Zero Trust กับแนวทางปฏิบัติจริงจาก Cisco

ในบล็อกของ Cisco ได้ออกมานำเสนอถึงแนวทางปฏิบัติตามคอนเซปต์ของ Zero Trust ซึ่งจะมีการกล่าวถึงปัจจัยที่ต้องประเมิน แหล่งข้อมูลที่ต้องศึกษาและความสำคัญของโมเดลนี้ อย่างไรก็ตามทางเราจะขอปูพื้นเพิ่มเติมจากแหล่งที่มาอื่นๆ ด้วยว่า Zero Trust คืออะไร ทำไมจึงถูกสร้างขึ้นไว้ในเนื้อหาครั้งนี้ด้วยครับ

credit : Cisco

Zero Trust คืออะไร

Zero Trust คือคอนเซปต์หรือแนวคิดด้านความมั่นคงปลอดภัยที่บอกให้เราไม่เชื่อในอะไรทั้งนั้นและตรวจสอบเสมอ – ‘never trust, always verify’  ไม่ว่ามีความพยายามเข้าถึงมาจากบุคคลหรืออุปกรณ์ใด ไม่ว่ามาจากภายในหรือนอกเครือข่ายจงตรวจสอบ ดังนั้น Zero Trust นั้นเป็นแค่แนวคิดภาพรวมซึ่งไม่ได้อ้างอิงกับเทคโนโลยีอะไรเลยส่วนแนวทางนั้นสุดแล้วแต่ผู้ใช้งานจะนำไปใช้ให้เหมาะสมในทางของตัวเอง

ปัญหาของแนวคิดการป้องกันแบบเดิม (Castle-and-moat)

เนื่องจากปัจจุบันเทคโนโลยีพัฒนาขึ้นมากแนวคิดการขุดคลองล้อมปราสาทที่เคยใช้มานานซึ่งมักจะเชื่อถือกับคนหรือการใช้งานที่เกิดขึ้นภายในเครือข่ายนั้นไม่ตอบโจทย์อีกต่อไปจากปัจจัยดังนี้

  • ผู้ใช้งานนำอุปกรณ์ส่วนตัวเข้าถึงทรัพยากรขององค์กรโดยไม่ผ่านเครือข่ายควบคุม อีกทั้งองค์กรไม่สามารถควบคุมอุปกรณ์เหล่านี้ได้
  • เหตุการณ์จริงหลายครั้งเกิดขึ้นเมื่อผู้บุกรุกผ่านกำแพงชั้นแรกเข้ามาได้แล้วสามารถเข้าถึงเครือข่ายส่วนอื่นต่อไปได้โดยง่าย
  • ปัจจุบันข้อมูลของเราไม่ได้เก็บอยู่รวมกันเพียงแห่งเดียวอีกต่อไปแล้วเมื่อพิจารณาถึงองค์ประกอบอย่าง Cloud หรือ SaaS เป็นต้น

กำเนิด Zero Trust และการนำไปใช้

แนวคิด Zero Trust ถูกสร้างโดย John Kindervag ในปี 2010 และอีกหลายปีให้หลังทาง Google ก็ได้ออกมาประกาศว่าตนได้นำแนวคิดนี้มาใช้ภายใต้โปรเจ็ค ‘BeyondCorp’ นอกจากนี้ก็มีทาง Gartner ที่ได้ออก Framework ที่เรียกว่า ‘Continuous Adaptive Risk and Trust Assessment หรือ CARTA’ ซึ่งมีแนวคิดเปลี่ยนการตัดสินใจการเข้าถึงที่พิจารณา Network Topology มาเป็นการพิสูจน์ตัวตนของผู้ใช้และอุปกรณ์แทน

เทคโนโลยีเบื้องหลัง Zero Trust

Cloudflare ได้กล่าวถึงปรัชญาที่อยู่เบื้องหลังของการสร้าง Zero Trust ไว้เบื้องต้นดังนี้

  • ต้องไม่เชื่อถือบุคคลหรืออุปกรณ์ใดโดยทันที
  • กำหนดสิทธิ์ให้น้อยที่สุดที่จำเป็นหรือ Least-privilege Access
  • Microsegmentation คือการแบ่งองค์ประกอบออกเป็นสัดส่วน (Granular perimeter) ดังนั้นจะเป็นการเพิ่มกระบวนการคุมเข้มตรวจสอบการเข้าถึงในเครือข่ายได้ตามความสำคัญ
  • Multi-factor Authentication ก็เป็นกลไกหนึ่งที่มีความสำคัญไม่น้อยที่ช่วยเพิ่มความเข้มงวดให้กับการพิสูจน์ตัวตนได้

คำแนะนำของ Cisco ในทางปฏิบัติ

ก่อนลงมือสร้าง Zero Trust ผู้สนใจต้องประเมินด้วยเองด้วย ยกตัวอย่างตามปัจจัยด้านล่างทั้งนี้ก็ขึ้นกับลักษณะขององค์กรด้วย

  • อุปกรณ์ฮาร์ดแวร์ ซอฟต์แวร์ การแพตช์ และ Flow การใช้งานเครือข่าย
  • รู้จักความเสี่ยงของตนที่สำคัญ เช่น ภัยคุกคาม ภาพลักษณ์องค์กร บทปรับ การไม่ละเมิดระเบียบปฏิบัติ
  • การทำ Segmentation เป็นอย่างไร
  • การเฝ้าระวังติดตามการยกระดับสิทธิ์
  • การติดตามระบบที่น่าเชื่อถืออย่างต่อเนื่อง
  • นโยบายภาพรวมขององค์กรกับการใช้งาน Rule อัตโนมัติให้ได้มากที่สุด
  • การพิสูจน์ตัวตนของผู้ใช้ อุปกรณ์ และ Workload เป็นอย่างไร
  • ใครคือผู้ใช้งานข้อมูลและใช้อย่างไรได้บ้าง

อย่างไรก็ดีแนะนำว่าให้เริ่มจากการจัดลำดับความสำคัญของปัญหาที่องค์กรเราต้องการแก้ไขก่อนเพื่อสรุปเป็นตัวชี้วัดว่าองค์กรต้องการผลิตภัณฑ์หรือบริการใดบ้าง เช่นกันองค์กรควรปฏิบัติตามมาตรฐานด้านความมั่นคงปลอดภัยอย่าง NIST 800, ISO 27000 หรือ CIS 20 ร่วมกับการนำแนวคิด Zero Trust มาปรับใช้เพื่อให้เกิดประโยชน์สูงสุด

นอกจากนี้ในบล็อกของ Cisco ได้แนะนำให้ผู้สนใจไปอ่านกรณีศึกษาจาก Google, Duo Security และ Framework จาก Gartner ที่พูดถึงเรื่อง Software-defined Perimeter ในการเข้าถึงแอป อุปกรณ์ ในพิกัดใดๆ รวมถึงเรื่องของการทำ Microsegmentation ให้กับการใช้งานระหว่าง Multicloud และ On-premise สามารถดาวน์โหลดได้ที่นี่ อย่างไรก็ตามเมื่ออ่านจบแล้วอย่างเพิ่งยึดเอาทุกอย่างมาใช้เพราะจะต้องประเมินตัวเองว่ามีปัจจัยอะไรที่เหมาะสมบ้าง โดย Cisco เองก็มีสอนจาก Advance Services ที่มุ่งให้ผู้เรียนสามารถทำได้ดังนี้

1.ระบุและจัดทำรายชื่อข้อมูลละเอียดอ่อนของตัวเองได้

2.เชื่อมโยงระหว่างทิศทางของข้อมูลละเอียดอ่อนและการจัดเก็บ

3.สร้าง Zero Trust Network ตามแหล่งที่มาและวิธีการใช้งานข้อมูล

4.สร้าง Rule-based แบบอัตโนมัติขั้นมา รวมถึงวิเคราะห์ Rule และ Metadata

5.ติดตามสภาพแวดล้อมที่เชื่อถือได้อย่างต่อเนื่องโดยการดู Log และอัปเดต Rule ตามพฤติกรรม

Cisco เชื่อว่า Segmentation คือกุญแจสำคัญของ Zero Trust

บริการให้คำปรึกษาด้าน Security Segmentation จาก Cisco จะช่วยให้ตอบโจทย์ลูกค้าด้านความมั่นคงปลอดภัย การปฏิบัติตามกฏข้อบังคับระดับองค์กร และการบริหารจัดการภัยคุกคาม โดยการจะทำ Segment ให้สำเร็จได้นั้นต้องมีองค์ประกอบ 4 ส่วนคือ 1.Trusted Identity 2.Isolation 3.Policy Enforcement 4.Visibility ผู้สนใจสามารถศึกษาโซลูชันเพิ่มเติมได้ที่ Cisco Trusted Access

ที่มา :


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware PKS 1.3 ออกแล้ว รองรับ Microsoft Azure ได้, ทำงานกับ Kubernetes ได้ดีขึ้น

VMware Pivotal Container Service หรือ VMware PKS รุ่น 1.3 ได้ประกาศเปิดตัวออกมาแล้ว โดยรองรับการทำงานร่วมกับ Microsoft Azure ได้, เสริมความสามารถใหม่ๆ ในการทำงานร่วมกับ Kubernetes และยังมีการเพิ่มความสามารถใหม่ๆ ทางด้าน Security เพิ่มเติมอีกด้วย

Juniper เซ็นต์สัญญาจ้าง IBM ดูแลระบบ Cloud ของตนเอง ดีลมูลค่ากว่า 10,000 ล้านบาท

IBM Services และ Juniper Networks ได้เซ็นต์สัญญามูลค่า 325 ล้านเหรียญหรือราวๆ 10,400 ล้านบาท เพื่อให้ IBM ช่วยดูแลระบบ Hybrid Cloud ของ Juniper Networks ในการเปลี่ยนธุรกิจของ Juniper Networks ไปสู่การเป็น Cloud-First อย่างเต็มตัว