منظور از شبکه Zero Trust Network یا به اختصار ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمان های فناوری محور استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس و یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی (داخل شبکه سازمانی، DMZ، بیرون شبکه سازمانی) کاربران و دستگاه ها باید احراز و تأیید هویت شوند و دسترسی آنها به صورت “حداقل سطح دسترسی” به منابع مورد نیاز تعریف می شود.
با احراز هویت مدام و محدود کردن سطوح دسترسی فقط به منابع کاملا ضروری فرصت های بسیار کمتر و محدود تری به هکرها و بد افزارها برای دستیابی به اطلاعات حیاتی داده می شود، شبکه ای که با این مدل امنیتی طراحی، اجرا و مدیریت می شود اصطلاحاً “شبکه بدون اعتماد”، “شبکه با اعتماد صفر” یا Zero Trust Network نامیده می شود.
اصطلاح Zero Trust Network (شبکه با اعتماد صفر) اولین بار توسط یک محقق موسسه فارستر در سال 2010 به کار برده شد و بعد از آن شرکت Google چند سال بعد اعلام کرد که این مدل را در شبکه خود پیاده سازی کرده است. بعدها شرکت هایی همچون Cisco و Symantec و… نیز راهکارهایی را در این رابطه ارائه کردند.
در یک شبکه ZTN می بایست 5 مورد زیر را همیشه در نظر گرفت:
در ZTN به صورت پیش فرض شبکه داخلی و خارجی و همچنین کاربران داخلی و خارجی غیر Trust در نظر گرفته می شود، کاربران می بایست برای دسترسی به منابع شبکه مورد بررسی قرار گیرند و لایه های مختلف امنیتی برای جلوگیری از نقض داده ها یا اصطلاحاً data breach وجود داشته باشد.
با توجه به اینکه در یک شبکه ZTN فرض می شود که هکرها داخل و خارج از شبکه سازمان وجود دارند، بنابراین هیچ کاربر یا ماشینی نباید بصورت اتوماتیک در شبکه trust شده باشد و همانطور که پیشتر اشاره شد می بایست “حداقل سطح دسترسی” یا اصطلاحاً Least Privileged Security را برای آنها در نظر بگیریم. به عنوان مثال فرض کنید به سربازان در یک ارتش فقط می بایست در حد محدود و مورد نیاز آنها اطلاعات داده شود، چرا که در غیر اینصورت و به خاطر اسارت یک سرباز و دریافت اطلاعات او توسط دشمن ممکن است که کل ارتش شما به خطر بیوفتد. از این رو در مدل شبکه ای ZTN نیز نباید به هیچ کاربری دسترسی را بیش از آن حدی که نیاز دارد اختصاص دهیم.
همچنین ZTNها از Micro-Segmentation استفاده می کنند. Micro-Segmentation در واقع یک ناحیه امنیتی را به چندین Zone کوچکتر تقسیم می کنند تا نگهداری و دسترسی به بخش های مجزایی از شبکه را محدود کرده و مورد کنترل قرار دهند. به عنوان مثال شما در یک دیتاسنتر با استفاده از Micro-Segmentation می توانید بسته به نیاز خود یک دو جین security zone ایجاد کنید تا اینکه یک شخص یا یک برنامه تنها با دسترسی به یکی از این zoneها قادر به دسترسی به سایر zoneهای تعریف شده شما بدون authorization مجرا نباشد.
مکانیزم دیگری که در شبکه های ZTN در نظر گرفته می شود استفاده از متدهای MFA یا Multi-Factor Authentication است که یک ارزش تلقی می شود. MFA به بیان ساده یعنی اینکه برای دسترسی به یک ماشین یا application یا هر منبع دیگری در شبکه تنها وارد کردن یک کد رشته به عنوان password کافی نیست. از این رو بسیاری از applicationهای جدید دارای قابلیت MFA یا حداقل 2FA یا اصطلاحاً Two-Factor Authentication هستند، همانند پلتفرم های آنلاینی مثل Facebook و یا Google که علاوه بر پسورد، یک کاربر می بایست در این سرویس ها یک کدی را که بر روی device او (مثلا موبایلش) ارسال شده است را وارد کند تا این ادعا که این کاربر همان کاربر واقعیست که دارای اکانت در این سرویس هاست احراز شود.
همچنین جهت مدیریت ریسک یا Risk Manager می بایست در شبکه های ZTN تمام جریان های ترافیکی شبکه و فعالیت های مشکوک مورد بررسی قرار گرفته و نظارت و مانیتور شوند.
در یک شبکه ZTN شما می بایست یک Protect Surface یا “سطح محافظت” را مشخص نمایید. منظور از Protect Surface یک شبکه با اطلاعات حیاتی و با ارزش از Data و Assetها و Applicationها و Serviceها یا به اختصار DAAS است. با مشخص کردن Protect Surfaceها شما می توانید تعیین کنید که چگونه ترافیک می بایست در طول شبکه سازمان شما حرکت کند و چطور کاربران و applicationها می بایست به آنها دسترسی داشته باشند. همچنین شما باید کنترل هایی را در نزدیکی هر Protect Surface یا سطح محافظت شده قرار دهید تا از آن اصطلاحاً یک ناحیه microperimeter ایجاد کنید. این microperimeter می تواند با Protect Surface شما و هرجایی که آن می رود حرکت کند. شما می توانید یک microperimeter را با پیاده سازی یک segmentation gateway ایجاد کنید که در واقع نوعی از Next-Generation Firewallها هستند که آنها را تحت عنوان SD-Firewall یا جدیدترین رده از فایروال های معرفی شده در سال 2019 می شناسیم. به این طریق تنها به ترافیک یا application مشروعی که پیشتر مورد بررسی قرار گرفته اند اجازه دسترسی به Protect Surface مد نظر داده خواهد شد.
توجه داشته باشید که Segmentation Gateway، یک دید granular و لایه ای اضافی جهت بازرسی و کنترل دسترسی با policyهای لایه 7ی granular مبتنی بر متند Kipling Method را فراهم می کند. به عبارت بهتر Zero Trust Policy می گوید چه کسی، کی، کجا، چرا و چطور می بایست به منابع دسترسی پیدا کند بر خلاف شبکه های سنتی که امنیت شبکه در آنها مبتنی بر مفهوم castle-and-moat است. (در مدل سنتی امنیتی castle-and-moat گفته می شود که دسترسی از بیرون شبکه به داخل شبکه سخت است اما بر هر کسی که در داخل، شبکه بصورت پیش فرض trust شده فرض شود. در این دیدگاه یک attacker با دسترسی به شبکه می تواند آزادانه به هر بخش از شبکه داخلی دسترسی داشته باشد چرا که شبکه داخلی برای هر فردی در داخل آن trust فرض شده است.)
بطور کلی ZTNها یک معماری یکسان ندارند و از سازمانی به سازمان دیگر ممکن است معماری های آنها متفاوت باشد. اما جهت پیاده سازی یک Zero Trust می بایست موارد زیر را در نظر بگیرید:
نویسنده مقاله: میثم ناظمی
[1] Zero Trust Networks, Evan Gilman and Doug Barth, O’Reilly, 2017.
[2] Zero Trust Security | What’s a Zero Trust Network?, Cloudfalre
[3] What is a Zero Trust Architecture?, Paloalto Networks
[4] Implementing Zero Trust Using the Five-Step Methodology, Paloalto Networks
[5] Does Network Micro-Segmentation Provide Additional Security?, Steve Jaworski, SANS Institute, 2017
[6] Secure Network Design: Micro Segmentation, Brandon Peterson, SANS Institute, 2016