.
– تمامی منابع داده، خدمات محاسباتی و دستگاه ها منابع محسوب می شوند. حتی اگر دستگاههای متعلق به کارمندان به منابع متعلق به شرکت دسترسی داشته باشند، باید به عنوان یک منبع در نظر گرفته شوند.
– همه ارتباطات باید بدون توجه به موقعیت شبکه ایمن باشد. دستگاه ها و کاربران داخل شبکه به همان اندازه غیرقابل اعتماد هستند که خارج از محیط شبکه هستند.
– دسترسی به منابع به صورت هر جلسه و با کمترین امتیاز مورد نیاز برای تکمیل یک کار اعطا می شود. احراز هویت به یک منبع به طور خودکار به منبع دیگری اجازه دسترسی نمی دهد.
– دسترسی به منابع از طریق یک خطمشی پویا تعیین میشود که شامل وضعیت هویت، کاربرد مشتری، و ممکن است شامل سایر ویژگیهای رفتاری و محیطی باشد.
– یک شرکت باید یکپارچگی و وضعیت امنیتی کلیه دارایی های متعلق به و مرتبط را نظارت و اندازه گیری کند. تشخیص و کاهش مداوم (CDM) یا سیستم های مشابه برای نظارت بر دستگاه ها و برنامه ها مورد نیاز است. وصله ها و اصلاحات باید به سرعت اعمال شوند. با داراییهایی که آسیبپذیریهای شناختهشده دارند، میتوان با دستگاهها یا داراییهایی که در امنترین حالت خود هستند، متفاوت رفتار کرد (از جمله انکار اتصال).
– احراز هویت و مجوز قبل از مجاز شدن دسترسی به شدت اجرا میشوند و ممکن است در معرض تغییر باشند. مجوزی که در یک روز داده می شود، مجوز روز بعد را تضمین نمی کند.
– یک سازمان باید تا حد امکان اطلاعات بیشتری را در مورد وضعیت فعلی دارایی ها، زیرساخت شبکه، ارتباطات، کاربران نهایی و دستگاه های خود جمع آوری کند تا وضعیت امنیتی خود را بهبود بخشد. تنها با این بینش ها می توان سیاست ها را ایجاد، اجرا و بهبود بخشید.
نحوه اجرای Zero Trust
هنگامی که این اصول درک و اعمال شوند، یک شرکت می تواند شروع به اجرای استراتژی اعتماد صفر کند. این شامل این پنج مرحله است:
1. شناسایی منابعی که باید محافظت شوند. شرایط متفاوت است – برخی آن را “سطح محافظت” می نامند، برخی دیگر آن را “منطقه اعتماد ضمنی” می نامند. اما اساساً یک منطقه کاملاً تعریف شده است که در آن فرآیندهای Zero Trust رخ خواهند داد که به تجارت و نیازهای آنها بستگی دارد. اولویت بندی مناطق برای حفاظت می تواند این مناطق را حداقل در ابتدا کوچک نگه دارد.
2. نقشه جریان تراکنش برای این منابع. شرکتها باید شناسایی کنند که چه کسانی معمولاً به آن منابع نیاز دارند، چگونه متصل میشوند و از چه دستگاههایی برای اتصال استفاده میکنند.
3. معماری را بسازید. این شامل افزودن مؤلفه هایی است که دسترسی به آن منابع محافظت شده را مجاز یا رد می کند.
4. یک خطمشی Zero Trust ایجاد کنید که نقشهای کاربر، مجوزها، نحوه احراز هویت افراد را نشان دهد (تأیید هویت چند عاملی ضروری است).
5. نظارت و نگهداری سیستم، ایجاد تغییرات و بهبود در صورت نیاز.
معماری Zero Trust چیست؟
هنگامی که یک منبع به عنوان محافظت شده شناسایی شد، یک شرکت باید “نقاط بازرسی” را راه اندازی کند که مسئول تصمیم گیری در مورد اجازه یا رد دسترسی هستند. سه مؤلفه اصلی وجود دارد، بر اساس اصطلاحاتی که توسط NIST در سند معماری Zero Trust از آگوست 2020 ابداع شده است).
موتور خط مشی (PE)
یک موتور سیاست (PE) مسئول تصمیم گیری برای اعطای یا رد دسترسی به یک منبع است. معمولاً بر اساس خط مشی سازمانی تصمیم می گیرد، اما از منابع خارجی (شامل سیستم های CDM، سرویس های اطلاعاتی تهدید) و الگوریتم اعتماد نیز ورودی دریافت می کند. هنگامی که تصمیمی گرفته می شود، ثبت می شود و مدیر خط مشی اقدام را اجرا می کند.
مدیر خط مشی (PA)
PA مسئول ایجاد یا خاموش کردن مسیر ارتباطی بین درخواست کننده (اعم از شخص یا ماشین) و منبع (داده، سرویس، برنامه) است. PA می تواند احراز هویت جلسه خاص (یا استفاده از نشانه ها، اعتبارنامه ها، رمز عبور) را به عنوان بخشی از فرآیند خود ایجاد کند. اگر درخواستی اعطا شود، PA نقطه اجرای سیاست (PEP) را پیکربندی می کند تا اجازه دهد جلسه شروع شود. اگر درخواستی رد شود، PA به PEP می گوید که اتصال را قطع کند.
نقطه اجرای سیاست (PEP)
PEP اتصالات بین درخواست کننده و منبع را فعال، نظارت و در نهایت خاتمه می دهد. برای ارسال درخواستها و همچنین دریافت بهروزرسانیهای خطمشی از PA با PA ارتباط برقرار میکند.
خط مشی معماری Zero Trust
سیستمهای اضافی میتوانند به قوانین ورودی ویا خطمشی کمک کنند، از جمله سیستمهای CDM، سیستمهای انطباق با صنعت (اطمینان از اینکه این سیستمها با سازمانهای نظارتی مطابقت دارند)، سرویسهای اطلاعاتی تهدید (اطلاعاتی درباره بدافزار شناساییشده جدید، نقصهای نرمافزار یا سایر حملات گزارششده) گزارشهای فعالیت شبکه و سیستم، و سیستمهای مدیریت هویت (برای پیگیری نقشهای بهروز، داراییهای اختصاصیافته و سایر ویژگیها).
چالش های معماری شبکه ZTN
جدا از برخی از مسائل مهاجرت مرتبط با حرکت از اعتماد ضمنی به اعتماد صفر، چندین موضوع دیگر وجود دارد که رهبران امنیتی باید در نظر بگیرند. ابتدا، اجزای PE و PA باید به درستی پیکربندی و نگهداری شوند. یک مدیر سازمانی با دسترسی پیکربندی به قوانین PE ممکن است بتواند تغییرات تایید نشده ای را انجام دهد یا اشتباهاتی انجام دهد که می تواند عملکرد را مختل کند. یک PA به خطر افتاده می تواند اجازه دسترسی به منابعی را بدهد که در غیر این صورت تایید نمی شدند. این اجزا باید به درستی پیکربندی و نظارت شوند، و هر گونه تغییر باید ثبت شده و مورد بازرسی قرار گیرد.