การเข้าถึงเครือข่ายแบบ Zero Trust (Zero Trust Network Access - ZTNA) คือสถาปัตยกรรมด้านความปลอดภัยและชุดหลักการที่ออกแบบมาเพื่อให้การเข้าถึงทรัพยากรเครือข่ายอย่างปลอดภัย โดยไม่คำนึงถึงตำแหน่งที่ตั้งของผู้ใช้หรืออุปกรณ์ หลักการพื้นฐานของ ZTNA คือการใช้แนวทาง "ไม่เชื่อใจ, ต้องตรวจสอบเสมอ" ในการเข้าถึงเครือข่าย ซึ่งการขอเข้าถึงทุกครั้งจะต้องได้รับการตรวจสอบและยืนยันตัวตนก่อนที่จะอนุญาตให้เข้าถึง
ในสถาปัตยกรรมความปลอดภัยของเครือข่ายแบบดั้งเดิม เมื่ออุปกรณ์หรือผู้ใช้เข้าไปในเขตเครือข่ายแล้ว พวกเขามักจะได้รับความไว้วางใจในการเข้าถึงทรัพยากรที่ได้รับอนุญาตใช้งาน แต่ใน ZTNA การขอเข้าถึงทุกครั้งจะได้รับการตรวจสอบและยืนยันตัวตนไม่ว่าจะอยู่ภายในหรือภายนอกเขตเครือข่าย ซึ่งช่วยลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาตและช่วยป้องกันการโจมตีที่ใช้ช่องโหว่ของโครงสร้างเครือข่าย
ส่วนประกอบหลักของสถาปัตยกรรม ZTNA ได้แก่:
- การจัดการตัวตนและการเข้าถึง (Identity and Access Management): ผู้ใช้และอุปกรณ์ต้องได้รับการระบุและยืนยันตัวตนก่อนที่จะได้รับอนุญาตให้เข้าถึงทรัพยากรเครือข่าย ซึ่งมักจะใช้การยืนยันตัวตนหลายขั้นตอน (MFA) เพื่อยืนยันตัวตนของผู้ใช้หรืออุปกรณ์
- การแบ่งย่อยเครือข่าย (Micro-segmentation): ทรัพยากรเครือข่ายจะถูกแบ่งออกเป็น "ไมโครพีริมิตเตอร์" ขนาดเล็กและมีลอจิก ซึ่งสามารถปกป้องและควบคุมได้อย่างอิสระ ทำให้ยากขึ้นสำหรับผู้โจมตีที่จะเคลื่อนที่ไปยังทรัพยากรอื่นๆ เมื่อพวกเขาได้เข้าถึงทรัพยากรหนึ่งแล้ว
- การรักษาความปลอดภัยของขอบเครือข่ายและอุปกรณ์ปลายทาง (Network Perimeter and Endpoint Security): ใช้ไฟร์วอลล์และอุปกรณ์ความปลอดภัยอื่น ๆ ในการปกป้องขอบเครือข่ายและรักษาความปลอดภัยของอุปกรณ์ปลายทาง (เช่น แล็ปท็อป สมาร์ทโฟน และอุปกรณ์ IoT) จากการเข้าถึงที่ไม่ได้รับอนุญาตและซอฟต์แวร์ที่เป็นอันตราย
- ความปลอดภัยของคลาวด์ (Cloud Security): ทรัพยากรและบริการที่ใช้คลาวด์จะได้รับการรวมเข้ากับสถาปัตยกรรม ZTNA อย่างปลอดภัย
- นโยบายและการบังคับใช้ (Policies and Enforcement): ใช้นโยบายเพื่อกำหนดวิธีการเข้าถึงทรัพยากรเครือข่าย และกลไกการบังคับใช้เพื่อให้แน่ใจว่าการขอเข้าถึงเป็นไปตามนโยบายเหล่านี้
โดยรวมแล้ว เป้าหมายของ ZTNA คือการให้การเข้าถึงทรัพยากรเครือข่ายอย่างปลอดภัยในขณะที่ลดความเสี่ยงจากการเข้าถึงที่ไม่ได้รับอนุญาตและการโจมตี
Zero Trust Network Accessor (ZTNA) is a security architecture and set of principles that are designed to provide secure access to network resources, regardless of where the user or device is located. The basic idea behind ZTNA is to adopt a "never trust, always verify" approach to network access, in which every access request is verified and authenticated before granting access.
In a traditional network security architecture, once a device or user is inside the network perimeter, they are generally trusted to access any resources that they are authorized to use. With ZTNA, however, every access request is verified and authenticated, regardless of whether the device or user is inside or outside the network perimeter. This helps to reduce the risk of unauthorized access and helps to prevent attacks that exploit vulnerabilities in the network infrastructure.
There are several key components to a ZTNA architecture, including:
- Identity and access management: Users and devices must be identified and authenticated before being granted access to network resources. This typically involves the use of multi-factor authentication (MFA) to verify the identity of the user or device.
- Micro-segmentation: Network resources are segmented into small, logical "micro-perimeters" that can be protected and controlled independently. This makes it harder for attackers to move laterally through the network once they have gained access to one resource.
- Network perimeter and endpoint security: Firewalls and other security devices are used to protect the network perimeter and to secure endpoints (such as laptops, smartphones and IoT devices) from unauthorized access and malware.
- Cloud security: Cloud-based resources and services are securely integrated into the overall ZTNA architecture.
- Policies and enforcement: Policies are used to specify how network resources can be accessed, and enforcement mechanisms are used to ensure that access requests comply with these policies.
Overall, the goal of ZTNA is to provide secure access to network resources while minimizing the risk of unauthorized access and attacks.