4/1
شبکه بدون اعتماد مبتنی بر یک مدل امنیتی است که اعتماد را از طریق احراز هویت مستمر و نظارت بر هر دسترسی به شبکه ایجاد میکند. ZTN با مدل سنتی که در آن فرض میشود همه چیز در یک شبکه شرکتی قابل اعتماد است متفاوت است.
شبکه بدون اعتماد مبتنی بر یک مدل امنیتی است که اعتماد را از طریق احراز هویت مستمر و نظارت بر هر دسترسی به شبکه ایجاد میکند. ZTN با مدل سنتی که در آن فرض میشود همه چیز در یک شبکه شرکتی قابل اعتماد است متفاوت است.
مزایای شبکه بدون اعتماد عبارتند از:
یک شبکه بدون اعتماد کمتر به سخت افزارهای خاص متکی است و بیشتر از رویکردهای جدید امنیتی بهره میبرد. با استفاده از فرآیند زیر میتواند از این رویکردها در زیرساختهای موجود استفاده کرد:
فهرستی از داراییها تهیه کنید و میزان ارزش و آسیبپذیری آنها را ارزیابی کنید. برخی از این داراییها میتوانند داراییهای شرکتی مانند دادههای اختصاصی و مالکیت معنوی باشند.
نفوذ به شبکه اغلب از طریق دستگاههای جعلی آغاز میشود. برای بدون اعتماد نگه داشتن شبکه، دستگاهها و کاربران باید ثابت کنند که فرد یا چیزی هستند که ادعای آن را میکنند. این راستیآزمایی را میتوان از طریق احراز هویت چندعاملی برای کاربران، تراشههای تعبیهشده در دستگاهها، و تجزیه و تحلیل رفتار دستگاههای اینترنت اشیاء (IoT) متصل شده، انجام داد.
تعریف کنید که چه کسی به داراییها دسترسی دارد، چه زمانی باید به آنها دسترسی داشته باشد، و چگونه و چرا باید به آنها دسترسی پیدا کند. سعی کنید تعریف این موارد را بخشی از فرآیند عادی کسب و کار خود کنید.
از نتایج ارزیابی برای تعریف قوانین و خطمشیهایی برای احراز اطلاعات، از جمله متادیتاهایی (metadata) مانند دستگاه، مکان، مبدا، و زمان، و همچنین دادههای متنی مانند فعالیت اخیر و احراز هویت چند عاملی (MFA) استفاده کنید. این فرآیندها را با فایروالهایی که این ویژگیها را بررسی می کنند، خودکار کنید.
یک رویکرد بدون اعتماد، همانند مدلسازی تهدید، نیاز به آزمایش دارد. باید اطمینان حاصل شود که تأثیر آن بر میزان بهرهوری تا حد ممکن است پایین است و میتواند تهدیدات امنیتی فرضی را خنثی کند. پس از استقرار، تیمهای امنیتی باید رفتار دستگاه را به طور مداوم بررسی کنند تا ناهنجاریهایی که نشاندهنده نفوذهای جدید است را شناسایی کنند و به طور فعال سیاستهای و قوانین را برای مسدود کردن مهاجمان تغییر دهند.
سطح حفاظت به هر دارایی که نیاز به محافظت دارد اشاره میکند.
بخشبندی (segmentation) به معنی سازماندهی و مرتب کردن مجدد یک سطح محافظتی بزرگتر است. به عنوان مثال، تقسیم کل شبکه به سطوح حفاظت کوچکتری که بر اساس ارزش، استفاده، ترافیک، فرآیند کار و عوامل دیگر تعریف شدهاند. دروازه بخشبندی در واقع یک فایروال است که از بخش خاصی در یک شبکه بزرگتر محافظت میکند.
میکروسگمنت یک بخش کوچکتر و ایمن در یک شبکه بزرگتر است که توسط یک ریزمحیط محافظت میشود. از میکروسگمنت ها میتوان برای اعمال کنترل دسترسی به شکلی دانهای استفاده کرد.
فایروال لایه 7 نسل جدیدی از فایروال است که میتواند محتویات بستهها را بررسی کند تا از محتویات بیشتری برای تعریف معیارهای احراز هویت استفاده کند.
احراز هویت چند عاملی یک اصل مهم در شبکههای بدون اعتماد Zero-Trust Networking است. تقریباً تمام احراز هویتهای بدون اعتماد چند عاملی هستند، یعنی احراز هویت به چندین اطلاعات یا ویژگی نیاز دارد تا امکان دسترسی به منابع شبکه را فراهم کند.
احراز هویت پیامکی محبوبترین عامل اضافی است که امروزه به احراز هویت کاربر اضافه شده است. این مورد به طور گسترده در تجارت الکترونیک و توسط سرویسّهای رسانههای اجتماعی استفاده میشود. در احراز هویت پیامکی، کاربران کدهای مورد نیاز برای احراز هویت خود به شبکه یا سرویس را از طریق پیامک دریافت میکنند.
دسترسی با حداقل امتیاز یعنی محدود کردن امتیازها و میزان دسترسی کاربران (حتی کاربران قابل اعتماد) تنها به برنامهها، خدمات، و دادههایی که نیاز فوری به آنها دارند.
در یک محیط بدون اعتماد، امنیت به طور پیش فرض از طریق قوانین و سیاستهایی که توسط نرم افزار نوشته و پیادهسازی شده است، تامین میشود. عناصر یک محیط بدون اعتماد، یعنی بخشها و محیطهایی که جزء محیطی بزرگتر هستند، خود توسط نرم افزار تعریف میشوند.
مشابه زیرساختهای تعریف شده توسط نرمافزار، قوانین امنیتی تعریف شده توسط نرمافزار اجازه کنترل بیشتر، دید بهتر، و فرصتهای بیشتر برای خودکارسازی میدهند.
Granular Enforcement اصطلاح دیگری است برای آنچه شبکهی بدون اعتماد Zero-Trust Networking انجام میدهد: احراز هویت برای اقدامات بسیار خاص.
نظرات کاربران: