IBM Flashsystem

ควบคุมทุกการเข้าถึงอย่างมั่นใจด้วย Hillstone ZTNA

ภาวะแพร่ระบาดของไวรัสโคโรน่าทำให้องค์กรต่างตื่นตัวเข้าสู่การทำ Digital Transformation(DX) โดยมีแนวทางหลักๆ 2 ปัจจัยที่เกิดขึ้นคือ 1. ขยายระบบเข้าสู่คลาวด์ 2. กระจายการทำงานสู่นอกองค์กร และทั้งสองได้นำไปสู่การปรับปรุงโครงสร้างของเครือข่ายและความมั่นคงปลอดภัย ทำให้องค์กรมีความต้องการรูปแบบใหม่คือบริการด้านความมั่นคงปลอดภัยที่พร้อมใช้งานได้ทันที ทุกสถานที่

อนึ่งคอนเซปต์ของ Zero Trust ได้กระตุ้นให้องค์กรต่างหันเหสู่แนวทางการป้องกันที่ไม่ไว้ใจใครไม่ว่าจะภายในหรือนอกก็ตาม ทุกอุปกรณ์ ผู้ใช้ หรือการเข้าถึงจะต้องถูกอนุญาตตามบริบทอย่างเหมาะสม จึงเป็นที่มาของ ZTNA โดยถือกำเนิดขึ้นเพื่อปิดช่องว่างของการเข้าถึงแบบเดิม ในบทความนี้ท่านจะได้เรียนรู้แนวคิดของโซลูชัน Hillstone ZTNA กันครับ

Zero Trust คืออะไร?

Zero Trust เป็นศัพท์ที่ถูกนิยามโดย The U.S. National Institute of Standards and Technology (NIST) โดยไอเดียคือคอนเซปต์ของไม่เชื่อสิ่งใด เพราะจากเดิมเรามักให้ความเชื่อถือกับองค์ประกอบที่อยู่ในองค์กร แต่เข้มงวดเป็นพิเศษเฉพาะการเข้าถึงจากภายนอก อย่างไรก็ดีเมื่อการทำงานจากทางไกลกลายเป็นเรื่องธรรมดา ทำให้ VPN ถูกใช้มากขึ้นจนเกินกำลัง ทั้งยังไม่ได้ถูกออกแบบมาให้รองรับกับความท้าทายทั้งด้านสภาพแวดล้อมของ Hybrid, Multi-cloud หรือความหลากหลายของอุปกรณ์

กล่าวได้ว่า Zero Trust เป็นเพียงแนวคิดที่ให้ไอเดียแบบองค์รวม ที่เกิดจากการประกอบรวมกันของโซลูชันหลายด้าน แต่หนึ่งในจุดเริ่มต้นที่ทุกองค์กรพึงมีก็คือช่องทางการเข้าใช้งาน และเมื่อ VPN ยังไม่ดีเพียงพอก็ทำให้ ZTNA (Zero Trust Network Access) นั้นถือกำเนิดขึ้น

ประโยชน์ของ ZTNA ที่เหนือกว่า VPN 

VPN เคยเป็นเทคโนโลยีที่ได้รับการยอมรับว่าช่วยปกป้องการเข้าถึงได้ดีที่สุดในยุคสมัยหนึ่ง โดยผู้ใช้งาน VPN จะได้รับการปฏิบัติเสมือนว่าเข้าไปอยู่ในออฟฟิศจริง ทั้งนี้ Credentials และ IP คือสิ่งที่ถูกใช้เพื่อพิสูจน์ตัวตนและให้สิทธิ์ในการเข้าถึง เคราะห์ร้ายที่ Credential กลับเป็นเรื่องถูกเร่ขายจากการที่องค์กรหรือผู้ให้บริการถูกแฮ็กเสียเอง ไม่นับรวมการถูกโจมตีที่เราไม่สามารถวางใจใครได้ เพราะพนักงานคนใดคนหนึ่งอาจมุ่งร้ายองค์กรหรือถูกฝังตัวเข้ามาอย่างไม่รู้ตัวเลย หากพิจารณาในมุมนี้จะเห็นว่า VPN ยังมีจุดอ่อนที่ไม่สามารถวางใจได้ แม้กระทั่งการขยายตัวของโซลูชันก็ทำได้ไม่ดีพอ

ในขณะเดียวกัน ZTNA ได้มองการเข้าถึงที่ละเอียดกว่า โดยปฏิบัติต่อผู้ใช้หรือเครื่องอุปกรณ์ไม่เท่ากัน เช่น บุคคลที่ใช้ Credential เดียวกันแต่ล็อกอินใช้งานคนละอุปกรณ์อาจมีความสามารถในการเข้าถึงไม่เท่ากัน โดยเมื่อผู้ใช้เข้าสู่ระบบด้วยเครื่องที่ไม่ปลอดภัยอาจจะสามารถเข้าถึงระบบทั่วไปได้แต่ไม่สามารถเข้าถึงแอปสำคัญได้ เป็นต้น ZTNA ยังครอบคลุมในบริบทของการเชื่อมต่อและปัจจัยอื่นด้วย ทำให้สามารถบังคับใช้ Policy ที่ละเอียดและเหมาะสมกับแต่ละกรณีการใช้งานได้อย่างแท้จริง สอดคล้องกับข้อบังคับขององค์กรโดยเฉพาะอุตสาหกรรมที่มีข้อกำหนดสูงเช่น ธนาคาร โรงงาน หรือธุรกิจสำคัญ ด้วยเหตุนี้เอง ZTNA จึงไม่ได้ยึดติดกับความน่าเชื่อถือของบุคคลหรืออุปกรณ์ว่าเป็นขององค์กรหรือไม่ พนักงานสามารถเลือกใช้อุปกรณ์ของตนได้อิสระแต่ทุกการใช้งานจะถูกกำกับดูแลเสมอ

นอกจากนี้เองหากเทียบกับ VPN จะเป็นการพิสูจน์ตัวตนในครั้งแรก จากนั้นจะได้รับความไว้วางใจให้ใช้งานต่อไปในเครือข่าย มองเห็นและเข้าถึงทรัพยากรได้อิสระ แต่ในขณะที่ ZTNA จะพิจารณาจากตัวแปรต่างๆ ถึงผ่านการพิสูจน์ตัวตนได้ก็เริ่มต้นด้วยน้อยที่สุด จึงตอบโจทย์ในเชิงของคุณภาพการควบคุมด้วย แต่หากเป็น VPN จะกำหนดได้เพียงแค่ใอนุญาตหรือปฏิเสธเท่านั้น โดย ZTNA มีกลไกในการป้องกันที่อนุญาตผู้ใช้งานให้มองเห็นได้แค่ทรัพยากรที่ตนสมควรได้รับ มองไม่เห็นส่วนอื่นที่ไม่เกี่ยวข้อง

ZTNA มักมีการใช้งานอยู่ใน 2 รูปแบบคือ

1.) Endpoint-initiated หรือการติดตั้ง Agent หรือ Client ไว้ในเครื่องปลายทางเพื่อสื่อสารกับตัวควบคุม ทั้งนี้มีองค์ประกอบหลัก 3 ส่วนคือ Agent, Gateway และ Controller

2.) Service-initiated หรือ Clientless ซึ่งใช้ซอฟต์แวร์ระหว่างเครื่องปลายทางและแอปพลิเคชันมาดูแลการเชื่อมต่อ หากการร้องขอผ่านการพิสูจน์ตัวตนแล้ว Broker proxy จะป้องกันไม่ให้มีการเข้าถึงตรงมาจากเครื่องปลายทาง 

สถาปัตยกรรมของ Hillstone ZTNA

Hillstone ZTNA เกี่ยวข้องกับ 5 องค์ประกอบดังนี้

1.) ZTNA gateway – อาศัยความสามารถของ Next-gen Firewall เพื่อทำหน้าที่เป็น Broker ของการเชื่อมต่อ

2.) ZTNA Endpoint– เป็นโปรแกรม Agent นำไปติดตั้งที่เครื่องของผู้ใช้งาน เพื่อทำหน้าที่ติดตามสถานภาพการทำงานของปลายทาง

3.) Enterprise Identity Server – เป็นระบบ Directory เดิมขององค์กรที่มีอยู่เดิม โดยสามารถเชื่อมต่อเข้ามากับ ZTNA เพื่อนำข้อมูลมาใช้ในการพิจารณาบริบทการเข้าถึง

4.) Application– ฝั่งทรัพยากรปลายทางที่ต้องถูกเข้าถึงโดยผู้ใช้ ซึ่งตรงนี้เองต้องมีการกำหนด Policy เพื่อกำกับว่าผู้ใช้หรืออุปกรณ์ใดสามารถเข้าถึงแอปใดได้บ้าง

5.) ZTNA Manager – กรณีที่มี NGFW กระจัดกระจายอยู่หลายแห่ง Hillstone Security Management คือโซลูชันที่จะช่วยให้ผู้ใช้สามารถควบคุมทุกการเข้าถึงได้จากศูนย์กลาง

ฟีเจอร์ที่โดดเด่นของ Hillstone ZTNA

1.) รองรับการทำ AAA (Authentication, Authorization, Auditing)ได้หลายรูปแบบเช่น RADIUS, TACACS+, Active Directory, LDAP และการใช้ Multi-factors Authentication(MFA)

2.) พิจารณาการเข้าถึงของ Endpoint ได้หลายปัจจัยว่าเป็นไปตามข้อกำหนดขององค์กรหรือไม่ โดยสามารถติดตามสถานะของ OS, OS patch, MAC Address, Antivirus, DLP, Device Identity, Browser Patch, Time และ Location ซึ่งด้วยคุณสมบัติเหล่านี้ทำให้องค์กรสามารถกำหนด Policy ได้อย่างรัดกุม

3.) Single Packet Authentication (SPA) เป็นเทคนิคอีกระดับที่จะทำให้การเชื่อมต่อมีความมั่นคงปลอดภัยมากขึ้น โดยไอเดียคือจะมีการส่งแพ็กเกจ SPA ซึ่งถูกสร้างจากกลไกการเข้ารหัสที่มีเพียงผู้ใช้ตัวจริงเท่านั้นถึงจะสร้างแพ็กเกจได้ หากตรวจสอบแล้วถูกต้องถึงจะมีการสื่อสารกันต่อไป ใช้ Rule ที่กำหนดและเปิดพอร์ต แต่หากแพ็กเกจ SPA ไม่ถูกต้องตั้งแต่แรก ขั้นตอนอื่นๆก็จะไม่เกิดขึ้น ด้วยเหตุนี้เองจึงสามารถป้องกันการสำรวจเก็บข้อมูลของคนร้ายได้ ลดพื้นผิวการโจมตีจากอินเทอร์เน็ต การทำ TLS DoS หรือจำกัดความเสียหาย ซึ่ง Hillstone เตรียมนำกลไกนี้เข้ามาใช้ในอนาคต

จะเห็นได้ว่าการที่จะทำให้ Zero Trust ของท่านเริ่มต้นขึ้นได้ ต้องมั่นใจในการเข้าถึงตั้งแต่ต้นทางไม่ว่ามาจากภายในหรือภายนอก ทุกการเข้าถึงต้องถูกกำกับดูแล ซึ่ง Hillstone ZTNA พร้อมในทุกสถานการณ์การใช้งาน

  • Mobile User – ช่วยจำกัดการเข้าถึงของพนักงานเช่น ระหว่างท่องเที่ยวพนักงานฝ่ายการเงินจะเข้าถึงอีเมลได้แต่ไม่สามารถเข้าถึงระบบการเงินได้จากทางไกลเป็นต้น
  • Government Agency & Regulate Industries – ตัวแทนภาครัฐหรือภาคอุตสาหกรรมมักถูกครอบด้วยนโยบายหรือกฏระเบียบอย่างเข้มข้น ซึ่งเป็นไปไม่ได้เลยหากปราศจากความสามารถของ ZTNA หรืออาจต้องมีโซลูชันหลายตัวทำงานร่วมกัน แต่ด้วยความสามารถจาก Hillstone ZTNA ท่านจะสามารถติดตามได้ว่าการเข้าถึงนี้มาจากที่บ้าน ผ่านระบบบริการสาธารณะ หรือสถานที่ที่ตกเป็นเป้าโจมตีได้ง่ายหรือเงื่อนไขของความพร้อมด้านอุปกรณ์เป็นต้น
  • Remote Employee – องค์กรสามารถตรวจสอบเครื่องที่พนักงานนำมาใช้ได้ว่าแพตช์ล่าสุดหรือไม่ ระบบ Antivirus พร้อมมากแค่ไหน ซึ่งเป็นการป้องกันคัดกรองคุณภาพของอุปกรณ์เบื้องต้นว่าจะบล็อก หรืออนุญาตเข้าถึงแค่บางส่วน
  • Service Providers– กรณีที่เป็นผู้ให้บริการลูกค้าในธุรกิจที่ไม่มีไอทีเป็นของตัวเอง เป็นโอกาสอันดีที่ท่านสามารถนำเสนอโซลูชันนี้เพิ่มเติมให้การเข้าถึงของพนักงานจากที่ต่างๆถูกกำกับดูโดยนโยบายของบริษัท ซึ่งมักเป็นบ่อเกิดของการโจมตีอยู่บ่อยครั้ง 

เรียนรู้เพิ่มเติมเกี่ยวกับ Micro-segmentation ได้ที่

สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cloudflare ยืนยัน 1.1.1.1 ล่มจากการตั้งค่าผิด ไม่ใช่การโจมตีหรือ BGP Hijack

Cloudflare ออกมาชี้แจงว่าเหตุการณ์บริการ 1.1.1.1 Resolver ล่มเมื่อวันที่ 14 กรกฎาคมที่ผ่านมา เกิดจากการตั้งค่าภายในผิดพลาด ไม่ใช่การโจมตีทางไซเบอร์หรือ BGP hijack อย่างที่หลายคนเข้าใจผิด

AWS เปิดตัวเครื่องมือพัฒนา AI และระบบจัดเก็บข้อมูล Vector ใหม่

Amazon Web Services ประกาศเปิดตัวชุดเครื่องมือใหม่สำหรับพัฒนา AI Agent พร้อมทั้ง Amazon S3 Vectors ระบบจัดเก็บข้อมูล Vector ที่ประหยัดต้นทุนได้ถึง 90%