دستیابی به محیط اعتماد صفر (Zero Trust) با احراز هویت بدون رمز عبور

احراز هویت اعتماد صفر (Zero Trust)

| 6 دقیقه برای مطالعه

تا همین اواخر، اعتماد صفر (Zero Trust) بیشتر در تیم‌های بازاریابی محبوب بود تا تیم‌های امنیتی. اگرچه مفاهیم پشت آن شامل اصول امنیتی شناخته‌شده همچون احراز هویت قوی است، اما اصطلاحات و رویکرد آن به عنوان یک اصل سازماندهی، جذب گسترده‌ای را تاکنون در جامعه امنیت نداشته است. با این حال، دستور اجرایی اخیر برخی دولت‌ها همچون ایالات متحده در مورد بهبود امنیت سایبری، دید به این رویکرد را افزایش داده است. علاوه‌بر این، افزایش نیروی کار توزیع شده و حملات سایبری در سالهای اخیر، به وضوح نشان داده است که رویکردهای قدیمی دیگر جوابگو نیستند.

توصیه می‌کنیم مقاله مفاهیم و تعاریف احراز هویت را نیز برای اطلاعات بیشتر مطالعه کنید.

 

مدل امنیتی اعتماد صفر (Zero Trust) چیست؟

اصل کلیدی پشت مدل امنیتی Zero Trust اتخاذ رویکرد “هرگز اعتماد نکن، همیشه تأیید کن” در اعطای دسترسی به داده‌ها و منابع است. این مدل توسط تحلیلگر جان کیندروگ در سال 2010 معرفی شد و توسط موسسه ملی استانداردها و فناوری ایالات متحده امریکا (NIST) در سند NIST-800-207 نیز به تفصیل تشریح گشت. یک معماری امنیتی اعتماد صفر فرض می‌کند که هیچ چیز به نام “محیط شبکه امن” وجود ندارد. از این رو سازمان همواره موظف به بررسی تمامی دسترسی‌ها به منابع و داده‌های خود خواهد بود. 

در واقع در چنین مدلی، همه چیز در داخل و خارج از محیط شبکه غیرقابل اعتماد در نظر گرفته می‌شود. با توجه به اینکه هر کاربر یا دستگاهی ممکن است در هر زمان به خطر بیفتد، مدل Zero Trust ایده دسترسی مداوم یا نامحدود به دارایی‌ها را رد می‌کند و آن را با احراز هویت سختگیرانه و مداوم اعتماد صفر (بررسی در هر دسترسی) جایگزین می‌کند. چنین مدلی، به سازمان کمک می‌کند تا با بررسی مداوم دسترسی‌ها، خود را از بسیاری از تهدیدات به دور نگه دارد.

 

نقش احراز هویت اعتماد صفر (Zero Trust)

در زیرساخت Zero Trust هیچ محیط تعریف‌شده‌ای وجود ندارد، بنابراین اعتماد باید بر اساس هویت تأیید شده امن باشد. این مدل مبتنی بر هویت، نیاز حیاتی به احراز هویت قوی ایجاد می‌کند تا اطمینان حاصل شود که فقط کاربران مناسب به دلایل مناسب به منابع مناسب دسترسی پیدا می‌کنند. با توجه به اینکه احراز هویت به عنوان محافظ اصلی در یک مدل امنیتی Zero Trust عمل می‌کند، الزامات بالادستی در این زمینه، تصویب کامل احراز هویت چند عاملی (MFA) را الزامی می‌کند.

بهترین شیوه‌ها همچنین تاکید می‌کنند که راهکار MFA انتخاب شده باید بتواند در برابر حملات فیشینگ مقاومت کند تا احراز هویت قوی Zero Trust فراهم گردد. این امر در راستای دستورالعمل NIST است که احراز هویت‌های مقاوم در برابر فیشینگ مبتنی بر FIDO را برای برآورده کردن پروتکل‌های احراز هویت اعتماد صفر توصیه می‌کند. از آنجایی که نیاز به احراز هویت با Zero Trust بین همه طرفین ثابت است، این فرآیند باید ساده باشد. در غیر این صورت، کار را کند کرده و کاربران را ناامید می‌کند که ممکن است به دنبال دور زدن کنترل‌های امنیتی باشند.

 

چالش‌های احراز هویت اعتماد صفر (Zero Trust)

همانند هر تغییر پارادایم امنیتی، چالش‌هایی نیز وجود خواهد داشت، هم از نظر فنی و هم برای خود کاربران. پذیرش گسترده امنیت اعتماد صفر به غلبه بر این مسائل بستگی دارد. از این جمله می‌توان به استفاده از کلمات عبور، چگونگی انجام احراز هویت اعتماد صفر از راه دور، احراز هویت قوی در دسکتاپ، دسترسی امن به برنامه‌ها و مسائل مرتبط با قابلیت استفاده اشاره نمود. این موارد در ادامه به اختصار تشریح شده اند.

  • کلمات عبور: متأسفانه، کلمات عبور هنوز هم بخشی از بسیاری از سیستم‌های MFA هستند، علی‌رغم آسیب‌پذیر بودن در برابر حملاتی مانند فیشینگ، تصاحب حساب، سیم‌سوئیچینگ و حملات پرکردن اعتبارنامه (Credential Stuffing).
  • احراز هویت اعتماد صفر از راه دور: کار از راه دور در سال‌های اخیر به شدت افزایش یافته است، به این معنی که امنیت اعتماد صفر قابل اجرا برای نقاط ورود از راه دور (VPN – VDI – RDP) برای کاهش خطر حیاتی است.
  • احراز هویت قوی در دسکتاپ: ورود به دسکتاپ سازمانی و سپس مجبور شدن به ورود مجدد از طریق SSO یا یک احراز هویت جداگانه برای دسترسی به منابع، یک افزونگی زمان‌بر ایجاد می‌کند. همچنین می‌تواند باعث ایجاد مشکلات یکپارچگی شود. 
  • دسترسی امن به برنامه‌ها: یکپارچه‌سازی احراز هویت اعتماد صفر امن در تمام برنامه‌های سازمانی، به ویژه برنامه‌های قدیمی، می‌تواند مشکلات سازگاری قابل توجهی ایجاد کند.
  • مسائل قابلیت استفاده: اصطکاک اضافه شده باعث ایجاد ناامیدی و مقاومت در برابر پذیرش در کاربران می‌شود. همچنین می‌تواند بر بهره‌وری تأثیر بگذارد و کاربران را به تلاش برای استفاده از میانبرها در اطراف اقدامات امنیتی اعتماد صفر سوق دهد.

 

آیا زمان آن رسیده است که کسب‌وکارها احراز هویت اعتماد صفر را اتخاذ کنند؟

الزامات بالادستی غالبا به سازمان‌های دولتی و پیمانکاران مرتبط به آن‌ها اعمال می‌شود. با این حال، یک قانون نانوشته وجود دارد که دستورالعمل‌های سطح دولت به زودی در مقررات عمومی‌تر، چک‌لیست‌های حسابرسی و سایر حوزه‌هایی که بر بخش خصوصی تأثیر می‌گذارند، گنجانده خواهد شد. این اتفاق در کشورهای بزرگ همچون ایالات متحده بسیار رایج است. به همین دلیل، بسیاری از شرکت‌های بزرگ از جمله مایکروسافت و اپل، پس از الزام NIST برای احراز هویت بدون رمز عبور، خود به سمت FIDO و پذیرش این شیوه بدون رمز عبور حرکت نمودند. 

صرف‌نظر از فشارهای نظارتی، مزایای زیادی برای اتخاذ احراز هویت اعتماد صفر وجود دارد. اولا، این مدل می‌تواند به کسب‌وکارها کمک کند تا چابک‌تر شوند و از فناوری‌های جدید بهره‌برداری کنند. ثانیا، خدمات می‌توانند سریع‌تر و ایمن‌تر ارائه شوند زیرا تأکیدی بر محل قرارگیری افراد و داده‌ها نبوده و هویت آنها مهم است. ایجاد موفقیت‌آمیز معماری اعتماد صفر در مورد ادغام ابزارها و روش‌های لازم و انعطاف‌پذیر بودن برای سازگاری با این پارادایم است. این بدان معناست که امنیت در این مدل «برای همه یک اندازه» نیست و یک سفر مداوم است نه یک محصول قابل تنظیم.

 

راهکار نشانه شتاب‌دهنده ابتکارات امنیتی اعتماد صفر

سنگ‌بنای اعتماد صفر، احراز هویت چندعاملی مقاوم در برابر فیشینگ است. از آنجایی که MFA دروازه‌بان کل اکوسیستم این مدل است، هرچه این دروازه‌بان قوی‌تر باشد، امنیت قوی‌تر خواهد بود. ممکن است شکاف‌هایی ایجاد شود، مانند نیروی کار پراکنده یا کارمندان دورکار. اغلب، این حالت‌ها منجر به ایجاد استثناها می‌شود تا اینکه این کارمندان با چندین مرحله احراز هویت مواجه شوند. این نقاط ضعف و شکاف‌ها می‌توانند کل ابتکار اعتماد صفر را تضعیف کنند. با استفاده از استاندارد FIDO برای احراز هویت بدون رمزعبور، سازمان‌ها می‌توانند اصول اعتماد صفر را بدون افزودن اصطکاک به تجربه کاربری اعمال کنند.

این امر اعتماد مورد نیاز به هویت کاربر را ایجاد می‌کند، تضمین می‌کند که فرآیندهای احراز هویت شما با بالاترین سطح اطمینان همسو هستند و یک پایه محکم برای معماری امنیتی اعتماد صفر شما ایجاد می‌کند. احراز هویت بدون رمز عبور نشانه دارای گواهی FIDO و محصول شرکت رهسا (ره‌آورد سامانه‌های امن)، دستگاه‌های هوشمند کاربران را به کلیدهای امنیتی پشتیبانی‌شده توسط PKI تبدیل می‌کند. از ماژول پلتفرم قابل اعتماد سخت‌افزاری (TPM) و سایر ویژگی‌های امنیتی سطح دستگاه و سیستم‌عامل برای برآورده کردن الزامات MFA مقاوم در برابر فیشینگ اعتماد صفر استفاده می‌کند.

ما می‌دانیم که پذیرش و کاهش اصطکاک عناصر حیاتی یک محیط اعتماد صفر کارآمد هستند، بنابراین راه‌حل بدون رمز عبور ما همچنین بر تسهیل تجربه کاربر متمرکز است، به این معنی که سامانه ما می‌تواند به سادگی و در عرض چند ساعت مستقر شود. این نه تنها به تحول سریع‌تر کمک می‌کند، بلکه این کار را با هزینه کمتر و با کاهش فشار بر منابع امنیتی انجام می‌دهد. همین امروز برای دریافت هر گونه راهنمایی در این زمینه، با کارشناسان ما در تیم نشانه تماس بگیرید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ثبت نام
ثبت نام
ورود
ورود
پیمایش به بالا