شبکه Zero Trust Network چیست؟

شبکه Zero Trust Network یا شبکه ZTN یک مدل مدیریت امنیت و کنترل شبکه به شمار می رود که در آن همانطور که از نام آن پیداست میزان اعتماد به صفر می رسد. به این معنی که در این مدل هیچ ماشین، سرویس و یا شخصی معتبر نبوده و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ، بیرون شبکه سازمانی) کاربران و دستگاه ها باید احراز و تأیید هویت شوند و دسترسی آنها به صورت کاملا محدود و تنها بر حسب نیاز تعریف خواهد شد.

به طور کلی مفهوم شبکه Zero Trust Network این است که در دنیای سایبری هیچ کس و هیچ چیز قابل اعتماد نیست. این راهبرد اولین بار در سال 2010 توسط جان کیندرواگ، که در آن زمان تحلیلگر اصلی شرکت تحقیقات فارستر بود، معرفی گردید. چند سال بعد گوگل اعلام کرد که در شبکه خود Zero Trust را پیاده سازی کرده‌ که منجر به رواج آن در جامعه فناوری شده ‌است.

در مدل های مدیریت امنیت سنتی، شبکه به دو بخش بیرون و داخل تقسیم می شده که در آن شبکه بیرون نا امن و غیر قابل اعتماد بوده است. در این مدل ها کابران شبکه داخلی کاملا صادق و مسئولیت پذیر و قابل اعتماد هستند اما از آنکه 80% آسیب ها در شبکه از طریق سوء استفاده افراد با دسترسی های ممتاز کاربران اتفاق افتاده است به همین دلیل شبکه ZTN شکل گرفت که دقیقا اعتماد را نقطه ضعف می داند.

یک اشتباه رایج این است که برخی فکر می‌کنند عدم اعتماد (ZTN) به معنای آن است که شبکه‌ را به گونه‌ای طراحی کنیم که قابل اعتماد باشد در حالی که این راهبرد دقیقا به منظور از بین بردن این اعتماد کاذب معرفی شده است.

اساس مدل امنیتی Zero Trust:

ـ به حداقل رساندن اعتماد

ـ دادن کمترین دسترسی ممکن به کاربران: یعنی تا حد ممکن از دادن دسترسی حتما به کاربران ممتاز هم خودداری گردد. در واقع هیچ کاربر یا ماشینی نباید بصورت اتوماتیک در شبکه trust شده باشد و همانطور که قبل اشاره شد می بایست “حداقل سطح دسترسی” یا اصطلاحاً Least Privileged Security را برای آنها در نظر بگیریم.

ـ بخش بندی شبکه 

ـ مانیتورینگ کلیه فعالیت های شبکه و همچنین مراقبت از فعالیت های مشکوک

ـ هر دستگاه، کاربر یا جریان شبکه ای می بایست authenticate و authorize شود.

ـ آماده لازم جهت برخورد با هر خطری در شبکه در هر زمان

مراحل پیاده سازی شبکه Zero Trust Network:

1. سطح محافظت شونده یا Protect surface:

سطح محافظت شونده به واحد‌های کوچک از حساس ترین و با ارزش ترین المان‌های شبکه گفته می‌شود که شامل: داده (Data)، دارایی‌ (Assets)، برنامه‌های‌کاربردی (Applications) و سرویس‌ها (Services) شده که به اختصار DAAS خوانده می‌شوند.

همانطور که گفته شد DAAS شامل: 

• Data: شامل اطلاعات کارت اعتباری (PCI)، اطلاعات محافظت شده (PHI)، اطلاعات شخصی (PII) و مالکیت معنوی (IP)
• Applications: شامل برنامه ها و نرم افزارهای سفارشی
• Assets: کنترل های SCADA ، پایانه های point-of-sale، تجهیزات پزشکی، دارایی های تولیدی و دستگاه های اینترنت اشیا
• خدمات: DNS ، DHCP و Active Directory

2. نقشه جریان داده یا Transaction flow:

در معماری عدم اعتماد (ZTN) فقط ورود به سیستم مهم نیست بلکه استفاده از داده و مسیر حرکت آن در طول شبکه و یا به خارج از شبکه نیز در طول فعالیت کاربر باید مورد بررسی قرار بگیرد.

3. طراحی معماری مبتنی بر عدم اعتماد یا Zero Trust architecture:

هنگامی که رابطه بین DAAS، زیرساخت، سرویس‌ها و کاربران را درک کردید باید لایه‌ای ‌محافظتی را اطراف سطح محافظت شونده(Protect surface) و تا جای ممکن نزدیک به آن‌ها قرار دهید. برای ایجاد این لایه محافظتی و اطمینان از اینکه فقط ترافیک مجاز یا برنامه‌های قانونی به سطح محافظت شونده دسترسی دارند می‌توان از فایروال‌ها نسل جدید (next generation firewall)، استفاده کنید.

4.  ایجاد خط‌مشی‌های عدم اعتماد یا Zero Trust policy:

فایروال‌های نسل جدید شفافیت بالایی بر روی ترافیک عبوری داشته و این امکان را به شما می‌دهند که بر اساس روش کیپلینگ (Kipling) لایه‌های مختلف نظارت و کنترل دسترسی مبتنی بر خط مشی را اعمال کنید. از جمله این سوالات شامل:

• Who: چه کسی باید به یک منبع دسترسی داشته باشد؟
• What: از چه برنامه ای برای دسترسی به منابع داخلی استفاده می شود؟
• When: چه زمانی به منابع دسترسی پیدا می شود؟
• Where: مقصد بسته کجاست؟
• Why: چرا این بسته سعی می کند به این منبع در سطح محافظت دسترسی پیدا کند؟
• How: چگونه بسته از طریق یک برنامه خاص به سطح محافظ دسترسی پیدا می کند؟

۵. نظارت و اصلاح دائم یا Monitor and maintain:

در مدل شبکه Zero Trust NetworkN باید، باید نظارت دقیقی بر روی فعالیت و روابط بین کاربران، دستگاه‌ها، شبکه‌ها برنامه‌های کابردی و داده‌ها داشته باشید.

Zero Trust Network Access یا ZTNA چیست؟

Zero Trust Network Access (ZTNA) اصلی ترین فناوری است که سازمان ها را قادر می سازد تا امنیت Zero Trust را پیاده سازی کنند. این فناوری بیشتر زیرساخت ها و خدمات را پنهان می کند و ارتباطات رمزگذاری شده یک به یک بین دستگاه ها و منابع مورد نیاز آنها را ایجاد می کند.

منبع : https://mrshabake.com/zero-trust-network/