ฟรี White Paper : สรุปแนวทางด้าน Zero Trust Security โดย NIST



Thales Group ผู้ให้บริการโซลูชันด้าน Cybersecurity & Trust ได้ออกเอกสาร White Paper เรื่อง Meeting NIST Guidelines for Zero Trust Security ซึ่งแนะนำการวางระบบรักษาความมั่นคงปลอดภัยแบบ Zero Trust ตามแนวทางของ NIST พร้อมโซลูชัน SafeNet Trusted Access ที่ช่วยตอบโจทย์การวางระบบดังกล่าว สามารถสรุปสาระสำคัญได้ดังนี้



Zero Trust Security คืออะไร

การทำ Digital Tranformation ไม่ว่าจะเป็นการปรับไปใช้ระบบ Cloud, IoT, Mobile หรือการ Work from Home ทำให้ขอบเขตระบบ IT ขององค์กรเริ่มไม่ชัดเจนเหมือนในอดีต การรักษาความมั่นคงปลอดภัยแบบดั้งเดิมที่ใช้วิธีล้อมกรอบระบบเครือข่ายขององค์กรไม่เพียงพอต่อการจัดการกับการเข้าถึงที่เกิดขึ้นได้จากทุกหนทุกแห่งอีกต่อไป Trust กลายเป็นช่องโหว่ด้านความมั่นคงปลอดภัย จนในที่สุด โมเดล Zero Trust Security ที่ใช้แนวคิด “Never Trust, Always Verify” ก็ถือกำเนิดขึ้นเพื่อลดความเสี่ยงการเกิดเหตุ Data Breach และยกระดับการปกป้องสินทรัพย์ขององค์กรให้มั่นคงปลอดภัยกว่าเดิม


การรักษาความมั่นคงปลอดภัยแบบดั้งเดิมจะใช้แนวคิด Trust ผู้ใช้ทันทีเมื่อผู้ใช้ผ่านการตรวจสอบเข้ามาในระบบแล้ว ส่งผลให้แฮ็กเกอร์ที่ปลอมตัวเข้ามาหรือพนักงานภายในที่ไม่ประสงค์ดีสามารถลอบเร้นเพื่อเข้าถึงสินทรัพย์ดิจิทัลได้อย่างอิสระ แต่ Zero Trust Security ได้เข้มงวดการยืนยันตัวตนมากยิ่งขึ้น และย้ายการพิสูจน์ตัวตนและการกำหนดสิทธิ์ของผู้ใช้ให้ใกล้กับสินทรัพย์ที่ต้องการเข้าถึงมากเท่าที่จะเป็นไปได้ เพื่อให้ขอบเขตที่ Trust มีขนาดเล็กที่สุด นอกจากนี้ Access Rule จะถูกลงรายละเอียดมากขึ้นกว่าเดิม เพื่อบังคับให้ผู้ใช้ได้สิทธิ์น้อยที่สุด (Least Privileges) เท่าที่จำเป็นในการดำเนินการตามที่ร้องขอ

หลักการพื้นฐานของ Zero Trust Security ประกอบด้วย

  • การเข้าถึงทรัพยากรขององค์กรจะถูกตัดสินโดย Policy แบบไดนามิก ซึ่งถูกบังคับใช้ต่อหนึ่งเซสชัน และถูกอัปเดตโดยพิจารณาจากข้อมูลตัวตนของผู้ใช้ที่ถูกเก็บ ณ ขณะนั้น แอปพลิเคชัน/บริการและสินทรัพย์ที่ร้องขอ รวมไปถึงข้อมูลลักษณะพฤติกรรมและสภาพแวดล้อมอื่นๆ

  • การติดต่อสื่อสารไปยังทรัพยากรทั้งหมดจะต้องถูกพิสูจน์ตัวตน กำหนดสิท​ธิ์ และเข้ารหัส

  • การพิสูจน์ตัวตนและการกำหนดสิทธิ์จะไม่ขึ้นกับปัจจัยของระบบเครือข่าย

  • องค์กรต้องคอยเฝ้าระวังและชี้วัด Integrity และ Security Posture ของสินทรัพย์ของตนและที่เกี่ยวข้อง


แนวทางการออกแบบ Zero Trust Architectures โดย NIST

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐฯ​ (NIST) ได้ออกพิมพ์เขียวสำหรับ Zero Trust Security (NIST SP 800-207) ซึ่งแนะนำโมเดลการวางระบบรักษาความมั่นคงปลอดภัยพื้นฐานและ Use Cases ช่วยให้ทุกองค์กรสามารถออกแบบ Zero Trust Architectures ได้อย่างมีประสิทธิภาพและยกระดับ Security Posture ให้แก่ระบบ IT

NIST ได้แบ่งการสร้าง Zero Trust Security Architectures ออกเป็น 3 รูปแบบ ดังนี้


Identity-centric

อัตลักษณ์ (Identity) ของผู้ใช้ บริการ และอุปกรณ์ เป็นหัวใจสำคัญของการสร้าง Policy บน Zero Trust Architecture แบบ Identity-centric โดย Access Policyของทรัพยากรภายในองค์กรจะขึ้นอยู่กับอัตลักษณ์และข้อมูลคุณสมบัติที่ถูกกำหนดมา ในขณะที่ข้อกำหนดหลักในการเข้าถึงทรัพยากรภายในองค์กรจะขึ้นอยู่กับสิทธิ์ในการเข้าถึงที่ผู้ใช้ บริการ หรืออุปกรณ์ได้รับมา นอกจากนี้ เพื่อให้การพิสูจน์ตัวตนมีความยืดหยุ่นมากยิ่งขึ้น การบังคับใช้ Policy สามารถพิจารณาปัจจัยอื่นๆ เพิ่มเข้ามา เช่น อุปกรณ์ที่ใช้ สถานะของสินทรัพย์ และปัจจัยที่เกี่ยวข้องกับสภาพแวดล้อม



Network-centric

Zero Trust Architecture แบบ Network-centric จะขึ้นอยู่กับการทำ Network Micro-segmentation ของทรัพยากรภายในองค์กรที่ถูกปกป้องโดยอุปกรณ์​ Gateway Security ต่างๆ ในการสร้างกระบวนการนี้ องค์กรควรใช้อุปกรณ์ Infrastructure เช่น Intelligent Switch (หรือ Router), NGFW หรือ SDN ในการทำหน้าที่เป็นตัวบังคับใช้ Policy เพื่อปกป้องทรัพยากรหรือกลุ่มของทรัพยากรที่เกี่ยวข้อง

โมเดลแบบ Network-centric จะเน้นการแบ่งส่วนขอบเขตการรักษาความมั่นคงปลอดภัยแบบดั้งเดิมออกเป็นโซนย่อยๆ หลายๆ โซน ผู้ใช้จะถูกยอมรับว่า Trust เมื่อเข้าสู่โซน วิธีนี้สามารถลดความเสี่ยงได้ในระดับหนึ่ง แต่ไม่ทั้งหมด เนื่องจากยังคงมีการ Trust ภายในโซนเหลืออยู่ จึงควรเพิ่มการตรวจสอบความมั่นคงปลอดภัยอื่นๆ และการกำกับดูแลอัตลักษณ์​ (Identity) ที่เข้มแข็ง




ตารางเปรียบเทียบโมเดลแบบ Identity-centric และ Network-centric



​Identity-centric

Network-centric

อาศัยโมเดล Identity Trust ที่แข็งแกร่ง ซึ่งช่วยให้นำไปปรับใช้กับเทคโนโลยีใหม่ๆ ได้อย่างรวดเร็ว

มีความซับซ้อนในการตั้งค่า แก้ปัญหา และบริหารจัดการจากจำนวน Network Security Zone จำนวนมหาศาล

Identity Trust เป็นโมเดลการพึ่งพาตนเอง คือ ยิ่งมีการประเมิน/ควบคุมอัตลักษณ์บนระบบมากเท่าไหร่ ยิ่งได้รับข้อมูลและการ Trust ที่มีความแข็งแกร่งมากเท่านั้น

ช่องโหว่จุดตาย – เมื่อผู้ใช้เข้ามาในโซนได้แล้ว ผู้ใช้เหล่านั้นจะมีอิสระในการทำอะไรก็ได้ ซึ่งติดตามและควบคุมสิ่งการกระทำได้ยาก

การประเมิน Identity Trust ทำให้เป็นที่แพร่หลายได้ง่าย และสามารถใช้กับบริการใหม่ๆ เพื่อสร้างการตัดสินใจได้ง่ายยิ่งขึ้น

Trust Zone อาจไม่รองรับ Cloud Apps

การอนุญาตให้บุคคลภายนอกเข้ามาในโซนเหล่านี้เป็นแนวทางปฏิบัติที่ไม่สมควรกระทำ แต่ก็หลีกเลี่ยงได้ยาก (เช่น คู่สัญญาหรือพาร์ทเนอร์)


Cloud-based Combination

Zero Trust Architecture แบบ Cloud-based Combination ใช้ประโยชน์จาก Cloud-based Access Management และ Secure Access Service Edge (SASE) โดย Cloud-based Access Management จะทำหน้าที่ปกป้องและบังคับใช้อัตลักษณ์ของ Cloud Apps/Services ในขณะที่ SASE ซึ่งประกอบด้วย SDN, NGFW และบริการอื่นๆ จะทำหน้าที่ปกป้องทรัพยากรบน On-premises และเฝ้าระวังทราฟฟิกบนระบบเครือข่าย





วางระบบ Zero Trust Security ด้วย SafeNet Trusted Access จาก Thales Group


ขอบเขตการรักษาความมั่นคงปลอดภัยขององค์กรสมัยใหม่ไม่ได้กำหนดอยู่แค่ภายใน Data Center หรือสำนักงานใหญ่ขององค์กรอีกต่อไป แต่เป็นทุกๆ จุดการเข้าถึงที่กระจายไปสู่ Cloud, สำนักงานสาขา และที่บ้าน อัตลักษณ์ (Identity) ของทั้งทรัพยากร ผู้ใช้ อุปกรณ์ และบริการต่างๆ กลายเป็นหัวใจสำคัญในการกำหนด Policy ในการเข้าถึงแอปพลิเคชันและข้อมูลภายในองค์กร


ความท้าทายที่ใหญ่ที่สุดของการวางระบบ Zero Trust Security คือ การที่ระบบครอบคลุมทั้งอัตลักษณ์และข้อมูลทั้งหมดจากต้นทางไปจนถึงปลายทาง (End-to-end) ทั้งยังต้องสามารถบริหารจัดการการเข้าถึงระบบ Cloud และมีโซลูชันการพิสูจน์ตัวตนที่หลากหลาย เพื่อตอบโจทย์ความต้องการทุกรูปแบบขององค์กร


Thales Group ได้นำเสนอโซลูชัน SafeNet Trusted Access ที่ช่วยให้องค์กรสามารถวางระบบ Zero Trust Security ได้อย่างมีประสิทธิผลและตอบโจทย์หลักการสำคัญของ Zero Trust ดังนี้

  • การควบคุมการเข้าถึงจะถูกบังคับใช้อย่างยืดหยุ่น ณ จุดการเข้าถึงแอปพลิเคชัน โดยไม่สนใจว่าแอปพลิเคชันนั้นและผู้ใช้อยู่ที่ใด อุปกรณ์ที่ใช้คืออะไร และมาจากเครือข่ายเส้นทางไหน

  • การควบคุมการเข้าถึงจะต้องสามารถรับข้อมูลอัปเดตจากเทคโนโลยี Network Security ของผู้ให้บริการภายนอก เช่น VPN, WAM, WAF, SASE และอื่นๆ ได้

  • การควบคุมการเข้าถึงจะต้องเป็นแบบ “Default Deny” และต้องมีการตรวจสอบซ้ำอย่างต่อเนื่อง แม้ว่าจะเปิดใช้งานฟีเจอร์ Single Sign-on (SSO) อยู่ก็ตาม