رویکرد مایکروسافت به Zero Trust

در سال‌های اخیر مجرمان سایبری بدون فعالیت نبوده‌اند و حملات گسترده‌ای به زیرساخت‌های دنیا اجرا کرده‌اند. حملات گسترده‌ای مانند Nobelium و Hanfnium همراه با حملات باج‌افزار به زیرساخت‌ها نشان دهنده پیشرفته‌تر شدن و هماهنگ‌تر شدن حملات است.

پرواضح است که همکاری بخش‌های IT و Cybersecurity برای جلوگیری از این حملات الزام آور است. مایکروسافت به اطلاعات تهدیدات امنیتی سایبری و حملات گسترده جهانی دسترسی دارد و این اطلاعات را از طریق اینترنت منتشر کرده است. همکاری مایکروسافت با مقامات دولتی منجر به ایجاد US Cybersecurity Executive Order یا EO شده است. EO اقدام‌های بخصوصی برای تقویت بخش امنیت سایبری مشخص کرده است و تهدیدات پیچیده را در کل اکوسیستم دیجیتال درنظر گرفته است.

۱. نقش حیاتی Zero Trust در امنیت سایبری دنیا

مشاهدات به وضوح نشان می‌دهند که روش‌های امنیتی قدیمی نقشی در چالش‌های سایبری امروزی ندارند. کارمندان دورکار مرتبا مکانشان را تغییر می‌دهند. همچنین از چندین وسیله مانند لپ‌تاپ، کامپیوتر رومیزی و موبایل برای انجام دادن وظایف کاری استفاده می‌کنند و به همین خاطر همکاری‌ها خارج و داخل محدوده شرکت افزایش پیدا کرده است. تحلیل اجرای حملات از نظر داده ها، زیرساخت، برنامه کاربردی، شبکه، تجهیزات و هویت های خارج از محدوده سازمان در طرح‌های قدیمی امنیتی در نظر گرفته نشده‌اند.

در فصل سوم EO یا decisive steps مقامات دولتی را ملزم به مدرن کردن راه‌حل‌های سایبری می‌کند. این عملیات را با افزایش انتقال اطلاعات به سیستم‌های ابری و پیاده‌سازی Zero Trust مانند پیاده‌سازی چند مرحله‌ای احرازهویت و رمزنگاری نقطه به نقطه اطلاعات، اجرا می‌کند. استراتژی Zero Trust به عنوان بهترین راهکار سایبری شناخته می‌شود.

پیش از فصل سوم استاندارد‌ها و راهنمای Zero Trust است که توسط NIST توسعه داده شده است و با صنایع دیگر و نوآوری علمی برابری می‌کند. برای خواندن جزئیات بیشتر در مورد این فصل می‌توانید به مقاله‌ای با عنوان مشابه که در باگدشت منتشر یافته است مراجعه کنید.

۲. پیاده‌سازی Zero Trust با اپلیکیشن‌های پلتفرم Microsoft identity

پلتفرم Microsoft identity برای یکپارچگی سیستم با Zero Trust به توسعه دهندگان پیشنهاد شده است. این پلتفرم استاندارهای صنعتی را رعایت می‌کند که شامل:

  • از یک پرتال برای رجیستر نمودن همه برنامه های کاربردی استفاده شود.
  • دارا بودن کتابخانه‌های احراز هویت مایکروسافت برای ساختن اپلیکیشن‌های وب، موبایل و دسکتاپ با فریم‌ورک و زبان برنامه نویسی دلخواه.
  • یک اکانت برای احراز هویت یکپارچه در Microsoft identity که با کتابخانه‌های خارجی سازگاری دارد.
  • دسترسی امن به API‌ها از طریق Microsoft Graph تا Microsoft Azure و یا APIهای شخصی.

پلتفرم احراز هویت مایکروسافت به توسعه دهنگان امکان اجرای فرایندهای احراز هویت را در تمامی پلتفرم های محل کار، مدرسه و خانه و یا حساب شخصی را می‌دهد. همچنین امکان استفاده از فرایند‌های احراز هویت شرکت‌های دیگر مانند حساب‌های کاربری شبکه‌های اجتماعی(فیس‌بوک و گوگل) و ثبت نام با ایمیل در Microsoft identity امکان‌پذیر است.

۳. پیاده‌سازی Zero Trust توسط بخش IT

پیاده‌سازی Zero Trust هنوز در حال تغییر است و هر سازمان روش متفاوتی برای پیاده‌سازی آن انتخاب می‌کند. ولی نقطه شروع منطقی می‌تواند پلتفرم Microsoft identity باشد. بعضی از سیاست‌هایی که سازمان‌ها باید برای پیاده‌سازی Zero Trust در اهمیت بالاتری قرار دهند شامل موارد زیر است:

  • سازمان‌ها موافقت کاربر را برای انتشار تاییدیه‌ها در اپلیکیشن‌ها باریسک کمتری محدود می‌کنند. قبل از اینکه به سازمان یا مشتری تاییدیه داده شود، دسترسی‌ها توسط مدیران سیستم ارزیابی شوند.
  • سازمان‌ها سیاست‌های محرمانگی و دوره‌ای را برای سرویس‌ها و اپلیکیشن‌ها تنظیم کنند. اگر محرمانگی یکی از اپلیکیشن‌ها از بین رفت، مهاجم توکن کاربر را دراختیار می‌گیرد و به عنوان کاربر به سیستم وارد می‌شود و به اطلاعات حساس دسترسی پیدا می‌کند. همچنین با انجام عملیات‌های بعدی دسترسی خود به حساب‌کاربری را همیشگی می‌کند.
  • سازمان‌ها فرایند احراز هویت مقاوم را پیاده‌سازی کنند. مدیران IT انتظار دارند که بتوانند سیستم احرازهویت چند مرحله‌ای و تجهیزات بی‌نیاز به رمزعبور را تنظیم کنند.
  • سازمان‌ها پروتکل‌ها وAPI‌های قدیمی را محدود کنند. این موارد شامل جلوگیری از فرایند احرازهویت قدیمی مانند ٬Basic authentication٬ است و جایگزینی پروتکل‌های مدرن مانند Open ID Connect و OAuth2 میباشد. مایکروسافت پایان Azure AD Graph و کتابخانه ADAL auth در ژون ۲۰۲۲ اعلام کرده است. سازمان‌ها باید اپلیکیشن‌های خود را برای این تغییر آماده کنند.

۴. بهترین روش توسعه با Zero Trust

4.1. استفاده ازکتابخانه‌هایاستاندارداحرازهویت

استفاده از کتابخانه‌ها در مرحله توسعه زمان زیادی از توسعه دهنده را ذخیره می‌کند و توسعه دهنده می‌تواند تمرکز خود را برروی قسمت‌های دیگر محصول بگذارد. همچنین برای مقابله با تهدیدات باید از جدیدترین کتابخانه استفاده کرد.

۴.۲. اطلاعات محرمانه درکدهای برنامه وجودنداشته باشد

با انجام این کار مدیران سیستم بدون اینکه اپلیکیشن را دوباره دپلوی کنند، تغییر اطلاعات محرمانه را انجام دهند. برای انجام این کار می‌تواند از Azure Key Vault یا Azure Managed Identities استفاده کرد.

۴.۳. طراحی برای حداقل سطح دسترسی باشد

این کلید پیاده‌سازی Zero Trust است. این ویژگی فقط منابع و دسترسی‌هایی را با توجه به سطح کاربر در اختیارش می‌گذارد. برای مثال، incremental consent برای دادن دسترسی‌های بیشتر در زمانی که مورد نیاز است، استفاده می‌شود و همچنین می‌توان از Microsoft Graph استفاده کرد. با استفاده از Graph Explorer می‌توان API را فراخوانی کرد و سطح دسترسی مورد نیاز بررسی شود. در این محصولات سطح دسترسی از کمترین به بیشترین دسته بندی شده‌اند. انتخاب کمترین سطح دسترسی، احتمال نرم‌افزار را به آسیب‌پذیری کاهش می‌دهد.

۴.۴. پشتیبانی ازCAE(Continuous Access Evaluation)

این ویژگی بهMicrosoft Graph اجازه ابطال سریع نشست فعال در صورت اتفاق رویداد امنیتی را می‌دهد. برای مثال، زمانی که حساب کاربری پاک یا غیرفعال شود، MFA برای کاربر فعال است. مدیر صراحتاً توکن کاربر را باطل می‌کند و در غیر اینصورت حساب کاربری، کاربر در معرض تهدیدات قرار می‌گیرد. این روش انعطاف‌پذیر است و اپلیکشن بدون اینکه در هر ساعت به Azure Active Directory برای توکن جدید رجوع کند به کار خود ادامه می‌دهد.

۴.۵. تعریف نقش‌های برای تخصیص به کابران و گروه‌ها

تعریف نقشها به اپلیکیشن برای اجرای احرازهویت و امنیت براساس نقش یا سطح دسترسی کمک می‌کند. برای مثال، نقش و سطح دسترسی Administrator, Readers و Contributors به اپلیکیشن اجازه محدود کردن عملیات‌ها را بر روی داده‌های حساس برای گروه‌ها و کاربرها را تعیین کرد. استفاده از نقشها امکان استفاده از ویژگی‌های دیگری مانند PIM را امکان‌پذیر می‌کند. ویژگی PIM دسترسی زمانی محدود و محدودیت اجرای عملیات روی نقش‌های حساس می‌گذارد و احتمال رفتار مخرب و دسترسی به اطلاعات حساس را برای کاربر مهاجم کم می‌کند.

۴.۶. انتشار اپلیکیشن توسط مرجع معتبر

زمانی که اپلیکیشن توسط مرجع معتبر امضا می‌شود به معنی این است که منتشر کننده از حساب کاربری Microsoft Partner Network استفاده می‌کند و توسط محصول مایکروسافت احرازهویت شده است.

منبع:

در صورت تمایل به اشتراگ بگذارید