هرآنچه درباره معماری Zero Trust باید بدانید

سازمان NIST به تازگی با انتشار مطلبی در مورد معماری Zero Trust  که به اختصار ZTA خوانده می‌شود، مروری بر این رویکرد جدید به امنیت شبکه داشته است.

این روزها، معماری Zero Trust  در بسیاری از Policyها و برنامه‌های امنیت سایبری‌ که به دنبال کاهش محدودیت دسترسی به داده‌ها و منابع هستند حضور دارد. در این مطلب نیز سعی شده که هم «تعریفی انتزاعی» از ZTA ارائه شود و هم راهنمایی بیشتری در خصوص مدل‌های پیاده‌سازی، موارد کاربردی و دستورالعمل‌هایی برای اجرا فراهم گردد.

آن‌ها درصدد حل چه مشکلی هستند؟ نمایندگی‌ها و شبکه‌های سازمانی، امکان دسترسی گسترده به منایع را برای کاربران مجاز فراهم کرده‌اند، چرا که از قدیم تمرکز آن‌ها بر روش‌های دفاعی Perimeter بوده است. اما این امر منجر به یک حرکت جانبی درون شبکه نیز شده است که یکی از بزرگ‌ترین چالش‌های امنیتی محسوب می‌گردد.

از دید واقع‌گرایانه‌ی NIST، انتقال به معماری Zero Trust بیشتر از اینکه جایگزینیِ کامل زیرساخت یک سازمان باشد، شبیه به یک سیر تحول است. عملکرد بیشتر سازمان‌ها، تا زمانی که به سرمایه‌گذاری‌های مدرن‌سازی IT ادامه می‌دهند،‌ احتمالا به صورت Hybrid (دوگانه)، با هر دو مدل معماری Zero Trust و حالت قدیمی در کنار هم ادامه خواهد یافت.

به علاوه NIST بیان می‌کند که ZTA بر خلاف نام غلط‌اندازش، صرفا از یک شبکه تشکیل نشده است، بلکه دارای مجموعه‌ای از اصول پیشبرنده است.

طرح کلی نشان‌دهنده موارد زیر است:

• تغییر از Perimeterهای گسترده‌ی شبکه به تمرکزی محدودتر بر محافظت از منابع تکی یا گروه‌‌های کوچک منابع
• بر اساس موقعیت مکانی فیزیکی یا موقعیت شبکه‌ی سیستم‌ها، هیچ اعتماد ضمنی‌ای حاصل نمی‌گردد.

روش‌های قدیمی با این که مانع حملات اینترنتی می‌گردند، ممکن است در تشخیص یا ممانعت از حملاتی که از داخل خود شبکه نشات گرفته‌اند، موثر واقع نشوند.

معماری Zero Trust به دنبال این است که بر مهمترین قسمت مسئله تمرکز کند، که طبق تعریف NIST دو هدف اصلی را در بر می‌گیرد:

1. کاهش دسترسی غیرمجاز به داده‌ها و سرویس‌ها
2. بالابردن Granularity اجرای کنترل دسترسی تا حد امکان

بیشتر بخوانید: راهکار Cisco Zero Trust چیست و چه قابلیت هایی دارد

اصول معماری Zero Trust

NIST تعدادی دستورالعمل مفهومی را فهرست کرده که طراحی و پیاده‌سازی معماری Zero Trust باید هم‌ردیف آن‌ها قرار گیرد. این دستورالعمل‌ها در زیر خلاصه شده‌اند:

1. همه داده‌ها و سرویس‌های پردازش به عنوان منبع در نظر گرفته می‌شوند. برای مثال، اگر دستگاه‌های شخصی اجازه دسترسی به منابع سازمان را داشته باشند، سازمان ممکن است آن‌ها را به عنوان منبع به حساب آورد.
2. تمامی ارتباطات فارغ از موقعیت مکانی شبکه ایمن هستند. یعنی همان الزامات امنیتی‌ای که برای درخواست‌های خارج از شبکه لحاظ می‌شود، باید برای درخواست‌های داخلی نیز لحاظ گردد. هر ارتباط باید رمزگذاری و احراز هویت شود.
3. دسترسی به منابع تکی سازمان بر مبنای هر اتصال مجزا امکان‌پذیر است. اعتماد به هر آن چیزی که درخواست دسترسی می‌کند، پیش از دادن دسترسی به آن ارزیابی می‌شود – احراز هویت برای یک منبع، به طور خودکار به معنای دسترسی به منبع دیگر نیست.
4. دسترسی به منابع توسط توسط Policy تعریف می‌گردد که شامل وضعیت هویت کاربر و سیستم درخواست‌کننده است و ممکن است شامل Attributeهای رفتاری نیز بشود. NIST هویت کاربر را به عنوان یک حساب شبکه که برای درخواست دسترسی مورد استفاده قرار می‌گیرد و همچنین تمام Attributeهای سازمانی نیز به این اکانت تخصیص‌داده شده تعریف می‌کند. یک «سیستم درخواست» به ویژگی‌های دستگاه (مانند نسخه‌ی نرم‌افزاری، مکان شبکه و غیره) اشاره دارد. «ویژگی‌های رفتاری» شامل فرآیندهای آنالیز هر تغییر رفتاری از الگوهای پایه‌ای.، توسط کاربر و دستگاه است،.
5. سازمان اطمینان حاصل می‌کند که همه‌ی سیستم‌های متعلق و مرتبط با آن در امن‌ترین وضعیت ممکن قرار دارند. درهمین‌حال سیستم‌ها را مانیتور می‌کند تا اطمینان حاصل نماید که آن‌ها ایمن هستند. سازمان‌ها نیاز دارند وضعیت سیستم‌ها را مانیتور و در صورت لزوم Patchها یا اصلاحاتی را اعمال کنند. به هر سیستمی که بنا بر تشخیص آسیب‌‌پذیر باشد یا متعلق به سازمان نباشد، امکان دسترسی داده نمی‌شود.
6. احراز هویت کاربر به صورت پویا صورت می‌گیرد‌ و پیش از آن که به کاربر اجازه دسترسی داده شود، با جدیت اجرا می‌شود. NIST از این مورد با عنوان «چرخه مستمر دسترسی» ارزیابی تهدید و احراز هویت مداوم یاد می‌کند که نیازمند آماده‌سازی و دادن حق دسترسی (استفاده از MFA جهت دسترسی به منابع سازمان) به کاربر و نیز مانیتورینگ مداوم و احراز هویت مجدد در تمام فرایند تعامل کاربر است.

تهدیدات پیش ‌روی معماری Zero Trust

در ادامه خلاصه‌ای از چند تهدید بالقوه کلیدی که پیش‌روی ZTA قرار دارد دیده می‌شود:

تهدید خودی

معماری Zero Trust  می‌تواند برای کاهش ریسک تهدید خودی، اقدامات زیر را انجام دهد:

• از دسترسی اکانت یا سیستم در معرض خطر، فارغ از هدف آن، جلوگیری کند.
• MFA برای دسترسی شبکه می‌تواند ریسک دسترسی از طریق اکانت در معرض خطر را کاهش دهد.
• از حرکت جانبی اکانت‌‌های در معرض آسیب در سراسر شبکه جلوگیری کند.
• از ساختار جهت شناسایی هر نوع فعالیت دسترسی خلاف هنجار استفاده کند و مانع دسترسی اکانت یا سیستم شود.

برای آن که دسترسی غیرمجاز به صورت تهدید واقع نشود، Duo برای هر برنامه کاربردی MFA فراهم می‌کند که بخشی از ساختار Cisco Zero Trust محسوب می‌گردد. یک لایه اضافه برای تایید هویت می‌تواند دسترسی مهاجم از طریق رمزهای عبور ربوده‌شده یا حملات Brute-Force را کاهش دهد. این قابلیت در کنار Device Insight And Policies در Duo پایه‌ی مستحکمی را برای نیروی کاری Zero Trust فراهم می‌کند.

نسخه‌های فدرال جدید Duo متناسب با موارد زیر طراحی شده‌اند:

• کنترل‌های امنیت FedRAMP/FISMA
• NIST’s Digital Identity Guidelines (NIST SP 800-63-3)
• تطبیق‌پذیری با FIPS 140-2

FedRAMP Authorized Authentication، قابلیت دسترسی امن برای نمایندگی‌های فدرال و دیگر مشتریان بخش دولتی، شامل Policyهای دسترسی مبتنی بر نقش یا مبتنی بر موقعیت مکانی، احراز هویت زیست‌سنجشی و … را فراهم می‌کند.

قابلیت دید شبکه

در یک معماری Zero Trust، تمام ترافیک باید بررسی و Log شده سپس مورد تجزیه و تحلیل قرار گیرد تا حملات شبکه‌ای به سازمان شناسایی شده و به آن‌ها پاسخ داده شود. اما ممکن است مانیتورینگ قسمتی از ترافیک شبکه دشوار باشد، چرا که این ترافیک از سیستم‌های Third-Party یا برنامه‌هایی کاربردی‌ می‌آید که به دلیل ترافیک رمزگذاری‌شده قابل بررسی نیستند.

در این وضعیت، NIST توصیه می‌کند Metadata (فراداده) رمزگذاری‌شده و ترافیک جمع‌آوری و تحلیل شود تا بدافزارها یا مهاجمان شبکه تشخیص داده شوند. NIST همچنین به پژوهش‌های Cisco درباره تکنیک‌های یادگیری ماشینی برای ترافیک رمزگذاری‌شده اشاره می‌کند:

«سازمان می‌تواند فراداده را درباره ترافیک رمزگذاری‌شده جمع‌آوری کند و آن را برای شناسایی ارتباطات محتمل بدافزار در شبکه یا شناسایی مهاجم فعال مورد بررسی قرار دهد. تکنیک‌های یادگیری ماشینی (آندرسون) را می‌توان برای تجزیه و تحلیل ترافیکی مورد استفاده قرار داد که غیر قابل رمزگشایی و سنجش است. به کار گیری این نوع از یادگیری ماشینی این امکان را برای سازمان فراهم می‌کند که ترافیک را به دو گروه «معتبر» و «احتمالا مخرب و نیازمند اصلاح» دسته‌بندی کند.»

Cisco Encrypted Traffic Analytics یا به اختصار ETA، امکان شناسایی و رفع تهدیدات شبکه در ترافیک رمزگذاری‌شده را فراهم می‌کند تا بدون رمزگشایی بتوان به بینش عمیق‌تری از آن رسید. همچنین به کمک این قابلیت می‌توان به سرعت تجهیزات و کاربردهای آلوده را مهار کرد و در عین حال شبکه را ایمن نمود. به علاوه می‌توان به کمک ترکیب این قابلیت با Cisco Stealthwatch، با استفاده از یادگیری ماشینی و تجزیه و تحلیل ساختارمند، به مانیتورینگ Real-Time دست یافت.

مانیتورینگ مستمر با معماری Zero Trust

در مطلب سازمان NIST، همچنین به برنامه قدرتمند Continuing Diagnotics and Mitigation یا به اختصار CDM اشاره شده و از آن به عنوان «کلید موفقیت ZTA» یاد شده است.

این برنامه Inventory کامل دارایی‌های فیزیکی و مجازی است. نمایندگی‌ها جهت محافظت از سیستم‌ها باید دانش عمیقی از هر آنچه در زیرساخت وجود دارد، داشته باشند:

• آنچه متصل است: تجهیزات، برنامه‌های کاربردی و سرویس‌های مورد استفاده؛ همچنین وضعیت امنیت، نقاط آسیب‌پذیر و تهدیدات مرتبط.
• کسی که از شبکه استفاده می‌کند: کاربران داخلی و خارجی، شامل هر نهاد (غیرانسانی‌) که به صورت خودگردان فعالیت می‌کند، نظیر اکانت‌های سرویسی که با منبع در تعامل‌اند.
• آنچه در شبکه در شرف وقوع است: دانش عمیق نسبت به الگوهای ترافیک، پیام‌ها و ارتباط بین سیستم‌ها.
• چگونگی محافظت از داده‌‌ها: سیاست‌های سازمان در خصوص چگونگی حفاظت از اطلاعات، چه اطلاعات At Rest و چه اطلاعات In Transit.

داشتن قابلیت دید نسبت به بخش‌های مختلف اتصال و دسترسی، مبنایی اصلی را برای شروع ارزیابی فعالیت و ارزیابی آن در داخل و خارج شبکه فراهم می‌کند.

معرفی پلتفرم Zero Trust سیسکو

ویدیوهای بیشتر درباره Cisco

Cisco Zero Trust

پرسیدن سوالات مذکور و نیز یافتن راه‌حلی که تمام و کمال پاسخگوی آن‌ها باشد، احتمالا چالش‌برانگیز خواهد بود، چرا که نیازمند بررسی و انتقال داده‌های (Telemetry) کاربر، تجهیزات، سیستم و برنامه کاربردی است که کل محیط IT را از شبکه محلی سازمان گرفته تا شاخه‌های Multicloud پوشش ‌دهد و همه انواع کاربران را از کارمندان تا فروشندگان و پیمانکاران و کارکنان از راه دور و … در بر بگیرد.

باید نسبت به هر آنچه در زیرساخت وجود دارد، قابلیت دید پیدا کرد و به صورت مستمر روی دسترسی افراد کنترل داشت. Cisco Zero Trust رویکرد جامعی نسبت به ایمن‌سازی هر گونه دسترسی از جانب هر کدام از کاربران، تجهیزات و مکان‌ها در سراسر برنامه‌های کاربردی و محیط فراهم و از نیروی کاری، بارهای کاری و محل کار محافظت می‌کند و متشکل از سه محصول اصلی زیر است:

• برای محافظت از نیروی کاری، Duo Security اطمینان حاصل می‌کند که فقط کاربران مناسب و تجهیزات امن به برنامه‌های کاربری دسترسی پیدا کنند.
• برای محافظت از سرویس‌دهی، Tetration همه اتصالات درون برنامه‌های کاربردی در سراسر Multi-Cloud را ایمن می‎‌سازد.
• برای محافظت از محل کار، SD-Access تمامی اتصالات کاربر و تجهیزات شامل IoT را در سراسر شبکه ایمن می‌کند.

این مدل امنیتی کامل Zero Trust امکان کاهش ریسک و شناسایی و پاسخ به آن را در سراسر محیط فراهم می‌سازد. تایید اعتماد پیش از اعطای دسترسی در سطح برنامه‌های کاربردی، تجهیزات و شبکه‌‎ها می‌تواند به محافظت علیه ریسک‌های مبتنی بر هویت و دیگر ریسک‌های امنیتی دسترسی کمک کند.

Cisco اخیرا عنوان پیشرو را در The Forrester Wave: Zero Trust EXtended Ecosystem Platform Providers, Q4 2019 به خود اختصاص داده است.

مقاله های مرتبط: