امنیت Zero Trust چیست؟ اصول مدل Zero Trust

Zero Trust یک چارچوب امنیتی است که بر تأیید هویت دقیق و سخت‌گیرانه برای هر کاربر و دستگاهی که قصد دسترسی به منابع سازمان را دارد تأکید دارد، چه در داخل شبکه باشد چه خارج از آن. برخلاف مدل‌های سنتی امنیتی که به یک مرز مشخص شبکه متکی هستند، مدل Zero Trust بر این اصل استوار است که هیچ کاربر یا سیستمی به‌طور پیش‌فرض قابل اعتماد نیست. در این مدل، احراز هویت مداوم، مجوزدهی و اعتبارسنجی پیکربندی‌های امنیتی قبل از اعطای دسترسی به برنامه‌ها و داده‌ها ضروری است.

مفاهیم کلیدی در Zero Trust

  • عدم اعتماد پیش‌فرض: در این مدل، فرض بر این است که تهدیدات می‌توانند هم در داخل و هم خارج از شبکه وجود داشته باشند. بنابراین، هویت و وضعیت امنیتی هر کاربر و دستگاه به‌صورت مداوم بررسی می‌شود.

  • امنیت فراگیر: این چارچوب برای محافظت از زیرساخت‌های دیجیتال مدرن طراحی شده است؛ از جمله شبکه‌های محلی، محیط‌های ابری و مدل‌های ترکیبی. این ویژگی آن را برای سازمان‌هایی با کارکنان راه دور، محیط‌های ابری متنوع یا مواجه با تهدیدات پیشرفته مانند باج‌افزار مناسب می‌سازد.

  • نظارت مداوم: Zero Trust تنها به بررسی اولیه ورود اکتفا نمی‌کند، بلکه در طول کل جلسه کاری، وضعیت کاربران و دستگاه‌ها را به‌صورت مستمر پایش و اعتبارسنجی می‌کند. این قابلیت به شناسایی و واکنش سریع نسبت به تهدیدات احتمالی کمک می‌کند.

Zero Trust و استانداردهای صنعتی

Zero Trust یک مفهوم گسترده است و پیاده‌سازی آن ممکن است متفاوت باشد. با این حال، هماهنگی با استانداردهای معتبری مانند نمونه زیر، به سازمان‌ها کمک می‌کند تا رویکردی مؤثر و سازگار داشته باشند:

  • NIST 800-207: مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) این استاندارد را به‌عنوان یک راهنمای جامع برای پیاده‌سازی Zero Trust تدوین کرده است. این استاندارد به دلیل بی‌طرفی نسبت به فروشندگان و قابلیت کاربرد در صنایع مختلف، از جمله سازمان‌های دولتی و خصوصی، مورد توجه گسترده قرار گرفته است.

با پیروی از استاندارد NIST 800-207، سازمان‌ها می‌توانند اطمینان حاصل کنند که معماری Zero Trust آن‌ها در برابر تهدیدات سایبری مدرن مقاوم است و با محیط‌های کاری مبتنی بر ابر و دورکاری سازگار خواهد بود.

nist zero trust framework 1024x480 1 امنیت Zero Trust چیست؟ اصول مدل Zero Trust خرداد ۱۴۰۵

اصول اصلی مدل Zero Trust بر اساس استاندارد NIST 800-207

مدل امنیتی Zero Trust، طبق چارچوب تعریف‌شده در استاندارد NIST 800-207، بر سه اصل کلیدی استوار است که هدف آن‌ها بازاندیشی اساسی در شیوه اعتمادسازی و مدیریت دسترسی در سازمان‌ها برای افزایش امنیت است:

۱. تأیید مستمر (Continuously Verify)

اصل بنیادی Zero Trust این است: “هرگز اعتماد نکن، همیشه تأیید کن”. هیچ کاربر، دستگاه یا برنامه‌ای، حتی اگر در داخل شبکه باشد، به‌طور پیش‌فرض قابل اعتماد نیست. دسترسی باید به‌صورت پیوسته و پویا و بر اساس ارزیابی‌های لحظه‌ای ریسک، بررسی و تأیید شود.

  • دسترسی شرطی مبتنی بر ریسک: دسترسی تنها زمانی اعطا می‌شود که ارزیابی پویا نشان دهد کاربر یا دستگاه موردنظر الزامات امنیتی را رعایت کرده است. این روش بدون اختلال در تجربه کاربری، امنیت بالا را حفظ می‌کند.

  • اجرای سریع و مقیاس‌پذیر سیاست‌ها: سیاست‌های امنیتی باید به‌سرعت قابل انطباق با تغییرات محیط کاری، داده‌ها و مکان کاربران باشند. این موضوع باید با نیازهای انطباقی و IT نیز هماهنگ باشد.

۲. محدودسازی شعاع آسیب (Limit the Blast Radius)

در صورت وقوع نفوذ، محدود کردن دامنه آسیب بسیار حیاتی است. Zero Trust با جلوگیری از حرکت آزادانه مهاجم در شبکه، زمان لازم برای شناسایی و واکنش تیم امنیتی را فراهم می‌کند.

  • تقسیم‌بندی مبتنی بر هویت: برخلاف روش‌های سنتی تقسیم‌بندی شبکه که سخت و پرهزینه‌اند، تقسیم‌بندی مبتنی بر هویت کارآمدتر است و بر اساس هویت کاربر یا دستگاه تعریف می‌شود نه مرزهای ایستا.

  • اصل حداقل دسترسی: هر حساب کاربری (حتی حساب‌های سیستمی) باید کمترین سطح دسترسی موردنیاز برای انجام وظایف خود را داشته باشد. با تغییر نقش یا وظایف، میزان دسترسی نیز باید تغییر کند تا از سوءاستفاده از دسترسی‌های بیش از حد جلوگیری شود.

۳. خودکارسازی جمع‌آوری زمینه و واکنش (Automate Context Collection and Response)

تصمیم‌گیری امنیتی مؤثر نیازمند داده‌های جامع از سراسر محیط IT است. Zero Trust بر خودکارسازی جمع‌آوری اطلاعات زمینه‌ای و واکنش در زمان واقعی تأکید دارد.

  • جمع‌آوری داده‌های گسترده: اطلاعات باید از منابع مختلف جمع‌آوری شود، مانند:

    • اعتبارنامه کاربران (انسانی و غیر انسانی مانند حساب‌های سیستمی)

    • بارهای کاری (ماشین‌های مجازی، کانتینرها، محیط‌های هیبریدی)

    • نقاط انتهایی (تمام دستگاه‌های دارای دسترسی)

    • ترافیک شبکه (پایش فعالیت‌ها برای تشخیص ناهنجاری)

    • دسترسی به داده‌ها (چه کسی به چه داده‌ای دسترسی دارد و چگونه)

  • ادغام با سایر سیستم‌های امنیتی: شامل APIهایی برای اتصال به سامانه‌های SIEM، سرویس‌های SSO، ارائه‌دهندگان هویت (مثل Active Directory)، و پلتفرم‌های تهدیدیابی. این ادغام باعث می‌شود اطلاعات جمع‌آوری‌شده قابل استفاده و واکنش‌پذیر باشند.

با پایبندی به این اصول، سازمان‌ها می‌توانند یک معماری Zero Trust قوی ایجاد کنند که نه تنها در برابر تهدیدات شناخته‌شده مقاوم باشد، بلکه توانایی سازگاری با تهدیدات نوظهور را نیز داشته باشد و زیرساختی امن و پایدار برای آینده فراهم کند.

نحوه عملکرد مدل امنیتی Zero Trust (بی‌اعتمادی صفر)

اجرای چارچوب امنیتی Zero Trust نیازمند استفاده از فناوری‌های پیشرفته‌ای است که امنیت را بر اساس تأیید مداوم و عدم اعتماد پیش‌فرض فراهم می‌کنند. این فناوری‌ها شامل موارد زیر هستند:

  • احراز هویت چندمرحله‌ای مبتنی بر ریسک (Risk-based MFA): هویت کاربران و سیستم‌ها را بر اساس میزان ریسک آنی آن‌ها تأیید می‌کند.

  • محافظت از هویت: اطمینان حاصل می‌کند که هویت کاربران و سیستم‌ها همواره در حالت امن بوده و به‌صورت پیوسته تأیید می‌شود.

  • امنیت نسل جدید نقاط پایانی: دستگاه‌های کاربران (endpoints) را با جدیدترین روش‌ها محافظت می‌کند و از دسترسی یا حمله غیرمجاز جلوگیری می‌نماید.

  • فناوری امنیتی بارهای کاری ابری: امنیت در محیط‌های ابری را تضمین می‌کند و از نفوذ به بارهای کاری جلوگیری می‌کند.

علاوه بر این‌ها، مدل Zero Trust بر رمزگذاری داده‌ها، ارتباط ایمن از طریق ایمیل، و بررسی وضعیت سلامت دستگاه‌ها و دارایی‌ها قبل از اتصال به برنامه‌ها تأکید دارد.

مراحل پیاده‌سازی Zero Trust

اجرای Zero Trust به‌صورت مرحله‌ای و با توجه به نیازهای خاص هر سازمان انجام می‌شود:

  1. مشاهده (Visualize): شناسایی همه منابع و نقاط دسترسی آن‌ها، و ترسیم نقشه‌ای از ریسک‌های احتمالی.

  2. کاهش تهدید (Mitigate): شناسایی و توقف تهدیدات، یا در کمترین حالت، کاهش آثار آن‌ها در صورت وقوع.

  3. بهینه‌سازی (Optimize): گسترش پوشش امنیتی در کل زیرساخت IT در کنار بهینه‌سازی تجربه کاربری.

گذار از مدل امنیتی سنتی

مدل Zero Trust تغییر بزرگی نسبت به مدل‌های سنتی امنیت شبکه ایجاد می‌کند. در روش سنتی که بر اساس اصل «اعتماد کن و سپس تأیید کن» عمل می‌کرد، کاربران و دستگاه‌های درون شبکه سازمان به‌طور پیش‌فرض مورد اعتماد بودند. این موضوع موجب آسیب‌پذیری در برابر تهدیدات داخلی یا دسترسی از طریق اعتبارنامه‌های به سرقت رفته می‌شد. اما با رشد خدمات ابری و افزایش دورکاری به‌ویژه پس از شیوع کرونا، این مدل ناکارآمد و قدیمی شد.

نظارت و اعتبارسنجی مستمر

در معماری Zero Trust، سازمان‌ها باید به‌صورت مداوم بررسی کنند که کاربران و دستگاه‌های آن‌ها از مجوزها و ویژگی‌های مناسب برخوردارند. این مدل، اعتبارسنجی یک‌باره را کافی نمی‌داند؛ چرا که تهدیدات و ویژگی‌های کاربران می‌توانند به‌سرعت تغییر کنند. عناصر کلیدی در نظارت مستمر شامل موارد زیر است:

  • نوع هویت و اعتبارنامه کاربر: تمایز میان کاربران انسانی و برنامه‌ای (مثلاً حساب‌های سیستمی).

  • سطح مجوز اعتبارنامه‌ها: بررسی سطح دسترسی دستگاه‌ها یا کاربران.

  • الگوهای رفتاری: تحلیل رفتار اتصال طبیعی برای هر اعتبارنامه و دستگاه.

  • ویژگی‌های دستگاه: توجه به نوع سخت‌افزار، کارکرد و نسخه‌های firmware.

  • موقعیت جغرافیایی: بررسی مکان فیزیکی دستگاه‌ها.

  • پروتکل‌های امنیتی: ارزیابی پروتکل‌های احراز هویت، عوامل ریسک، نسخه‌های سیستم‌عامل و اپلیکیشن‌های نصب‌شده.

  • تشخیص رویدادها: شناسایی و واکنش به فعالیت‌های مشکوک و حملات احتمالی.

بهره‌گیری از تحلیل داده‌ها برای امنیت بیشتر

برای اجرای مؤثر سیاست‌های Zero Trust، سازمان‌ها باید از تحلیل پیشرفته داده‌ها بهره بگیرند. این کار شامل استفاده از داده‌های تله‌متری سازمانی و اطلاعات تهدید است تا مدل‌های هوش مصنوعی و یادگیری ماشین آموزش دقیق‌تری ببینند. این روش داده‌محور باعث پاسخگویی بهتر و دقیق‌تر به تهدیدات می‌شود.

همچنین، سازمان‌ها باید زیرساخت IT و مسیرهای احتمالی حمله را ارزیابی کرده و اقداماتی مانند تقسیم‌بندی بر اساس نوع دستگاه، هویت، یا نقش گروه‌ها را اجرا کنند تا دامنه حمله را محدود کنند. برای مثال، دسترسی به پروتکل‌هایی مانند RDP یا RPC باید کاملاً کنترل‌شده و فقط برای اعتبارنامه‌های خاص مجاز باشد.

محافظت در برابر حملات مبتنی بر اعتبارنامه

معماری Zero Trust تمرکز بالایی بر محافظت از اعتبارنامه‌ها و داده‌ها دارد. این شامل موارد زیر می‌شود:

  • ایمن‌سازی ارتباطات ایمیلی

  • استفاده از دروازه‌های وب ایمن و ارائه‌دهندگان امنیت دسترسی ابری (CASB)

  • اعمال پروتکل‌های سخت‌گیرانه برای مدیریت رمز عبور

با رعایت این اصول، سازمان‌ها می‌توانند یکپارچگی حساب‌ها را حفظ کرده، از بروز خدمات فناوری اطلاعات غیرمجاز (shadow IT) جلوگیری کرده و الزامات امنیتی داخلی خود را رعایت کنند.

مزایای فوری Zero Trust برای سازمان شما

مدل امنیتی Zero Trust برای هر سازمانی مفید است، اما سازمان‌هایی که باید از مدل‌های پیچیده زیرساختی مانند موارد زیر محافظت کنند، می‌توانند بلافاصله از مزایای آن بهره‌مند شوند:

  • محیط‌های چند‌ابری، ترکیبی (Hybrid) و چند‌هویتی

  • دستگاه‌های غیرمدیریت‌شده

  • سیستم‌های قدیمی (Legacy)

  • برنامه‌های نرم‌افزار به عنوان خدمت (SaaS)

علاوه بر این، Zero Trust در مواجهه با موارد کلیدی تهدیدات زیر، نقش حیاتی دارد:

  • باج‌افزار (Ransomware): شامل دو تهدید اصلی است: اجرای کد مخرب و سرقت هویت. Zero Trust تضمین می‌کند که حتی اگر یکی از این موارد نقض شود، مورد دیگر همچنان محافظت شده باقی بماند.

  • حملات زنجیره تأمین: این حملات اغلب شامل دستگاه‌های غیرمدیریت‌شده و کاربران دارای دسترسی بالا (privileged) در حالت دورکاری هستند — هر دو از آسیب‌پذیری‌هایی هستند که Zero Trust قادر به کاهش آن‌هاست.

  • تهدیدات داخلی: به‌ویژه در تحلیل داده‌های رفتاری کاربران دورکار، فرآیند تأیید مداوم Zero Trust کمک می‌کند تا این تهدیدات شناسایی و مهار شوند.

ملاحظات سازمانی برای اجرای Zero Trust

در زمان پیاده‌سازی Zero Trust، سازمان‌ها باید عوامل زیر را نیز در نظر بگیرند:

  • تخصص تیم مرکز عملیات امنیت (SOC): Zero Trust با خودکارسازی بسیاری از فرایندهای امنیتی، می‌تواند کمبود مهارت در تیم‌های SOC را جبران کند.

  • تجربه کاربری: اجرای Zero Trust — به‌ویژه هنگام استفاده از MFA — نیازمند طراحی دقیق برای جلوگیری از اختلال در تجربه کاربر است.

  • الزامات انطباق (Compliance): چه به دلیل قوانین صنعت، چه مقررات دولتی مانند الزامات Zero Trust دولت ایالات متحده، تطابق با استانداردها محرک مهمی برای پذیرش Zero Trust است.

  • بیمه سایبری: بازار بیمه سایبری دائماً در حال تغییر است؛ اجرای Zero Trust به استراتژی حیاتی برای حفظ پوشش بیمه‌ای تبدیل شده است.

7d16a6a296 امنیت Zero Trust چیست؟ اصول مدل Zero Trust خرداد ۱۴۰۵

پرسش‌های متداول درباره Zero Trust

 

Zero Trust چیست؟

Zero Trust یک چارچوب امنیتی است که تأیید هویت سخت‌گیرانه‌ای را برای همه کاربران و دستگاه‌هایی که می‌خواهند به منابع دسترسی پیدا کنند الزامی می‌داند — چه درون شبکه سازمان باشند و چه بیرون آن.

چه کسی اصطلاح «Zero Trust» را ابداع کرد؟

این اصطلاح توسط جان کیندِروگ (John Kindervag)، تحلیل‌گر مؤسسه Forrester Research و یکی از رهبران فکری در حوزه امنیت معرفی شد. شعار اصلی این مدل «هیچ‌گاه اعتماد نکن، همیشه تأیید کن» است و بر این فرض استوار است که ریسک هم درون و هم بیرون شبکه وجود دارد.

مفاهیم کلیدی Zero Trust چیست؟

مفاهیم اصلی Zero Trust عبارتند از: فرض همیشگی وجود تهدید، ایجاد یک چارچوب جامع امنیتی برای محافظت از زیرساخت‌های پیچیده، و نظارت مداوم بر تهدیدات در طول جلسات کاربری.

اصول Zero Trust طبق NIST چیست؟

طبق دستورالعمل‌های NIST، اصول کلیدی شامل تأیید مداوم، محدودسازی دامنه تأثیر (blast radius)، و خودکارسازی جمع‌آوری داده‌های زمینه‌ای و پاسخ به تهدیدات است.

مزایای Zero Trust چیست؟

Zero Trust برای مقابله با تهدیدات سایبری مانند باج‌افزار، حملات زنجیره تأمین و تهدیدات داخلی ضروری است، به‌ویژه زمانی که زیرساخت شامل محیط‌های پیچیده، دستگاه‌های غیرمدیریت‌شده، سیستم‌های قدیمی و برنامه‌های SaaS باشد.

 

جست و جو

Search
جدید ترین مقالات
مطالب پیشنهادی

ما به عنوان نماینده رسمی IT Researches (شرکت سهامی خاص رایان نت) در ایران، ارائه دهنده انحصاری محصولات اورجینال مایکروسافت هستیم. دفتر ما در لندن، با نام تجاری Talee، همچنین شریک رسمی مایکروسافت در بریتانیا به شماره همکاری: ۴۵۶۰۰۶۲ است. تخصص و تعهد ما به کیفیت، ما را به منبع قابل اعتمادی برای محصولات مایکروسافت در منطقه تبدیل کرده است.

برخی از مشتریان شرکت :
1
2
3
4
5
6
7
8
9
10
Search

نماینده رسمی IT Researches در ایران

اطلاعات تماس

  • تهران، پایین تر از میدان فلسطین، ساختمان پزشکان، طبقه سوم، واحد ۱۹
  • انگلستان: 442071759009+
  • خط سراسری: 021-28422 و 90000901