مقالات

پایان VPN ها – بخش دوم

Posted by author-avatar
On ۱۴۰۴/۰۴/۰۷
۰ comments
Zero Trust

فراتر از هیاهوی Zero Trust

دیپن دسای در مصاحبه کنفرانس RSA اینطور گفت: Zero Trust یک ویژگی نیست. این یک تصمیم در لایه معماری است که اعتماد به شبکه را متوقف کنیم.

در بخش اول این گزارش، به بررسی شکست VPN ها پرداختیم. اینکه چگونه مهاجمان از آنها سوءاستفاده می‌کنند، چگونه تحت فشار Patch از کار می‌افتند، و چگونه به جای مهار ریسک، آن را گسترش می‌دهند. اما گفتگوی ما در سانفرانسیسکو به تشخیص ختم نشد، بلکه به سمت آنچه در مرحله بعد می‌آید، تغییر جهت داد.

پاسخ Zero Trust است. اما نه نسخه ساده آن

دسای گفت: اگر کاربران شما متصل شوند و در شبکه قرار بگیرند – حتی در فضای ابری – شما Zero Trust را انجام نداده اید. در واقع شما فقط VPN خود را به یک آدرس جدید منتقل کرده‌اید.

در واقع معماری Zero Trust بر اساس یک ایده اساسی ساخته شده است: کاهش سطح حمله در وهله اول!

سطح حمله نامرئی

اگر نقص اصلی VPNها این باشد که برنامه‌ها را قابل دسترس می‌کنند، Zero Trust این نقص را کاملاً برطرف می‌کند. با ایجاد دسترسی خصوصی، کاربران هرگز به شبکه دسترسی پیدا نمی‌کنند، هیچ IP تخصیص داده نمی‌شود، هیچ زیرشبکه مشترکی وجود ندارد، هیچ دسترسی ورودی به هیج منبعی وجود ندارد. در واقع اگر هویت کاربر، سیاست وضع شده و وضعیت  سیستم با هم همسو باشند،  Zero Trust اتصالات کاربر و برنامه را به هم متصل می‌کند.

دسای گفت: اگر بتوانید شبکه را اسکن کنید، پس در شبکه هستید و اگر در شبکه باشید، مهاجم نیز می‌تواند در آن باشد!

این رویکرد نیاز به سرویس دهنده های VPN، قوانین فایروال ورودی یا  IP های در معرض دید را از بین می‌برد، پس مهاجمان نمی‌توانند چیزی را که نمی‌توانند ببینند هدف قرار دهند.

فلسفه‌ای که جایگزین محیط می‌شود

Zero Trust در واقع چارچوبی است که بر اساس سه اصل غیرقابل مذاکره ساخته و توسط NIST تعریف شده است:

۱. هرگز اعتماد نکنید، همیشه احراز کنید

هر کاربر یا دستگاه باید به طور مداوم احراز هویت و اعتبارسنجی شود – نه فقط در هنگام ورود به سیستم. اعتماد یک مکان یا یک گواهی نیست، اعتماد به دست می‌آید و منقضی می‌شود.

۲. اعمال حداقل دسترسی دارای امتیاز بالا

کاربران نیازی به دسترسی گسترده به شبکه ندارند – آنها به دسترسی خاص، به برنامه‌های خاص، در زمان‌های خاص نیاز دارند. مجوزها همیشه باید تا حد امکان محدود باشند.

۳. فرض را بر نقض بگذارید

معماری باید  بر مبنای مهار و ایزوله سازی کاربر باشد، حرکت جانبی نه تنها باید مسدود شود، بلکه باید از نظر طراحی غیرممکن باشد.

دسای افزود: هر یک از این ایده‌ها، مدل قدیمی را زیر سوال می برد، به همین دلیل است که نمی‌توانید VPN خود را تغییر نام دهید و آن را Zero Trust  بنامید، در واقع یا این اصول را اجرا می‌کنید یا نمی‌کنید!

تغییر چهار مرحله‌ای به سمت اعتماد صفر

با استفاده از یک مسیر پذیرش چهار مرحله‌ای  می توان به تدریج به سمت کاهش ریسک قدم برداشت:

۱. خروج امن از اینترنت

قبل از برنامه‌های داخلی سازمان، با ترافیک خروجی شروع کنید، سیاست‌ها سختگیرانه و بازرسی TLS منسجمی را در بین همه کاربران اعمال نمائید، بدون اینکه ترافیک را به یک مرکز داده مرکزی منتقل کنید.

این امر نیاز به پروکسی‌های داخلی را از بین می‌برد و محافظت را در نزدیکی کاربر اعمال می‌کند. این گام می تواند Zero Trust  را مقیاس‌پذیر می‌کند.

۲. جایگزین کردن VPN ورودی با Zero Trust

گام بعدی حذف کامل تونل‌های VPN است، ابزاریهای مناسبی برای پنهان سازی برنامه‌های خصوصی از دید اینترنت فراهم می باشد-  بدون IP عمومی، بدون سرویس‌های در معرض دید، بدون قوانین فایروال ورودی.

دسای افزود: این عمل صرفا فقط مسدود کردن دسترسی نیست، بلکه حتی امکان  اسکن کردن را هم از بین می‌برد.

دسترسی بر اساس اینکه کاربر کیست، از چه دستگاهی استفاده می‌کند و چه سیاست‌هایی اجازه می‌دهد تعیین می‌شود، نه اینکه از کجا متصل می‌شود یا به چه شبکه‌ای متصل است.

۳. تقسیم‌بندی دسترسی کاربر به برنامه

اینجاست که اکثر سازمان‌ها واقعاً شروع به درک قدرت Zero Trust می‌کنند.

این روش به جای بخش‌بندی بر اساس زیرشبکه، یا VLAN، بر اساس  ترکیب روابط کاربر-برنامه بخش‌بندی می‌کند. سیاست‌ها حول هویت کاربری ساخته می‌شوند، نه زیرساخت.

کشف سیستم های داخلی گام بسیار مهمی در اجرای این فاز می باشد، در واقع شما نمی‌توانید چیزی را که نمی‌دانید وجود دارد، بخش‌بندی کنید. اما لازم هم نیست که همه این کارها را یکجا انجام دهید. با ارزشمند ترین منابع سازمانی خود شروع کنید. سپس پرخطرترین کاربران خود را جدا کنید.

این ممکن است شامل کارمندانی باشد که مرتباً در شبیه‌سازی‌های فیشینگ شکست می‌خورند، کاربرانی که از دستگاه‌های مدیریت نشده استفاده می‌کنند یا حساب‌هایی که رفتار غیرعادی نشان می‌دهند.

۴. قبل از گسترش آسیب، مهاجم را به دام بیندازید

حتی با وجود بخش‌بندی، حملات می تواند اتفاق بیافتند، اما Zero Trust به پیشگیری ختم نمی‌شود، بلکه در فاز مهار نیز فعالیت می نماید.

در Zero Trust فریب کاربر را مستقیماً در لایه دسترسی ادغام می‌کند: مثلا برنامه‌های کاربردی فریبنده ، درست مانند برنامه‌های واقعی به کاربران ارائه می‌شوند. در صورت برقراری هرگونه تراکنش و ارتباط با این برنامه فریب، دسترسی به محیط واقعی بلافاصله محدود و مهاجم منزوی می‌شود.

در واقع کاربر حتی نمی‌داند که از بازی کنار گذاشته شده‌ است!

این امر حرکت جانبی که در VPN ها اغلب فعال می باشد را از بین می‌برد و نقشه مهاجم را علیه آنها تغییر می‌دهد.

این همان چیزی است که Zero Trust را به چیزی فراتر از پیشگیری تبدیل می‌کند. این یک مهار طراحی‌شده است.

چه چیزی کار نمی‌کند!

دسای در مورد اینکه Zero Trust چه چیزی نیست، توضیحات مفیدی ارائه داد:

قرار دادن VPN در فضای ابری، ماهیت آن را تغییر نمی‌دهد. اگر کاربران همچنان در شبکه قرار بگیرند، شما آدرس را تغییر داده‌اید، نه معماری آن را.

راهکارهای کنترل دسترسی شبکه (NAC) نیز به همان اندازه محدود هستند. آنها ممکن است وضعیت دستگاه را در لبه بررسی کنند، اما نمی‌توانند از اتفاقات درون یک جلسه جلوگیری کنند، به خصوص اگر مهاجم دارای اعتبارنامه‌های معتبر باشد. آنها نمی‌توانند از خروج داده‌ها از درون یک اتصال تأیید شده جلوگیری کنند. و مطمئناً نمی‌توانند برنامه‌ها را از دید مهاجمان مخفی کنند.

 

مزیت واقعی Zero Trust: سادگی که در مقیاس بزرگ قابل استفاده است

در حالی که مزایای امنیتی واضح است، دسای خاطرنشان کرد که Zero Trust همچنین یک برد عملیاتی است، به خصوص برای سازمان‌هایی که با سربار VPN دست و پنجه نرم می‌کنند.

 

طبق گزارش ریسک  سازمانی:

۵۴٪ از تیم‌های امنیتی می‌گویند VPNها باعث بروز حوادث مکرر می‌شوند.

۴۱٪ می‌گویند که منابع پردازشی بسیار زیادی را به خود اختصاص می دهند!

یک سازمان اعلام کرد پس از انتقال به Zero Trust، حدود ۹۷ درصد از تیکت‌های پشتیبانی دسترسی از راه دور کاهش یافته است.

دسای افزود: این فقط تیم امنیتی شما نیست که سود می‌برد. تیم فناوری اطلاعات شما هم از Zero Trust بهرمند می شود.  کاربران شما هم سود می‌برند.

وقتی زیرساخت‌ها از بین می‌روند، پیچیدگی و هزینه‌های ناشی از آن نیز از بین می‌رود.

 

طرح موضوع در هیئت مدیره

دسای گفتگوی ما را با توصیه‌ای برای مدیران ارشد امنیت اطلاعات که برای آوردن Zero Trust به اتاق هیئت مدیره تلاش می‌کنند، به پایان رساند. توصیه او:  در مورد کنترل‌ها صحبت نکنید، در مورد مهار صحبت کنید.

او گفت: سوال این نیست که آیا به شما نفوذ می‌شود یا نه؛  VPN ها اجازه می‌دهند که نفوذ گسترش یابد، Zero Trust آن را از همان جایی که شروع می‌شود متوقف می‌کند.

با VPN ها، نفوذ گسترش می‌یابد، با  Zero Trust نفوذ مهار می‌شود. دسترسی به طور پیش‌فرض محدود است و حتی نفوذ موفقیت‌آمیز نیز نمی‌تواند به صورت جانبی منتقل شود.

 

دسای به مدیران ارشد امنیت اطلاعات توصیه می‌کند که با این چهار نکته طراحی خود را انجام دهند:

  • Zero Trust تأثیر نقض امنیتی را کاهش می‌دهد.
  • Zero Trust بسیار مقیاس‌پذیر است.
  • هر بار که کاربری درخواست برقراری ارتباط می دهد ، فرض امن بودن را با اثبات و احراز جایگزین می‌کند.

 

تغییری که در حال وقوع است

طبق گزارش ریسک VPN در سال ۲۰۲۵، این گذار در حال وقوع است.  ۶۵٪ سازمان‌ها در حال کنار گذاشتن  VPN ها هستند. ۸۱٪ در حال سرمایه‌گذاری روی معماری Zero Trust هستند.

این در مورد شعارهای کلیشه‌ای نیست بلکه در مورد کنترل است.

منابع

بخش ۲ از ۲ – بر اساس مصاحبه‌ای با دیپن دسای، مدیر ارشد استراتژی Zscaler

نوشته‌ی هولگر شولز، سایبرسکیوریتی اینسایدرز

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.