اعتماد صفر در امنیت شبکه
دنیای به هم متصل امروز، دنیایی است که تغییر کرده است، و سازمان ها دیگر نمی توانند مطمئن باشند که روی شبکه های بسته ی خود کنترل کامل دارند. (Mattew Margetts مدیر فروش و بازاریابی Smarter Technologies)
فهرست مطالب
Toggleهمه گیری کوید 19، ساختار جدیدی ایجاد کرد که در آن بسیاری از نیروها بصورت دورکار شده اند و کسب و کارها را وادار کرد تا استفاده از پلتفرم های ابری خود را در جهت پشتیبانی از دستگاه ها و شبکه های مختلف افزایش دهند. متاسفانه مجرمین می توانند از این دگرگونی موجود استفاده کنند و اقدام به افزایش نفوذ در شبکه برای دستاوردهای شوم خود کنند.
راهکار امنیتی «موروثی»، سنجه های امنیتی بر پایه ی مدلی هستند که فرض می کند تمام کاربران و اپلیکیشن ها از نقاط ورودی و مکان شبکه ی یکسانی می آیند. این رویکرد دیگر کافی نیست. به همین دلیل است که مدل امنیتی «اعتماد صفر» در حال تبدیل شدن به معماری امنیتی ارجح است.
اعتماد صفر امنیتی به چه معناست؟
معماری اعتماد صفر رویکردی به طراحی سیستم آی تی می باشد که در آن اعتماد موروثی (inherent) حذف می شود. شبکه، خصمانه تلقی می شود، و هر درخواستی، بنا بر یک سیاست دسترسی اعتبارسنجی می شود. صرفنظر از دستگاه، شبکه و فعالیت کاربر، معماری اعتماد صفر بر مبنای چک کردن مدیریت دسترسی در هر سطح پایه گذاری شده است.
مرکز ملی امنیت سایبری (NCSC) می گوید: در معماری اعتماد صفر، اعتماد موروثی معنا ندارد. صرف این که شما به یک شبکه متصل شده اید، به این معنا نیست که به همه چیز در آن شبکه دسترسی دارید. این مورد معمولا در بریچ ها مشاهده می شود. مهاجم به جای پایی در یک شبکه دست پیدا می کند و می تواند بصورت جانبی حرکت کند، چرا که همه چیز در شبکه مورد اعتماد است. در یک شبکه ی اعتماد صفر، شبکه بعنوان یک متخاصم در نظر گرفته می شود.
Photo by Tima Miroshnichenko from Pexels: https://www.pexels.com/photo/person-in-black-hoodie-hacking-a-computer-system-5380651
8 اصل طراحی یک شبکه ی اعتماد صفر
NCSC یک معماری مبتنی بر 8 اصل جهت طراحی چنین شبکه ای معرفی کرده است.
- معماری خود را بشناسید، اعم از کاربران، دستگاه ها، سرویس ها و داده ها
جهت بهره مندی از اعتماد صفر، بایستی از هر جزء تشکیل دهنده معماری خود درکی شفاف داشته باشید، تا بتوانید موارد زیر را شناسایی کنید:
- منابع کلیدی شما کجا هستند
- ریسک های اصلی معماری شما کدامند
- چطور از سرویس های دارای امنیت موروثی که اعتماد صفر را پشتیبانی نمی کنند، اجتناب کنید
- هویت کاربران، سرویس ها و دستگاه ها را شناسایی کنید
هر هویتی بایستی در معماری اعتماد صفر، بطور منحصر به فرد قابل احراز باشد. این مهم ترین
فاکتور در تصمیم گیری برای اجازه ی دسترسی فرد یا دستگاه به داده یا سرویس ها می باشد.
- رفتار کاربر، دستگاه ها و سلامت سرویس ها را بررسی کنید
جهت ساخت اعتماد، موتورهای سیاست اعتماد صفر بایستی بتوانند رفتار کاربر، دستگاه و سلامت سرویس را بررسی کنند.
- برای احراز درخواست ها از سیاست ها استفاده کنید
قدرت معماری اعتماد صفر در تعریف سیاست های دسترسی است. تمام درخواست ها باستی مطابق سیاست امنیتی مشخصی احراز شوند. این سیاست ها همچنین به روند به اشتراک گذاری داده و سرویس ها با سازمان های همکار یا کاربران میهمان، کمک می کنند. ویژگی های کلیدی یک سیاست در معماری اعتماد صفر عبارتند از:
- از سیگنال های متعدد استفاده می کند
- یک مکانیزم امن و منعطف برای کنترل دسترسی ارائه می دهد
- خود را با منابعی که درخواست شده اند، تطبیق می دهد
- همه جا احراز و بررسی را انجام دهید
هرگونه فعالیت احراز هویت و بررسی بایستی چندین سیگنال (مشخصه) را بررسی کند، مثل:
- سلامت دستگاه
- موقعیت دستگاه
- هویت کاربر
- ارزیابی وضعیت ریسک مرتبط با درخواست
- مانیتورینگ خود را به کاربران، دستگاه ها و سرویس ها معطوف نمایید
در معماری اعتماد صفر، مانیتورینگ همواره بایستی به سیاست هایی که شما در جهت تامین اطمینان مقرر نموده اید نگاه کند. استراتژی مانیتورینگ اعتماد صفر روی تک تک کاربران، رفتارشان، دستگاه ها و سرویس ها تمرکز می کند.
- به هیچ شبکه ای اعتماد نکنید، حتی مال خودتان
در یک معماری اعتماد صفر، محافظت های سنتی کاربر مانند محافظت فیشینگ و فیلتر کردن سایت های مخرب، می تواند متفاوت پیاده سازی شده و نیاز به راهکارهای متفاوتی داشته باشد. یک اصل کلیدی در اعتماد صفر، حذف اعتماد موروثی از هر شبکه ای بین یک دستگاه، یک سرویس و حتی شبکه ی محلی می باشد. هرگونه ارتباطی برای دسترسی به داده یا سرویسی در یک شبکه بایستی از یک پروتکل امن استفاده کند تا از ترافیک داده محافظت شده و نسبت به تهدیدها مستعد نباشد.
- سرویس هایی که برای اعتماد صفر طراحی شده اند را انتخاب کنید
تمام سرویس ها از اعتماد صفر پشتیبانی نمی کنند. این یعنی برای هماهنگ شدن با این ساختار، ممکن است نیاز به منابع اضافی داشته باشند. این یک پشتیبانی مازاد را باعث می شود، بنابراین توصیه می شود محصولات و سرویس های جایگزین که با در نظر گرفتن معماری اعتماد صفر طراحی شده اند را برگزینید.
در نهایت اگر درباره ی اینکه آیا معماری اعتماد صفر برای نیازهای شبکه ی شما کارامد است یا نه شک دارید، بهتر است با یک متخصص امنیت مشورت کنید تا با کمک وی بتوانید نیازهای خاص سازمان خود را در این انتقال دیجیتالی پیش بینی و برطرف کنید.
ترجمه: ژرف پویان توس