پیش‌نویس:مدل امنیت صفر اعتماد

مدل امنیت صفر که با نام های اعتماد صفر (ZTA)، معماری شبکه اعتماد صفریا دسترسی به شبکه اعتماد صفر (ZTNA) و گاهی اوقات به عنوان امنیت بدون محیط شناخته می شود، رویکردی را برای طراحی و پیاده سازی سیستم های فناوری اطلاعات توصیف می کند. مفهوم اصلی مدل امنیتی صفر اعتماد "هرگز اعتماد نکنید، همیشه تایید کنید" است، به این معنی که به طور پیش فرض نباید مورد اعتماد باشند، حتی اگر به یک شبکه مجاز مانند LAN شرکت متصل باشند و حتی اگر قبلا تایید شده باشند. ZTNA با ایجاد تایید هویت قوی، تایید انطباق دستگاه قبل از اعطای دسترسی و اطمینان از دسترسی کمترین امتیاز فقط در منابع صریحا مجاز پیاده سازی می شود. اکثر شبکه های شرکتی مدرن شامل بسیاری از مناطق به هم پیوسته، خدمات و زیر ساخت های ابری ، اتصال به محیط های راه دور و سیار، و اتصال به فناوری اطلاعات غیر سنتی، مانند دستگاه های IOT هستند. دلیل به کارگیری مدل اعتماد صفر این است که در رویکرد سنتی، اعتماد به دستگاه ها در یک "محیط شرکت" تصوری، یا دستگاه های متصل از طریق VPN صورت می گیرد- و این رویکرد در محیط پیچیده یک شبکه شرکتی مناسب نیست. رویکرد اعتماد صفر از احراز هویت متقابل پشتیبانی می کند که شامل بررسی هویت و یکپارچگی دستگاه ها بدون توجه به مکان و ارائه دسترسی به برنامه ها و خدمات بر اساس اطمینان از هویت دستگاه و سلامت دستگاه در ترکیب با احراز هویت کاربر می باشد. معماری اعتماد صفر برای استفاده در زمینه های مشخصی از جمله زنجیره تامین پیشنهاد شده است.^[۱]^[۲]

اصول اعتماد صفر را می توان برای دسترسی به داده ها و مدیریت داده ها اعمال کرد. این امنیت داده ها، که در آن هر درخواست برای دسترسی به داده ها باید به صورت پویا تایید شود به صفر می رساند و از حداقل دسترسی به منابع اطمنیان حاصل می کند. به منظور تعیین اینکه آیا امکان اعطای دسترسی وجود دارد یا خیر، می توان سیاسیت ها را بر اساس ویژگی های داده، هویت کاربر و نوع محیط با استفاده از کنترل دسترسی مبتنی بر ویژگی (ABAC) اعمال کرد. این رویکرد امنیت داده بدون اعتماد می تواند از دسترسی به داده ها محافظت کند.

تاریخچه ویرایش

در آوریل سال 1994، اصطلاح "اعتماد صفر" توسط Stephen Paul Marsh در پایان نامه دکتری او در مورد امنیت کامپیوتر در دانشگاه استرلینگ ابداع شد. مارش اعتماد را به‌عنوان چیزی متناهی که می‌توان آن را به‌صورت ریاضی توصیف کرد، مورد مطالعه قرار داد و اظهار داشت که مفهوم اعتماد فراتر از عوامل انسانی مانند سیرت، اخلاق، قانونمندی، عدالت و قضاوت است. ^[5]

مشکلات مدل « Smartie » یا « M&M » شبکه توسط یک مهندس Sun Microsystems در مقاله Network World در می 1994 توضیح داده شد که دفاع محیطی دیوارهای آتش را به عنوان یک پوسته سخت دور یک مرکز نرم توصیف کرد. درست مثل یک تخم Cadbury ».

در سال 2001 اولین نسخه از OSSTMM (راهنمای روش‌شناسی تست امنیت منبع باز) منتشر شد که بر موضوع اعتماد متمرکز بود. نسخه 3 که در حدود سال 2007 منتشر شد، یک فصل کامل در مورد اعتماد دارد که می گوید "اعتماد یک آسیب پذیری است" و در مورد نحوه اعمال کنترل های OSSTMM 10 بر اساس سطوح Trust صحبت می کند.

در سال 2003 چالش‌های تعریف محیط برای سیستم‌های فناوری اطلاعات سازمان توسط انجمن جریکو در این سال برجسته شد و روند آنچه که بعد ها تحت عنوان « محیط‌زدایی » ابداع شد، مورد بحث قرار گرفت.

در سال 2009، گوگل یک معماری اعتماد صفر به نام BeyondCorp را اجرا کرد.

در سال 2010، اصطلاح مدل اعتماد صفر توسط تحلیلگر John Kindervag از Forrester Research برای اشاره به برنامه‌های امنیتی سایبری سخت‌گیرانه‌تر و کنترل دسترسی در شرکت‌ها استفاده شد. ^[6] ^[7] ^[8]

با این حال، تقریباً یک دهه طول می‌کشد تا معماری‌های اعتماد صفر رایج شوند که بخشی از آن ناشی از افزایش پذیرش خدمات تلفن همراه و ابری است.^{[نیازمند منبع]}

در سال 2018، تحقیقات انجام شده در ایالات متحده آمریکا توسط محقیقات امنیت سایبری در در NIST و NCCoE منجر به نشر معماری مدل اعتماد صفر، SP 800-207 شد.^[9] ^[10] این نشریه اعتماد صفر را به عنوان مجموعه ای از مفاهیم و ایده ها تعریف می کند که برای کاهش عدم قطعیت در اجرای تصمیم های دسترسی دقیق و هر درخواست در سیستم های اطلاعاتی و خدمات در مواجه با شبکه ای که به عنوان افشا شده تلقی می شود، طراحی شده اند. یک معماری اعتماد صفر، طرح امنیت سایبری یک شرکت به شمار می رود که از مفاهیم اعتماد صفر استفاده می کند، و روابط اجزا، برنامه ریزی گردش کار و سیاست های دسترسی را در بر می گیرد. بنابراین، یک شرکت اعتماد صفر، زیر ساخت شبکه (فیزیکی و مجازی) و سیاست های عملیاتی است که برای یک شرکت به عنوان محصول یک طرح معماری اعتماد صفر وجود دارد.

راه های مختلفی برای پیاده سازی تمام اصول ZT وجود دارد. یک راه حل کامل ZTA شامل عناصر هر سه خواهد بود:

استفاده از حاکمیت هویت پیشرفته و کنترل های دسترسی مبتنی بر سیاست.
استفاده از ریزبخش بندی
استفاده از شبکه های همپوشانی و محیط های تعریف شده توسط نرم افزار

در سال 2019 ، مرکز ملی امنیت سایبری بریتانیا (NCSC) توصیه کرده است که معماران شبکه یک رویکرد اعتماد صفر را برای استقرار جدید فناوری اطلاعات، به ویژه در مواردی که استفاده قابل توجهی از خدمات ابری برنامه ریزی شده است، در نظر بگیرند. ^[11] یک رویکرد جایگزین اما سازگار توسط NCSC در شناسایی اصول کلیدی در پس معماری های اعتماد صفر اتخاذ شده است:

تنها منبع قوی هویت کاربر
احراز هویت کاربر
احراز هویت ماشین
زمینه اضافی، مانند انطباق با سیاست و سلامت دستگاه
سیاست های مجوز برای دسترسی به یک برنامه
سیاست های کنترل دسترسی در یک برنامه

همچنین ببینید ویرایش

اعتماد کنید، اما تأیید کنید (ضرب المثل روسی)
شعاع انفجار
خستگی رمز عبور
لبه سرویس دسترسی ایمن

منابع ویرایش

1. "Mutual TLS: Securing Microservices in Service Mesh". The New Stack. 2021-02-01. Retrieved 2021-02-20.

2. Collier, Zachary A.; Sarkis, Joseph (2021-06-03). "The zero trust supply chain: Managing supply chain risk in the absence of trust". International Journal of Production Research. 59 (11): 3430–3445. doi:10.1080/00207543.2021.1884311. ISSN 0020-7543. S2CID 233965375.

3. do Amaral, Thiago Melo Stuckert; Gondim, João José Costa (November 2021). "Integrating Zero Trust in the cyber supply chain security". 2021 Workshop on Communication Networks and Power Systems (WCNPS): 1–6. doi:10.1109/WCNPS53648.2021.9626299. ISBN 978-1-6654-1078-6. S2CID 244864841.

4. Yao, Qigui; Wang, Qi; Zhang, Xiaojian; Fei, Jiaxuan (2021-01-04). "Dynamic Access Control and Authorization System based on Zero-trust architecture". Proceedings of the 2020 1st International Conference on Control, Robotics and Intelligent System. CCRIS '20. New York, NY, USA: Association for Computing Machinery: 123–127. doi:10.1145/3437802.3437824. ISBN 978-1-4503-8805-4. S2CID 230507437.

5. Marsh, Stephen (1994), Formalising Trust as a Computational Concept, p. 56, retrieved 2022-07-22

6. Loten, Angus (2019-05-01). "Akamai Bets on 'Zero Trust' Approach to Security". Wall Street Journal. Retrieved 2022-02-17.

7. Higgins, Kelly Jackson. "Forrester Pushes 'Zero Trust' Model For Security". Dark Reading. Informa. Archived from the original on 26 August 2021. Retrieved 2022-02-17.

8. Kindervag, John (2010-11-05). "Build Security Into Your Network's DNA: The Zero Trust Network Architecture" (PDF). Forrester Research. Retrieved 2022-07-22.

9. National Cybersecurity Center of Excellence. "Implementing a Zero Trust Architecture". NIST. Retrieved 2022-07-22.

10. Rose, Scott; Borchert, Oliver; Mitchell, Stu; Connelly, Sean. "Zero Trust Architecture" (PDF). nvlpubs.nist.gov. NIST. Retrieved 17 October 2020.

11. "Network architectures". www.ncsc.gov.uk. Retrieved 2020-08-25.

Stephen Paul Marsh

↑ Collier, Zachary A.; Sarkis, Joseph (2021-06-03). "The zero trust supply chain: Managing supply chain risk in the absence of trust". International Journal of Production Research. 59 (11): 3430–3445. doi:10.1080/00207543.2021.1884311. ISSN 0020-7543. S2CID 233965375.
↑ do Amaral, Thiago Melo Stuckert; Gondim, João José Costa (November 2021). "Integrating Zero Trust in the cyber supply chain security". 2021 Workshop on Communication Networks and Power Systems (WCNPS): 1–6. doi:10.1109/WCNPS53648.2021.9626299. ISBN 978-1-6654-1078-6. S2CID 244864841.

[1] Collier, Zachary A.; Sarkis, Joseph (2021-06-03). "The zero trust supply chain: Managing supply chain risk in the absence of trust". International Journal of Production Research. 59 (11): 3430–3445. doi:10.1080/00207543.2021.1884311. ISSN 0020-7543. S2CID 233965375.

[2] Amaral, Thiago Melo Stuckert; Gondim, João José Costa (November 2021). "Integrating Zero Trust in the cyber supply chain security". 2021 Workshop on Communication Networks and Power Systems (WCNPS): 1–6. doi:10.1109/WCNPS53648.2021.9626299. ISBN 978-1-6654-1078-6. S2CID 244864841.

[۱]

[۲]