اخبار داخلی آرمان داده پویان

آموزش

خانه آموزش مقاله های آموزشیمعماری Zero Trust چیست؟
تعداد بازدید: 2028

شبکه Zero Trust چیست؟

معماری Zero Trust این روزها بسیار مورد توجه قرار گرفته است. با گسترش دورکاری شرکت‌های پیش‌رویی مانند فورتی نت در سال ۲۰۲۰ خبر از افزایش بی‌سابقه حملات امنیتی داد. بنا به اعلام آزمایشگاه فورتی گارد در این سال و با افزایش استفاده از VPN برای دورکاری کارکنان نرخ حملات باج افزارها هفت برابر شده بوده است.  مفهوم Zero Trust در سال ۲۰۱۰  توسط جان کیندرواگ معرفی شد، مدلی که در آن اعتماد به معنای آسیب‌پذیری است! اما این مدل در چند سال اخیر مورد استقبال زیادی قرار گرفته است. زیرا علاوه بر گسترش دورکاری شبکه سازمان‌ها نیز پراکنده شده‌اند. خیلی از منابع در محیط‌های ابری و جدا از مرکز داده درون سازمانی نگه‌داری می‌شوند. فورتی نت در این راستا Fortinet ZTNA را معرفی کرده است راهکاری که جایگزین مناسبی برای VPN می‌باشد.

چرا به Zero Trust نیاز داریم؟

در مدل سنتی کاربران و منابع داخلی مورد اعتماد هستند و عمده تمرکز بر روی مقابله با تهدیدات خارجی است. به طور مثال زمانی که از VPN برای دسترسی امن به شبکه سازمان استفاده می‌کنید تنها ارتباط تا VPN Gateway به صورت رمز شده است اما به محض اینکه کاربر به داخل شبکه‌ می‌رسد ارتباطات plain text می‌شوند. همچنین کاربر مورد اعتماد قرار می‌گیرد و می‌تواند به منابع درون سازمانی دست یابد. در این بین آیا چاره‌ای برای آسیب‌پذیری‌های VPN اندیشیده‌‎اید؟! اگر هکرها با استفاده از حملات مهندسی اجتماعی به نام کاربری و گذرواژه کارکنان شما دست یابند چه؟! در این صورت VPN تنها یک کانال امن در دستان هکر خواهد بود تا از فایروال‌هایی که در لبه شبکه قرار دادید عبور کند و در داخل شبکه بدون نیاز به احراز هویت به منابع مورد نظرش دست یابد. اما ZT با دو مفهوم رمزنگاری و احراز هویت گره خورده است. پیاده‌سازی این دو مفهوم در سطوح مختلف آسیب‌پذیری‌ راهکارهای پیشین را از بین می‌برد.

Zero Trust را چگونه می‌توان پیاده سازی کرد؟

Zero Trust یعنی هیچ اعتمادی وجود ندارد. این معماری اعتماد را آسیب‌پذیری به شمار می‌آورد. در مدل ZT به صورت پیش فرض تجهیزات و کاربران اجازه دسترسی ندارند مگر اعتبار نامه معتبر ارائه دهند و در صورت تایید دسترسی خواهند داشت. احراز هویت‌ها نیز به صورت دو طرفه انجام خواهد شد. پس هم سرور باید به کاربر اعتبار نامه ارائه دهد و هم کاربر به سرور. برای پیاده‌سازی Zero Trust Access از تکنولوژی‌های موجود در شبکه‌تان می‌توانید استفاده کنید. برای آشنایی بیشتر با چگونگی اینکار می‌توانید به پادکست شماره ۴۹ آوای آرمان و امنیت گوش دهید. اگر از محصولات فورتی نت در شبکه‌تان استفاده می‌کنید پیاده‌سازی این مفهوم امکان‌پذیر است. تجهیزاتی که سیستم عامل FortiOS دارند از ZTNA پشتیبانی می‌کنند پس کافی است پیکربندی مناسب را انجام دهید. Fortinet ZTNA یک محصول جداگانه نیست بلکه همانطور که گفتیم یکی از ویژگی‌های FortiOS می‌باشد. مثلا فورتی گیت می‌تواند در این مدل به عنوان پروکسی عمل کند.

Fortinet ZTNA چگونه پیاده‌سازی می‌شود؟

بخشی از Fortinet ZTNA در سمت کاربر و بر روی فورتی کلاینت پیاده سازی می‌شود. در واقع فورتی کلاینت به عنوان Endpoint Management Agent عمل می‌کند. بخش دیگر ساختار را پراکسی تشکیل می‌دهد. وظیفه پراکسی دریافت درخواست کاربر و اجرای بازرسی‌های امنیتی است. اگر کاربر موفق شود این بازرسی‌های امنیتی را با موفقیت بگذراند در نشست برقرار شد اجازه دسترسی به منبع مورد نظرش را دارد. برای پراکسی می‌توانید از فورتی گیت یا FortiSassy که در واقع یک پلتفرم Sassy است استفاده کنید. پس این دو محصول به عنوان ZTNA Application Access Proxy عمل می‌کنند. در سمت کاربر FortiClient EMS مشخص میکنه کاربر برای درخواستش باید به کدام پراکسی متصل بشود.

Fortinet ZTNA چگونه کار می‌کند؟

در حقیقت معماری Zero Trust توسط تجهیزات فورتی نت به خوبی می‌تونه پیاده سازی بشه حتی اگه شبکه سازمان گسترده و غیر متمرکز باشه. بخشی از معماری Fortinet ZTNA رو فورتی کلاینت تشکیل میده که در واقع  به عنوان Endpoint Management Agent عمل میکنه و EMS که پرتال مدیریت مرکزی برای فورتی کلاینته. بقیه ساختار می‌تونه در فورتیگت باشه که در واقع فایروال نسل بعدی فورتی نت هست و یا FortiSassy که یک پلتفرم Sassy هستش. خب Fortigate و FortiSassy به عنوان ZTNA Application Access Proxy میتونن عمل کنن. روی پروکسی شما سیاست‌های کنترلی رو تعریف می‌کنید تا مشخص کنید چه الزاماتی باید رعایت بشه تا کاربر بتونه به اپلیکیشن مورد نظرش دسترسی پیدا کنه. FortiClient EMS هم بررسی‌های سمت کابر رو انجام میده تا کاربر به پروکسی مرتبط با اپلیکشن مد نظرش متصل بشه. ارتباط امنی که ایجاد میشه کاملا قابل پایش توسط تیم امنیت هست. همچنین فورتی گیتی که رو لبه شبکه سازمان هست و یا یک فورتی گیت مجازی در محیط ابر و یا یک دسترسی بر مبنای Sassy میتونه به عنوان پروکسی عمل کنه. شما در مورد عملکرد این مدل می‌تونید بیشتر توضیح بدین. EMS به عنوان Certificate Authority هم عمل می‌کند و به هر نقطه پایانی یک برچسب (Tag) اختصاص می‌دهد. سپس EMS برچسب‌ها و گواهی‌نامه‌ها را برای پراکسی‌ها ارسال می‌کنند. ارتباط بین کاربر و پراکسی ارتباط TLS رمزنگاری شده است. پراکسی بعد از بررسی گواهی نامه و برچسب ZTNA کاربر و اجرای بازرسی‌های امنیتی یک ارتباط امن برای کاربر به سمت منبع درخواستی‌اش ایجاد می‌کند. کاربر غیر از این ارتباط دیدی نسبت به بقیه شبکه نخواهد داشت. همچنین تیم امنیت در تمام مراحل می‌توانند کلیه ارتباطات را پایش نمایند.

سخن آخر

با پراکنده شدن شبکه‌ سازمان‌ها و همچنین گسترش درخواست برای دسترسی از راه دور به اپلیکیشن‌ها، داده‌ها و منابع سازمان معماری Zero Trust بی‌شک بهترین راهکار موجود است. با دسترسی Zero Trust و پیاده‌سازی‌اش در شبکه می‌توانید امنیت را در سطح بسیار بالاتری تجربه کنید. امنیت حاصل از این معماری قابل مقایسه با روش‌های موجود مانند استفاده از VPN نمی‌باشد. اگر برای Zero Trust Network Access نیاز به یک تیم حرفه‌ای دارید، می‌توانید با آرمان داده پویان تماس بگیرید.


تازه ترین ها