जीरो ट्रस्ट अब सबसे महत्वपूर्ण सुरक्षा मॉडल में से एक बन गया है। अवधारणा सरल और सहज है: निहित विश्वास अपने आप में एक भेद्यता है, जिसका हमलावर पार्श्व संचलन और संवेदनशील डेटा तक पहुंच के लिए शोषण कर सकते हैं। ज़ीरो ट्रस्ट दृष्टिकोण कॉर्पोरेट वातावरण से निहित विश्वास को समाप्त करके इस जोखिम को कम करने का प्रयास करता है।
जीरो ट्रस्ट हमेशा मानता है कि सुरक्षा उल्लंघन पहले ही हो चुका है। उदाहरण के लिए, एक हमलावर जगह में कुछ बचावों को बायपास करने और उद्यम के वातावरण में पैर जमाने में कामयाब रहा। हमले के अगले चरण में, हैकर नेटवर्क के माध्यम से तिरछा चलता है, अतिरिक्त संसाधनों तक पहुँचता है जब तक कि उन्हें मूल्यवान डेटा या संपत्ति नहीं मिल जाती। ज़ीरो ट्रस्ट मॉडल का उद्देश्य हैकर के कॉर्पोरेट वातावरण में होने पर होने वाले नुकसान को महत्वपूर्ण रूप से सीमित करना है।
तिथि करने के लिए, जीरो ट्रस्ट को मुख्य रूप से नेटवर्क के बुनियादी ढांचे के पुनर्निर्माण और विभाजन गेटवे के साथ कई माइक्रो-परिधि में विभाजित करके नेटवर्क परत पर लागू किया गया है। हाल ही में, हालांकि, एक और शून्य विश्वास दृष्टिकोण जो नेटवर्क पहलू के बजाय पहचान परत पर केंद्रित है, कर्षण प्राप्त कर रहा है।
नेटवर्क-आधारित बनाम पहचान-आधारित शून्य ट्रस्ट
ज़ीरो ट्रस्ट को कॉर्पोरेट वातावरण के भीतर संसाधनों तक दुर्भावनापूर्ण पहुँच को रोकने के लिए डिज़ाइन किया गया है। जबकि इस तरह की पहुंच नेटवर्क कनेक्शन पर डिवाइस द्वारा की जाती है, इसके लिए संसाधन तक पहुंचने के लिए उपयोगकर्ता प्रमाणीकरण की भी आवश्यकता होती है। एक अंतर्निहित विश्वास वातावरण में, यदि इस उपयोगकर्ता खाते से छेड़छाड़ की जाती है, तो एक हैकर इसका उपयोग किसी भी संसाधन को स्वतंत्र रूप से एक्सेस करने या नेटवर्क में पार्श्व रूप से स्थानांतरित करने के लिए कर सकता है। हालाँकि, यदि विस्तृत सत्यापन नेटवर्क कनेक्शन पर आधारित नहीं है, बल्कि प्रमाणीकरण पर ही आधारित है, तो एक शून्य विश्वास मॉडल भी प्राप्त किया जा सकता है। दुर्भावनापूर्ण पहुँच प्रयासों को अवरुद्ध करने के लिए नेटवर्क विभाजन नियम और जोखिम-आधारित प्रमाणीकरण नीतियां दोनों उपयोगी उपकरण हैं। हालांकि, बाद वाले को लागू करना आसान है और कई मामलों में उच्च ग्रैन्युलैरिटी और जोखिम का पता लगाने की क्षमता प्रदान करते हैं।
पहचान आधारित जीरो ट्रस्ट कैसे काम करता है विस्तार से
जब भी कोई उपयोगकर्ता कॉर्पोरेट संसाधन तक पहुँचने का प्रयास करता है, तो पहचान-आधारित शून्य विश्वास जोखिम का आकलन करने और सुरक्षित पहुँच नियंत्रण लागू करने पर निर्भर करता है। प्रत्येक एक्सेस अनुरोध की निगरानी की जाती है - इस पर ध्यान दिए बिना कि उपयोगकर्ता कहाँ स्थित है या एक्सेस किया जा रहा संसाधन ऑन-प्रिमाइसेस है या क्लाउड में है। इसके अलावा, एक्सेस अनुरोध से जुड़े जोखिम का हमेशा विश्लेषण किया जाता है और अनुकूली, जोखिम-आधारित नीतियां पूरे नेटवर्क पर, ऑन-प्रिमाइसेस और हाइब्रिड वातावरण दोनों में लागू की जाती हैं। उपयोगकर्ता की प्रमाणीकरण गतिविधि के विस्तृत जोखिम विश्लेषण के बाद ही संसाधन तक पहुंच प्रदान की जाती है और विशिष्ट पहुंच अनुरोध के लिए मान्य है। यह जोखिम विश्लेषण प्रत्येक व्यक्तिगत पहुंच प्रयास के लिए किया जाना चाहिए।
आज के उद्यम वातावरण में कई प्रकार के संसाधन शामिल हैं: भौतिक सर्वर, SaaS एप्लिकेशन, क्लाउड वर्कलोड, फ़ाइल शेयर, ऑन-प्रिमाइसेस एप्लिकेशन और कई अन्य। पहचान-आधारित शून्य विश्वास का अर्थ है कि निम्नलिखित मानदंड पूरे होते हैं:
- किसी भी उपयोगकर्ता खाते को समझौता किया हुआ माना जाता है, जिसका अर्थ है अविश्वसनीय, अन्यथा सिद्ध होने तक।
- एक उपयोगकर्ता खाता केवल मान्य होने के बाद और केवल एक संसाधन पहुंच के लिए विश्वसनीय है।
- यदि उपयोगकर्ता मान्य पहुँच अनुरोध के बाद किसी अन्य संसाधन तक पहुँचने का प्रयास करता है, तो उन्हें फिर से सत्यापित किया जाना चाहिए।
उदाहरण के लिए, प्रमाणीकरण का उपयोग करके कॉर्पोरेट वीपीएन से जुड़ा एक दूरस्थ उपयोगकर्ता। एक बार आंतरिक वातावरण में, यह उपयोगकर्ता अब फ़ाइल सर्वर तक पहुँचने का प्रयास करता है। पहचान-आधारित शून्य विश्वास कभी भी यह नहीं मानेगा कि यह उपयोगकर्ता खाता केवल एक सफल वीपीएन प्रमाणीकरण के आधार पर भरोसेमंद है, लेकिन हमेशा इस पहुंच और उपयोगकर्ता की विश्वसनीयता की जांच करें।
पहचान-आधारित शून्य विश्वास मूल्यांकन प्रक्रिया
- किसी भी प्रकार के स्थानीय या क्लाउड संसाधन के लिए सभी उपयोगकर्ता खातों द्वारा किए गए सभी एक्सेस अनुरोधों की लगातार निगरानी करें और एक व्यापक ऑडिट ट्रेल बनाएं।
- जोखिम विश्लेषण: प्रत्येक व्यक्तिगत पहुंच प्रयास के लिए, उपयोगकर्ता द्वारा वास्तव में समझौता किए जाने की संभावना का मूल्यांकन किया जाता है। यह जोखिम निर्धारण उपयोगकर्ता के व्यवहार, ऑडिट ट्रेल और विभिन्न प्रासंगिक मापदंडों के विश्लेषण पर आधारित है।
- रीयल-टाइम एक्सेस नीति प्रवर्तन: परिकलित जोखिम के आधार पर, एक्सेस को या तो अनुमति दी जाती है, ब्लॉक किया जाता है, या मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को कड़ा किया जाता है।
(छवि: सिल्वरफोर्ट)।
आरेख एक पहचान-आधारित शून्य विश्वास परिप्रेक्ष्य से एक हाइब्रिड उद्यम ऑन-प्रिमाइसेस और क्लाउड परिवेश में उपयोगकर्ता की यात्रा दिखाता है।
आरेख दिखाता है कि कैसे प्रत्येक व्यक्तिगत पहुंच अनुरोध एक विस्तृत जोखिम विश्लेषण से गुजरता है, जिसके परिणामस्वरूप या तो उपयोगकर्ता पहुंच की अनुमति देता है, पहुंच को अवरुद्ध करता है, या पहुंच नीति के आधार पर एमएफए के साथ प्रमाणीकरण आवश्यकताओं को कड़ा करता है।
पहचान आधारित जीरो ट्रस्ट के लाभ
एक पहचान-आधारित ज़ीरो ट्रस्ट दृष्टिकोण के महत्वपूर्ण कार्यान्वयन, प्रबंधन और सुरक्षा लाभ हैं।
- सरल और लागू करने में आसान: नेटवर्क-आधारित जीरो ट्रस्ट के विपरीत, कोई बुनियादी ढांचा परिवर्तन और संबद्ध डाउनटाइम की आवश्यकता नहीं है। क्षेत्र में कुछ भी हटाने और बदलने की आवश्यकता नहीं है।
- उच्च ग्रैन्युलैरिटी: उपयोगकर्ता पर ध्यान केंद्रित करना और नेटवर्क सेगमेंट नहीं यह सुनिश्चित करता है कि प्रत्येक संसाधन एक्सेस के लिए जोखिम विश्लेषण किया जाता है, नेटवर्क-आधारित दृष्टिकोण के विपरीत जो केवल सेगमेंट गेटवे पर इस जांच को लागू कर सकता है और वास्तविक संसाधनों में कोई अंतर्दृष्टि नहीं है खंड ही।
- विसंगतियों और खतरों का पता लगाने की बेहतर क्षमता: वैध उपयोगकर्ताओं की तुलना में कॉर्पोरेट वातावरण के भीतर एक हमलावर का आंदोलन विषम है। प्रत्येक संसाधन पहुंच पर सुरक्षा जांच करने से छिपी हुई दुर्भावनापूर्ण गतिविधि की खोज की संभावना बढ़ जाती है।
यह महत्वपूर्ण है कि सुरक्षा प्रमुख रीयल-टाइम में प्रत्येक एक्सेस प्रयास पर निगरानी, विश्लेषण और एक्सेस नीति लागू करने में सक्षम हों: प्रत्येक उपयोगकर्ता, प्रत्येक संसाधन और प्रत्येक एक्सेस इंटरफ़ेस के लिए। यह एक बुनियादी आवश्यकता है, जिसके बिना संगठनों को केवल आंशिक सुरक्षा प्राप्त होती है और जीरो ट्रस्ट मॉडल का मूल्य शून्य हो जाता है। इस कारण से, संगठनों को एक एकीकृत पहचान सुरक्षा मंच लागू करने पर विचार करना चाहिए।
यूनिफाइड आइडेंटिटी प्रोटेक्शन: आइडेंटिटी-बेस्ड जीरो ट्रस्ट इन प्रैक्टिस
यूनिफाइड आइडेंटिटी प्रोटेक्शन को विशेष रूप से पहचान-आधारित हमलों से बचाने के लिए डिज़ाइन किया गया है जो कॉर्पोरेट संसाधनों तक पहुँचने के लिए समझौता किए गए उपयोगकर्ता क्रेडेंशियल्स का उपयोग करते हैं। यह कंपनियों को आधुनिक कॉर्पोरेट वातावरण में पहचान-आधारित जीरो ट्रस्ट आर्किटेक्चर को पूरी तरह से लागू करने की अनुमति देता है।
यूनिफाइड आइडेंटिटी प्रोटेक्शन पहचान-आधारित हमलों को कम करने के लिए एंटरप्राइज़ नेटवर्क और क्लाउड वातावरण में सुरक्षा नियंत्रण को समेकित करता है। एजेंट रहित और प्रॉक्सीलेस तकनीक का उपयोग करते हुए, एक एकीकृत पहचान सुरक्षा समाधान किसी भी मौजूदा IAM समाधान (जैसे AD, ADFS, RADIUS, Azure AD, Okta, Ping Identity, AWS IAM, आदि) के साथ मूल रूप से एकीकृत और विस्तारित होता है। पहले संरक्षित नहीं किया जा सकता था, जिसमें घरेलू और विरासती अनुप्रयोग, IT अवसंरचना, फ़ाइल सिस्टम, कमांड-लाइन उपकरण, मशीन-से-मशीन पहुँच, और बहुत कुछ शामिल हैं। समाधान लगातार क्लाउड और ऑन-प्रिमाइसेस वातावरण दोनों में सभी उपयोगकर्ता और सेवा खाते की पहुंच की निगरानी करता है, एआई-आधारित इंजन का उपयोग करके वास्तविक समय में जोखिमों का विश्लेषण करता है, और अनुकूली प्रमाणीकरण और पहुंच नीतियों को लागू करता है।
परिष्कृत हमलों की बाढ़ के साथ, कॉर्पोरेट सुरक्षा सुनिश्चित करने के लिए अकेले पारंपरिक सुरक्षा दृष्टिकोण अब पर्याप्त नहीं हैं। यह माना जा सकता है कि हमलावर पहले से ही नेटवर्क पर किसी का ध्यान नहीं है। एक पूर्ण ज़ीरो ट्रस्ट दृष्टिकोण जिसमें पहचान परत शामिल है, मूल्यवान डेटा और संपत्ति की सुरक्षा के लिए बचाव को काफी मजबूत कर सकता है।
Silverfort.com पर अधिक
सिल्वरफोर्ट के बारे में सिल्वरफोर्ट पहला एकीकृत पहचान सुरक्षा मंच प्रदान करता है जो पहचान-आधारित हमलों को कम करने के लिए एंटरप्राइज़ नेटवर्क और क्लाउड वातावरण में आईएएम सुरक्षा नियंत्रण को समेकित करता है। अभिनव एजेंट रहित और प्रॉक्सीलेस तकनीक का उपयोग करते हुए, सिल्वरफोर्ट सभी IAM समाधानों के साथ समेकित रूप से एकीकृत होता है, उनके जोखिम विश्लेषण और सुरक्षा नियंत्रणों को एकीकृत करता है और अपने कवरेज को उन संपत्तियों तक बढ़ाता है जिन्हें पहले संरक्षित नहीं किया जा सकता था, जैसे कि घरेलू और विरासत अनुप्रयोग, आईटी अवसंरचना, फाइल सिस्टम, कमांड लाइन उपकरण, मशीन-से-मशीन पहुंच और बहुत कुछ।