www.cioworldmagazine.com

ทำความรู้จัก Zero Trust พลิกแกร่งความปลอดภัยเครือข่ายยุคใหม่ ด้วยโซลูชัน ZTNA และ EDR ปกป้องการเชื่อมต่อและโต้ตอบภัยคุกคามให้เครือข่าย OT และ WFH ที่มีการเชื่อมต่อจากภายนอกให้ปลอดภัยสูงสุด

จอห์น คินเดอร์เวค แห่ง Forrester Research ได้กล่าวถึงคำว่า Zero Trust หรือ โมเดลความเชื่อถือเป็นศูนย์ ครั้งแรกในบทความที่ตีพิมพ์ในปีค.ศ. 2010 โดยเห็นว่า โมเดลการรักษาความปลอดภัยเครือข่ายแบบเดิมไม่สามารถให้การป้องกันที่เพียงพอได้ เนื่องจากผู้ดูแลระบบต้องไว้วางใจบุคคลและอุปกรณ์ในจุดต่างๆ ภายในเครือข่าย

หากความเชื่อถือนี้ในจุดใดถูกละเมิด เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง และเขาได้แนะนำให้ติดตั้งเกตเวย์สำหรับการแบ่งส่วน (Segmentation Gateway) ไว้ในเครือข่าย ซึ่งจะทำให้การป้องกันแบบผสมผสานต่างๆ และมีเอ็นจิ้นทำหน้าที่ส่งแพ็กเก็ตไปป้องกันจุดที่จำเป็นต่างๆ ในเครือข่ายเป็นการแก้ปัญหานี้

บทความโดย: ดร.รัฐิติ์พงษ์ พุทธเจริญ Com. Eng. ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต

เครือข่ายประเภทเทคโนโลยีเชิงปฏิบัติงาน (Operational Technology: OT) อันเป็นโครงสร้างพื้นฐานหลักที่สำคัญๆ อาทิ โรงไฟฟ้า ระบบสาธารณูปโภค ด้านสาธารณสุข การคมนาคมขนส่งและอื่นๆ นั้น มีระบบที่มีความละเอียดอ่อนและอาจเป็นอันตรายได้ เช่น ระบบจัดการเครื่องจักร ซึ่งเป็นระบบปิด

แต่ด้วยความไว้วางใจแบบเดิมๆ เมื่อผู้ใช้งานเข้ามาในระบบได้แล้วจะสามารถข้ามระหว่างระบบและทรัพยากรภายในได้อย่างอิสระ สามารถย้ายเวิร์กโฟลว์และแอปพลิเคชันไป-มา ระหว่างโซนแม้จะอยู่ระหว่างระบบนิเวศที่แตกต่างกันได้ เช่น ระหว่างศูนย์ข้อมูลและระบบคลาวด์

ซึ่งด้วยความไว้วางใจเช่นนี้ ทำให้อาชญากรไซเบอร์และมัลแวร์ขั้นสูงเมื่อเข้ามาได้แล้วสามารถรอดพ้นเรดาร์ด้านความปลอดภัยไปได้ ดังตัวอย่างภัยที่สร้างความตระหนกและความเสียหายให้อุตสาหกรรมต่างๆ มากมายหลายครั้ง

นอกจากนี้ เครือข่ายที่มีการเชื่อมโยงมากจากภายนอกที่มีความเสี่ยงสูง รวมถึงวิธีการทำงานจากที่บ้าน ซึ่งพนักงานจำเป็นต้องเข้าถึงทรัพยากรที่สำคัญจากภายนอก โดยส่วนใหญ่ใช้การเชื่อมต่อแบบวีพีเอ็น พบว่า อาชญากรไซเบอร์กลับหาช่องทางใช้ประโยชน์จากช่องโหว่ในระบบเครือข่ายภายในบ้านและใช้วีพีเอ็นย้อนกลับเข้าไปคุกคามเครือข่ายได้สำเร็จอย่างมากมาย โดยพบการโจมตีแรนซัมแวร์เพิ่มขึ้นถึง 7 เท่าในช่วงครึ่งหลังของปีค.ศ. 2020

โมเดล Zero Trust จึงกลายเป็นกลยุทธ์สำคัญที่จะช่วยพลิกให้เครือข่ายมีความปลอดภัยที่แข็งแกร่งมากขึ้น โดยจะตั้งค่าเริ่มต้นสำหรับทุกคนและทุกอย่างด้วยการปฏิเสธ ดังนั้น เมื่อผู้ใช้หรืออุปกรณ์ร้องขอเข้าถึงทรัพยากรจากภายนอก พวกเขาจะต้องได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึง

การตรวจสอบดังกล่าวขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้ เช่น บทบาทหรือสิทธิ์ที่ได้รับมอบหมาย และข้อมูลของอุปกรณ์ เช่น ประเภทของอุปกรณ์ เป็นทรัพย์สินส่วนบุคคลหรือขององค์กร รวมถึงบริบทอื่นๆ เช่น เวลาและวันที่ สถานที่ที่เข้าใช้งาน แม้กระทั่งสถานะด้านความปลอดภัยของอุปกรณ์

เช่น มีการติดตั้งแพตช์ล่าสุดหรือไม่ และแม้ว่าอุปกรณ์และผู้ใช้จะได้รับการตรวจสอบแล้ว แต่จะได้รับความไว้วางใจหรือสิทธิ์การใช้งานที่เหมาะสมขั้นต่ำเท่านั้น เช่น หากผู้ใช้ขอเข้าถึงแอปพลิเคชันของฝ่ายการเงินและผ่านการตรวจสอบแล้ว พวกเขาจะได้รับสิทธิ์เข้าถึงเฉพาะแอปพลิเคชันนั้นสำหรับการทำงานตามนโยบายเท่านั้น และไม่สามารถใช้งานอื่นใดได้

ดังนั้น ศักยภาพในการมองเห็นและควบคุม จึงเป็นหัวใจในการสร้างกลยุทธ์ Zero Trust อย่างมาก เพื่อให้รู้และควบคุมว่าใครและอะไรอยู่ในเครือข่าย และต้องสามารถจัดการสิ่งที่อยู่บนเครือข่าย อาทิ อุปกรณ์ที่เชื่อมต่อกับเครือข่ายไม่ว่าจะเป็นแลปท็อป แทบเล็ต อุปกรณ์อัจฉริยะ รวมถึงอุปกรณ์ IoT ทุกอย่างในโรงงาน

ซึ่งส่วนใหญ่จะเป็นประเภท “Headless” ที่ไม่มีชื่อผู้ใช้และรหัสผ่านเพื่อระบุตัวตน องค์กรจึงต้องการโซลูชันการควบคุมการเข้าถึงเครือข่ายที่เรียกว่า Network Access Control (NAC) และใช้หลักการความไว้วางใจเป็นศูนย์ ให้การเข้าถึงอุปกรณ์น้อยที่สุด ให้สิทธิ์การเข้าถึงเครือข่ายที่เพียงพอเพื่อดำเนินการตามบทบาทเท่านั้น

มองหาเครื่องมือ ZTNA

เมื่อการทำงานในปัจจุบันต้องอาศัยแอปพลิเคชันต่างๆ มากขึ้นเรื่อยๆ จึงส่งให้โซลูชัน Zero-Trust Network Access (ZTNA) เป็นที่นิยมมากขึ้น เนื่องจาก ZTNA จะทำที่เป็นแพลตฟอร์มรองรับให้การเข้าถึงแอปพลิเคชันได้ปลอดภัย ไม่ว่าผู้ใช้หรือแอปพลิเคชันจะอยู่ที่ใด พนักงานอาจอยู่ในเครือข่ายขององค์กรหรือทำงานจากที่บ้านหรือที่อื่น และแอปพลิเคชันอาจอาศัยอยู่ในศูนย์ข้อมูลขององค์กรหรือในระบบคลาวด์ส่วนตัวหรือบนอินเทอร์เน็ตสาธารณะก็ตาม

ZTNA จะช่วยให้การเชื่อมต่อพนักงานระยะไกลและการเชื่อมโยงวีพีเอ็นปลอดภัยมากขึ้น ซึ่งจะช่วยกำจัดภัยที่ใช้ประโยชน์จากช่องโหว่ในเครือข่ายภายในบ้านของพนักงาน แฝงตัวกลับเข้ามาคุกคามในเครือข่ายที่เคยเกิดขึ้นดังกล่าว

ในการเริ่มต้นสร้างโมเดลความปลอดภัยแบบ Zero Trust นี้ ผู้เขียนแนะนำให้องค์กรเร่งระบุความเสี่ยงขององค์กรเพื่อให้ทราบถึงสิ่งที่ต้องการการป้องกันตามตัวย่อ DAAS อันได้แก่ Data สำรวจว่าข้อมูลใดที่ต้องปกป้อง Applications แอปพลิเคชันใดมีข้อมูลที่ละเอียดอ่อน Assets สินทรัพย์ใดที่ละเอียดอ่อนที่สุด และ Services บริการใดที่ผู้ประสงค์ร้ายอาจแอบใช้ประโยชน์ในการเข้ามาขัดขวางการทำงานปกติของไอทีได้

• นอกจากนี้ องค์กรควร พิจารณาสร้างเกตเวย์สำหรับแต่ละส่วนในเครือข่าย (Segmentation Gateway) ที่ระดับ Microperimeter เพื่อตรวจสอบการก้าวเข้ามาของบุคคลและข้อมูล ใช้ไฟร์วอลล์ระดับ Layer 7 และวิธีการ Kipling ตรวจสอบผู้ใช้และข้อมูลอย่างละเอียดก่อนที่จะให้สิทธิ์การเข้าถึง
• ใช้การตรวจยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication: MFA) ซึ่งจะเพิ่มจำนวนข้อมูลเฉพาะผู้ใช้ที่จำเป็นต้องแสดงในการเข้าถึง 2-3-4 ด้านหรือมากกว่านั้น รวมถึงแสดงการใช้อุปกรณ์ OTP พร้อมกับรหัสผ่าน จึงช่วยให้เครือข่าย Zero Trust แข็งแกร่งมากขึ้น
• การยืนยันปลายทาง (Endpoint Verification) Zero_Trust กำหนดให้ทั้งผู้ใช้และอุปกรณ์ปลายทางต้องแสดงข้อมูลประจำตัวต่อเครือข่าย ซึ่งที่ปลายทางแต่ละจุดมีชั้นของการตรวจสอบสิทธิ์ของตัวเอง ระบบจะส่งการยืนยันไปยังปลายทาง ผู้ใช้จำเป็นต้องตอบสนองผ่านอุปกรณ์ ทั้งนี้ระบบจะใช้ข้อมูลที่ส่งจากปลายทางนั้นในการตรวจสอบความถูกต้องและจะทำให้อุปกรณ์มีสถานะเป็น “น่าเชื่อถือ” ต่อไป
• ใช้วิธีการบริหารจัดการปลายทางแบบรวม (Unified Endpoint Management: UEM) ช่วยผู้ดูแลระบบรวมศูนย์วิธีจัดการโครงสร้างพื้นฐานไอทีได้เป็นหนึ่งเดียว สามารถตรวจสอบอุปกรณ์ปลายทางประเภท Multiple endpoints ได้
• ทั้งนี้ องค์กรควรใช้โซลูชันการตรวจจับภัยคุกคามที่อุปกรณ์ปลายทาง (Endpoint Detection and Response: EDR) โดยจะสแกนอุปกรณ์ปลายทาง ระบุภัยคุกคามชั้นสูง เช่น Fileless malware และแรนซมแวร์ได้ และดำเนินการตามขั้นตอนในการตอบสนองภัยคุกคามเพื่อปกป้องปลายทางรวมถึงส่วนที่เหลือของเครือข่ายอีกด้วย
• การแบ่งองค์ประกอบออกเป็นสัดส่วน (Microsegmentation) ในการสร้างโซนภายในเครือข่าย เพื่อแยกและรักษาความปลอดภัยองค์ประกอบของเครือข่ายที่อาจมีข้อมูลที่ละเอียดอ่อนหรือสามารถให้การเข้าถึงแก่ผู้ประสงค์ร้ายได้ ทั้งนี้ เมื่อพื้นที่ปลอดภัยได้รับการแบ่งเป็นสัดส่วนแล้ว ไฟร์วอลล์หรือฟิลเตอร์ที่สร้างกำแพงกั้นรอบๆ โซนเหล่านั้นจะช่วยกักภัยไม่ให้ออกจากโซน ซึ่งเป็นการปกป้องเครือข่ายที่เหลือให้ปลอดภัยต่อไ
• จัดการสิทธิ์เข้าถึงทรัพยากรให้น้อยที่สุด (Least-Privilege Access) เป็นการอนุญาตให้ผู้ใช้และอุปกรณ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่เท่านั้น การเข้าถึงสิทธิ์น้อยที่สุดนี้จะช่วยลดจำนวนอุปกรณ์ที่จะเข้าถึงทรัพยากรต่างๆ ลง ช่วยประหยัดเวลาและทรัพยากรได้

Zero-Trust Network Access: Security in an Evolving Threat Landscape