مدل اعتماد صفر برای دسترسی به شبکه (یا به طور خلاصه، ZTNA) یکی از راهکارهای امنیت فناوری اطلاعات است که به دنبال غلبه بر چالشهای مدلهای امنیتی سنتی است و روزبروز محبوبیت بیشتری پیدا میکند.
با ما همراه باشید تا با طرز کار این روش و ارتباط آن با مفاهیم مشابه آشنا شوید.
دسترسی صفر چیست؟
در مرکز مدل ZTNA بحث دسترسی صفر قرار دارد و به نوعی عکس مدل امنیتی پرکاربرد مبتنی بر محیط است. در روش مبتنی بر محیط، فرض بر این است که میتوان به کاربران و دستگاههایی که در یک محیط خاص هستند اعتماد کرد. منطق این روش این است که صرف قرار داشتن در یک محیط خاص به تنهایی باعث فیلتر شدن ناخواستهها شده و افرادی که در این محیط قرار دارند قابل اعتماد هستند.
به همین دلیل، هر دستگاه یا کاربری میتواند فقط با طی کردن یکسری بررسی اولیه، به تجهیزات درون یک محیط دسترسی پیدا کند. اما امروزه این روش قابل استفاده نیست چون در این روش وجود یک حفره امنیتی در محیط میتواند به پیامدهایی فاجعه بار منجر شود. بعلاوه در این روش توجهی به تهدیدات داخلی وجود ندارد.
مدل دسترسی صفر سعی دارد با کنار گذاشتن روش اعتماد به کاربران بر اساس موقعیت مکانی آنها، مشکلات مدل قبلی را حل کند.
اصول مدل ZTNA
مدل ZTNA کاربردی عملی از اصل “بی اعتمادی به همه” است. البته این عبارت ساده شامل چند اصل کلیدی و ریزه کاریهای مختلف است از جمله:
- هر منبع داده و سرویس رایانشی، یک منبع ارزشمند محسوب میشود؛
- همه ارتباطات صرف نظر از محل شبکه، ایمن سازی میشوند؛
- دسترسی به هر منبع، بر اساس نشست مورد نظر اعطا میشود؛
- سیاست حاکم بر دسترسیها به شدت پویا است. این سیاست اپلیکیشنها، سرویسها، داراییهای مورد تقاضا، وضعیت قابل مشاهده هویت کاربر و پارامترهای مختلف دیگر را شامل میشود.
- سازمان، کار نظارت و کنترل وضعیت امنیتی و جامعیت همه داراییها را انجام میدهد.
- احرازهویت و صدور مجوز برای هر منبع، به صورت پویا پیاده سازی شده و به صورت دقیق و کامل پیش از اعطای هر گونه دسترسی، اجرا میشود.
- سازمان دائماً درباره وضعیت فعلی منابع، شبکهها، سیستمهای ارتباطی و داراییها اطلاعات دریافت میکند با این هدف که توان آمادگی امنیتی و واکنش آن در سطحی مطلوب باقی بماند.
ZTNA و SASE
ZTNA قطب اصلی مدل SASE (لبه دسترسی سرویس امن) است و مفاهیم امنیت و شبکه را بیش از پیش به هم نزدیک میکند اما در مقیاسی کوچکتر. هر سازمانی با هر مقیاسی میتواند به راحتی ZTNA را پیاده سازی کند. وقتی این سرویس فعال و اجرا شود، یک کانال امن در اختیار کاربران قرار میدهد که کل ترافیک شبکه را برای همه دستگاههای در حال استفاده دریافت میکند.
به این ترتیب از هر گونه دستکاری ترافیک پیشگیری شده و گردش آن دائماً تحت نظارت خواهد بود. ZTNA در این فرایند حجم اطلاعات زیادی را درباره منابع موجود جمع آوری میکند که میتوانند بسیار ارزشمند باشند.
وقتی در فریم ورک ZTNA یک ناهنجاری امنیتی شناسایی شود، بلافاصله از دسترسی به همه دستگاههای مربوطه پیشگیری میشود. برای به حداقل رساندن تعداد چنین حوادثی باید همه دستگاهها و کاربران هر زمان که قصد دسترسی به منابع خاصی را دارند، احرازهویت شوند.
می توان در کنار این روش از اصول دیگر هم استفاده کرد مثل کمترین سطح دسترسی که در این روش هر کاربر یا دستگاهی حداقل سطح دسترسی لازم برای انجام کار خودش را دریافت میکند.
مقایسه ZTNA با VPN
عملکرد ZTNA و وی پی ان شبیه هم به نظر میرسد چون بعضی از کارهای آنها همپوشانی دارد. اما این دو تکنولوژی به روشهای متفاوتی پیاده سازی و مدیریت میشوند.
در عین حال ZTNA شما را از وی پی ان بی نیاز نمی کند. آنچه که ZTNA به وی پی ان اضافه میکند، پشتیبانی از دستگاههای همراه، تمرکز بیشتر بر نظارت بر رویدادهای شبکه، پیشگیری از حملات رایج، تفکیک خودکار شبکه و غیره است.
در نهایت، ZTNA و وی پی ان هر دو مفهوم تونل امن را پیاده سازی میکنند اما ZTNA از پروتکلهایی جدیدتر و پیشرفته تر برای این کار استفاده میکند.