รู้จักกับ ZTNA หนึ่งในหัวใจสำคัญแห่ง Zero Trust และความสามารถที่เหนือกว่า VPN

ทุกวันนี้ Vendor ด้านไอทีส่วนใหญ่กำลังมุ่งหน้าไปกับคำว่า Zero Trust อย่างไรก็ดีอีกคำหนึ่งที่เราได้ยินกันมากขึ้นเรื่อยๆ ก็คือคำศัพท์เรื่อง Zero Trust Network Access (ZTNA) วันนี้เราจะพาท่านมารู้จักกับความหมายของ ZTNA ซึ่งถือเป็นเสาหลักหนึ่งในการทำ Zero Trust มาดูกันว่าจะเกี่ยวข้องกันอย่างไร และจุดเด่นของ ZTNA เทียบกับ VPN

Credit: Maksim Kabakou/ShutterStock

ณ บทความนี้จะไม่ขอกล่าวถึงความหมายของ Zero Trust มากนัก แต่คร่าวๆคือเป็นเพียงคอนเซปต์การที่ไม่เชื่อถือในอุปกรณ์ หรือตัวบุคคลใด ซึ่งสมัยก่อนเรามักเชื่อโดยพื้นฐานว่าการใช้งานอุปกรณ์จากในองค์กรนั้นเชื่อได้ แต่หากพิจารณาบริบทของทรัพยากรที่เกี่ยวข้องกับองค์กรในปัจจุบันจะเห็นได้ว่า ผู้คน อุปกรณ์ ข้อมูล และทรัพยากรกระจัดกระจายกันอย่างมาก ทั้ง SaaS, Cloud, การทำงานในรูปแบบของ Work from Anywhere หรือ Hybrid Workforce ที่ทำให้องค์กรดูแลเรื่อง Security ได้ยากลำบากมากขึ้นกว่าที่เคย ศึกษาเรื่อง Zero Trust เพิ่มเติมได้ที่ https://www.techtalkthai.com/zero-trust-concept-and-how-to-in-practical-by-cisco/

กล่าวได้ว่า Zero Trust นั้นต้องหลอมรวมจากหลายองค์ประกอบ ซึ่งในมุมของ Cloudflare ได้แนะนำสิ่งสำคัญที่มาควบคู่กันเมื่อพูดถึง Zero Trust ไว้ดังนี้

1.) ต้องสามารถติดตาม ตรวจสอบอย่างต่อเนื่อง โดยจากความหมายที่เป็นไปได้ว่าคนร้ายอาจจะมาจากข้างในหรือนอกเครือข่ายไม่มีใครรู้ได้ ดังนั้นสิ่งที่องค์กรต้องทำก็คือการหมั่นตรวจสอบ ตัวตนของคนและอุปกรณ์ รวมถึงสิทธิ์เอาไว้ ซึ่งการกำหนดช่วงเวลาของ Timeout Session เป็นสิ่งที่จำเป็น ทำให้เกิดการตรวจสอบได้อย่างสม่ำเสมอ

2.) ต้องให้สิทธิ์ต่ำที่สุดที่จำเป็น ตรงนี้เองเป็นจุดที่ VPN ทำได้ไม่ดีนัก

3.) มีการควบคุมการเข้าถึงของอุปกรณ์อย่างเข้มงวด ซึ่งหมายถึงองค์กรต้องมีความสามารถในการติดตามอุปกรณ์หลากหลายประเภทที่เข้ามาใช้งาน และทำให้แน่ใจว่าทุกอุปกรณ์ถูกพิสูจน์ตัวตน พร้อมทั้งสามารถควบคุมการใช้งาน และอุปกรณ์ไม่ได้ถูกแทรกแซง

4.) สามารถทำการแบ่งย่อยขอบเขตด้าน Security ออกเป็นสัดส่วนหรือ Microsegmentation ทำให้การบังคับด้าน Security เป็นไปได้อย่างรัดกุมมากขึ้น เช่น คนหรืออุปกรณ์ที่เข้าถึงเครื่อง A อาจไม่สามารถเข้าถึงเครื่อง B ได้พิจารณาจากกระบวนการทำงานตามสมควร

5.) ป้องกันการขยายวงการโจมตี ณ จุดนี้เองพูดถึงว่าเมื่อคนร้ายเจาะเข้ามาได้แล้ว จะทำอย่างไรที่ไม่ให้เกิดการขยายวงการโจมตีได้ หากเป็นการป้องกันแบบ Perimeter เช่นเดิม คงทำไม่ได้แน่ ทั้งนี้ Lateral Movement ถือเป็นจุดที่รับมือได้ยากมาก เพราะแม้จะรู้ว่าแฮ็กเกอร์เข้ามาได้แล้ว แต่ยากที่จะทราบว่าคนร้ายเข้าไปถึงไหนแล้ว ด้วยเหตุนี้เองการวางระบบขององค์กรจะต้องมีวิธีการกักกันเครื่องหรือบัญชีใดที่สุ่มเสี่ยงได้อย่างรวดเร็วเมื่อมีแนวโน้มถูกโจมตี

6.) Multi-factor Authentication (MFA) มีผลศึกษาพบว่า MFA ช่วยป้องกันการขโมยบัญชีได้กว่า 99% ด้วยเหตุนี้เองการทำ Zero Trust จึงไม่สามารถมองข้ามโซลูชันนี้ได้ (https://www.techtalkthai.com/multi-factor-authentication-blocks-99-9-percent-of-account-takeover/)

แล้ว ZTNA เกี่ยวข้องกับ Zero Trust อย่างไร

มาเริ่มต้นกันจากเจ้านิยามศัพท์มากมายในโลกของโซลูชันด้านไอทีอย่าง Gartner กันก่อน โดยทาง Gartner ได้ให้คำจำกัดความของ ZTNA ว่าเป็นผลิตภัณฑ์หรือบริการ ที่ช่วยให้สามารถเข้าถึงแอปพลิเคชันหรือกลุ่มของแอปพลิเคชัน โดยพิจารณาจาก Identity และบริบทของการเข้าถึง ทั้งนี้จะมี Trusted Broker ที่ทำหน้าที่จำกัดการเข้าถึงและแอปพลิเคชันจะถูกซ่อนจากการค้นหา โดยตัว Broker เองจะมีการยืนยันตรวจสอบ Identity และบริบทของการเข้าใช้งาน ยึดมั่นปฏิบัติตาม Policy กับผู้เข้าใช้อย่างเฉพาะเจาะจงก่อนอนุมัติการเข้าใช้งาน และยังป้องกันเรื่อง Lateral Movement

โดย Vendor หลายเจ้าได้ให้คำจำกัดความที่สอดคล้องไปกับความหมายหลักจาก Gartner โดยพูดถึงในแนวทางที่ว่า ZTNA เป็นเทคโนโลยีที่ช่วยให้สามารถเข้าถึงแอปพลิเคชันหรือบริการ เกิดขึ้นได้อย่างมั่นคงปลอดภัย โดยมีการพิจารณาจากบริบทการเข้าถึง และตัวตน ทั้งนี้จะมีนโยบายเป็น Default Deny หรือปฏิเสธการเข้าถึงที่นอกเหนือการอนุญาตในการตั้งค่าโดยพื้นฐาน อีกเรื่องคือการที่โซลูชันได้อาศัยคอนเซปต์ Dark Cloud คล้ายกับที่ทำใน Software-defined Perimeter (SDP) ที่ช่วยป้องกันไม่ให้ผู้ใช้งานเห็นถึงแอปพลิเคชันหรือบริการอื่นที่ตนไม่มีสิทธิ์

ZTNA ทำงานอย่างไร

Cloudflare ชี้ว่าแม้การทำงานของ ZTNA จะแตกต่างกันออกไปในแต่ละ Vendor แต่สิ่งที่มีร่วมกันเป็นดังนี้

  • ZTNA มองการเข้าถึงแอปพลิเคชันแยกกันกับการเข้าถึงของเครือข่าย การเข้าถึงแค่เครือข่ายไม่ได้ให้สิทธิ์ต่อไปยังแอป
  • ZTNA ไม่เปิดเผยไอพีกับเครือข่าย อุปกรณ์ที่เชื่อมต่อจะมองเห็นแค่บริการหรือแอปที่ตนเชื่อมต่ออยู่เท่านั้น
  • ZTNA มีส่วนช่วยในการลดความเสี่ยงและดูเรื่อง Security Posture ของอุปกรณ์ที่เข้ามาได้ อาจจะอาศัยความสามารถของ Agent ที่ติดตั้งอยู่บนเครื่องที่เข้ามาใช้ เช่น บางค่ายมีโซลูชันที่ต้องติดตั้ง Agent ไว้อยู่แล้วก็ทำงานร่วมกันเพื่อการมองเห็นภัยคุกคามจากเครื่องได้ หรืออาศัยการวิเคราะห์ทราฟฟิคที่วิ่งเข้าออกกับเครื่อง ทั้งนี้ Vendor หลายรายได้สอดแทรกการนำเสนอเรื่อง SASE เพื่อช่วยวิเคราะห์ต่อว่าเครื่องหรือบัญชีใดอาจอาจถูกแทรกซึมแล้ว
  • ZTNA พิจารณาจากบริบทการเข้าถึงได้ นอกเหนือจากแค่ Identity และ Role อย่างเช่น พิกัดที่เข้ามา เวลา และความถี่ในการร้องขอ แอปหรือข้อมูลปลายทางที่ต้องการ หรือปัจจัยอื่นๆ แม้ผู้ใช้จะล็อกอินเข้ามาได้แต่หากการเข้าถึงนั้นไม่น่าไว้ใจก็จะถูกปฏิเสธนั่นเอง
  • ZTNA ถูกสร้างมาให้ใช้งานข้ามเครือข่ายสาธารณะหรือมีการเข้ารหัสบน TLS โดยโซลูชันจะมีการสร้าง Tunnel ระหว่างผู้ใช้ตรงเข้ากับแอปพลิเคชัน
  • ZTNA มีทางเลือกทั้งแบบ Agent-based หรือให้บริการผ่านคลาวด์
  • โซลูชันส่วนใหญ่มักต้องไป Integrate กับ identity provider (IdP) หรือแพลตฟอร์มด้าน SSO ต่างหาก

ในรูปแบบของการ Deploy ใช้งานเป็นไปได้ 2 แนวทางคือ การติดตั้ง Agent บนเครื่องผู้ใช้ ซึ่งก็ควรพิจารณาจากว่าอุปกรณ์ขององค์กรที่ท่านเกี่ยวข้องพร้อมติดตั้งซอฟต์แวร์หรือไม่ สามารถจัดการได้แค่ไหน ส่วนอีกรูปแบบหนึ่งคือเป็นแบบ Service-based ที่ไม่ต้องมีการติดตั้ง Agent แต่ก็ต้องมี Connector เข้ามาขวางระหว่างการเชื่อมต่ออยู่ดี ทั้งนี้การใช้งานอาจจะเป็นการ Deploy ระบบบน On-premise ของท่านหรืออาจจะไปใช้ ZTNA ที่ตั้งอยู่บนคลาวด์ ทำให้ได้ประโยชน์เรื่องของความยืดหยุ่นและรองรับการเชื่อมต่อได้จากทุกสถานที่ อีกทั้งผู้ใช้ควรมองภาพจริงว่าการใช้งานในองค์กรเน้นใช้ SaaS หรือแอปบน On-premise ภายในองค์กรหรืออื่นใด โดยสิ่งเหล่านี้ก็สามารถปรึกษา Vendor ของท่านถึงสิ่งที่เขานำเสนอได้ เพราะบางเจ้าก็อาจจะมีให้เลือกหรือบางเจ้าก็นำเสนอแค่คลาวด์อย่างเดียว

ZTNA vs VPN

อีกหนึ่งประเด็นสำคัญที่ Vendor มักหยิบยกมาอ้างอิงก็คือการเปรียบเทียบความสามารถระหว่าง VPN และ ZTNA โดยเราขอสรุปเป็นประเด็นในตารางดังนี้

VPNZTNA
OSI Layerมองการเชื่อมต่อ L3 Ipsec (หาก VPN ใช้ TLS ก็จะคล้ายกับ ZTNA)ทำงานที่ระดับ Application Layer
Agentมีมีหรือไม่มีก็ได้
ฮาร์ดแวร์มักมีเซิร์ฟเวอร์แบบ On-premise และเข้าถึงผ่าน Firewall ขององค์กรเข้ามาใช้งานผ่านคลาวด์ได้
การควบคุมการเชื่อมต่อVPN มองการเชื่อมต่อแค่ผู้ใช้กับ LAN ดังนั้นจึงยากที่จะแยกขาดการปฏิบัติต่อ คนและอุปกรณ์ที่ต่างกันมองการเชื่อมต่อระหว่างอุปกรณ์ และแอป หรือเซิร์ฟเวอร์นั้นๆ ดูตามบริบทการใช้งาน

สุดท้ายนี้วิธีการเลือกโซลูชัน ZTNA ที่ใครๆก็บอกว่ามีนั้น ท่านอาจพิจารณาได้จากความสามารถที่ครอบคลุมของ Vendor เช่น อาจจะครอบคลุมได้ครบทั้ง IAM, Network Service และ Network Security รวมถึงความพร้อมในการทำงานร่วมกับโซลูชันอื่น เช่น ท่านอาจจะลงทุนในการทำ Zero Trust ด้านอื่นไปแล้วจะเติม ZTNA เข้าไป หากแม้ยังไม่มีเลยก็ต้องง่ายต่อการเริ่มต้นทำใหม่ ที่สำคัญต้องรองรับ IdP ที่องค์กรมักมีใช้อยู่ก่อนด้วย ไม่ใช่ว่าต้องย้ายไปใช้เจ้าใหม่ ที่ทำให้ยุ่งยากมากขึ้น หรือหากท่านเป็นผู้มีแอปเก่าแต่สำคัญบน On-premise ตัว ZTNA จะมีหนทางที่คอนฟิคให้สามารถตอบโจทย์นั้นได้หรือไม่

ที่มา :

https://www.cloudflare.com/learning/security/glossary/what-is-zero-trust/

https://www.cloudflare.com/learning/access-management/what-is-ztna/

https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna-

https://www.paloaltonetworks.com/cyberpedia/what-is-zero-trust-network-access

https://www.vmware.com/topics/glossary/content/zero-trust-network-access-ztna


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

4 ตัวอย่างการใช้งาน VMware NSX อย่างได้ผลในธุรกิจองค์กรไทย จากประสบการณ์ของ SiS

SiS ในฐานะของตัวแทนจำหน่าย VMware รายใหญ่ในประเทศไทย ก็ได้มาร่วมแบ่งปันประสบการณ์จริงที่เกิดขึ้นในประเทศไทยว่ามี Scenario ใดบ้างที่ธุรกิจองค์กรไทยพิจารณาใช้งาน VMware NSX และได้ผลลัพธ์อย่างไร เพื่อเป็นแนวทางให้ธุรกิจองค์กรต่างๆ ได้นำไปประยุกต์ใช้งานตามความเหมาะสมด้วยกันถึง 4 ตัวอย่างเลยทีเดียว

[Guest Post] VMware HCI – ทางเลือกที่ง่ายสำหรับยุค Infrastructure Modernization

VMware Hyperconverged Infrastructure เป็นอีกตัวเลือกที่ง่ายสำหรับการปรับระบบ Infra ของลูกค้าให้ทันสมัยได้ตามต้องการ สามารถพัฒนาจาก Virtualization เดิมที่ใช้อยู่ในองค์กร ให้เป็น Core HCI และ Full Stack …