www.cioworldmagazine.com

 Breaking News
  • ไอบีเอ็ม จับมือพาร์ตเนอร์กว่า 20 รายจัดสัมมนาออนไลน์ IBM Solutions Summit 2021 powered by IBM Partners CIO World&Business ขอเรียนเชิญ CEOs, Owners/founders, COOs, CIOs, CTO, IT directors, Line of Business leaders, Senior IT professionals, IT Manager, Cloud Engineer, Data Center Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วม IBM Virtual...
  • วริษา อนันตรัมพร กับภารกิจสร้าง อินเตอร์ลิ้งค์ 4.0 สัมภาษณ์พิเศษ วริษา อนันตรัมพร ผู้จัดการทั่วไป บริษัท อินเตอร์ลิ้งค์ คอมมิวนิเคชั่น จำกัด (มหาชน) ดิจิทัลเนทีฟตัวจริง ที่ก้าวขึ้นมาสานต่อภารกิจของ สมบัติ–ชลิดา อนันตรัมพร เพื่อนำองค์กรไปสู่ความสำเร็จแบบมืออาชีพอีกครั้ง และอีกครั้ง...
  • Key Processes of PDPA เก็บเกี่ยวความรู้จาก ดร.รัฐิติ์พงษ์ พุทธเจริญ หนึ่งในผู้คร่ำหวอดในวงการวางกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์ ถึงแนวคิดและหัวใจสำคัญของการปรับกระบวนการขององค์กรให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และหาคำตอบถึงกลไกที่ทำให้องค์กร ประสบความสำเร็จในการสร้างกระบวนการให้สอดคล้องกับ PDPA...
  • สำรวจความพร้อม KTC บนถนนสายดิจิทัล สำรวจความพร้อมของ KTC ในมุมมองของ วุฒิชัย เจริญผล รองประธานเจ้าหน้าที่บริหาร – Information Technology บริษัท บัตรกรุงไทย จำกัด (มหาชน) การก้าวไปสู่ธุรกิจดิจิทัล กับยุทธศาสตร์สำคัญเพื่อพลิกโฉมให้มี Digital service, Digital product และ Digital channel เพื่อรองรับความต้องการของลูกค้าและการแข่งขันในโลกดิจิทัล...
  • 10 แนวโน้มเทคโนโลยีในกิจการภาครัฐ 10 อันดับแนวโน้มเทคโนโลยีพลิกโฉมกิจการภาครัฐแห่งปี 2564 ประกอบด้วย เทคโนโลยีด้านความปลอดภัย การควบคุมค่าใช้จ่าย และการจัดการความท้าทายด้านประสบการณ์ของประชาชนต่อภาครัฐ...

สร้างความปลอดภัยเครือข่ายยุคใหม่ ด้วยโมเดล Zero Trust

สร้างความปลอดภัยเครือข่ายยุคใหม่  ด้วยโมเดล Zero Trust
July 01
14:14 2021

ทำความรู้จัก Zero Trust พลิกแกร่งความปลอดภัยเครือข่ายยุคใหม่ ด้วยโซลูชัน ZTNA และ EDR ปกป้องการเชื่อมต่อและโต้ตอบภัยคุกคามให้เครือข่าย OT และ WFH ที่มีการเชื่อมต่อจากภายนอกให้ปลอดภัยสูงสุด

 

จอห์น คินเดอร์เวค แห่ง Forrester Research ได้กล่าวถึงคำว่า Zero Trust หรือ โมเดลความเชื่อถือเป็นศูนย์ ครั้งแรกในบทความที่ตีพิมพ์ในปีค.ศ. 2010 โดยเห็นว่า โมเดลการรักษาความปลอดภัยเครือข่ายแบบเดิมไม่สามารถให้การป้องกันที่เพียงพอได้ เนื่องจากผู้ดูแลระบบต้องไว้วางใจบุคคลและอุปกรณ์ในจุดต่างๆ ภายในเครือข่าย

หากความเชื่อถือนี้ในจุดใดถูกละเมิด เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง และเขาได้แนะนำให้ติดตั้งเกตเวย์สำหรับการแบ่งส่วน (Segmentation Gateway) ไว้ในเครือข่าย ซึ่งจะทำให้การป้องกันแบบผสมผสานต่างๆ และมีเอ็นจิ้นทำหน้าที่ส่งแพ็กเก็ตไปป้องกันจุดที่จำเป็นต่างๆ ในเครือข่ายเป็นการแก้ปัญหานี้

บทความโดย: ดร.รัฐิติ์พงษ์ พุทธเจริญ Com. Eng. ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต

เครือข่ายประเภทเทคโนโลยีเชิงปฏิบัติงาน (Operational Technology: OT) อันเป็นโครงสร้างพื้นฐานหลักที่สำคัญๆ อาทิ โรงไฟฟ้า ระบบสาธารณูปโภค ด้านสาธารณสุข การคมนาคมขนส่งและอื่นๆ นั้น มีระบบที่มีความละเอียดอ่อนและอาจเป็นอันตรายได้ เช่น ระบบจัดการเครื่องจักร ซึ่งเป็นระบบปิด

แต่ด้วยความไว้วางใจแบบเดิมๆ เมื่อผู้ใช้งานเข้ามาในระบบได้แล้วจะสามารถข้ามระหว่างระบบและทรัพยากรภายในได้อย่างอิสระ สามารถย้ายเวิร์กโฟลว์และแอปพลิเคชันไป-มา ระหว่างโซนแม้จะอยู่ระหว่างระบบนิเวศที่แตกต่างกันได้ เช่น ระหว่างศูนย์ข้อมูลและระบบคลาวด์

ซึ่งด้วยความไว้วางใจเช่นนี้ ทำให้อาชญากรไซเบอร์และมัลแวร์ขั้นสูงเมื่อเข้ามาได้แล้วสามารถรอดพ้นเรดาร์ด้านความปลอดภัยไปได้ ดังตัวอย่างภัยที่สร้างความตระหนกและความเสียหายให้อุตสาหกรรมต่างๆ มากมายหลายครั้ง

นอกจากนี้ เครือข่ายที่มีการเชื่อมโยงมากจากภายนอกที่มีความเสี่ยงสูง รวมถึงวิธีการทำงานจากที่บ้าน ซึ่งพนักงานจำเป็นต้องเข้าถึงทรัพยากรที่สำคัญจากภายนอก โดยส่วนใหญ่ใช้การเชื่อมต่อแบบวีพีเอ็น พบว่า อาชญากรไซเบอร์กลับหาช่องทางใช้ประโยชน์จากช่องโหว่ในระบบเครือข่ายภายในบ้านและใช้วีพีเอ็นย้อนกลับเข้าไปคุกคามเครือข่ายได้สำเร็จอย่างมากมาย โดยพบการโจมตีแรนซัมแวร์เพิ่มขึ้นถึง 7 เท่าในช่วงครึ่งหลังของปีค.ศ. 2020

โมเดล Zero Trust จึงกลายเป็นกลยุทธ์สำคัญที่จะช่วยพลิกให้เครือข่ายมีความปลอดภัยที่แข็งแกร่งมากขึ้น โดยจะตั้งค่าเริ่มต้นสำหรับทุกคนและทุกอย่างด้วยการปฏิเสธ ดังนั้น เมื่อผู้ใช้หรืออุปกรณ์ร้องขอเข้าถึงทรัพยากรจากภายนอก พวกเขาจะต้องได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึง

การตรวจสอบดังกล่าวขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้ เช่น บทบาทหรือสิทธิ์ที่ได้รับมอบหมาย และข้อมูลของอุปกรณ์ เช่น ประเภทของอุปกรณ์ เป็นทรัพย์สินส่วนบุคคลหรือขององค์กร รวมถึงบริบทอื่นๆ เช่น เวลาและวันที่ สถานที่ที่เข้าใช้งาน แม้กระทั่งสถานะด้านความปลอดภัยของอุปกรณ์

เช่น มีการติดตั้งแพตช์ล่าสุดหรือไม่ และแม้ว่าอุปกรณ์และผู้ใช้จะได้รับการตรวจสอบแล้ว แต่จะได้รับความไว้วางใจหรือสิทธิ์การใช้งานที่เหมาะสมขั้นต่ำเท่านั้น เช่น หากผู้ใช้ขอเข้าถึงแอปพลิเคชันของฝ่ายการเงินและผ่านการตรวจสอบแล้ว พวกเขาจะได้รับสิทธิ์เข้าถึงเฉพาะแอปพลิเคชันนั้นสำหรับการทำงานตามนโยบายเท่านั้น และไม่สามารถใช้งานอื่นใดได้

ดังนั้น ศักยภาพในการมองเห็นและควบคุม จึงเป็นหัวใจในการสร้างกลยุทธ์ Zero Trust อย่างมาก เพื่อให้รู้และควบคุมว่าใครและอะไรอยู่ในเครือข่าย และต้องสามารถจัดการสิ่งที่อยู่บนเครือข่าย อาทิ อุปกรณ์ที่เชื่อมต่อกับเครือข่ายไม่ว่าจะเป็นแลปท็อป แทบเล็ต อุปกรณ์อัจฉริยะ รวมถึงอุปกรณ์ IoT ทุกอย่างในโรงงาน

ซึ่งส่วนใหญ่จะเป็นประเภท “Headless” ที่ไม่มีชื่อผู้ใช้และรหัสผ่านเพื่อระบุตัวตน องค์กรจึงต้องการโซลูชันการควบคุมการเข้าถึงเครือข่ายที่เรียกว่า Network Access Control (NAC) และใช้หลักการความไว้วางใจเป็นศูนย์ ให้การเข้าถึงอุปกรณ์น้อยที่สุด ให้สิทธิ์การเข้าถึงเครือข่ายที่เพียงพอเพื่อดำเนินการตามบทบาทเท่านั้น

มองหาเครื่องมือ ZTNA

เมื่อการทำงานในปัจจุบันต้องอาศัยแอปพลิเคชันต่างๆ มากขึ้นเรื่อยๆ จึงส่งให้โซลูชัน Zero-Trust Network Access (ZTNA) เป็นที่นิยมมากขึ้น เนื่องจาก ZTNA จะทำที่เป็นแพลตฟอร์มรองรับให้การเข้าถึงแอปพลิเคชันได้ปลอดภัย ไม่ว่าผู้ใช้หรือแอปพลิเคชันจะอยู่ที่ใด พนักงานอาจอยู่ในเครือข่ายขององค์กรหรือทำงานจากที่บ้านหรือที่อื่น และแอปพลิเคชันอาจอาศัยอยู่ในศูนย์ข้อมูลขององค์กรหรือในระบบคลาวด์ส่วนตัวหรือบนอินเทอร์เน็ตสาธารณะก็ตาม

ZTNA จะช่วยให้การเชื่อมต่อพนักงานระยะไกลและการเชื่อมโยงวีพีเอ็นปลอดภัยมากขึ้น ซึ่งจะช่วยกำจัดภัยที่ใช้ประโยชน์จากช่องโหว่ในเครือข่ายภายในบ้านของพนักงาน แฝงตัวกลับเข้ามาคุกคามในเครือข่ายที่เคยเกิดขึ้นดังกล่าว

ในการเริ่มต้นสร้างโมเดลความปลอดภัยแบบ Zero Trust นี้ ผู้เขียนแนะนำให้องค์กรเร่งระบุความเสี่ยงขององค์กรเพื่อให้ทราบถึงสิ่งที่ต้องการการป้องกันตามตัวย่อ DAAS อันได้แก่ Data สำรวจว่าข้อมูลใดที่ต้องปกป้อง Applications แอปพลิเคชันใดมีข้อมูลที่ละเอียดอ่อน Assets สินทรัพย์ใดที่ละเอียดอ่อนที่สุด และ Services บริการใดที่ผู้ประสงค์ร้ายอาจแอบใช้ประโยชน์ในการเข้ามาขัดขวางการทำงานปกติของไอทีได้

  • นอกจากนี้ องค์กรควร พิจารณาสร้างเกตเวย์สำหรับแต่ละส่วนในเครือข่าย (Segmentation Gateway) ที่ระดับ Microperimeter เพื่อตรวจสอบการก้าวเข้ามาของบุคคลและข้อมูล ใช้ไฟร์วอลล์ระดับ Layer 7 และวิธีการ Kipling ตรวจสอบผู้ใช้และข้อมูลอย่างละเอียดก่อนที่จะให้สิทธิ์การเข้าถึง
  • ใช้การตรวจยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication: MFA) ซึ่งจะเพิ่มจำนวนข้อมูลเฉพาะผู้ใช้ที่จำเป็นต้องแสดงในการเข้าถึง 2-3-4 ด้านหรือมากกว่านั้น รวมถึงแสดงการใช้อุปกรณ์ OTP พร้อมกับรหัสผ่าน จึงช่วยให้เครือข่าย Zero Trust แข็งแกร่งมากขึ้น
  • การยืนยันปลายทาง (Endpoint Verification) Zero_Trust กำหนดให้ทั้งผู้ใช้และอุปกรณ์ปลายทางต้องแสดงข้อมูลประจำตัวต่อเครือข่าย ซึ่งที่ปลายทางแต่ละจุดมีชั้นของการตรวจสอบสิทธิ์ของตัวเอง ระบบจะส่งการยืนยันไปยังปลายทาง ผู้ใช้จำเป็นต้องตอบสนองผ่านอุปกรณ์ ทั้งนี้ระบบจะใช้ข้อมูลที่ส่งจากปลายทางนั้นในการตรวจสอบความถูกต้องและจะทำให้อุปกรณ์มีสถานะเป็น “น่าเชื่อถือ” ต่อไป
  • ใช้วิธีการบริหารจัดการปลายทางแบบรวม (Unified Endpoint Management: UEM) ช่วยผู้ดูแลระบบรวมศูนย์วิธีจัดการโครงสร้างพื้นฐานไอทีได้เป็นหนึ่งเดียว สามารถตรวจสอบอุปกรณ์ปลายทางประเภท Multiple endpoints ได้
  • ทั้งนี้ องค์กรควรใช้โซลูชันการตรวจจับภัยคุกคามที่อุปกรณ์ปลายทาง (Endpoint Detection and Response: EDR) โดยจะสแกนอุปกรณ์ปลายทาง ระบุภัยคุกคามชั้นสูง เช่น Fileless malware และแรนซมแวร์ได้ และดำเนินการตามขั้นตอนในการตอบสนองภัยคุกคามเพื่อปกป้องปลายทางรวมถึงส่วนที่เหลือของเครือข่ายอีกด้วย
  • การแบ่งองค์ประกอบออกเป็นสัดส่วน (Microsegmentation) ในการสร้างโซนภายในเครือข่าย เพื่อแยกและรักษาความปลอดภัยองค์ประกอบของเครือข่ายที่อาจมีข้อมูลที่ละเอียดอ่อนหรือสามารถให้การเข้าถึงแก่ผู้ประสงค์ร้ายได้ ทั้งนี้ เมื่อพื้นที่ปลอดภัยได้รับการแบ่งเป็นสัดส่วนแล้ว ไฟร์วอลล์หรือฟิลเตอร์ที่สร้างกำแพงกั้นรอบๆ โซนเหล่านั้นจะช่วยกักภัยไม่ให้ออกจากโซน ซึ่งเป็นการปกป้องเครือข่ายที่เหลือให้ปลอดภัยต่อไ
  • จัดการสิทธิ์เข้าถึงทรัพยากรให้น้อยที่สุด (Least-Privilege Access) เป็นการอนุญาตให้ผู้ใช้และอุปกรณ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่เท่านั้น การเข้าถึงสิทธิ์น้อยที่สุดนี้จะช่วยลดจำนวนอุปกรณ์ที่จะเข้าถึงทรัพยากรต่างๆ ลง ช่วยประหยัดเวลาและทรัพยากรได้

Zero-Trust Network Access: Security in an Evolving Threat Landscape

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Like Us On Facebook

Facebook Pagelike Widget
communication

Interview: Digital Disruption

Interview: New Roles CISO

Interview: Next Gen SOC

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com