วันศุกร์ที่ 23 กรกฎาคม พ.ศ. 2564

รู้จักกับ Zero Trust Model

     สวัสดีครับทุกท่าน เรื่องของปลอดภัย (Security) เป็นเรื่องสำคัญเรื่องหนึ่งที่ทุกๆ องค์กรให้ความสนใจ และวางแผนเพื่อเตรียมความพร้อมสำหรับการดำเนินการในเรื่องดังกล่าวครับ แต่หลายๆ องค์กรรวมถึงท่านผู้อ่านด้วย อาจจะมีคำถามครับว่าจะเริ่มต้นเรียนรู้และเตรียมความพร้อมอย่างไร, ทาง Microsoft มี Best Practices, เครื่องมือ, Models และอื่นๆ ที่จะช่วยองค์กรกับเรื่องดังกล่าวนี้หรือไม่ คำตอบ คือ มีครับ โดยทาง Microsoft ได้เตรียมสิ่งต่างๆ ที่ผมเกริ่นไว้เมื่อซักครู่ให้แล้วครับ และจึงเป็นที่มาของบทความนี้ ซึ่งผมจะพาทุกท่านไปทำความรู้จักและทำความเข้าใจเกี่ยวกับคอนเซปของ Security, Compliance, และ Identity กันครับ โดยบทความนี้ผมขอเริ่มจาก Model ที่ชื่อว่า "Zero Trust Model" ครับ


Zero Trust Model คืออะไร?





โดยคอนเซปของ Zero Trust Model มองว่า Data หรือ Resources ทุกอย่างที่องค์กรมีและเปิดให้ผู้ใช้งานเข้าถึงนั้น ไม่ว่า Data หรือ Resources ดังกล่าวนั้นจะอยู่ที่ใดก็ตาม เช่น ใน Cloud (Microsoft Azure, SaaS Apps, เป็นต้น) ตลอดจน Resources ใน On-Premise Data Center และอยู่หลัง Firewall ขององค์กร ในมุมของ Zero Trust ถือว่า ไม่มีที่ใดที่เชื่อถือหรือไว้ใจได้ เพราะฉะนั้นจะต้องมีการตรวจสอบทุกสิ่งทุกอย่างครับ เป็นไปตามกฏของ Zero Trust ที่ใช้ในการปฏิบัติการที่เรียกว่า "Trust no one, Verify everything" ครับ

มาดูกันในฝั่งของ Attackers กันบ้างครับ ในช่วงที่ผ่านมาจนถึง ณ ปัจจุบันได้ Attackers ได้มีการพัฒนาเทคนิคและวิธีการต่างๆ อย่างต่อเนื่อง เพื่อที่จะใช้ในการโจมตีเป้าหมาย เช่น Resources หรือข้อมูลต่างๆ ขององค์กร โดยพยายามหาวิธีการเข้าถึงและ Bypass การควบคุมในการเข้าถึงข้อมูลหรือ Resources ต่างๆ ใน On-Premise Data Center รวมถึง Cloud (เช่น Microsoft Azure เป็นต้น) ซึ่งที่ผ่านมาทุกท่านที่ติดตามข่าวสารก็จะเห็นว่า มีการโจมตีและเข้าถึงข้อมูลต่างๆ ในองค์กร แม้ว่าองค์กรนั้นๆ จะมีการควบคุมและจัดการในเรื่องของความปลอดภัย เช่น มีการแบ่ง Networks ออกเป็นวงย่อยๆ (Segmented Networks), มีการควบคุมการเข้าถึง (Access Control), มีการใช้ Firewall ในการควบคุม Traffics ที่เข้า-ออกทั้งภายในและภายนอก แต่องค์กรดังกล่าวก็ยังถูกโจมตีหรือ Attack ครับ นั่นหมายความว่าแนวทางและวิธีการจัดการในเรื่องของความปลอดภัยที่ใช้กันก่อนหน้านี้ ไม่เพียงพอหรือไม่สามารถป้องกันหรือลดความเสี่ยงที่จะถูกโจมตีจากภัยคุกคามต่างๆ ได้ครับ เพราะฉะนั้นจะทำอย่างไรเพื่อที่จะเตรียมความพร้อมและจัดการในเรื่องของความปลอดภัย จากประเด็นดังกล่าวนี้ จึงเป็นที่มาของการนำเอา Zero Trust Model เข้ามาประยุกต์ใช้งานในองค์กรครับ 

โดยคอนเซปของ Zero Trust Model นั้น จะต้องทำการตรวจสอบทุกอย่างที่จะเข้าถึงข้อมูลหรือ Resources ต่างๆ ไม่ว่าจะอยู่ที่ใดก็ตามครับ และที่ผ่านมาหลายๆ องค์กรได้ดำเนินการตาม Best Practices ไปบ้าง เช่น มีการนำเอาคอนเซปและเทคโนโลยีที่เรียกว่า Multi-Factor Authentication เข้ามาเพื่อช่วยทำให้กระบวนการในการตรวจสอบ Identity (Authentication) นั้นมีความแข็งแรงหรือปลอดภัยมากขึ้น เสริมการ Authentication ในรูปแบบปรกติ นั่นก็คือ การ Sign-In โดยใช้ Username และ Password ครับ แต่ยังไม่ครบถ้วนทั้งหมดครับ ดังนั้นผมจะพาทุกท่านเข้าสู่รายละเอียดของ Zero Trust Model กันมากขึ้นครับ







Zero Trust Model (Principles)

มีหลักปฏิบัติด้วยกัน 3 ข้อ ดังนี้:

1. Verify Explicitly ทำการ Authenticate และ Authorize Data Points และ Endpoints เช่น  User, Location, Device, Service หรือ Workload, Data Classification, และอื่นๆ ตลอดเวลา

2. Least Privileged Access จำกัดการเข้าถึงข้อมูล Resources ต่างๆ ด้วย Just-in-time และ Just-enough access (JIT/JEA), Policies, Data Protection เป็นต้น

3. Assume Breach ทำการแยกหรือแบ่งการเข้าถึงโดยกำหนดตาม Network, User Devices,  Application,
เป็นต้น ใช้การการเข้ารหัส (Encryption) เพื่อป้องกันข้อมูล, ทำการค้นหาตรวจสอบและวิเคราะห์ภัยคุกคาม (Threats) เพื่อปรับปรุงความปลอดภัยให้ดีขึ้น



Zero Trust Model (6 Foundation Components)


ใน Zero Trust Model นั้นประกอบไปด้วย ส่วนประกอบหรือ Components ต่างๆ ที่จะต้องทำงานร่วมกันเพื่อทำ End-to-End Security โดยส่วนประกอบที่ทำงานร่วมกันนี้ถือเป็นพื้นฐานสำคัญของ Zero Trust Model ซึ่งประกอบไปด้วย 6 ส่วนประกอบโดยมีรายละเอียดดังนี้:

Identities เป็นสิ่งที่ Attackers ต้องการเพื่อใช้ในการเข้าถึง โดยส่วนประกอบนี้ (Identities)  คือ Users, Services และ Devices เมื่อ Identity เหล่านี้พยายามที่จะเข้าถึงข้อมูลหรือ Resources ต่างๆ ก็จะต้องมีการตรวจสอบโดยใช้ Authentication ที่มีความแข็งแรงและปลอดภัย เช่น MFA (Multi-Factor Authentication) และต้องดำเนินการตามหลักปฏิบัติที่อยู่ในหัวขัอก่อนหน้านี้ นั่นก็คือ Least Privileged Access ครับ

Devices เป็นสิ่งที่ Attackers ต้องการเช่นเดียวกันกับ Identities โดย Attackers พยายามค้นหาช่องโหว่ของเครื่องของผู้ใช้งาน (Devices) เพื่อใช้ Devices ดังกล่าวในการเข้าถึงข้อมูลหรือ Resources ใน On-Premise หรือ Cloud  ดังนั้นจะต้องมีการวางแผนและจัดการโดยการ Monitoring Health และ Compliance ของ Devices เหล่าน้้นว่าเป็นไปตามที่กำหนดไว้หรือไม่

Applications ถือว่าเป็นช่องทางหนึ่งที่สามารถเข้าถึงข้อมูลได้ เพราะฉะนั้นจะต้องทำการตรวจสอบสิทธิ์ในการเข้าถึงของ Applications กับข้อมูลที่เกี่ยวข้องกับ Applications นั้นๆ ด้วย

Data ควรมีการวางแผนดำเนินสร้างความปลอดภัยให้กับข้อมูล เช่น การแบ่งแยกประเภทข้อมูล (Classification), การกำหนดคำอธิบายข้อมูล (Labeling), และการเข้ารหัสข้อมูล (Encryption) เพื่อทำการปกป้องข้อมูล (Data Protection) ให้มีความปลอดภัย ไม่ว่าจะมีการเข้าถึงจากทีใด, อุปกรณ์ใด, และจากใคร

Infrastructure จะต้องมีการปรับปรุงในเรื่องของความปลอดภัยให้กับ Infrastructure ท้้งที่อยูใน On-Premise และ Cloud โดยจะต้องมีการตรวจสอบและทำการประเมิน, การค้นหา (Detection), และป้องกัน (Protection), และอื่นๆ เพื่อป้องกันและลดความเสี่ยงที่ภัยคุกคามที่จะเข้ามาโจมตี

Network ควรจะต้องมีการแบ่งแยก Networks เป็น Network ย่อยๆ และควรจะมีการนำเอา Real-Time Threat Protection, End-to-End Encryption, Monitoring และอื่นๆ เข้ามาใช้งานเพื่อสร้างความปลอดภัย

รายละเอียดเพิ่มเติมสำหรับเรื่องราวของ Microsoft Zero Trust Model สามารถไปที่ Link นี้ได้เลยครับ




และทั้งหมดนี้คือคอนเซปของ Zero Trust Model ครับผม.....


ไม่มีความคิดเห็น:

แสดงความคิดเห็น