معماری Zero Trust چیست و آشنایی با 5 اصل این مدل در VMware

معماری Zero Trust چیست؟ امنیت یک چالش همیشگی برای سازمان‌ها بوده و با نیروی کار امروزی این چالش روبه افزایش است بطوری که John Kindervag، تحلیلگری که اولین‌ بار در تحقیقات Forrester سال 2010 صحبت از  Zero Trust به میان آورد، به یک مدل امنیتی اشاره داشت که بطور خودکار به محیط های امنیتی اعتماد نمی‌کند. پس از آن، شیوه‌های کاری متغیر و افزایش استفاده از برنامه‌های کاربردی SaaS منجر به این شد که Zero Trust به یکی از مهم‌ترین فرم‌های امنیت جایگزین بدل شود که هدف آن نوعی معماری است که از داده‌ها محافظت نماید. VMware به مدل Zero Trust اختصاص یافته و این به معنای ساخت یک معماری مدرن و پویای امنیتی است که بجای اقدامات امنیتی قدیمی بر مبنایی عمیق‌تر و وسیع‌تر اعتماد می‌کند.در این مقاله کاربران را با مدل VMware Zero Trust آشنا خواهیم کرد و شامل خلاصه‌های دقیق از پنج اصل Zero Trust به شرح زیر می باشد: Device Trust ،User Trust ،Transport/Session Trust ،Application Trust و Data Trust.

مروی بر معماری Zero Trust

Zero Trust چیست؟ در معماری قدیمی امنیتی، شبکه Local معمولا شامل یک محیط بزرگ و واحد است که خود می‌تواند عامل خرابی شود بطوری که اگر یک مهاجم بتواند به این محیط نفوذ کند تمامی DMZ بطور Horizontal تحت خطر قرار می‌گیرد. از آنجایی که امنیت تنها بر این محیط متمرکز شده، مهار کردن حمله بسیار دشوار خواهد بود.

مفهوم Micro Perimeter آرایش معماری را از یک DMZ بزرگ به چندین مرزبندی کوچک‌تر اطراف هر برنامه کاربردی و داده‌های مربوط به آن تغییر داد. اگر یک مهاجم بتواند به یکی از این مرزها نفوذ کند، تنها در آن محیط قدرت حمله داشته و به راحتی مهار می‌شود و این رویکرد چندلایه امنیت بیشتری فراهم می‌سازد.

رویکرد چندلایه یا Multi-Layered شامل اضافه کردن لایه امنیتی پیرامون داده‌ها و برنامه کاربردی، کسب اطمینان از امنیت دسترسی و انتقال و داشتن دانشی جامع درباره کاربر و تجهیزات بکار رفته برای درخواست دسترسی می‌شود. Security Checkهای هر لایه این امکان را می‌دهند تا Logهای حسابرسی را استخراج نموده و تحلیلات نهایی را بدست آورد. بدین ترتیب این بستر وجود دارد تا به نوعی خودکارسازی و تنظیم دست یافت که در آن تمامی داده‌ها و برنامه‌های کاربردی بطور مساوی تحت مراقبت هستند و هیچ کاربر یا تجهیزاتی بطور پیش‌فرض مورد اعتماد نیست. 

آشنایی با 5 اصل معماری Zero Trust

در توضیح اینکه 5 اصل در معماری Zero Trust چیست می توان گفت معماری Zero Trust شامل 5 اصل بوده که عبارتند از Device Trust ،User Trust ،Transport or Session Trust ،Application Trust و Data Trust. باید اعتماد را در تمامی این 5 اصل ایجاد نمود تا تصمیم بر ایجاد یا منع حق دسترسی گرفت و بدین ترتیب می‌توان قابلیت دید جامعی را کسب نمود و تحلیلات تمامی موارد را بدست آورد. قابلیت دید و آنالیز از بخش‌های حیاتی معماری Zero Trust به ایجاد Footprint وسیع‌تر در هر اصل کمک می‌کنند.

VMware بطور ویژه‌ برای کمک به استفاده از Zero Trust خدمت‌رسانی کرده و جامع‌ترین مجموعه راهکارهایی که تمامی اصول Trust را پوشش می‌دهند به همراه دارد.

بخش‌های فرعی زیر چند نمونه از پارامترهایی را ارائه می‌دهند که هر اصل را طبقه‌بندی کرده و بیان می‌کنند که کدام راهکار VMware می‌تواند به ایجاد اعتماد کمک نماید.

 Device Trust: با یکپارچه‌سازی Device Trust به عنوان بخشی از Zero Trust می‌توان جزئیات پارامترهای زیر را بدست آورد:

پارامترهای Device Trust	محصولات مخصوص برقراری  Device Trust
مدیریت تجهیزات دارایی‌های تجهیزات انطباق تجهیزات احراز هویت تجهیزات	VMware Workspace ONE UEM جهت ایجاد Device Trust VMware Unified Access Gateway برای احراز هویت تجهیزات VMware Carbon Black برای برقراری امنیت Endpoint

User Trust: به عنوان بخشی از Zero Trust باید از روش‌های ایمن‌تری برای احراز هویت کاربران بهره گرفت و این اصل نیازمند موتور پرقدرت دسترسی  می باشد.

پارامترهای User Trust	محصولات مخصوص برقراری  User Trust
احراز هویت بدون رمز عبور احراز هویت چند مرحله‌ای دسترسی مشروط Scoreکردن پویای دیسک	VMware Workspace ONE Access و VMware Workspace ONE Intelligence برای انجام احراز هویت قوی و دادن حق دسترسی مشروط و انعطاف پذیر

Transport/Session Trust: با استفاده از اصل دسترسی Least-Privilege به منابع که مربوط به Zero Trust است، می‌توان حق دسترسی کاربران را محدود نموده و حداقل مجوز را برای انجام امور به آنها داد.

پارامترهای Transport/Session Trust	محصولات مخصوص برقراری  Transport/Session Trust
Micro-segmentation رمزگذاری انتقالات حفاظت از Session	VMware Unified Access Gateway و VMware Horizon 7 برای ایمن‌سازی انتقالات در Sessionها VMware NSX-T Data Center برای بخش‌بندی منابع جهت تسهیل بکارگیری دسترسی Least-Privilege در شبکه

Application Trust: در پی مدرن شدن احرازهویت کاربران، با درنظر گیری یک Sign-On واحد برای برنامه‌های کاربردی، امنیت و تجربه کاربری بهتر هر دو با هم بدست می‌آیند. برای برنامه‌های کاربردی قدیمی که برای Zero Trust طراحی نشده‌اند، می‌توان از ایزوله‌سازی برای حفاظت بهره گرفت.

Data Trust: براساس آخرین اصل مدل Zero Trust، باید از ایمن ماندن داده‌ها اطمینان حاصل نمود.

پارامترهای Data Trust	محصولات مخصوص برقراری  Data Trust
حفاظت از داده‌ها و غیره یکپارچگی DLP یا حفاظت در برابر از دست دادن داده‌ها طبقه‌بندی	VMware Horizon 7 ،VMware Workspace ONE UEM و VMware NSX-T Data Center برای حفاظت، کنترل و اطمینان از یکپارچگی داده‌ها

آنالیز و خودکارسازی: با برقراری اعتماد در تمامی 5 اصل معماری Zero Trust، می‌توان به قابلیت دید و آنالیز دست یافت، پس به سیستمی نیاز است که با Logکردن تمامی ترافیک قابلیت دید را فراهم سازد. این اطلاعات می‌توانند بعدا برای یادگیری و مانیتورکردن الگو‌های شبکه مورد استفاده قرار گیرند و تحلیلات نهایی کمک می‌کنند تا تصمیمات و Policyهای سودمندی اتخاذ شوند.

بیشتر بخوانید: بررسی ارکان اصلی در مدل امنیت Zero Trust

با قابلیت دید وآنالیز می‌توان تنظیم و خودکارسازی را ایجاد نمود و برای این کار سرویس‌های پلتفرم Workspace ONE و Horizon این امکان را می‌دهند تا اطلاعات محتوایی را از تمامی محیط جمع‌آوری نمود. این آگاهی محتوایی به هوش کمک می‌کند و اجازه می‌دهد تا تصمیمات به موقع گرفته شود و از خودکارسازی برای Remediation تهدیدات استفاده شود. بخش‌های زیر اطلاعات المان‌های لازم برای تحلیل و خودکارسازی را فراهم کرده و در انتخاب راهکار مناسب VMware کمک می‌کنند.

قابلیت دید و آنالیز: دست‌یابی به قابلیت دید و توسعه تحلیلات وابسته به پارامترهای زیر است:

پارامترهای خودکارسازی و تنظیم	محصولات برقراری خودکارسازی و تنظیم
موتور انطباق در تجهیزات APIها برای یکپارچگی با برنامه‌های خارجی Workflowهای محتوایی برای Remediation خودکار	VMware Workspace ONE UEM VMware Workspace ONE Intelligence

خورکارسازی و تنظیم: به عنوان بخشی از Zero Trust باید از روش‌های ایمن‌تری برای احراز هویت کاربران بهره گرفت و این اصل نیازمند موتور پرقدرت دسترسی  به داده ها می باشد.

مقاله های مرتبط: