احراز هویت اعتماد صفر (Zero Trust)
تا همین اواخر، اعتماد صفر (Zero Trust) بیشتر در تیمهای بازاریابی محبوب بود تا تیمهای امنیتی. اگرچه مفاهیم پشت آن شامل اصول امنیتی شناختهشده همچون احراز هویت قوی است، اما اصطلاحات و رویکرد آن به عنوان یک اصل سازماندهی، جذب گستردهای را تاکنون در جامعه امنیت نداشته است. با این حال، دستور اجرایی اخیر برخی دولتها همچون ایالات متحده در مورد بهبود امنیت سایبری، دید به این رویکرد را افزایش داده است. علاوهبر این، افزایش نیروی کار توزیع شده و حملات سایبری در سالهای اخیر، به وضوح نشان داده است که رویکردهای قدیمی دیگر جوابگو نیستند.
مدل امنیتی اعتماد صفر (Zero Trust) چیست؟
اصل کلیدی پشت مدل امنیتی Zero Trust اتخاذ رویکرد “هرگز اعتماد نکن، همیشه تأیید کن” در اعطای دسترسی به دادهها و منابع است. این مدل توسط تحلیلگر جان کیندروگ در سال 2010 معرفی شد و توسط موسسه ملی استانداردها و فناوری ایالات متحده امریکا (NIST) در سند NIST-800-207 نیز به تفصیل تشریح گشت. یک معماری امنیتی اعتماد صفر فرض میکند که هیچ چیز به نام “محیط شبکه امن” وجود ندارد. از این رو سازمان همواره موظف به بررسی تمامی دسترسیها به منابع و دادههای خود خواهد بود.
در واقع در چنین مدلی، همه چیز در داخل و خارج از محیط شبکه غیرقابل اعتماد در نظر گرفته میشود. با توجه به اینکه هر کاربر یا دستگاهی ممکن است در هر زمان به خطر بیفتد، مدل Zero Trust ایده دسترسی مداوم یا نامحدود به داراییها را رد میکند و آن را با احراز هویت سختگیرانه و مداوم اعتماد صفر (بررسی در هر دسترسی) جایگزین میکند. چنین مدلی، به سازمان کمک میکند تا با بررسی مداوم دسترسیها، خود را از بسیاری از تهدیدات به دور نگه دارد.
نقش احراز هویت اعتماد صفر (Zero Trust)
در زیرساخت Zero Trust هیچ محیط تعریفشدهای وجود ندارد، بنابراین اعتماد باید بر اساس هویت تأیید شده امن باشد. این مدل مبتنی بر هویت، نیاز حیاتی به احراز هویت قوی ایجاد میکند تا اطمینان حاصل شود که فقط کاربران مناسب به دلایل مناسب به منابع مناسب دسترسی پیدا میکنند. با توجه به اینکه احراز هویت به عنوان محافظ اصلی در یک مدل امنیتی Zero Trust عمل میکند، الزامات بالادستی در این زمینه، تصویب کامل احراز هویت چند عاملی (MFA) را الزامی میکند.
بهترین شیوهها همچنین تاکید میکنند که راهکار MFA انتخاب شده باید بتواند در برابر حملات فیشینگ مقاومت کند تا احراز هویت قوی Zero Trust فراهم گردد. این امر در راستای دستورالعمل NIST است که احراز هویتهای مقاوم در برابر فیشینگ مبتنی بر FIDO را برای برآورده کردن پروتکلهای احراز هویت اعتماد صفر توصیه میکند. از آنجایی که نیاز به احراز هویت با Zero Trust بین همه طرفین ثابت است، این فرآیند باید ساده باشد. در غیر این صورت، کار را کند کرده و کاربران را ناامید میکند که ممکن است به دنبال دور زدن کنترلهای امنیتی باشند.
چالشهای احراز هویت اعتماد صفر (Zero Trust)
همانند هر تغییر پارادایم امنیتی، چالشهایی نیز وجود خواهد داشت، هم از نظر فنی و هم برای خود کاربران. پذیرش گسترده امنیت اعتماد صفر به غلبه بر این مسائل بستگی دارد. از این جمله میتوان به استفاده از کلمات عبور، چگونگی انجام احراز هویت اعتماد صفر از راه دور، احراز هویت قوی در دسکتاپ، دسترسی امن به برنامهها و مسائل مرتبط با قابلیت استفاده اشاره نمود. این موارد در ادامه به اختصار تشریح شده اند.
- کلمات عبور: متأسفانه، کلمات عبور هنوز هم بخشی از بسیاری از سیستمهای MFA هستند، علیرغم آسیبپذیر بودن در برابر حملاتی مانند فیشینگ، تصاحب حساب، سیمسوئیچینگ و حملات پرکردن اعتبارنامه (Credential Stuffing).
- احراز هویت اعتماد صفر از راه دور: کار از راه دور در سالهای اخیر به شدت افزایش یافته است، به این معنی که امنیت اعتماد صفر قابل اجرا برای نقاط ورود از راه دور (VPN – VDI – RDP) برای کاهش خطر حیاتی است.
- احراز هویت قوی در دسکتاپ: ورود به دسکتاپ سازمانی و سپس مجبور شدن به ورود مجدد از طریق SSO یا یک احراز هویت جداگانه برای دسترسی به منابع، یک افزونگی زمانبر ایجاد میکند. همچنین میتواند باعث ایجاد مشکلات یکپارچگی شود.
- دسترسی امن به برنامهها: یکپارچهسازی احراز هویت اعتماد صفر امن در تمام برنامههای سازمانی، به ویژه برنامههای قدیمی، میتواند مشکلات سازگاری قابل توجهی ایجاد کند.
- مسائل قابلیت استفاده: اصطکاک اضافه شده باعث ایجاد ناامیدی و مقاومت در برابر پذیرش در کاربران میشود. همچنین میتواند بر بهرهوری تأثیر بگذارد و کاربران را به تلاش برای استفاده از میانبرها در اطراف اقدامات امنیتی اعتماد صفر سوق دهد.
آیا زمان آن رسیده است که کسبوکارها احراز هویت اعتماد صفر را اتخاذ کنند؟
الزامات بالادستی غالبا به سازمانهای دولتی و پیمانکاران مرتبط به آنها اعمال میشود. با این حال، یک قانون نانوشته وجود دارد که دستورالعملهای سطح دولت به زودی در مقررات عمومیتر، چکلیستهای حسابرسی و سایر حوزههایی که بر بخش خصوصی تأثیر میگذارند، گنجانده خواهد شد. این اتفاق در کشورهای بزرگ همچون ایالات متحده بسیار رایج است. به همین دلیل، بسیاری از شرکتهای بزرگ از جمله مایکروسافت و اپل، پس از الزام NIST برای احراز هویت بدون رمز عبور، خود به سمت FIDO و پذیرش این شیوه بدون رمز عبور حرکت نمودند.
صرفنظر از فشارهای نظارتی، مزایای زیادی برای اتخاذ احراز هویت اعتماد صفر وجود دارد. اولا، این مدل میتواند به کسبوکارها کمک کند تا چابکتر شوند و از فناوریهای جدید بهرهبرداری کنند. ثانیا، خدمات میتوانند سریعتر و ایمنتر ارائه شوند زیرا تأکیدی بر محل قرارگیری افراد و دادهها نبوده و هویت آنها مهم است. ایجاد موفقیتآمیز معماری اعتماد صفر در مورد ادغام ابزارها و روشهای لازم و انعطافپذیر بودن برای سازگاری با این پارادایم است. این بدان معناست که امنیت در این مدل «برای همه یک اندازه» نیست و یک سفر مداوم است نه یک محصول قابل تنظیم.
راهکار نشانه شتابدهنده ابتکارات امنیتی اعتماد صفر
سنگبنای اعتماد صفر، احراز هویت چندعاملی مقاوم در برابر فیشینگ است. از آنجایی که MFA دروازهبان کل اکوسیستم این مدل است، هرچه این دروازهبان قویتر باشد، امنیت قویتر خواهد بود. ممکن است شکافهایی ایجاد شود، مانند نیروی کار پراکنده یا کارمندان دورکار. اغلب، این حالتها منجر به ایجاد استثناها میشود تا اینکه این کارمندان با چندین مرحله احراز هویت مواجه شوند. این نقاط ضعف و شکافها میتوانند کل ابتکار اعتماد صفر را تضعیف کنند. با استفاده از استاندارد FIDO برای احراز هویت بدون رمزعبور، سازمانها میتوانند اصول اعتماد صفر را بدون افزودن اصطکاک به تجربه کاربری اعمال کنند.
این امر اعتماد مورد نیاز به هویت کاربر را ایجاد میکند، تضمین میکند که فرآیندهای احراز هویت شما با بالاترین سطح اطمینان همسو هستند و یک پایه محکم برای معماری امنیتی اعتماد صفر شما ایجاد میکند. احراز هویت بدون رمز عبور نشانه دارای گواهی FIDO و محصول شرکت رهسا (رهآورد سامانههای امن)، دستگاههای هوشمند کاربران را به کلیدهای امنیتی پشتیبانیشده توسط PKI تبدیل میکند. از ماژول پلتفرم قابل اعتماد سختافزاری (TPM) و سایر ویژگیهای امنیتی سطح دستگاه و سیستمعامل برای برآورده کردن الزامات MFA مقاوم در برابر فیشینگ اعتماد صفر استفاده میکند.
ما میدانیم که پذیرش و کاهش اصطکاک عناصر حیاتی یک محیط اعتماد صفر کارآمد هستند، بنابراین راهحل بدون رمز عبور ما همچنین بر تسهیل تجربه کاربر متمرکز است، به این معنی که سامانه ما میتواند به سادگی و در عرض چند ساعت مستقر شود. این نه تنها به تحول سریعتر کمک میکند، بلکه این کار را با هزینه کمتر و با کاهش فشار بر منابع امنیتی انجام میدهد. همین امروز برای دریافت هر گونه راهنمایی در این زمینه، با کارشناسان ما در تیم نشانه تماس بگیرید.