هرگز اعتماد نکن، همیشه تحقیق کن: مدل امنیتی Zero Trust

01 مرداد 1399 هرگز اعتماد نکن، همیشه تحقیق کن: مدل امنیتی Zero Trust

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مدل Zero Trust در سال‌های اخیر میان سازمان‌ها محبوبیت بسیاری پیدا کرده است. بر طبق داده‌های سال 2019، هفتاد و هشت درصد تیم‌های امنیت اطلاعات این مدل را پیاده‌سازی کرده یا دست‌کم برای پیاده‌سازی آن قدم برداشته‌اند. در ادامه قصد داریم مفهوم Zero Trust یا همان اعتماد صفر را باز کنیم تا ببینیم به چه دلیل کسب و کارها تا این اندازه جذبش شده‌اند. با ما همراه بمانید.

دیگر خبری از امنیت محیط نیست

امنیت محیط –اصطلاحی معمول در حفاظت زیرساخت سازمانی- کارش در محفظه قرار دادن و محدودسازی استفاده از بررسی‌های کامل است؛ بررسی‌هایی که مختص اقداماتی هستند در جهت متصل شدن به منابع سازمانی آن هم از بیرونِ زیرساخت. در اصل، امنیت محیط کارش مرزکشی است بین شبکه سازمانی و بقیه‌ی جهان. با این حال، داخل محیط –داخل شبکه سازمانی-  به منطقه‌ی قابل‌اعتماد یا trusted zone بدل می‌شود که در آن، کاربران، دستگاه‌ها و اپ‌ها از آزادی خاصی بهره می‌برند.

امنیت محیط جواب داد- مادامیکه منطقه‌ی قابل‌اعتماد به شبکه دسترسی محلی محدود و دستگاه‌های ثابت نیز بدان متصل بودند. اما با افزایش استفاده از گجت‌های موبایل و سرویس‌های کلود توسط کارمندان، مفهوم «محیط[1]» رفته‌رفته گنگ شد. این روزها، دست‌کم بخشی از منابع سازمانی خرج از اداره یا حتی خارج از مرز قرار دارد. تلاش برای مخفی کردن آن‌ها پشت حتی بلندترین دیوارها نیز در بهترین حالت ممکن عملی نیست. نفوذ به منطقه‌ی قابل‌اعتماد و حرکت آزادانه بدون موانع آسانتر شده است.

سال 2010، جان کیندروگ تحلیلگر مرکز پژوهشی Forrester مفهوم Zero Trust را جایگزینی برای امنیت اطراف اعلام کرد. او رها کردن تقابل خارج و داخل را پیشنهاد کرد و در عوض توصیه کرد تمرکز روی منابع باشد. Zero Trust در اصل به معنای عدم هر نوع منطقه‌ی اعتماد است. در این مدل، کاربران، دستگاه‌ها و اپ‌ها هر بار که درخواست دسترسی به منابع سازمانی‌کنند در معرض یک سری بررسی‌ها قرار خواهند گرفت.

Zero Trust در عمل

هیچ رویکرد واحدی برای بکارگیریِ سیستمی امنیتی مبتنی بر Zero Trust وجود ندارد. علاوه بر این، فرد می‌تواند چندین اصل اساسی را شناسایی کند؛ اصولی که به ساخت سیستمی مشابه کمک می‌کند.

سطح محافظت به جای سطح حمله 

مفهوم Zero Trust معمولاً شامل «سطح محافظت» می‌شود که هرآنچه را سازمان باید از آن در برابر دسترسی غیرقانونی محافظت کند دربرمی‌گیرد: داده‌های محرمانه، اجزای زیرساخت و غیره. سطح محافظت در مقایسه با سطح حمله به طور قابل‌توجهی کوچکتر است. سطح حمله دربرگیرنده‌ی تمامی دارایی‌ها، فرآیندها و عوامل آسیب‌پذیر زیرساخت است. بنابراین تضمین امنیت سطح محافظت از کاهش سطح حمله به صفر به مراتب ساده‌تر می‌باشد.

میکروسگمنتیشن[2]

مدل Zero Trust برخلاف رویکرد سنتی که محافظت خارج محیط را ارائه می‌دهد، زیرساخت سازمانی و سایر منابع را به نودهای کوچکی تقسیم می‌کند (به حد یک دستگاه یا یک اپ). نتیجه، می‌شود کلی محیط‌های میکروسکوپی که هر یک خط‌مشی‌های امنیتی و مجوزهای دسترسی مخصوص به خود را دارد. این باعث می‌شود مدیریت دسترسی و توانمندسازی شرکت‌ها برای مسدود کردن شیوع غیرقابل‌کنترل تهدیدی در شبکه انعطاف‌پذیر شود.

اصل حداقل بودن اختیارات

به هر کاربری تنها اختیارات لازم برای اجرای تسک‌های خود داده می‌شود. از این رو، یک اکانت کاربری‌ واحدِ هک‌شده تنها باعث خدشه‌دار شدن بخش کوچکی از زیرساخت می‌شود.

احراز هویت

اصل Zero Trust می‌گوید فرد باید با هر تلاشی برای دسترسی پیدا کردن به اطلاعات سازمانی به عنوان تهدیدی بالقوه برخورد کند تا عکس آن ثابت شود. بنابراین، برای هر سشن، هر کاربر، هر دستگاه و هر اپلیکیشن باید رویه احراز هویت طی شود و ثابت گردد مجوز دسترسی به داده‌های مربوطه را دارد.

کنترل کامل

برای اینکه پیاده‌سازی Zero Trust مؤثر باشد، تیم آی‌تی می‌بایست قدرت کنترل کردن هر دستگاه و اپ کاری را داشته باشد. همچنین ضبط و تحلیل اطلاعات پیرامون هر رویداد روی اندپوینت‌ها و سایر اجزای زیرساخت نیز بسیار حائز اهمیت است.

مزایای Zero Trust

Zero Trust علاوه بر حذف نیاز به محافظت از محیط –که با افزایش استفاده از موبایل در کسب و کارها به طور فزاینده‌ای دارد مرزهایش محو می‌شود- برخی مشکلات دیگر را حل می‌کند. به طور خاص، با توجه به بررسی و بازبینی مداوم هر عامل پروسه‌، شرکت‌ها می‌توانند بسیار راحت‌تر تغییر کنند. بعنوان مثال با از میان برداشتن اختیارات دسترسی کارمندانی که از شرکت رفتند یا تنظیم اختیارات آن دسته از افرادی که مسئولیت‌ و سمتشان تغییر کرده است.

چالش‌هایی در پیاده‌سازی Zero Trust

انتقال به Zero Trust می‌تواند برای برخی سازمان‌ها سخت و زمان‌بر باشد. اگر کارمندان شما هم از تجهیزات سازمانی و هم دستگاه‌های شخصی (برای مقاصد اداری) استفاده می‌کنند پس همه‌ی تجهیزات باید فهرست شود؛ می‌بایست روی دستگاه‌های لازم برای کار خط‌مشی‌های سازمانی تعریف کرد و دسترسی به منابع سازمانی نیز باید برای سایر تجهیزات مسدود شود. برای شرکت‌های بزرگی که در چندین شهر یا کشور شعبه دارند این پروسه کمی زمان خواهد برد.

همه‌ی سیستم‌ها هم به طور یکسانی با Zero Trust سازگار نمی‌شوند. فرضاً اگر شرکت شما زیرساخت پیچیده‌ای داشته باشد، ممکن است دستگاه‌ها یا نرم‌افزارهای از رده‌خارج و منسوخی داشته باشد که نتوانند از استانداردهای فعلی امنیتی پشتیبانی کنند. جایگزین کردن این سیستم‌ها خود هم زمان می‌برد و هم هزینه‌بردار است. کارمندان شما –شامل اعضای تیم آی‌تی و امنیت اطلاعات شما- ممکن است برای این تغییر فریم‌ورک آمادگی لازم را پیدا نکرده باشند. از اینها گذشته، آن‌ها همان‌هایی‌اند که مسئول کنترل دسترسی و مدیریت زیرساخت شما را بر عهده خواهند داشت. این بدان‌معناست که در بسیاری از موارد، شرکت‌ها ممکن است به برنامه‌ی انتقال تدریجی Zero Trust نیاز داشته باشند. برای مثال، گوگل 7 سال نیاز داشت تا بتواند بر اساس Zero Trust فریم‌ورک BeyondCorp را بسازد. مدت‌زمان پیاده‌سازی ممکن است به طور قابل‌ملاحظه‌ای برای سازمان‌هایی که شعبات کمتری دارند کوتاهتر شود اما نباید هم انتظار داشت که این پروسه در چندین هفته تمام شود (حتی تکمیل چند ماهه نیز انتظار زیادی است).

Zero Trust، امنیت آینده

بنابراین، گذار از امنیت محیط (که مدلیست سنتی) به فریم‌ورک Zero Trust–البته با فرض استفاده از فناوری موجود- ممکن است همچنان پروژه‌ای زمان‌بر و سخت باشد (هم از حیث مهندسی و هم از حیث تغییر ذهنیت کارمندان). با این حال، این تضمین داده می‌شود که شرکت از مخارچ پایین امنیت اطلاعات و نیز تعداد کمی از رخدادها و خسارات مربوطه بهره‌مند خواهد شد.

 

[1] perimeter

[2] Microsegmentation، یک روش ایجاد مناطق امن در مراکز داده و توسعه دهی ابری است که به شرکتها اجازه می دهد جداول کاری را از یکدیگر جدا کنند و آنها را به صورت جداگانه محافظت کنند. این هدف بیشتر در راستای ایجاد امنیت شبکه است.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد