Zero Trust กับแนวทางปฏิบัติจริงจาก Cisco

ในบล็อกของ Cisco ได้ออกมานำเสนอถึงแนวทางปฏิบัติตามคอนเซปต์ของ Zero Trust ซึ่งจะมีการกล่าวถึงปัจจัยที่ต้องประเมิน แหล่งข้อมูลที่ต้องศึกษาและความสำคัญของโมเดลนี้ อย่างไรก็ตามทางเราจะขอปูพื้นเพิ่มเติมจากแหล่งที่มาอื่นๆ ด้วยว่า Zero Trust คืออะไร ทำไมจึงถูกสร้างขึ้นไว้ในเนื้อหาครั้งนี้ด้วยครับ

Zero Trust คืออะไร

Zero Trust คือคอนเซปต์หรือแนวคิดด้านความมั่นคงปลอดภัยที่บอกให้เราไม่เชื่อในอะไรทั้งนั้นและตรวจสอบเสมอ – ‘never trust, always verify’  ไม่ว่ามีความพยายามเข้าถึงมาจากบุคคลหรืออุปกรณ์ใด ไม่ว่ามาจากภายในหรือนอกเครือข่ายจงตรวจสอบ ดังนั้น Zero Trust นั้นเป็นแค่แนวคิดภาพรวมซึ่งไม่ได้อ้างอิงกับเทคโนโลยีอะไรเลยส่วนแนวทางนั้นสุดแล้วแต่ผู้ใช้งานจะนำไปใช้ให้เหมาะสมในทางของตัวเอง

ปัญหาของแนวคิดการป้องกันแบบเดิม (Castle-and-moat)

เนื่องจากปัจจุบันเทคโนโลยีพัฒนาขึ้นมากแนวคิดการขุดคลองล้อมปราสาทที่เคยใช้มานานซึ่งมักจะเชื่อถือกับคนหรือการใช้งานที่เกิดขึ้นภายในเครือข่ายนั้นไม่ตอบโจทย์อีกต่อไปจากปัจจัยดังนี้

• ผู้ใช้งานนำอุปกรณ์ส่วนตัวเข้าถึงทรัพยากรขององค์กรโดยไม่ผ่านเครือข่ายควบคุม อีกทั้งองค์กรไม่สามารถควบคุมอุปกรณ์เหล่านี้ได้
• เหตุการณ์จริงหลายครั้งเกิดขึ้นเมื่อผู้บุกรุกผ่านกำแพงชั้นแรกเข้ามาได้แล้วสามารถเข้าถึงเครือข่ายส่วนอื่นต่อไปได้โดยง่าย
• ปัจจุบันข้อมูลของเราไม่ได้เก็บอยู่รวมกันเพียงแห่งเดียวอีกต่อไปแล้วเมื่อพิจารณาถึงองค์ประกอบอย่าง Cloud หรือ SaaS เป็นต้น

กำเนิด Zero Trust และการนำไปใช้

แนวคิด Zero Trust ถูกสร้างโดย John Kindervag ในปี 2010 และอีกหลายปีให้หลังทาง Google ก็ได้ออกมาประกาศว่าตนได้นำแนวคิดนี้มาใช้ภายใต้โปรเจ็ค ‘BeyondCorp’ นอกจากนี้ก็มีทาง Gartner ที่ได้ออก Framework ที่เรียกว่า ‘Continuous Adaptive Risk and Trust Assessment หรือ CARTA’ ซึ่งมีแนวคิดเปลี่ยนการตัดสินใจการเข้าถึงที่พิจารณา Network Topology มาเป็นการพิสูจน์ตัวตนของผู้ใช้และอุปกรณ์แทน

เทคโนโลยีเบื้องหลัง Zero Trust

Cloudflare ได้กล่าวถึงปรัชญาที่อยู่เบื้องหลังของการสร้าง Zero Trust ไว้เบื้องต้นดังนี้

• ต้องไม่เชื่อถือบุคคลหรืออุปกรณ์ใดโดยทันที
• กำหนดสิทธิ์ให้น้อยที่สุดที่จำเป็นหรือ Least-privilege Access
• Microsegmentation คือการแบ่งองค์ประกอบออกเป็นสัดส่วน (Granular perimeter) ดังนั้นจะเป็นการเพิ่มกระบวนการคุมเข้มตรวจสอบการเข้าถึงในเครือข่ายได้ตามความสำคัญ
• Multi-factor Authentication ก็เป็นกลไกหนึ่งที่มีความสำคัญไม่น้อยที่ช่วยเพิ่มความเข้มงวดให้กับการพิสูจน์ตัวตนได้

คำแนะนำของ Cisco ในทางปฏิบัติ

ก่อนลงมือสร้าง Zero Trust ผู้สนใจต้องประเมินด้วยเองด้วย ยกตัวอย่างตามปัจจัยด้านล่างทั้งนี้ก็ขึ้นกับลักษณะขององค์กรด้วย

• อุปกรณ์ฮาร์ดแวร์ ซอฟต์แวร์ การแพตช์ และ Flow การใช้งานเครือข่าย
• รู้จักความเสี่ยงของตนที่สำคัญ เช่น ภัยคุกคาม ภาพลักษณ์องค์กร บทปรับ การไม่ละเมิดระเบียบปฏิบัติ
• การทำ Segmentation เป็นอย่างไร
• การเฝ้าระวังติดตามการยกระดับสิทธิ์
• การติดตามระบบที่น่าเชื่อถืออย่างต่อเนื่อง
• นโยบายภาพรวมขององค์กรกับการใช้งาน Rule อัตโนมัติให้ได้มากที่สุด
• การพิสูจน์ตัวตนของผู้ใช้ อุปกรณ์ และ Workload เป็นอย่างไร
• ใครคือผู้ใช้งานข้อมูลและใช้อย่างไรได้บ้าง

อย่างไรก็ดีแนะนำว่าให้เริ่มจากการจัดลำดับความสำคัญของปัญหาที่องค์กรเราต้องการแก้ไขก่อนเพื่อสรุปเป็นตัวชี้วัดว่าองค์กรต้องการผลิตภัณฑ์หรือบริการใดบ้าง เช่นกันองค์กรควรปฏิบัติตามมาตรฐานด้านความมั่นคงปลอดภัยอย่าง NIST 800, ISO 27000 หรือ CIS 20 ร่วมกับการนำแนวคิด Zero Trust มาปรับใช้เพื่อให้เกิดประโยชน์สูงสุด

นอกจากนี้ในบล็อกของ Cisco ได้แนะนำให้ผู้สนใจไปอ่านกรณีศึกษาจาก Google, Duo Security และ Framework จาก Gartner ที่พูดถึงเรื่อง Software-defined Perimeter ในการเข้าถึงแอป อุปกรณ์ ในพิกัดใดๆ รวมถึงเรื่องของการทำ Microsegmentation ให้กับการใช้งานระหว่าง Multicloud และ On-premise สามารถดาวน์โหลดได้ที่นี่ อย่างไรก็ตามเมื่ออ่านจบแล้วอย่างเพิ่งยึดเอาทุกอย่างมาใช้เพราะจะต้องประเมินตัวเองว่ามีปัจจัยอะไรที่เหมาะสมบ้าง โดย Cisco เองก็มีสอนจาก Advance Services ที่มุ่งให้ผู้เรียนสามารถทำได้ดังนี้

1.ระบุและจัดทำรายชื่อข้อมูลละเอียดอ่อนของตัวเองได้

2.เชื่อมโยงระหว่างทิศทางของข้อมูลละเอียดอ่อนและการจัดเก็บ

3.สร้าง Zero Trust Network ตามแหล่งที่มาและวิธีการใช้งานข้อมูล

4.สร้าง Rule-based แบบอัตโนมัติขั้นมา รวมถึงวิเคราะห์ Rule และ Metadata

5.ติดตามสภาพแวดล้อมที่เชื่อถือได้อย่างต่อเนื่องโดยการดู Log และอัปเดต Rule ตามพฤติกรรม

Cisco เชื่อว่า Segmentation คือกุญแจสำคัญของ Zero Trust

บริการให้คำปรึกษาด้าน Security Segmentation จาก Cisco จะช่วยให้ตอบโจทย์ลูกค้าด้านความมั่นคงปลอดภัย การปฏิบัติตามกฏข้อบังคับระดับองค์กร และการบริหารจัดการภัยคุกคาม โดยการจะทำ Segment ให้สำเร็จได้นั้นต้องมีองค์ประกอบ 4 ส่วนคือ 1.Trusted Identity 2.Isolation 3.Policy Enforcement 4.Visibility ผู้สนใจสามารถศึกษาโซลูชันเพิ่มเติมได้ที่ Cisco Trusted Access

ที่มา :