ZTNA چیست؟ (Zero Trust Network Access)

ZTNA یا «دسترسی شبکه‌ای مبتنی بر اعتماد صفر» یک مدل امنیتی بسیار پیشرفته و پرکاربرد است که محدودیت‌های سنتی امنیت شبکه را کنار می‌زند. مدل‌های قدیمی امنیت شبکه بر این مبنا طراحی شده بودند که تهدیدها خارج از شبکه سازمانی هستند، اما این مدل بر این اصل مبتنی است که تهدیدها می‌توانند از هر جایی، حتی از درون خود سازمان ظهور کنند. بنابراین، ZTNA بیشترین حد امنیت سایبری را برای سازمان‌ها فراهم می‌آورد. اگر برای شما نیز سوال است که اجزای این رویکرد چگونه است، چه مزایایی دارد و کاربرد آن چست، با ادامه این مطلب همراه ما باشید. 

ZTNA چیست؟

ZTNA یک دیوار نامرئی است که میان کاربران احرازهویت ‌شده و دستگاه‌های قابل‌اعتماد و موارد تهدیدکننده امنیت شبکه قرار دارد. در این سیستم کاربران تنها پس از احراز هویت اولیه، به شبکه متصل می‌شوند و بسته به سیاست‌گذاری‌های سازمان دسترسی به ‌صورت کاملاً محدود و موردی فراهم می‌گردد. 

علاوه بر این، در این پروتکل کاربران تنها قادر به مشاهده و استفاده از اپلیکیشن‌ها و داده‌هایی هستند که به آن‌ها مجوز دسترسی داده شده است، بدون اینکه از وجود سایر منابع شبکه اطلاعی داشته باشند. به همین دلیل، این مدل باعث می‌شود که حتی در صورت نفوذ یک مهاجم، امکان فعالیت مشکوک در شبکه از بین برود. 

Zero Trust Security یا ZTS چیست؟

ZTS یا امنیت مبتنی بر اعتماد صفر، یک رویکرد نوین و تحول‌آفرین در امنیت سایبری است که بر اصل بنیادین «هیچ‌چیز و هیچ‌کس قابل‌اعتماد نیست، مگر خلاف آن ثابت شود» استوار شده است. این مدل هرگونه درخواست دسترسی را به ‌عنوان یک «تهدید بالقوه» تلقی می‌کند. در این چارچوب، دسترسی به منابع سازمانی صرفاً بر اساس احراز هویت مستمر، حداقل سطح دسترسی و ارزیابی پیوسته سطح ریسک ارائه می‌شود. 

در واقع این سیستم یک فلسفه امنیتی جامع است که در تمامی لایه‌های شبکه، اپلیکیشن‌ها و داده‌های سازمانی اعمال می‌شود. این مدل به‌جای اتکا به دفاع‌های محیطی مانند فایروال‌ها و VPNها، بر اصولی مانند احراز هویت چندعاملی (MFA)، پنهان‌سازی منابع، بخش‌بندی شبکه و نظارت مداوم تکیه دارد. 

تفاوت ZTS و ZTNA 

ZTS و ZTNA هر دو یک فلسفه امنیتی مشترک دارند، اما تفاوت‌های کلیدی در دامنه، نحوه اجرا و سطح پوشش این دو مدل را از هم متمایز می‌کند. به ‌طور کلی مهم‌ترین تفاوت‌های این دو رویکرد عبارت‌اند از:

محدوده و دامنه کاربرد 

 Zero Trust Security یک چارچوب کلی امنیتی است که تمامی جنبه‌های امنیت اطلاعات، از جمله شبکه و اپلیکیشن‌ها تا داده‌ها، هویت کاربران و دستگاه‌ها را شامل می‌شود. اما دسترسی شبکه‌ای مبتنی بر اعتماد صفر یکی از زیرمجموعه‌های عملیاتی ZTS است که به طور خاص بر کنترل و مدیریت دسترسی کاربران به منابع شبکه‌ای تمرکز دارد. 

سطح دسترسی و کنترل 

 Zero Trust Security از یک دیدگاه جامع‌تر استفاده می‌کند و تمامی لایه‌های امنیتی سازمان را پوشش می‌دهد. در مقابل دسترسی شبکه‌ای مبتنی بر اعتماد صفر تنها مسئول کنترل دسترسی به شبکه و منابع متصل به آن است. 

پیاده‌سازی و اجرا 

 Zero Trust Security نیازمند ترکیب چندین فناوری مانند ZTNA، احراز هویت چندعاملی، مدیریت هویت و دسترسی (IAM)، رمزگذاری داده‌ها، و بخش‌بندی شبکه است. اما ZTNA، یک راه‌حل فنی و اجرایی است که مستقیماً در حوزه مدیریت دسترسی از راه دور و امنیت شبکه عمل می‌کند و معمولاً به‌عنوان یک سرویس مستقل پیاده‌سازی می‌شود. 

ZTNA چگونه کار می‌کند؟

به‌ طور کلی گام‌های اصلی اجرای این مدل در سیستم امنیت شبکه به صورت زیر است:

مرحله اول: احراز هویت و تأیید هویت کاربران و دستگاه‌ها 

این مدل ابتدا کاربران و دستگاه‌ها را احراز هویت می‌کند. این کار ممکن است از طریق احراز هویت چندعاملی و تک عاملی و یا مدیریت هویت و دسترسی انجام شود. دستگاه‌هایی که به شبکه متصل می‌شوند نیز بررسی شده و بر اساس وضعیت امنیتی آنها (مانند به‌روزرسانی‌های امنیتی، آنتی‌ویروس و سطح ریسک) تأیید یا رد می‌شوند. 

مرحله دوم: ایجاد یک تونل امن و رمزگذاری‌شده 

در گام بعدی ZTNA یک تونل رمزگذاری‌شده بین کاربر و اپلیکیشن ایجاد می‌کند. در این روش، IPهای داخلی و ساختار شبکه برای کاربران غیرمجاز کاملاً نامرئی باقی می‌مانند و تنها کاربران احراز هویت ‌شده امکان برقراری ارتباط دارند. 

مرحله سوم: کنترل دسترسی بر اساس اصل حداقل دسترسی 

 در این مرحله کاربران فقط به اپلیکیشن‌ها و داده‌هایی که نیاز دارند، دسترسی خواهند داشت. این سطح از کنترل به ‌صورت دینامیک و بر اساس سیاست‌های امنیتی سازمان تنظیم می‌شود. دسترسی‌ها معمولاً به عواملی مانند مکان جغرافیایی، نوع دستگاه، زمان درخواست و میزان حساسیت داده‌ها بستگی دارند.

مرحله چهارم: ارزیابی پیوسته سطح ریسک 

 پس از برقراری اتصال، ZTNA به صورت مداوم رفتار کاربران، ترافیک داده‌ها و درخواست‌های دسترسی را تحلیل می‌کند. در صورت مشاهده فعالیت‌های مشکوک، دسترسی به صورت خودکار قطع شده یا احراز هویت مجددا باید انجام شود.

مرحله پنجم: پنهان‌سازی منابع شبکه

 از آنجا که در دسترسی شبکه‌ای مبتنی بر اعتماد صفر، آدرس‌های IP و سرورهای داخلی سازمان برای کاربران غیرمجاز و مهاجمان نامرئی هستند، حتی در صورت تلاش یک مهاجم برای شناسایی منابع، هیچ اطلاعاتی در دسترس او قرار نمی‌گیرد. 

مرحله ششم: استفاده از اتصالات خروجی 

 این مدل امنیت سایبری تنها متکی به مدیریت ترافیک ورودی و خروجی نیست؛ بلکه از اتصالات خروجی (Outbound-Only Connections) هم استفاده می‌کند. این اقدام باعث افزایش امنیت و کاهش سطح حمله می‌شود. 

مرحله آخر: ادغام با راهکارهای امنیتی دیگر 

 ZTNA معمولاً با سیستم‌های SASE (Secure Access Service Edge)،CASB (CloudAccess Security Broker) و DLP (Data Loss Prevention) ترکیب می‌شود تا یک ‌لایه امنیتی جامع و یکپارچه برای سازمان ایجاد کند. همچنین بسیاری از ZTNAهای ابری با سرویس‌های ابری مانند AWS، Azure و Google Cloud یکپارچه می‌شوند. 

ZTNA و تفاوت آن با VPN در نحوه کارکرد 

ZTNA برخلاف VPN که کاربران را به صورت کلی به شبکه متصل می‌کند، تنها به اپلیکیشن‌های خاص و موردنیاز دسترسی می‌دهد. این مورد باعث تفاوت‌های کلیدی این دو مدل می‌شود که در ادامه توضیح می‌دهیم.

• در این مدل امنیت سایبری، حفاظت از شبکه به ‌طور چشمگیری افزایش می‌یابد. 
• ریسک حملات سایبری کاهش می‌یابد.
• عملکرد سیستم بهینه‌ می‌شود.
• پهنای باند کمتری مصرف می‌شود. 

کاربردهای اصلی ZTNA

ZTNA به دلیل امتیازاتی که در اختیار کاربران قرار می‌دهد در حال حاضر یکی از پراستفاده‌ترین مدل‌های امنیت شبکه محسوب می‌شود. در ادامه، مهم‌ترین کاربردهای این مدل را بررسی می‌کنیم:

• این مدل با کنترل کاربران خارجی، دسترسی دقیق و محدود به اپلیکیشن‌های خاص بدون افشای کل شبکه، تهدیدات موجود را کاهش داده و امنیت را افزایش می‌دهد.
• این پروتکل با رمزگذاری اتصالات، تأمین امنیت انتقال داده بین سرویس‌های ابری مختلف و ارائه کنترل دسترسی پویا، امنیت را در این مدل‌ها بهبود می‌بخشد.
• در بسیاری از سازمان‌ها، کارکنان از لپ‌تاپ‌ها و موبایل‌های شخصی برای انجام کارهای خود استفاده می‌کنند؛ این مدل امنیت سایبری با ارزیابی وضعیت امنیتی این دستگاه‌ها و جلوگیری از اتصال دستگاه‌های ناامن به منابع سازمانی، امنیت را افزایش می‌دهد.
• ZTNA به‌عنوان یکی از مؤلفه‌های کلیدی SASE عمل می‌کند و می‌تواند با سایر فناوری‌های امنیتی مانند CASB (Cloud Access Security Broker)، SWG (Secure Web Gateway) و DLP (Data Loss Prevention) ترکیب شود. 

• این مدل امنیت شبکه باعث می‌شود که حتی در صورت نفوذ یک مهاجم، او نتواند آزادانه در شبکه حرکت کند. همچنین به افزایش سرعت، کاهش تأخیر و بهبود عملکرد شبکه کمک می‌کند.
• ZTNA مبتنی بر اَبر (Cloud-Based ZTNA) مقیاس‌پذیری بالاتری دارد و هزینه‌های زیرساختی سازمان را کاهش می‌دهد.

 تفاوت‌های کلیدی بین ZTNA و VPN 

اگرچه هر دو مدل برای حفظ امنیت شبکه به کار می‌روند؛ اما تفاوت‌های قابل‌توجهی دارند که این دو پروتکل را از هم متمایز کرده و مزایا و معایب آنها را پررنگ‌ می‌سازد. به ‌طور کلی تفاوت‌های کلیدی این دو مدل عبارت‌اند از:

• این مدل اصل حداقل دسترسی را اجرا کرده و منابع را برای کاربران غیرمجاز پنهان می‌کند، در حالی که VPN پس از احراز هویت اولیه، دسترسی کامل به شبکه داخلی را فراهم می‌کند. 
• ZTNA دسترسی‌ها را دائماً ارزیابی کرده و احراز هویت را در هر مرحله بررسی می‌کند، اما VPN پس از ورود اولیه، هیچ گونه بررسی مداوم دیگری انجام نمی‌دهد. 
• ZTNA ارتباط را از طریق تونل‌های رمزگذاری‌شده و بر اساس نیاز واقعی کاربر برقرار می‌کند، در حالی که VPN یک تونل رمزگذاری‌شده به کل شبکه سازمان ایجاد می‌کند.
• دسترسی شبکه‌ای مبتنی بر اعتماد صفر از احراز هویت چندعاملی (MFA) و بررسی وضعیت امنیتی دستگاه استفاده می‌کند، اما VPN معمولاً فقط احراز هویت اولیه را انجام داده و وضعیت دستگاه را بررسی نمی‌کند. 
• ZTNA برای محیط‌های ابری و SaaS بهینه‌سازی شده و تأخیر کمتری دارد، در حالی که VPN باعث افزایش تأخیر و کاهش سرعت اینترنت می‌شود. 
• دسترسی شبکه‌ای مبتنی بر اعتماد صفر مقیاس‌پذیر بوده و به صورت ابری قابل پیاده‌سازی است، اما VPN مدیریت سخت‌افزاری پیچیده‌ای دارد و با افزایش کاربران، عملکرد آن کاهش می‌یابد. 
• این مدل امنیت سایبری با محدود کردن دسترسی کاربران و پنهان‌سازی منابع، احتمال حملات سایبری را کاهش می‌دهد، در حالی ‌که VPN در برابر فیشینگ، بدافزارها و حملات DDoS آسیب‌پذیرتر است. 
• دسترسی شبکه‌ای مبتنی بر اعتماد صفر مدلی مدرن‌تر، امن‌تر و کارآمدتر از VPN است که با ارائه امنیت پویا، کنترل دقیق دسترسی و بهینه‌سازی عملکرد، به گزینه‌ای برتر برای سازمان‌های آینده‌نگر تبدیل شده است.

در همین باره بخوانید: کنترل دسترسی nac چیست؟

مراحل اجرای ZTNA

سازمان‌ها برای پیاده‌سازی اجرای ZTNA باید یک رویکرد مرحله‌ای را دنبال کنند که به شرح زیر است:

انتخاب مدل پیاده‌سازی

 این مدل امنیت سایبری می‌تواند به صورت Agent-Based (نیازمند نصب نرم‌افزار روی دستگاه کاربران، مناسب برای کنترل دقیق امنیتی) یا Service-Based (بدون نیاز به نصب نرم‌افزار، مناسب برای مدل‌های BYOD و دستگاه‌های غیرمدیریتی) اجرا شود.

آماده‌سازی زیرساخت امنیتی

در مرحله بعد بررسی سیستم‌های مدیریت هویت و دسترسی (IAM)، احراز هویت چندعاملی (MFA) و مدیریت نقاط پایانی (UEM) و یکپارچه‌سازی آن‌ها با ZTNA متناسب با محیط سازمان (ابری، ترکیبی یا داخلی) انجام می‌گردد.

تعریف سیاست‌های دسترسی

سپس تعیین سطح دسترسی بر اساس نقش کاربران، نوع دستگاه، موقعیت مکانی و ریسک امنیتی، فعال‌سازی MFA، استفاده از دسترسی زمانی محدود برای کاربران موقت، و تحلیل رفتار کاربران برای شناسایی تهدیدات انجام می‌شود.

ادغام با سایر راهکارهای امنیتی

در مرحله بعد بین ZTNA با SASE (افزایش امنیت و بهینه‌سازی عملکرد شبکه)، CASB (مدیریت دسترسی به سرویس‌های ابری)، DLP (جلوگیری از نشت اطلاعات)، و IdP/SSO (بهبود فرایند احراز هویت) هماهنگی انجام می‌شود.

پیاده‌سازی مرحله‌ای و تست امنیتی

در این مرحله شناسایی اپلیکیشن‌های کم‌اهمیت، انجام تست‌های نفوذ برای شناسایی نقاط ضعف و برقراری سیستم‌های نظارتی برای کنترل رفتار کاربران انجام می‌شود.

نظارت و بهینه‌سازی مداوم

در پایان اجرای این مدل، تحلیل دائمی ترافیک و درخواست‌های دسترسی، شناسایی و مسدودسازی رفتارهای مشکوک، به‌روزرسانی سیاست‌های امنیتی بر اساس تهدیدات جدید، و حذف دسترسی‌های غیرضروری به صورت دوره‌ای انجام می‌گیرد.

بعد از حمله فیشینگ چه کنیم؟

تفاوت ZTNA اِیجِنت‌محور و ZTNA سرویس‌محور

 در مدل ZTNA اِیجِنت‌محور یا امنیت مبتنی بر دستگاه، یک نرم‌افزار عامل روی دستگاه کاربران نصب می‌شود که وضعیت امنیتی دستگاه را بررسی کرده و سپس اجازه دسترسی به منابع سازمانی را صادر می‌کند. این روش برای سازمان‌هایی که نیاز به کنترل دقیق روی دستگاه‌های کاربران دارند، گزینه‌ای مناسب محسوب می‌شود، اما ممکن است در محیط‌هایی که از سیاست BYOD (استفاده از دستگاه‌های شخصی) پیروی می‌کنند، چالش‌برانگیز باشد. 

در ZTNA سرویس‌محور یا امنیت مبتنی بر شبکه ابری، نیازی به نصب نرم‌افزار روی دستگاه کاربران نیست و مدل از طریق یک واسطه ابری، دسترسی کاربران به منابع سازمانی را مدیریت می‌کند. این مدل پیاده‌سازی آسان‌تری دارد و برای سازمان‌هایی که از زیرساخت‌های ابری و مدل کاری راه دور استفاده می‌کنند، گزینه‌ای مناسب به شمار می‌رود، اما به دلیل نبود کنترل مستقیم روی دستگاه کاربران، از نظر ارزیابی امنیتی محدودیت‌هایی دارد. 

برای آشنایی با اصول امنیت شبکه بخوانید.

تفاوت ZTNA و ZTAA

ZTNA و ZTAA هر دو بر اساس مدل امنیت اعتماد صفر طراحی شده‌اند؛ اما در نحوه کنترل دسترسی تفاوت دارند. دسترسی شبکه‌ای مبتنی بر اعتماد صفر دسترسی کاربران را در سطح شبکه مدیریت می‌کند و تنها اجازه ورود به منابع مشخصی را می‌دهد، در حالی‌ که ZTAA بر کنترل دسترسی به اپلیکیشن‌های خاص تمرکز دارد.

 ZTNA از احراز هویت چندعاملی (MFA) و بررسی وضعیت امنیتی دستگاه استفاده می‌کند و برای سازمان‌هایی که نیاز به مدیریت زیرساخت‌های داخلی دارند، مناسب‌تر است. در مقابل، ZTAA نیازی به اتصال کاربران به شبکه داخلی ندارد و با سرویس‌های ابری و SaaS ادغام می‌شود که آن را برای کسب‌وکارهای مبتنی بر اپلیکیشن‌های ابری ایده‌آل می‌سازد. 

انتخاب بین ZTNA و ZTAA به مدل امنیتی سازمان بستگی دارد. اگر یک شرکت نیاز به کنترل دقیق دسترسی در سطح شبکه و مدیریت سرورها و پایگاه‌های داده دارد، دسترسی شبکه‌ای مبتنی بر اعتماد صفر گزینه مناسب‌تری است. اما اگر سازمانی به دنبال رویکردی متمرکز بر اپلیکیشن‌های ابری و SaaS باشد، ZTAA انعطاف‌پذیری و امنیت بیشتری را فراهم می‌کند.

جمع‌بندی

در این مقاله توضیح دادیم که ZTNA یک مدل امنیتی پیشرفته است که بر اساس اصل «هرگز اعتماد نکن، همیشه راستی‌آزمایی کن» طراحی شده و جایگزین روش‌های سنتی مانند VPN شده است. این رویکرد به ‌جای ارائه دسترسی گسترده به شبکه، کاربران را تنها به اپلیکیشن‌ها و منابع خاص موردنیازشان متصل می‌کند و سایر بخش‌های شبکه را برای آن‌ها مخفی نگه می‌دارد. 

همچنین در این مطلب توضیح دادیم که دسترسی شبکه‌ای مبتنی بر اعتماد صفر با احراز هویت مداوم، رمزگذاری ارتباطات و اعمال سیاست‌های دسترسی حداقلی، سطح حملات سایبری را کاهش و امنیت سازمان را در برابر تهدیدات داخلی و خارجی افزایش می‌دهد. نظر شما در خصوص این مدل چیست؟ کدام مدل امنیت شبکه را ترجیح می‌دهید؟ لظفا نظرات و پیشنهادات خود را در بخش دیدگاه با ما در میان بگذارید.

سوالات متداول