شبکههای سنتی مثل یک قلعه با دیوارهای بلند طراحی میشدند. هر کسی داخل قلعه بود، قابل اعتماد به حساب میآمد و میتوانست روی گنجینهها راه برود. این همان امنیت محیطی است که تا سالها جواب میداد. امروز این مدل فرو ریخته.
دورکاری، سرویسهای ابری، دستگاههای شخصی و تیمهای پراکنده باعث شدهاند محیط شبکه دیگر یک مرز مشخص نداشته باشد. حملهها هم پیچیدهتر شدهاند. مهاجم از طریق یک ایمیل فیشینگ اعتبار یک کارمند را میدزدد و بهراحتی داخل شبکه جولان میدهد، چون سیستمهای سنتی به محض ورود، اعتماد کامل میکنند.
نتیجه: هزینه متوسط یک نفوذ داده در سال ۲۰۲۴ طبق گزارش IBM به ۴.۸۸ میلیون دلار رسید. ۸۲ درصد از این نفوذها به دادههای ذخیرهشده در محیطهای ابری مربوط بودند. وقت آن است که منطق امنیتی را عوض کنیم. جواب در یک عبارت خلاصه میشود: اعتماد صفر.
در این محتوای تخصصی با متااندیش از برترین شرکت های پشتیبانی و مشاوره شبکه ایران همراه باشید.
چرا امنیت محیطی دیگر جواب نمیدهد؟
در معماری قدیمی، فایروال و VPN مرز شبکه را مشخص میکردند. کاربران راه دور با VPN به شبکه داخلی وصل میشدند و بعد از آن، دسترسی گستردهای به منابع داشتند. این رویکرد چند نقطه کور بزرگ دارد. اول، تهدیدهای داخلی.
کارمندی که ناراضی است، یا مهاجمی که اعتبار یک کاربر را به دست آورده، از اعتماد پیشفرض سواستفاده میکند. گزارش ۲۰۲۴ موسسه Ponemon نشان میدهد ۶۰ درصد از نفوذها عامل انسانی دارند و ۲۳ درصد از آنها عمدی بودهاند.
دوم، رشد نمایی دستگاههای متصل. لپتاپ شخصی، تلفن همراه، تبلت و حتی دستگاههای اینترنت اشیا همگی به شبکه وصل میشوند. نمیتوان به سلامت تکتک آنها اعتماد کرد. سوم، پراکندگی دادهها. برنامهها و اطلاعات دیگر تنها در دیتاسنتر شرکت نیستند.
بخش بزرگی روی Azure، AWS یا Google Cloud و در نرمافزارهای SaaS مثل Microsoft 365 و Salesforce قرار دارند. مرز شبکه محو شده است. در چنین فضایی، اعتماد کردن بر اساس IP یا موقعیت مکانی، یعنی قمار کردن روی امنیت سازمان.
مهم: در مدل اعتماد صفر، هیچ درخواست دسترسی، حتی از داخل شبکه داخلی، بهطور خودکار قابل اعتماد نیست. هر درخواست باید احراز هویت، مجوز و رمزنگاری شود. موقعیت فیزیکی یا آدرس IP بهتنهایی امتیاز دسترسی ایجاد نمیکند.
اعتماد صفر دقیقاً چه میگوید؟
مدل اعتماد صفر یک چارچوب امنیتی است که شعار اصلی آن هرگز اعتماد نکن، همیشه تأیید کن میباشد. این عبارت اولین بار توسط جان کیندر واگ در سال ۲۰۱۰ مطرح شد، اما بنیان فنی آن در استاندارد NIST SP 800-207 شکل گرفت.
در این مدل، دیگر داخل شبکه امن و خارج شبکه ناامن وجود ندارد. تمام درخواستهای دسترسی، چه از یک کاربر در دفتر مرکزی باشد، چه از یک اپلیکیشن ابری، باید بهطور مستمر احراز هویت و مجوزدهی شوند.
سه اصل پایهای NIST آن را روشن میکند: نخست، هر جریان دسترسی باید قبل از انتقال داده، احراز هویت و مجوز شود. دوم، دسترسی حداقلی اعمال گردد؛ یعنی کاربر فقط به منابعی دسترسی داشته باشد که برای انجام وظیفهاش ضروری است. سوم، بازرسی و ثبت تمام تراکنشها بهصورت لحظهای انجام شود تا هر ناهنجاری سریعاً کشف گردد. فرض بر این است که شبکه همیشه در معرض تهدید است، حتی شبکه داخلی. پس باید طوری رفتار کنیم که انگار مهاجم همین الان داخل سیستم حضور دارد.
پایههای اجرایی مدل اعتماد صفر
برای عملیاتی کردن اعتماد صفر، پنج ستون اصلی باید در کنار هم تقویت شوند: هویت، دستگاه، شبکه، داده و بارهای کاری. این ستونها جدا از هم نیستند و در یک پازل واحد قرار میگیرند.
هویت: احراز هویت چندعاملی (MFA) دیگر یک گزینه لوکس نیست، یک ضرورت قطعی است. ترکیب رمز عبور با اثر انگشت، کلید امنیتی FIDO2 یا اعلان تلفن همراه، بیش از ۹۹ درصد حملات مبتنی بر سرقت اعتبار را مسدود میکند. مدیران باید دسترسی بر اساس نقش (RBAC) و ویژگی (ABAC) را پیادهسازی کنند.
مثلاً یک کارمند واحد مالی از ساعت ۸ صبح تا ۶ عصر، از لپتاپ مدیریتشده شرکت و از کشور تأییدشده، میتواند به سیستم حسابداری دسترسی داشته باشد. هر تغییری در این پارامترها، دسترسی را قطع میکند.
دستگاه: سلامت دستگاه شرط ورود است. اگر لپتاپ آنتیویروس بهروز نداشته باشد، وصلههای امنیتی را دریافت نکرده باشد یا دیسک رمزنگاری نشده باشد، دروازه دسترسی به هیچ منبعی باز نمیشود. ابزارهای ارزیابی پوسچر مثل Microsoft Intune یا Cisco ISE، پیش از هر اتصال، سلامت دستگاه را چک میکنند.
شبکه: ریزبخشبندی (Micro-Segmentation) شبکه را به بخشهای بسیار کوچک تقسیم میکند. به جای یک شبکه تخت که آلودگی در آن به سرعت پخش میشود، هر سرور یا برنامه در جزیره امنیتی خودش قرار میگیرد. اگر مهاجمی به وب سرور نفوذ کند، نمیتواند به پایگاه داده یا کنترلکننده دامنه بپرد. این کار با فایروالهای توزیعشده درون مرکز داده و راهکارهای SDN عملی میشود. طبق گزارش Forrester، ریزبخشبندی میتواند سطح حمله را تا ۷۰ درصد کاهش دهد.
داده: حفاظت از داده باید در حالت سکون، در حال انتقال و در حال استفاده انجام شود. رمزنگاری سرتاسری، طبقهبندی خودکار دادهها و اعمال سیاستهای جلوگیری از نشت داده (DLP) جلوی خروج اطلاعات حساس را میگیرد.
تحلیل و مانیتورینگ: هیچ سیستمی کامل نیست. باید رفتار کاربران و موجودیتها (UEBA) را بهطور پیوسته زیر نظر داشت. SIEM و SOAR با تحلیل لاگها، ورود از یک موقعیت غیرعادی در ساعت ۲ بامداد را شناسایی میکنند و جلسه را قطع میکنند. این تحلیلها موتور تصمیمگیری اعتماد صفر را تغذیه میکنند.
امنیت شبکهتان را به متخصصان بسپارید
طراحی و پیادهسازی Zero Trust، راهاندازی ZTNA، ریزبخشبندی شبکه، امنسازی زیرساخت و مشاوره تخصصی شبکه با تیم حرفهای متااندیش.
✅ مشاوره رایگان
✅ اجرای پروژه
✅ پشتیبانی
گامهای عملی پیادهسازی
حرف زدن از اعتماد صفر ساده است، اجرایش نیاز به یک نقشه راه روشن دارد. این مسیر نه یک پروژه موقت، که یک سفر مداوم است. تجربه نشان داده پیادهسازی را باید از داراییهای کلیدی شروع کرد و به تدریج گسترش داد.
سطح حفاظتی را مشخص کنید. به جای حفاظت از یک شبکه بزرگ و مبهم، روی آنچه واقعاً باید محافظت شود تمرکز کنید. معمولاً این داراییها شامل دادههای حساس مشتریان، کد منبع نرمافزار، سیستمهای مالی و زیرساخت احراز هویت است.
جلسهای با مالکان فرایندهای کسبوکار بگذارید و فهرست ۲۰-۳۰ دارایی حیاتی را بیرون بکشید. اگر نمیدانید از کجا شروع کنید، از Active Directory و پایگاه دادههای اصلی آغاز کنید، چون اینها اهداف اول مهاجمان هستند.
جریان تراکنشها را ترسیم کنید. حالا باید بفهمید چه کاربران، دستگاهها و برنامههایی به این داراییها دسترسی دارند. این کار صرفاً فنی نیست؛ نیاز به همکاری تیمهای شبکه، برنامه و کسبوکار دارد.
نتیجه نهایی یک نقشه دقیق از وابستگیهاست: فلان وبسرور با دیتابیس روی پورت ۱۴۳۳ صحبت میکند، اپلیکیشن موبایل از API داخلی درخواست میدهد و کارمندان از طریق VPN یا ZTNA متصل میشوند. بدون این نقشه، اعمال سیاستهای دسترسی دقیق ممکن نیست.
معماری شبکه را با دید اعتماد صفر طراحی کنید. اینجا نوبت به فناوریهای دروازهبانی میرسد. یک پروکسی هویتمحور که همان ZTNA باشد، جایگزین VPN سنتی میشود. در این روش، کاربر ابتدا به یک نقطه دسترسی ابری احراز هویت میشود، سپس ترافیک بهطور رمزنگاریشده فقط به برنامه مشخصشده هدایت میشود.
کاربر هرگز IP شبکه داخلی را نمیبیند و دسترسیاش در سطح برنامه باقی میماند. راهکارهای SDP (محیط تعریفشده با نرمافزار) هم با پنهان کردن زیرساخت، سطح حمله را محو میکنند. در مرکز داده، ریزبخشبندی را با ابزارهایی مثل VMware NSX، Cisco ACI یا راهکارهای متنباز مانند Open vSwitch با سیاستهای فایروال اعمال کنید. نقطه کانونی دیگر، موتور سیاست است.
این موتور بر اساس ورودیهای لحظهای مثل موقعیت جغرافیایی، ریسک دستگاه، سابقه رفتار و حساسیت منبع، تصمیم به اجازه یا رد دسترسی میگیرد. برای شروع، لازم نیست کل شبکه را یکشبه متحول کنید. یک اپلیکیشن حیاتی را انتخاب کنید و حلقه کامل اعتماد صفر را روی آن پیاده کنید، سپس توسعه دهید. بر اساس تحقیق گارتنر، ۶۱ درصد سازمانها تا پایان ۲۰۲۴ حداقل یک نمونه آزمایشی اعتماد صفر را اجرا کردهاند.
سیاستها را بنویسید و خودکار کنید. سیاستها باید به زبان کسبوکار نوشته شوند، نه دستورات فنی فایروال. «کاربران بخش مالی فقط از دستگاههای تأییدشده و از کشور ایران میتوانند به SAP دسترسی داشته باشند.»
سپس این سیاستها را در ابزارهایی مثل Azure AD Conditional Access، Okta Workflows یا فایروالهای نسل بعد پیاده کنید. خودکارسازی این سیاستها حیاتی است، چون محیط پویا است و نمیتوان با تنظیمات دستی پیش رفت.
پایش و بهبود مستمر. اعتماد صفر یک مقصد نیست. گزارشها و هشدارهای SIEM را جدی بگیرید. ناهنجاریها را تحلیل کنید و سیاستها را سختگیرانهتر کنید. مثلاً اگر متوجه شدید کاربری روزانه ۱۰ مگابایت از CRM خروجی میگیرد ولی ناگهان ۲ گیگابایت دانلود میکند، سیاست خودکار باید جلسه را قطع و مدیر امنیت را خبر کند. هر فصل، جریانهای تراکنش را بازبینی و نقشه را بهروز کنید.
فناوریهایی که در کنار اعتماد صفر مینشینند
هیچ محصولی به تنهایی نمیتواند ادعای جعبه اعتماد صفر داشته باشد. این معماری از ترکیب چندین فناوری حاصل میشود. ZTNA که پیشتر گفتیم، ستون فقرات دسترسی کاربران از راه دور است و جای VPN قدیمی را میگیرد.
شرکتهایی مثل Zscaler، Cloudflare و Netskope نمونههای تجاری آن را ارائه میدهند. در حوزه هویت، Azure AD و Okta رهبران بازارند و احراز هویت تطبیقی را ممکن میسازند.
برای ریزبخشبندی شبکه، VMware NSX با توزیع فایروال در سطح هسته مجازیساز، ترافیک بین ماشینهای مجازی را کنترل میکند بدون اینکه بستهها به یک فایروال فیزیکی مرکزی بروند. فایروالهای نسل بعد (NGFW) از جمله Palo Alto Networks و Fortinet هم میتوانند سیاستهای مبتنی بر هویت کاربر و برنامه را اعمال کنند.
در لبه شبکه و فضای ابری، CASB (کارگزار امنیت دسترسی ابری) دید کاملی به برنامههای SaaS میدهد و میتواند دانلود داده از شیرپوینت روی دستگاه شخصی را مسدود کند. EDR و XDR هم سلامت دستگاه را بهطور مداوم پایش میکنند و هر گونه رفتار مشکوک را به موتور سیاست گزارش میدهند.
این قطعات باید با APIهای باز به هم وصل شوند تا یک بوم یکپارچه تشکیل دهند. اگر ابزارها با هم حرف نزنند، اعتماد صفر فلج میشود.
مقایسه مدل سنتی و اعتماد صفر
| ویژگی | مدل سنتی (محیطی) | مدل اعتماد صفر |
|---|---|---|
| رویکرد به اعتماد | اعتماد پیشفرض به هر چیز داخل شبکه | اعتماد به هیچکس و هیچ دستگاهی از هیچ نقطهای |
| کنترل دسترسی | بر اساس IP و VLAN؛ دسترسی گسترده پس از ورود | دسترسی حداقلی بر اساس هویت، دستگاه و زمینه |
| استراتژی شبکه | شبکه تخت یا بخشبندی محدود با فایروال | ریزبخشبندی کامل؛ هر منبع جدا شده است |
| محافظت در برابر حرکت جانبی | ضعیف؛ مهاجم پس از نفوذ به راحتی حرکت میکند | حرکت جانبی تقریباً غیرممکن به دلیل جداسازی ریز |
| انطباق با دورکاری و ابر | وابسته به VPN با تجربه کاربری ضعیف و سطح حمله وسیع | دسترسی مستقیم به برنامه از طریق ZTNA، بدون افشای شبکه |
| تشخیص و پاسخ به تهدید | عمدتاً مبتنی بر امضا و تحلیل لاگهای شبکه | تحلیل رفتار مستمر (UEBA) و ارزیابی ریسک لحظهای |
| سطح حمله | کل شبکه قابل کشف و آسیبپذیر است | زیرساخت پنهان؛ فقط نقاط دسترسی مجاز دیده میشوند |
چالشهای پیادهسازی و راهکارهای غلبه بر آنها
پیادهسازی اعتماد صفر بیدردسر نیست. بزرگترین چالش، مقاومت فرهنگی است. کارمندان و حتی مدیران فناوری عادت کردهاند با VPN وصل شوند و بعد رها باشند. توضیح اینکه حالا برای هر اکشن باید احراز هویت شود، ممکن است با نارضایتی همراه شود. راهکار، انتخاب یک پروژه پایلوت با کاربران پذیرای تغییر است. نتایج مثبت را نشان دهید و به تدریج فرهنگ را عوض کنید.
دومین چالش، سامانههای قدیمی هستند. یک برنامه حسابداری ۱۵ ساله شاید نتواند با پروتکلهای مدرن احراز هویت کار کند. در اینجا چاره استفاده از یک پراکسی هویت است که در جلوی برنامه قرار میگیرد و کاربران را بهجای برنامه، احراز هویت میکند. همچنین میتوان سیاستهای ریزمحدودکنندهای برای این برنامهها نوشت تا دسترسی محدودتری بگیرند.
سومین مشکل، پیچیدگی فنی و کمبود مهارت است. برای راهاندازی ریزبخشبندی و ZTNA به دانش عمیقی نیاز دارید. از مشاوران متخصص کمک بگیرید یا با یک محصول مدیریتشده شروع کنید. هزینهها هم مطرح است، ولی وقتی هزینه یک نفوذ داده را مقایسه کنید، میبینید این سرمایهگذاری منطقیترین کار ممکن است. ضمناً لازم نیست همه ابزارها را یکجا بخرید. میتوان از سرویسهای ابری با پرداخت بر اساس مصرف آغاز کرد.
سوالات متداول
تفاوت اصلی Zero Trust و VPN در چیست؟
VPN یک تونل رمزنگاریشده ایجاد میکند و به کاربر یک IP در شبکه داخلی میدهد. پس از اتصال، کاربر معمولاً دید گستردهای به شبکه دارد و مهاجم با سرقت اعتبار VPN میتواند مستقیماً به منابع حمله کند. در مقابل، ZTNA مبتنی بر اعتماد صفر، کاربر را به برنامه متصل میکند نه شبکه. دسترسی در سطح برنامه و پس از احراز هویت مستمر و بررسی سلامت دستگاه اعطا میشود. شبکه داخلی برای کاربر قابل مشاهده نیست.
آیا پیادهسازی مدل اعتماد صفر پیچیده و زمانبر است؟
بله، اگر سعی کنید کل سازمان را یکشبه متحول کنید. اما روش درست، اجرای تدریجی است. میتوانید یک برنامه حیاتی را ظرف ۳ تا ۴ ماه به صورت کامل به مدل اعتماد صفر ببرید و سپس بر اساس اولویت پیش بروید. پیچیدگی فنی وجود دارد، ولی با آموزش تیم و استفاده از محصولات راهنماییشده این پیچیدگی مدیریت میشود.
آیا اعتماد صفر برای کسبوکارهای کوچک و متوسط هم مناسب است؟
کاملاً. حتی یک شرکت ۲۰ نفره هم از احراز هویت چندعاملی و سیاستهای دسترسی مبتنی بر هویت سود میبرد. بسیاری از سرویسهای ZTNA و هویت ابری، مدل قیمتگذاری بر اساس کاربر دارند و برای کسبوکارهای کوچک مقرونبهصرفه هستند. ضمن اینکه احتمال هدف قرار گرفتن شرکتهای کوچک در حملات زنجیره تأمین بسیار بالاست.
چه ارتباطی بین Zero Trust و SASE وجود دارد؟
SASE (لبه سرویس دسترسی امن) یک معماری ابری است که شبکههای گسترده (SD-WAN) را با امنیت یکپارچه ترکیب میکند. اعتماد صفر یکی از اجزای اصلی SASE محسوب میشود. در SASE، ZTNA نقش دسترسی امن کاربران را ایفا میکند و CASB و SWG امنیت تردد به اینترنت و ابر را تأمین میکنند. بنابراین SASE یک چارچوب کلیتر است که اعتماد صفر در دل آن نشسته است.
چطور کارمندان دورکار با Zero Trust احراز هویت میکنند؟
کارمند یک عامل سبک روی لپتاپ نصب میکند، یا از یک پورتال وب استفاده میکند. هنگام تلاش برای باز کردن برنامه داخلی، ابتدا هویت او از طریق MFA تأیید میشود. سپس وضعیت دستگاه (آنتیویروس بهروز، رمزنگاری دیسک و غیره) بررسی میگردد.
اگر همه شرایط مطلوب بود، یک تونل رمزنگاریشده فقط به آن برنامه خاص برقرار میشود. هر بار که برنامه جدیدی درخواست شود، این فرایند تکرار میشود.
آیا اعتماد صفر میتواند تمام تهدیدات را از بین ببرد؟
خیر. هیچ راهحل امنیتی ۱۰۰ درصد وجود ندارد. اعتماد صفر سطح حمله را به شدت کاهش میدهد، تشخیص نفوذ را سریعتر میکند و حرکت جانبی مهاجم را تقریباً ناممکن میسازد. اما در برابر تهدیدات روز صفر پیچیده یا اشتباهات انسانی شدید، باز هم نیاز به لایههای دفاعی دیگر مثل EDR، آموزش کاربران و برنامهریزی واکنش به رخداد دارید.
هزینههای پنهان پیادهسازی اعتماد صفر چیست؟
علاوه بر خرید لایسنس ابزارها، هزینه یکپارچهسازی، آموزش پرسنل و تطبیق فرایندهای قدیمی نیز وجود دارد. همچنین ممکن است به ارتقای زیرساختهای شبکه برای پشتیبانی از ریزبخشبندی نیاز پیدا کنید. بازبینی مداوم سیاستها هم زمان کارشناسان را میگیرد. این هزینهها را باید در مقابل ریسک یک نفوذ بزرگ سنجید.
جمعبندی
مدل اعتماد صفر یک محصول یا پروژه یکبار مصرف نیست. یک فلسفه امنیتی است که به شما میگوید: به هیچ کس، از جمله شبکه داخلی خودت، اعتماد نکن. سنگ بنای این فلسفه، احراز هویت مستمر، دسترسی حداقلی، ریزبخشبندی شبکه و بازرسی لحظهای تمام ترافیک است.
نقطه شروع، شناسایی داراییهای حیاتی و ترسیم جریانهای تراکنش است. سپس با یک گام کوچک و عملی، مثلاً احراز هویت چندعاملی و ZTNA برای یک برنامه مهم، طعم واقعی آن را بچشید. به مرور لایههای ریزبخشبندی و تحلیل رفتار را اضافه کنید.
دادهها ثابت میکنند که سازمانهای پیشرو در این مسیر، هزینه نفوذ را تا ۴۰ درصد کمتر از میانگین صنعت تجربه میکنند. شبکه بدون اعتماد، سپری از شیشه است. وقت آن رسیده که شیشه را به فولاد تبدیل کنید.
