Zero Trust กับสิทธิพิเศษน้อยที่สุด
เผยแพร่แล้ว: 2023-11-09ในโลกดิจิทัลที่เปลี่ยนแปลงตลอดเวลา ความปลอดภัยทางไซเบอร์มีความสำคัญอย่างยิ่ง องค์กรต่างๆ เผชิญกับความท้าทายที่เพิ่มขึ้นเรื่อยๆ ซึ่งจำเป็นต้องนำกรอบการทำงานด้านความปลอดภัยที่แข็งแกร่งมาใช้ เฟรมเวิร์กความปลอดภัยทางไซเบอร์ที่โดดเด่นสองเฟรม ได้แก่ Zero Trust Network Access (ZTNA) และ Principle of Least Privilege (POLP) คู่มือที่ครอบคลุมนี้สำรวจด้านเทคนิคของระบบเหล่านี้ ช่วยให้ผู้จัดการฝ่ายไอทีสามารถประเมินความเหมือน ความแตกต่าง ข้อดี และข้อเสีย และท้ายที่สุดจะเลือกกรอบการทำงานที่สอดคล้องกับความต้องการเฉพาะขององค์กรมากที่สุด
Zero Trust คืออะไร?
Zero Trust (ZT) ซึ่งเป็นโมเดลการรักษาความปลอดภัยที่ท้าทายโมเดลการรักษาความปลอดภัยตามขอบเขตแบบดั้งเดิม ทำงานภายใต้กฎพื้นฐาน: “อย่าวางใจ ตรวจสอบเสมอ” Zero Trust เปิดตัวโดย John Kindervag นักวิเคราะห์หลักของ Forrester ในปี 2010 เพื่อแก้ไขปัญหาที่เกิดขึ้นเมื่อธุรกิจเปลี่ยนไปใช้ระบบคลาวด์ เช่น การเพิ่มขึ้นของบุคคลที่ไม่ได้รับการยืนยันซึ่งได้รับอนุญาตให้ใช้บัญชีออนไลน์ ซึ่งเพิ่มความเสี่ยงของการละเมิดข้อมูล
ในรูปแบบ Zero Trust ตัวระบุทั้งหมดจะผ่านการทดสอบอย่างเข้มงวด โดยรับรู้ว่าอาจมีความเสี่ยงอยู่แล้วภายในเครือข่าย ไม่มีหน่วยงานใดไม่ว่าจะเป็นบุคคลหรืออุปกรณ์ที่ได้รับความเชื่อถือโดยเนื้อแท้ จำเป็นต้องมีการรับรองความถูกต้อง การอนุญาต และการตรวจสอบความถูกต้อง (AAV) อย่างต่อเนื่องก่อนที่จะให้สิทธิ์การเข้าถึงทรัพยากร โมเดลนี้ช่วยให้สามารถระบุพฤติกรรมที่น่าสงสัยได้อย่างรวดเร็วและตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้นได้อย่างรวดเร็ว ซึ่งช่วยลดผลกระทบจากการโจมตีทางไซเบอร์
Zero Trust ทำงานอย่างไร
Zero Trust ถือว่าช่องโหว่ไม่ได้เกิดขึ้นเพียงภายนอกเท่านั้น แต่ยังอาจอยู่ภายใน โดยปลอมแปลงเป็นหน่วยงานที่ดูเหมือนไม่เป็นพิษเป็นภัย ในสถานการณ์ Zero Trust ความน่าเชื่อถือจะต้องถูกสร้างขึ้นใหม่อย่างต่อเนื่องผ่านการโต้ตอบและคำขอการเข้าถึงทั้งหมด ผ่าน AAV ทุกหน่วยงานจะต้องได้รับการตรวจสอบในทุกจุดเริ่มต้น โดยไม่คำนึงถึงความน่าเชื่อถือที่รับรู้
- การรับรองความถูกต้อง ใช้ Multi-Factor Authentication (MFA) และ Credential Vaulting เพื่อยืนยันตัวตน
- การอนุญาต จะกำหนดระดับการเข้าถึงตามลักษณะงานและการเข้าถึงข้อมูลที่จำเป็น
- การตรวจสอบ จะติดตามพฤติกรรมอย่างต่อเนื่องเพื่อให้แน่ใจว่ามีการปฏิบัติตามการอนุญาตและโปรโตคอลความปลอดภัย
สิทธิพิเศษน้อยที่สุดทำงานอย่างไร
หลักการของสิทธิพิเศษน้อยที่สุดหรือ POLP เป็นหลักการรักษาความปลอดภัยที่ชัดเจนแต่มีความสำคัญเท่าเทียมกัน โดยสนับสนุนให้หน่วยงานได้รับสิทธิ์หรือการอนุญาตขั้นต่ำที่จำเป็นในการปฏิบัติหน้าที่ของตน ใช้กลยุทธ์ “จำเป็นต้องรู้” และ “จำเป็นต้องใช้” โดยจำกัดการเข้าถึงที่ไม่จำเป็นเพื่อลดพื้นที่การโจมตีที่อาจเกิดขึ้น
จินตนาการถึงระบบนิเวศดิจิทัลของบริษัทของคุณเป็นเครือข่ายจุดเริ่มต้น ซึ่งแต่ละจุดจะนำไปสู่พื้นที่ต่างๆ ที่มีทรัพย์สินอันมีค่าและข้อมูลที่เป็นความลับ POLP ตรวจสอบให้แน่ใจว่าผู้ใช้ แอปพลิเคชัน และระบบแต่ละรายมีชุดคีย์ ซึ่งอนุญาตให้เข้าถึงเฉพาะพื้นที่ที่จำเป็นเท่านั้น และเพิกถอนคีย์เหล่านั้นเมื่อบรรลุวัตถุประสงค์แล้ว
ด้วยการยึดมั่นในกฎที่มีสิทธิ์น้อยที่สุด องค์กรจะลดขอบเขตการโจมตีให้เหลือน้อยที่สุด และนี่คือจุดเข้าที่เป็นไปได้ทั้งหมดสำหรับผู้ไม่ประสงค์ดี ซึ่งจัดทำแผนผังอย่างเป็นระบบ การลดลงนี้ทำได้สำเร็จโดย:
- การจำกัดการเข้าถึงเอนทิตีที่ไม่ต้องการมัน
- ลดจุดเข้าที่ผู้บุกรุกสามารถเจาะเข้าสู่ระบบได้
- การจำกัดขนาดของผลกระทบที่อาจเกิดขึ้นเมื่อเข้ามา
อะไรคือความแตกต่างระหว่าง Zero Trust และสิทธิพิเศษน้อยที่สุด?
ZTNA และ POLP แตกต่างกันในสี่วิธี:
1. Zero trust เป็นแบบองค์รวม ในขณะที่สิทธิพิเศษน้อยที่สุดมุ่งเน้นไปที่สิทธิ์และการอนุมัติ
ข้อแตกต่างประการแรกระหว่าง Zero Trust และสิทธิ์ขั้นต่ำคือในแง่ของขอบเขตความครอบคลุม Zero trust จะสร้างเครือข่ายที่กว้างมากในทุกแง่มุมของสถาปัตยกรรมเครือข่าย โดยตั้งคำถามถึงแนวคิดดั้งเดิมของการรักษาความปลอดภัยที่นำโดยขอบเขต มันบอกเป็นนัยว่าไม่มีหน่วยงานใดทั้งภายในและภายนอกที่ได้รับความไว้วางใจโดยเนื้อแท้ แม้ว่าจะไม่ได้พยายามค้นหาทรัพยากรที่มีความละเอียดอ่อนก็ตาม
ในทางตรงกันข้าม สิทธิ์ขั้นต่ำมุ่งเน้นไปที่การควบคุมสิทธิ์และการอนุญาตของผู้ใช้หรือแอปพลิเคชันเฉพาะเป็นหลัก ช่วงของมันแคบลงและขึ้นอยู่กับสมมติฐานที่ว่าเอนทิตีมีสิทธิ์เข้าถึงขั้นต่ำที่จำเป็นในการดำเนินงานที่ได้รับมอบหมายเท่านั้น
2. สิทธิ์ขั้นต่ำถูกบังคับใช้ในระดับที่ละเอียด ในขณะที่ Zero Trust นั้นมีกลยุทธ์มากกว่า
สิทธิ์ขั้นต่ำจะละเอียดมากขึ้นโดยธรรมชาติ เนื่องจากจำกัดการเข้าถึงต่อเอนทิตีหรือต่อกิจกรรม มันแสดงถึงกลไกการควบคุมที่แม่นยำซึ่งรับประกันว่าผู้ใช้หรือแอปมีสิทธิ์ที่จำเป็นในการปฏิบัติหน้าที่เท่านั้น
แม้ว่าวิธีการของ Zero Trust อาจมีรายละเอียดปลีกย่อย แต่โดยทั่วไปแล้ววิธีนี้จะใช้ได้ผลในขนาดที่ใหญ่ขึ้น โดยมุ่งเน้นไปที่กลุ่มเครือข่าย อุปกรณ์ หรือการจัดหมวดหมู่ข้อมูลเฉพาะเจาะจง คุณมักจะเลือกเครื่องมือการจัดการโครงสร้างพื้นฐานด้านไอทีตามปรัชญา Zero Trust และนี่คือกรอบความคิดเชิงกลยุทธ์ที่นำไปใช้ในระดับการออกแบบ
3. สิทธิพิเศษน้อยที่สุดนั้นง่ายต่อการเปิดตัวมากกว่าการไว้วางใจเป็นศูนย์
ข้อแตกต่างประการที่สามระหว่างความไว้วางใจเป็นศูนย์เทียบกับสิทธิ์ขั้นต่ำคือเมื่อโดยปกติสิทธิ์ขั้นต่ำจะถูกนำไปใช้โดยระบบควบคุมที่จำกัด การดูแลระบบผู้ใช้ และการจัดสรรการอนุญาต โดยทั่วไป การใช้งานภายในสถาปัตยกรรมเครือข่ายที่กำหนดไว้จะง่ายกว่า ในทางกลับกัน การใช้ Zero Trust มักต้องมีการเปลี่ยนแปลงสถาปัตยกรรมเครือข่ายอย่างมีนัยสำคัญ เช่น การแบ่งส่วนเครือข่าย โดยต้องมีการประเมินเชิงลึกอีกครั้งของกรอบการทำงานด้านความปลอดภัยโดยรวม
4. Zero trust จะทำงานเชิงรุกในขณะที่สิทธิ์ขั้นต่ำตอบสนองต่อคำขอเข้าถึง
การใช้สิ่งที่จำเป็นต้องรู้ควบคู่ไปกับแนวทางที่จำเป็นต้องใช้ สิทธิพิเศษน้อยที่สุดจะจำกัดการเข้าถึงสินทรัพย์ตามความจำเป็น โดยมุ่งเน้นไปที่การสร้างและดำเนินการอนุญาตการเข้าถึงล่วงหน้า แทนที่จะใช้วิธีการยืนยันอย่างต่อเนื่องของ Zero Trust Zero trust นำเสนอกลยุทธ์เชิงรุกโดยการยืนยันความถูกต้อง ความถูกต้อง และความถูกต้องของเอนทิตีและกิจกรรมต่างๆ อย่างต่อเนื่อง
โดยสรุป: Zero Trust และสิทธิพิเศษน้อยที่สุด
ทั้ง Zero Trust และ Principle of Least Privilege เป็นองค์ประกอบสำคัญของกรอบงานความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง โดยเน้นย้ำถึงความสำคัญของการสร้างการควบคุมการเข้าถึงที่เชื่อถือได้ตามข้อมูลประจำตัวและบริบทของผู้ใช้ แม้ว่า POLP จะสามารถนำไปใช้ได้อย่างอิสระ แต่จะมีประสิทธิภาพสูงสุดเมื่อใช้ภายในสภาพแวดล้อม Zero Trust ซึ่งจะตรวจสอบพฤติกรรมของผู้ใช้อย่างต่อเนื่องและตรวจสอบข้อมูลประจำตัวและกิจกรรมของเอนทิตี
ในยุคดิจิทัลที่ซับซ้อนของเรา กลยุทธ์การป้องกันปราสาทและคูน้ำแบบดั้งเดิมไม่สามารถทำได้อีกต่อไป แฮกเกอร์ที่มีทักษะสามารถปรับใช้แผนการโจมตีแบบกระจายกับองค์กรต่างๆ ได้ โดยจำเป็นต้องมีกลยุทธ์ความปลอดภัยทางไซเบอร์ที่มีการกระจายอย่างเท่าเทียมกัน การใช้การป้องกันทุกรูปแบบ รวมถึง Zero Trust และ Least Privilege เพื่อรักษาความปลอดภัยจุดเชื่อมต่อให้ได้มากที่สุดถือเป็นสิ่งจำเป็น