روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مدل Zero Trust در سالهای اخیر میان سازمانها محبوبیت بسیاری پیدا کرده است. بر طبق دادههای سال 2019، هفتاد و هشت درصد تیمهای امنیت اطلاعات این مدل را پیادهسازی کرده یا دستکم برای پیادهسازی آن قدم برداشتهاند. در ادامه قصد داریم مفهوم Zero Trust یا همان اعتماد صفر را باز کنیم تا ببینیم به چه دلیل کسب و کارها تا این اندازه جذبش شدهاند. با ما همراه بمانید.
دیگر خبری از امنیت محیط نیست
امنیت محیط –اصطلاحی معمول در حفاظت زیرساخت سازمانی- کارش در محفظه قرار دادن و محدودسازی استفاده از بررسیهای کامل است؛ بررسیهایی که مختص اقداماتی هستند در جهت متصل شدن به منابع سازمانی آن هم از بیرونِ زیرساخت. در اصل، امنیت محیط کارش مرزکشی است بین شبکه سازمانی و بقیهی جهان. با این حال، داخل محیط –داخل شبکه سازمانی- به منطقهی قابلاعتماد یا trusted zone بدل میشود که در آن، کاربران، دستگاهها و اپها از آزادی خاصی بهره میبرند.
امنیت محیط جواب داد- مادامیکه منطقهی قابلاعتماد به شبکه دسترسی محلی محدود و دستگاههای ثابت نیز بدان متصل بودند. اما با افزایش استفاده از گجتهای موبایل و سرویسهای کلود توسط کارمندان، مفهوم «محیط[1]» رفتهرفته گنگ شد. این روزها، دستکم بخشی از منابع سازمانی خرج از اداره یا حتی خارج از مرز قرار دارد. تلاش برای مخفی کردن آنها پشت حتی بلندترین دیوارها نیز در بهترین حالت ممکن عملی نیست. نفوذ به منطقهی قابلاعتماد و حرکت آزادانه بدون موانع آسانتر شده است.
سال 2010، جان کیندروگ تحلیلگر مرکز پژوهشی Forrester مفهوم Zero Trust را جایگزینی برای امنیت اطراف اعلام کرد. او رها کردن تقابل خارج و داخل را پیشنهاد کرد و در عوض توصیه کرد تمرکز روی منابع باشد. Zero Trust در اصل به معنای عدم هر نوع منطقهی اعتماد است. در این مدل، کاربران، دستگاهها و اپها هر بار که درخواست دسترسی به منابع سازمانیکنند در معرض یک سری بررسیها قرار خواهند گرفت.
Zero Trust در عمل
هیچ رویکرد واحدی برای بکارگیریِ سیستمی امنیتی مبتنی بر Zero Trust وجود ندارد. علاوه بر این، فرد میتواند چندین اصل اساسی را شناسایی کند؛ اصولی که به ساخت سیستمی مشابه کمک میکند.
سطح محافظت به جای سطح حمله
مفهوم Zero Trust معمولاً شامل «سطح محافظت» میشود که هرآنچه را سازمان باید از آن در برابر دسترسی غیرقانونی محافظت کند دربرمیگیرد: دادههای محرمانه، اجزای زیرساخت و غیره. سطح محافظت در مقایسه با سطح حمله به طور قابلتوجهی کوچکتر است. سطح حمله دربرگیرندهی تمامی داراییها، فرآیندها و عوامل آسیبپذیر زیرساخت است. بنابراین تضمین امنیت سطح محافظت از کاهش سطح حمله به صفر به مراتب سادهتر میباشد.
میکروسگمنتیشن[2]
مدل Zero Trust برخلاف رویکرد سنتی که محافظت خارج محیط را ارائه میدهد، زیرساخت سازمانی و سایر منابع را به نودهای کوچکی تقسیم میکند (به حد یک دستگاه یا یک اپ). نتیجه، میشود کلی محیطهای میکروسکوپی که هر یک خطمشیهای امنیتی و مجوزهای دسترسی مخصوص به خود را دارد. این باعث میشود مدیریت دسترسی و توانمندسازی شرکتها برای مسدود کردن شیوع غیرقابلکنترل تهدیدی در شبکه انعطافپذیر شود.
اصل حداقل بودن اختیارات
به هر کاربری تنها اختیارات لازم برای اجرای تسکهای خود داده میشود. از این رو، یک اکانت کاربری واحدِ هکشده تنها باعث خدشهدار شدن بخش کوچکی از زیرساخت میشود.
احراز هویت
اصل Zero Trust میگوید فرد باید با هر تلاشی برای دسترسی پیدا کردن به اطلاعات سازمانی به عنوان تهدیدی بالقوه برخورد کند تا عکس آن ثابت شود. بنابراین، برای هر سشن، هر کاربر، هر دستگاه و هر اپلیکیشن باید رویه احراز هویت طی شود و ثابت گردد مجوز دسترسی به دادههای مربوطه را دارد.
کنترل کامل
برای اینکه پیادهسازی Zero Trust مؤثر باشد، تیم آیتی میبایست قدرت کنترل کردن هر دستگاه و اپ کاری را داشته باشد. همچنین ضبط و تحلیل اطلاعات پیرامون هر رویداد روی اندپوینتها و سایر اجزای زیرساخت نیز بسیار حائز اهمیت است.
مزایای Zero Trust
Zero Trust علاوه بر حذف نیاز به محافظت از محیط –که با افزایش استفاده از موبایل در کسب و کارها به طور فزایندهای دارد مرزهایش محو میشود- برخی مشکلات دیگر را حل میکند. به طور خاص، با توجه به بررسی و بازبینی مداوم هر عامل پروسه، شرکتها میتوانند بسیار راحتتر تغییر کنند. بعنوان مثال با از میان برداشتن اختیارات دسترسی کارمندانی که از شرکت رفتند یا تنظیم اختیارات آن دسته از افرادی که مسئولیت و سمتشان تغییر کرده است.
چالشهایی در پیادهسازی Zero Trust
انتقال به Zero Trust میتواند برای برخی سازمانها سخت و زمانبر باشد. اگر کارمندان شما هم از تجهیزات سازمانی و هم دستگاههای شخصی (برای مقاصد اداری) استفاده میکنند پس همهی تجهیزات باید فهرست شود؛ میبایست روی دستگاههای لازم برای کار خطمشیهای سازمانی تعریف کرد و دسترسی به منابع سازمانی نیز باید برای سایر تجهیزات مسدود شود. برای شرکتهای بزرگی که در چندین شهر یا کشور شعبه دارند این پروسه کمی زمان خواهد برد.
همهی سیستمها هم به طور یکسانی با Zero Trust سازگار نمیشوند. فرضاً اگر شرکت شما زیرساخت پیچیدهای داشته باشد، ممکن است دستگاهها یا نرمافزارهای از ردهخارج و منسوخی داشته باشد که نتوانند از استانداردهای فعلی امنیتی پشتیبانی کنند. جایگزین کردن این سیستمها خود هم زمان میبرد و هم هزینهبردار است. کارمندان شما –شامل اعضای تیم آیتی و امنیت اطلاعات شما- ممکن است برای این تغییر فریمورک آمادگی لازم را پیدا نکرده باشند. از اینها گذشته، آنها همانهاییاند که مسئول کنترل دسترسی و مدیریت زیرساخت شما را بر عهده خواهند داشت. این بدانمعناست که در بسیاری از موارد، شرکتها ممکن است به برنامهی انتقال تدریجی Zero Trust نیاز داشته باشند. برای مثال، گوگل 7 سال نیاز داشت تا بتواند بر اساس Zero Trust فریمورک BeyondCorp را بسازد. مدتزمان پیادهسازی ممکن است به طور قابلملاحظهای برای سازمانهایی که شعبات کمتری دارند کوتاهتر شود اما نباید هم انتظار داشت که این پروسه در چندین هفته تمام شود (حتی تکمیل چند ماهه نیز انتظار زیادی است).
Zero Trust، امنیت آینده
بنابراین، گذار از امنیت محیط (که مدلیست سنتی) به فریمورک Zero Trust–البته با فرض استفاده از فناوری موجود- ممکن است همچنان پروژهای زمانبر و سخت باشد (هم از حیث مهندسی و هم از حیث تغییر ذهنیت کارمندان). با این حال، این تضمین داده میشود که شرکت از مخارچ پایین امنیت اطلاعات و نیز تعداد کمی از رخدادها و خسارات مربوطه بهرهمند خواهد شد.
[1] perimeter
[2] Microsegmentation، یک روش ایجاد مناطق امن در مراکز داده و توسعه دهی ابری است که به شرکتها اجازه می دهد جداول کاری را از یکدیگر جدا کنند و آنها را به صورت جداگانه محافظت کنند. این هدف بیشتر در راستای ایجاد امنیت شبکه است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.