Zero Trust แนวทางพลิกธุรกิจสู่ความปลอดภัยเครือข่ายยุคใหม่

Zero Trust

มารู้จัก Zero Trust แนวทางพลิกแกร่งความปลอดภัยเครือข่ายยุคใหม่ ที่ช่วยโต้ตอบภัยคุกคามให้เครือข่าย OT และ WFH ที่มีการเชื่อมต่อจากภายนอก…

Zero Trust แนวทางพลิกธุรกิจสู่ความปลอดภัยเครือข่ายยุคใหม่

สถาปัตยกรรมการรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมเรียกว่าโมเดลประเภท ปราสาท และคูน้ำ (Castle-and-moat) ซึ่งคิดว่าเครือข่ายเป็นปราสาทและผู้ใช้ที่ได้รับอนุญาตจะข้ามคูน้ำเพื่อเข้าไปในปราสาท องค์กรมักใช้ไฟร์วอลล์เป็นกำแพงป้องกันภัยคุกคามจากภายนอก แต่ยังไม่สามารถจัดการกับภัยคุกคามที่มีอยู่แล้วภายในเครือข่ายได้อย่างครอบคลุม    

Zero Trust

จอห์น คินเดอร์เวคแห่ง Forrester Research ได้กล่าวถึงคำว่า “ซีโร่ ทรัส(Zero Trust) หรือโมเดลความเชื่อถือเป็นศูนย์ครั้งแรกในบทความที่ตีพิมพ์ในปีค.ศ. 2010 โดยเห็นว่า โมเดลการรักษาความปลอดภัยเครือข่ายแบบเดิมไม่สามารถให้การป้องกันที่เพียงพอได้เนื่องจากผู้ดูแลระบบต้องไว้วางใจบุคคล

และอุปกรณ์ในจุดต่าง ๆ ภายในเครือข่าย หากความเชื่อถือนี้ในจุดใดถูกละเมิด เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง  และเขาได้แนะนำให้ติดตั้งเกตเวย์สำหรับการแบ่งส่วน (Segmentation Gateway) ไว้ในเครือข่าย ซึ่งจะทำให้การป้องกันแบบผสมผสานต่าง ๆ และมีเอ็นจิ้นทำหน้าที่ส่งแพ็กเก็ตไปป้องกันจุดที่จำเป็นต่าง ๆ ในเครือข่ายเป็นการแก้ปัญหานี้

เครือข่ายประเภทเทคโนโลยีเชิงปฏิบัติงาน (Operational Technology: OT) อันเป็นโครงสร้างพื้นฐานหลักที่สำคัญๆ ต่อความปลอดภัย และคุณภาพชีวิตที่ดีของประชาชน อาทิ โรงไฟฟ้า ระบบสาธารณูปโภค ด้านสาธารณสุข การคมนาคมขนส่ งและอื่น ๆ นั้น มีระบบที่มีความละเอียดอ่อนและอาจเป็นอันตรายได้

เช่น ระบบจัดการเครื่องจักรจึงเป็นระบบปิด แต่ด้วยความไว้วางใจแบบเดิมๆ เมื่อผู้ใช้งานเข้ามาในระบบได้แล้วจะสามารถข้ามระหว่างระบบและทรัพยากรภายในได้อย่างอิสระ สามารถย้ายเวิร์กโฟลว์ และแอปพลิเคชันไปมาระหว่างโซนแม้จะอยู่ระหว่างระบบนิเวศที่แตกต่างกันได้

เช่น ระหว่างศูนย์ข้อมูล และระบบคลาวด์ ซึ่งด้วยความไว้วางใจเช่นนี้ทำให้อาชญากรไซเบอร์ และมัลแวร์ขั้นสูงเมื่อเข้ามาได้แล้วสามารถรอดพ้นเรดาร์ด้านความปลอดภัยไปได้ ดังตัวอย่างภัยที่สร้างความตระหนก และความเสียหายให้อุตสาหกรรมต่าง ๆ มากมายหลายครั้ง

รวมถึงล่าสุดเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ที่พบคำขู่จะวางสารพิษในแหล่งน้ำในรัฐฟลอริด้าเป็นต้น นอกจากนี้ เครือข่ายที่มีการเชื่อมโยงมากจากภายนอกที่มีความเสี่ยงสูงรวมถึงวิธีการทำงานจากที่บ้าน ซึ่งพนักงานจำเป็นต้องเข้าถึงทรัพยากรที่สำคัญจากภายนอกเพื่อทำงานของตนและส่วนใหญ่ใช้เชื่อมต่อแบบวีพีเอ็น

พบว่าอาชญากรไซเบอร์กลับหาช่องทางใช้ประโยชน์จากช่องโหว่ในระบบเครือข่ายภายในบ้านและใช้วีพีเอ็นย้อนกลับเข้าไปคุกคามเครือข่ายได้สำเร็จอย่างมากมาย โดยพบการโจมตีแรนซัมแวร์เพิ่มขึ้นถึง 7 เท่าในช่วงครึ่งหลังของปีค.ศ. 2020

Zero Trust

ซีโร่ ทรัส กลยุทธ์สำคัญที่จะช่วยพลิกให้เครือข่ายมีความปลอดภัยที่แข็งแกร่งมากขึ้น

โมเดล ซีโร่ ทรัส จึงกลายเป็นกลยุทธ์สำคัญที่จะช่วยพลิกให้เครือข่ายมีความปลอดภัยที่แข็งแกร่งมากขึ้น โดยจะตั้งค่าเริ่มต้นสำหรับทุกคน และทุกอย่างด้วยการปฏิเสธ ดังนั้น เมื่อผู้ใช้หรืออุปกรณ์ร้องขอเข้าถึงทรัพยากรจากภายนอก พวกเขาจะต้องได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึง

การตรวจสอบดังกล่าวขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้ เช่น บทบาทหรือสิทธิ์ที่ได้รับมอบหมาย และข้อมูลของอุปกรณ์ เช่น ประเภทของอุปกรณ์ เป็นทรัพย์สินส่วนบุคคลหรือขององค์กร รวมถึงบริบทอื่น ๆ เช่น เวลาและวันที่ สถานที่ที่เข้าใช้งาน แม้กระทั่งสถานะด้านความปลอดภัยของอุปกรณ์ เช่น การติดตั้งแพตช์ล่าสุด หรือไม่

Zero Trust

และแม้ว่าอุปกรณ์ และผู้ใช้จะได้รับการตรวจสอบแล้ว แต่จะได้รับความไว้วางใจหรือสิทธิ์การใช้งานที่เหมาะสมขั้นต่ำเท่านั้น เช่น หากผู้ใช้ขอเข้าถึงแอปพลิเคชันของฝ่ายการเงิน และผ่านการตรวจสอบแล้ว พวกเขาจะได้รับสิทธิ์เข้าถึงเฉพาะแอปพลิเคชันนั้นสำหรับการทำงานตามนโยบายเท่านั้น และไม่สามารถใช้งานอื่นใดได้อีก  

ดังนั้น ศักยภาพในการมองเห็น และควบคุมจึงเป็นหัวใจในการสร้างกลยุทธ์ ซีโร่ ทรัส มากเพื่อให้รู้และควบคุมว่าใครและอะไรอยู่ในเครือข่าย และต้องสามารถจัดการสิ่งที่อยู่บนเครือข่าย อาทิ อุปกรณ์ที่เชื่อมต่อกับเครือข่ายไม่ว่าจะเป็นแล็ปท็อป แท็บเล็ต อุปกรณ์อัจฉริยะ รวมถึงอุปกรณ์ IoT ที่อาจจะเป็นเครื่องพิมพ์

Zero Trust

ระบบทำความร้อน และระบายอากาศ ระบบควบคุมสินค้าคงคลัง หรือ Industrial IoT ซึ่งส่วนใหญ่จะเป็นประเภท Headless ไม่มีชื่อผู้ใช้ และรหัสผ่านเพื่อระบุตัวตน ซึ่งองค์กรจึงต้องการโซลูชันการควบคุมการเข้าถึงเครือข่ายที่เรียกว่า Network Access Control (NAC) และใช้หลักการความไว้วางใจเป็นศูนย์

ให้การเข้าถึงอุปกรณ์น้อยที่สุด ให้สิทธิ์การเข้าถึงเครือข่ายที่เพียงพอเพื่อดำเนินการตามบทบาทเท่านั้น เมื่อการทำงานในปัจจุบันต้องอาศัยแอปพลิเคชันต่าง ๆ มากขึ้นเรื่อย ๆ จึงส่งให้โซลูชั่น ZeroTrust Network Access (ZTNA) เป็นที่นิยมมากขึ้น

เนื่องจาก ZTNA จะทำที่เป็นแพลทฟอร์มรองรับให้การเข้าถึงแอปพลิเคชันได้ปลอดภัย ไม่ว่าผู้ใช้ หรือแอปพลิเคชันจะอยู่ที่ใด พนักงานอาจอยู่ในเครือข่ายขององค์กร หรือทำงานจากที่บ้านหรือที่อื่น และแอปพลิเคชันอาจอาศัยอยู่ในศูนย์ข้อมูลขององค์กรหรือในระบบคลาวด์ส่วนตัว หรือบนอินเทอร์เน็ตสาธารณะก็ตาม

ZTNA จะช่วยให้การเชื่อมต่อพนักงานระยะไกล และการเชื่อมโยงวีพีเอ็นปลอดภัยมากขึ้น ซึ่งจะช่วยกำจัดภัยที่ใช้ประโยชน์จากช่องโหว่ในเครือข่ายภายในบ้านของพนักงาน แฝงตัวกลับเข้ามาคุกคามในเครือข่ายที่เคยเกิดขึ้นดังกล่าว ในการเริ่มต้นสร้างโมเดลความปลอดภัยแบบ ซีโร่ ทรัส นี้

Zero Trust

ฟอร์ติเน็ตแนะนำให้องค์กรเร่งระบุความเสี่ยงขององค์กร เพื่อให้ทราบถึงสิ่งที่ต้องการการป้องกันตามตัวย่อ DAAS อันได้แก่ Data สำรวจว่าข้อมูลใดที่ต้องปกป้อง Applications แอปพลิเคชันใดมีข้อมูลที่ละเอียดอ่อน Assets สินทรัพย์ใดที่ละเอียดอ่อนที่สุด และ Services บริการใดที่ผู้ประสงค์ร้ายอาจแอบใช้ประโยชน์ในการเข้ามาขัดขวางการทำงานปกติของไอทีได้

นอกจากนี้ องค์กรควรพิจารณาสร้างเกตเวย์สำหรับแต่ละส่วนในเครือข่าย (Segmentation Gateway) ที่ระดับ Microperimeter เพื่อตรวจสอบการก้าวเข้ามาของบุคคล และข้อมูล ใช้ไฟร์วอลล์ระดับ Layer 7 และวิธีการ Kipling ตรวจสอบผู้ใช้ และข้อมูลอย่างละเอียดก่อนที่จะให้สิทธิ์การเข้าถึง

ใช้การตรวจยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication: MFA) ซึ่งจะเพิ่มจำนวนข้อมูลเฉพาะผู้ใช้ที่จำเป็นต้องแสดงในการเข้าถึง 2-3-4 ด้านหรือมากกว่านั้น รวมถึงแสดงการใช้อุปกรณ์ OTP พร้อมกับรหัสผ่าน จึงช่วยให้เครือข่าย ซีโร่ ทรัส แข็งแกร่งมากขึ้น

Zero Trust

การยืนยันปลายทาง (Endpoint Verification) ซีโร่ ทรัส กำหนดให้ทั้งผู้ใช้และอุปกรณ์ปลายทางต้องแสดงข้อมูลประจำตัวต่อเครือข่าย ซึ่งที่ปลายทางแต่ละจุดมีชั้นของการตรวจสอบสิทธิ์ของตัวเอง ระบบจะส่งการยืนยันไปยังปลายทาง ผู้ใช้จำเป็นต้องตอบสนองผ่านอุปกรณ์

ทั้งนี้ระบบจะใช้ข้อมูลที่ส่งจากปลายทางนั้นในการตรวจสอบความถูกต้อง และจะทำให้อุปกรณ์มีสถานะเป็น น่าเชื่อถือ ต่อไป

ใช้วิธีการบริหารจัดการปลายทางแบบรวม (Unified Endpoint Management: UEM) ช่วยผู้ดูแลระบบรวมศูนย์วิธีจัดการโครงสร้างพื้นฐานไอทีได้เป็นหนึ่งเดียว สามารถตรวจสอบอุปกรณ์ปลายทางประเภท Multiple endpoints ได้ ทั้งนี้ องค์กรควรใช้โซลูชั่นการตรวจจับภัยคุกคามที่อุปกรณ์ปลาย Castleandmoat

ทาง (Endpoint Detection and Response: EDR) โดยจะสแกนอุปกรณ์ปลายทาง ระบุภัยคุกคามชั้นสูง เช่น Fileless malware และแรนซมแวร์ได้ และดำเนินการตามขั้นตอนในการตอบสนองภัยคุกคามเพื่อปกป้องปลายทางรวมถึงส่วนที่เหลือของเครือข่ายอีกด้วย

Zero Trust

การแบ่งองค์ประกอบออกเป็นสัดส่วน (Microsegmentation) ในการสร้างโซนภายในเครือข่าย เพื่อแยก และรักษาความปลอดภัยองค์ประกอบของเครือข่ายที่อาจมีข้อมูลที่ละเอียดอ่อนหรือสามารถให้การเข้าถึงแก่ผู้ประสงค์ร้ายได้

ทั้งนี้ เมื่อพื้นที่ปลอดภัยได้รับการแบ่งเป็นสัดส่วนแล้ว ไฟร์วอลล์หรือฟิลเตอร์ที่สร้างกำแพงกั้นรอบ ๆ โซนเหล่านั้นจะช่วยกักภัยไม่ให้ออกจากโซน ซึ่งเป็นการปกป้องเครือข่ายที่เหลือให้ปลอดภัยต่อไป

จัดการสิทธิ์เข้าถึงทรัพยากรให้น้อยที่สุด (Least-Privilege Access) เป็นการอนุญาตให้ผู้ใช้และอุปกรณ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่เท่านั้น การเข้าถึงสิทธิ์น้อยที่สุดนี้จะช่วยลดจำนวนอุปกรณ์ที่จะเข้าถึงทรัพยากรต่างๆ ลง ช่วยประหยัดเวลา และทรัพยากรได้

Zero Trust

ฟอร์ติเน็ตมีโซลูชั่นช่วยองค์กรสร้างเครือข่าย ซีโร่ ทรัส โดยเฉพาะอย่างยิ่งหากองค์กรใช้ไฟร์วอลล์ FortiGate และประเภทเวอร์ชวล VM FortiGate หรือบริการแซสซี (Secure Access Service Edge: SASE) อยู่แล้ว ซอฟต์แวร์ FortiOS และ FortiClient สามารถที่จะช่วยองค์กรให้มีการเข้าถึงเครือข่ายที่ปลอดภัย (ZTNA) ในทันที 

นอกจากนี้ ซอฟต์แวร์ FortiNAC จะช่วยควบคุมและบริหารการเข้าใช้งานเครือข่ายอย่างอัจฉริยะรวมถึงจากอุปกรณ์ประเภท IoT อีกด้วย และเมื่อองค์กรเลือกใช้โซลูชั่น FortiAuthenticator และ FortiToken องค์กรจะมีการบริหารจัดการฐานข้อมูลสำหรับการยืนยันตัวตนที่มีความน่าเชื่อถือสูง เหมาะสำหรับการใช้งาน OT และ WFH เป็นอย่างยิ่ง  

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.freepik.com

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.