TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ภาวะแพร่ระบาดของไวรัสโคโรน่าทำให้องค์กรต่างตื่นตัวเข้าสู่การทำ Digital Transformation(DX) โดยมีแนวทางหลักๆ 2 ปัจจัยที่เกิดขึ้นคือ 1. ขยายระบบเข้าสู่คลาวด์ 2. กระจายการทำงานสู่นอกองค์กร และทั้งสองได้นำไปสู่การปรับปรุงโครงสร้างของเครือข่ายและความมั่นคงปลอดภัย ทำให้องค์กรมีความต้องการรูปแบบใหม่คือบริการด้านความมั่นคงปลอดภัยที่พร้อมใช้งานได้ทันที ทุกสถานที่
อนึ่งคอนเซปต์ของ Zero Trust ได้กระตุ้นให้องค์กรต่างหันเหสู่แนวทางการป้องกันที่ไม่ไว้ใจใครไม่ว่าจะภายในหรือนอกก็ตาม ทุกอุปกรณ์ ผู้ใช้ หรือการเข้าถึงจะต้องถูกอนุญาตตามบริบทอย่างเหมาะสม จึงเป็นที่มาของ ZTNA โดยถือกำเนิดขึ้นเพื่อปิดช่องว่างของการเข้าถึงแบบเดิม ในบทความนี้ท่านจะได้เรียนรู้แนวคิดของโซลูชัน Hillstone ZTNA กันครับ
Zero Trust คืออะไร?
Zero Trust เป็นศัพท์ที่ถูกนิยามโดย The U.S. National Institute of Standards and Technology (NIST) โดยไอเดียคือคอนเซปต์ของไม่เชื่อสิ่งใด เพราะจากเดิมเรามักให้ความเชื่อถือกับองค์ประกอบที่อยู่ในองค์กร แต่เข้มงวดเป็นพิเศษเฉพาะการเข้าถึงจากภายนอก อย่างไรก็ดีเมื่อการทำงานจากทางไกลกลายเป็นเรื่องธรรมดา ทำให้ VPN ถูกใช้มากขึ้นจนเกินกำลัง ทั้งยังไม่ได้ถูกออกแบบมาให้รองรับกับความท้าทายทั้งด้านสภาพแวดล้อมของ Hybrid, Multi-cloud หรือความหลากหลายของอุปกรณ์
กล่าวได้ว่า Zero Trust เป็นเพียงแนวคิดที่ให้ไอเดียแบบองค์รวม ที่เกิดจากการประกอบรวมกันของโซลูชันหลายด้าน แต่หนึ่งในจุดเริ่มต้นที่ทุกองค์กรพึงมีก็คือช่องทางการเข้าใช้งาน และเมื่อ VPN ยังไม่ดีเพียงพอก็ทำให้ ZTNA (Zero Trust Network Access) นั้นถือกำเนิดขึ้น
ประโยชน์ของ ZTNA ที่เหนือกว่า VPN
VPN เคยเป็นเทคโนโลยีที่ได้รับการยอมรับว่าช่วยปกป้องการเข้าถึงได้ดีที่สุดในยุคสมัยหนึ่ง โดยผู้ใช้งาน VPN จะได้รับการปฏิบัติเสมือนว่าเข้าไปอยู่ในออฟฟิศจริง ทั้งนี้ Credentials และ IP คือสิ่งที่ถูกใช้เพื่อพิสูจน์ตัวตนและให้สิทธิ์ในการเข้าถึง เคราะห์ร้ายที่ Credential กลับเป็นเรื่องถูกเร่ขายจากการที่องค์กรหรือผู้ให้บริการถูกแฮ็กเสียเอง ไม่นับรวมการถูกโจมตีที่เราไม่สามารถวางใจใครได้ เพราะพนักงานคนใดคนหนึ่งอาจมุ่งร้ายองค์กรหรือถูกฝังตัวเข้ามาอย่างไม่รู้ตัวเลย หากพิจารณาในมุมนี้จะเห็นว่า VPN ยังมีจุดอ่อนที่ไม่สามารถวางใจได้ แม้กระทั่งการขยายตัวของโซลูชันก็ทำได้ไม่ดีพอ
ในขณะเดียวกัน ZTNA ได้มองการเข้าถึงที่ละเอียดกว่า โดยปฏิบัติต่อผู้ใช้หรือเครื่องอุปกรณ์ไม่เท่ากัน เช่น บุคคลที่ใช้ Credential เดียวกันแต่ล็อกอินใช้งานคนละอุปกรณ์อาจมีความสามารถในการเข้าถึงไม่เท่ากัน โดยเมื่อผู้ใช้เข้าสู่ระบบด้วยเครื่องที่ไม่ปลอดภัยอาจจะสามารถเข้าถึงระบบทั่วไปได้แต่ไม่สามารถเข้าถึงแอปสำคัญได้ เป็นต้น ZTNA ยังครอบคลุมในบริบทของการเชื่อมต่อและปัจจัยอื่นด้วย ทำให้สามารถบังคับใช้ Policy ที่ละเอียดและเหมาะสมกับแต่ละกรณีการใช้งานได้อย่างแท้จริง สอดคล้องกับข้อบังคับขององค์กรโดยเฉพาะอุตสาหกรรมที่มีข้อกำหนดสูงเช่น ธนาคาร โรงงาน หรือธุรกิจสำคัญ ด้วยเหตุนี้เอง ZTNA จึงไม่ได้ยึดติดกับความน่าเชื่อถือของบุคคลหรืออุปกรณ์ว่าเป็นขององค์กรหรือไม่ พนักงานสามารถเลือกใช้อุปกรณ์ของตนได้อิสระแต่ทุกการใช้งานจะถูกกำกับดูแลเสมอ
นอกจากนี้เองหากเทียบกับ VPN จะเป็นการพิสูจน์ตัวตนในครั้งแรก จากนั้นจะได้รับความไว้วางใจให้ใช้งานต่อไปในเครือข่าย มองเห็นและเข้าถึงทรัพยากรได้อิสระ แต่ในขณะที่ ZTNA จะพิจารณาจากตัวแปรต่างๆ ถึงผ่านการพิสูจน์ตัวตนได้ก็เริ่มต้นด้วยน้อยที่สุด จึงตอบโจทย์ในเชิงของคุณภาพการควบคุมด้วย แต่หากเป็น VPN จะกำหนดได้เพียงแค่ใอนุญาตหรือปฏิเสธเท่านั้น โดย ZTNA มีกลไกในการป้องกันที่อนุญาตผู้ใช้งานให้มองเห็นได้แค่ทรัพยากรที่ตนสมควรได้รับ มองไม่เห็นส่วนอื่นที่ไม่เกี่ยวข้อง
ZTNA มักมีการใช้งานอยู่ใน 2 รูปแบบคือ
1.) Endpoint-initiated หรือการติดตั้ง Agent หรือ Client ไว้ในเครื่องปลายทางเพื่อสื่อสารกับตัวควบคุม ทั้งนี้มีองค์ประกอบหลัก 3 ส่วนคือ Agent, Gateway และ Controller
2.) Service-initiated หรือ Clientless ซึ่งใช้ซอฟต์แวร์ระหว่างเครื่องปลายทางและแอปพลิเคชันมาดูแลการเชื่อมต่อ หากการร้องขอผ่านการพิสูจน์ตัวตนแล้ว Broker proxy จะป้องกันไม่ให้มีการเข้าถึงตรงมาจากเครื่องปลายทาง
สถาปัตยกรรมของ Hillstone ZTNA
Hillstone ZTNA เกี่ยวข้องกับ 5 องค์ประกอบดังนี้
1.) ZTNA gateway – อาศัยความสามารถของ Next-gen Firewall เพื่อทำหน้าที่เป็น Broker ของการเชื่อมต่อ
2.) ZTNA Endpoint– เป็นโปรแกรม Agent นำไปติดตั้งที่เครื่องของผู้ใช้งาน เพื่อทำหน้าที่ติดตามสถานภาพการทำงานของปลายทาง
3.) Enterprise Identity Server – เป็นระบบ Directory เดิมขององค์กรที่มีอยู่เดิม โดยสามารถเชื่อมต่อเข้ามากับ ZTNA เพื่อนำข้อมูลมาใช้ในการพิจารณาบริบทการเข้าถึง
4.) Application– ฝั่งทรัพยากรปลายทางที่ต้องถูกเข้าถึงโดยผู้ใช้ ซึ่งตรงนี้เองต้องมีการกำหนด Policy เพื่อกำกับว่าผู้ใช้หรืออุปกรณ์ใดสามารถเข้าถึงแอปใดได้บ้าง
5.) ZTNA Manager – กรณีที่มี NGFW กระจัดกระจายอยู่หลายแห่ง Hillstone Security Management คือโซลูชันที่จะช่วยให้ผู้ใช้สามารถควบคุมทุกการเข้าถึงได้จากศูนย์กลาง
ฟีเจอร์ที่โดดเด่นของ Hillstone ZTNA
1.) รองรับการทำ AAA (Authentication, Authorization, Auditing)ได้หลายรูปแบบเช่น RADIUS, TACACS+, Active Directory, LDAP และการใช้ Multi-factors Authentication(MFA)
2.) พิจารณาการเข้าถึงของ Endpoint ได้หลายปัจจัยว่าเป็นไปตามข้อกำหนดขององค์กรหรือไม่ โดยสามารถติดตามสถานะของ OS, OS patch, MAC Address, Antivirus, DLP, Device Identity, Browser Patch, Time และ Location ซึ่งด้วยคุณสมบัติเหล่านี้ทำให้องค์กรสามารถกำหนด Policy ได้อย่างรัดกุม
3.) Single Packet Authentication (SPA) เป็นเทคนิคอีกระดับที่จะทำให้การเชื่อมต่อมีความมั่นคงปลอดภัยมากขึ้น โดยไอเดียคือจะมีการส่งแพ็กเกจ SPA ซึ่งถูกสร้างจากกลไกการเข้ารหัสที่มีเพียงผู้ใช้ตัวจริงเท่านั้นถึงจะสร้างแพ็กเกจได้ หากตรวจสอบแล้วถูกต้องถึงจะมีการสื่อสารกันต่อไป ใช้ Rule ที่กำหนดและเปิดพอร์ต แต่หากแพ็กเกจ SPA ไม่ถูกต้องตั้งแต่แรก ขั้นตอนอื่นๆก็จะไม่เกิดขึ้น ด้วยเหตุนี้เองจึงสามารถป้องกันการสำรวจเก็บข้อมูลของคนร้ายได้ ลดพื้นผิวการโจมตีจากอินเทอร์เน็ต การทำ TLS DoS หรือจำกัดความเสียหาย ซึ่ง Hillstone เตรียมนำกลไกนี้เข้ามาใช้ในอนาคต
จะเห็นได้ว่าการที่จะทำให้ Zero Trust ของท่านเริ่มต้นขึ้นได้ ต้องมั่นใจในการเข้าถึงตั้งแต่ต้นทางไม่ว่ามาจากภายในหรือภายนอก ทุกการเข้าถึงต้องถูกกำกับดูแล ซึ่ง Hillstone ZTNA พร้อมในทุกสถานการณ์การใช้งาน
- Mobile User – ช่วยจำกัดการเข้าถึงของพนักงานเช่น ระหว่างท่องเที่ยวพนักงานฝ่ายการเงินจะเข้าถึงอีเมลได้แต่ไม่สามารถเข้าถึงระบบการเงินได้จากทางไกลเป็นต้น
- Government Agency & Regulate Industries – ตัวแทนภาครัฐหรือภาคอุตสาหกรรมมักถูกครอบด้วยนโยบายหรือกฏระเบียบอย่างเข้มข้น ซึ่งเป็นไปไม่ได้เลยหากปราศจากความสามารถของ ZTNA หรืออาจต้องมีโซลูชันหลายตัวทำงานร่วมกัน แต่ด้วยความสามารถจาก Hillstone ZTNA ท่านจะสามารถติดตามได้ว่าการเข้าถึงนี้มาจากที่บ้าน ผ่านระบบบริการสาธารณะ หรือสถานที่ที่ตกเป็นเป้าโจมตีได้ง่ายหรือเงื่อนไขของความพร้อมด้านอุปกรณ์เป็นต้น
- Remote Employee – องค์กรสามารถตรวจสอบเครื่องที่พนักงานนำมาใช้ได้ว่าแพตช์ล่าสุดหรือไม่ ระบบ Antivirus พร้อมมากแค่ไหน ซึ่งเป็นการป้องกันคัดกรองคุณภาพของอุปกรณ์เบื้องต้นว่าจะบล็อก หรืออนุญาตเข้าถึงแค่บางส่วน
- Service Providers– กรณีที่เป็นผู้ให้บริการลูกค้าในธุรกิจที่ไม่มีไอทีเป็นของตัวเอง เป็นโอกาสอันดีที่ท่านสามารถนำเสนอโซลูชันนี้เพิ่มเติมให้การเข้าถึงของพนักงานจากที่ต่างๆถูกกำกับดูโดยนโยบายของบริษัท ซึ่งมักเป็นบ่อเกิดของการโจมตีอยู่บ่อยครั้ง
เรียนรู้เพิ่มเติมเกี่ยวกับ Micro-segmentation ได้ที่
สำหรับผู้ที่สนใจเกี่ยวกับโซลูชัน Cybersecurity ใดๆของ Hillstone Networks สามารถติดต่อกับทีมงานได้ผ่านทาง https://www.hillstonenet.com/more/engage/contact/ ซึ่งจะมีทีมงานติดต่อท่านกลับไป
