สร้างความปลอดภัยเครือข่ายยุคใหม่ ด้วยโมเดล Zero Trust

ทำความรู้จัก Zero Trust พลิกแกร่งความปลอดภัยเครือข่ายยุคใหม่ ด้วยโซลูชัน ZTNA และ EDR ปกป้องการเชื่อมต่อและโต้ตอบภัยคุกคามให้เครือข่าย OT และ WFH ที่มีการเชื่อมต่อจากภายนอกให้ปลอดภัยสูงสุด
จอห์น คินเดอร์เวค แห่ง Forrester Research ได้กล่าวถึงคำว่า Zero Trust หรือ โมเดลความเชื่อถือเป็นศูนย์ ครั้งแรกในบทความที่ตีพิมพ์ในปีค.ศ. 2010 โดยเห็นว่า โมเดลการรักษาความปลอดภัยเครือข่ายแบบเดิมไม่สามารถให้การป้องกันที่เพียงพอได้ เนื่องจากผู้ดูแลระบบต้องไว้วางใจบุคคลและอุปกรณ์ในจุดต่างๆ ภายในเครือข่าย
หากความเชื่อถือนี้ในจุดใดถูกละเมิด เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง และเขาได้แนะนำให้ติดตั้งเกตเวย์สำหรับการแบ่งส่วน (Segmentation Gateway) ไว้ในเครือข่าย ซึ่งจะทำให้การป้องกันแบบผสมผสานต่างๆ และมีเอ็นจิ้นทำหน้าที่ส่งแพ็กเก็ตไปป้องกันจุดที่จำเป็นต่างๆ ในเครือข่ายเป็นการแก้ปัญหานี้

บทความโดย: ดร.รัฐิติ์พงษ์ พุทธเจริญ Com. Eng. ผู้จัดการอาวุโส ฝ่ายวิศวกรรมระบบ ฟอร์ติเน็ต
เครือข่ายประเภทเทคโนโลยีเชิงปฏิบัติงาน (Operational Technology: OT) อันเป็นโครงสร้างพื้นฐานหลักที่สำคัญๆ อาทิ โรงไฟฟ้า ระบบสาธารณูปโภค ด้านสาธารณสุข การคมนาคมขนส่งและอื่นๆ นั้น มีระบบที่มีความละเอียดอ่อนและอาจเป็นอันตรายได้ เช่น ระบบจัดการเครื่องจักร ซึ่งเป็นระบบปิด
แต่ด้วยความไว้วางใจแบบเดิมๆ เมื่อผู้ใช้งานเข้ามาในระบบได้แล้วจะสามารถข้ามระหว่างระบบและทรัพยากรภายในได้อย่างอิสระ สามารถย้ายเวิร์กโฟลว์และแอปพลิเคชันไป-มา ระหว่างโซนแม้จะอยู่ระหว่างระบบนิเวศที่แตกต่างกันได้ เช่น ระหว่างศูนย์ข้อมูลและระบบคลาวด์
ซึ่งด้วยความไว้วางใจเช่นนี้ ทำให้อาชญากรไซเบอร์และมัลแวร์ขั้นสูงเมื่อเข้ามาได้แล้วสามารถรอดพ้นเรดาร์ด้านความปลอดภัยไปได้ ดังตัวอย่างภัยที่สร้างความตระหนกและความเสียหายให้อุตสาหกรรมต่างๆ มากมายหลายครั้ง
นอกจากนี้ เครือข่ายที่มีการเชื่อมโยงมากจากภายนอกที่มีความเสี่ยงสูง รวมถึงวิธีการทำงานจากที่บ้าน ซึ่งพนักงานจำเป็นต้องเข้าถึงทรัพยากรที่สำคัญจากภายนอก โดยส่วนใหญ่ใช้การเชื่อมต่อแบบวีพีเอ็น พบว่า อาชญากรไซเบอร์กลับหาช่องทางใช้ประโยชน์จากช่องโหว่ในระบบเครือข่ายภายในบ้านและใช้วีพีเอ็นย้อนกลับเข้าไปคุกคามเครือข่ายได้สำเร็จอย่างมากมาย โดยพบการโจมตีแรนซัมแวร์เพิ่มขึ้นถึง 7 เท่าในช่วงครึ่งหลังของปีค.ศ. 2020
โมเดล Zero Trust จึงกลายเป็นกลยุทธ์สำคัญที่จะช่วยพลิกให้เครือข่ายมีความปลอดภัยที่แข็งแกร่งมากขึ้น โดยจะตั้งค่าเริ่มต้นสำหรับทุกคนและทุกอย่างด้วยการปฏิเสธ ดังนั้น เมื่อผู้ใช้หรืออุปกรณ์ร้องขอเข้าถึงทรัพยากรจากภายนอก พวกเขาจะต้องได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึง
การตรวจสอบดังกล่าวขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้ เช่น บทบาทหรือสิทธิ์ที่ได้รับมอบหมาย และข้อมูลของอุปกรณ์ เช่น ประเภทของอุปกรณ์ เป็นทรัพย์สินส่วนบุคคลหรือขององค์กร รวมถึงบริบทอื่นๆ เช่น เวลาและวันที่ สถานที่ที่เข้าใช้งาน แม้กระทั่งสถานะด้านความปลอดภัยของอุปกรณ์
เช่น มีการติดตั้งแพตช์ล่าสุดหรือไม่ และแม้ว่าอุปกรณ์และผู้ใช้จะได้รับการตรวจสอบแล้ว แต่จะได้รับความไว้วางใจหรือสิทธิ์การใช้งานที่เหมาะสมขั้นต่ำเท่านั้น เช่น หากผู้ใช้ขอเข้าถึงแอปพลิเคชันของฝ่ายการเงินและผ่านการตรวจสอบแล้ว พวกเขาจะได้รับสิทธิ์เข้าถึงเฉพาะแอปพลิเคชันนั้นสำหรับการทำงานตามนโยบายเท่านั้น และไม่สามารถใช้งานอื่นใดได้
ดังนั้น ศักยภาพในการมองเห็นและควบคุม จึงเป็นหัวใจในการสร้างกลยุทธ์ Zero Trust อย่างมาก เพื่อให้รู้และควบคุมว่าใครและอะไรอยู่ในเครือข่าย และต้องสามารถจัดการสิ่งที่อยู่บนเครือข่าย อาทิ อุปกรณ์ที่เชื่อมต่อกับเครือข่ายไม่ว่าจะเป็นแลปท็อป แทบเล็ต อุปกรณ์อัจฉริยะ รวมถึงอุปกรณ์ IoT ทุกอย่างในโรงงาน
ซึ่งส่วนใหญ่จะเป็นประเภท “Headless” ที่ไม่มีชื่อผู้ใช้และรหัสผ่านเพื่อระบุตัวตน องค์กรจึงต้องการโซลูชันการควบคุมการเข้าถึงเครือข่ายที่เรียกว่า Network Access Control (NAC) และใช้หลักการความไว้วางใจเป็นศูนย์ ให้การเข้าถึงอุปกรณ์น้อยที่สุด ให้สิทธิ์การเข้าถึงเครือข่ายที่เพียงพอเพื่อดำเนินการตามบทบาทเท่านั้น
มองหาเครื่องมือ ZTNA
เมื่อการทำงานในปัจจุบันต้องอาศัยแอปพลิเคชันต่างๆ มากขึ้นเรื่อยๆ จึงส่งให้โซลูชัน Zero-Trust Network Access (ZTNA) เป็นที่นิยมมากขึ้น เนื่องจาก ZTNA จะทำที่เป็นแพลตฟอร์มรองรับให้การเข้าถึงแอปพลิเคชันได้ปลอดภัย ไม่ว่าผู้ใช้หรือแอปพลิเคชันจะอยู่ที่ใด พนักงานอาจอยู่ในเครือข่ายขององค์กรหรือทำงานจากที่บ้านหรือที่อื่น และแอปพลิเคชันอาจอาศัยอยู่ในศูนย์ข้อมูลขององค์กรหรือในระบบคลาวด์ส่วนตัวหรือบนอินเทอร์เน็ตสาธารณะก็ตาม
ZTNA จะช่วยให้การเชื่อมต่อพนักงานระยะไกลและการเชื่อมโยงวีพีเอ็นปลอดภัยมากขึ้น ซึ่งจะช่วยกำจัดภัยที่ใช้ประโยชน์จากช่องโหว่ในเครือข่ายภายในบ้านของพนักงาน แฝงตัวกลับเข้ามาคุกคามในเครือข่ายที่เคยเกิดขึ้นดังกล่าว
ในการเริ่มต้นสร้างโมเดลความปลอดภัยแบบ Zero Trust นี้ ผู้เขียนแนะนำให้องค์กรเร่งระบุความเสี่ยงขององค์กรเพื่อให้ทราบถึงสิ่งที่ต้องการการป้องกันตามตัวย่อ DAAS อันได้แก่ Data สำรวจว่าข้อมูลใดที่ต้องปกป้อง Applications แอปพลิเคชันใดมีข้อมูลที่ละเอียดอ่อน Assets สินทรัพย์ใดที่ละเอียดอ่อนที่สุด และ Services บริการใดที่ผู้ประสงค์ร้ายอาจแอบใช้ประโยชน์ในการเข้ามาขัดขวางการทำงานปกติของไอทีได้
- นอกจากนี้ องค์กรควร พิจารณาสร้างเกตเวย์สำหรับแต่ละส่วนในเครือข่าย (Segmentation Gateway) ที่ระดับ Microperimeter เพื่อตรวจสอบการก้าวเข้ามาของบุคคลและข้อมูล ใช้ไฟร์วอลล์ระดับ Layer 7 และวิธีการ Kipling ตรวจสอบผู้ใช้และข้อมูลอย่างละเอียดก่อนที่จะให้สิทธิ์การเข้าถึง
- ใช้การตรวจยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication: MFA) ซึ่งจะเพิ่มจำนวนข้อมูลเฉพาะผู้ใช้ที่จำเป็นต้องแสดงในการเข้าถึง 2-3-4 ด้านหรือมากกว่านั้น รวมถึงแสดงการใช้อุปกรณ์ OTP พร้อมกับรหัสผ่าน จึงช่วยให้เครือข่าย Zero Trust แข็งแกร่งมากขึ้น
- การยืนยันปลายทาง (Endpoint Verification) Zero_Trust กำหนดให้ทั้งผู้ใช้และอุปกรณ์ปลายทางต้องแสดงข้อมูลประจำตัวต่อเครือข่าย ซึ่งที่ปลายทางแต่ละจุดมีชั้นของการตรวจสอบสิทธิ์ของตัวเอง ระบบจะส่งการยืนยันไปยังปลายทาง ผู้ใช้จำเป็นต้องตอบสนองผ่านอุปกรณ์ ทั้งนี้ระบบจะใช้ข้อมูลที่ส่งจากปลายทางนั้นในการตรวจสอบความถูกต้องและจะทำให้อุปกรณ์มีสถานะเป็น “น่าเชื่อถือ” ต่อไป
- ใช้วิธีการบริหารจัดการปลายทางแบบรวม (Unified Endpoint Management: UEM) ช่วยผู้ดูแลระบบรวมศูนย์วิธีจัดการโครงสร้างพื้นฐานไอทีได้เป็นหนึ่งเดียว สามารถตรวจสอบอุปกรณ์ปลายทางประเภท Multiple endpoints ได้
- ทั้งนี้ องค์กรควรใช้โซลูชันการตรวจจับภัยคุกคามที่อุปกรณ์ปลายทาง (Endpoint Detection and Response: EDR) โดยจะสแกนอุปกรณ์ปลายทาง ระบุภัยคุกคามชั้นสูง เช่น Fileless malware และแรนซมแวร์ได้ และดำเนินการตามขั้นตอนในการตอบสนองภัยคุกคามเพื่อปกป้องปลายทางรวมถึงส่วนที่เหลือของเครือข่ายอีกด้วย
- การแบ่งองค์ประกอบออกเป็นสัดส่วน (Microsegmentation) ในการสร้างโซนภายในเครือข่าย เพื่อแยกและรักษาความปลอดภัยองค์ประกอบของเครือข่ายที่อาจมีข้อมูลที่ละเอียดอ่อนหรือสามารถให้การเข้าถึงแก่ผู้ประสงค์ร้ายได้ ทั้งนี้ เมื่อพื้นที่ปลอดภัยได้รับการแบ่งเป็นสัดส่วนแล้ว ไฟร์วอลล์หรือฟิลเตอร์ที่สร้างกำแพงกั้นรอบๆ โซนเหล่านั้นจะช่วยกักภัยไม่ให้ออกจากโซน ซึ่งเป็นการปกป้องเครือข่ายที่เหลือให้ปลอดภัยต่อไ
- จัดการสิทธิ์เข้าถึงทรัพยากรให้น้อยที่สุด (Least-Privilege Access) เป็นการอนุญาตให้ผู้ใช้และอุปกรณ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่เท่านั้น การเข้าถึงสิทธิ์น้อยที่สุดนี้จะช่วยลดจำนวนอุปกรณ์ที่จะเข้าถึงทรัพยากรต่างๆ ลง ช่วยประหยัดเวลาและทรัพยากรได้
There are no comments at the moment, do you want to add one?
Write a comment