การเข้าถึงเครือข่ายแบบ Zero Trust (ZTNA) คืออะไร

การเข้าถึงเครือข่ายแบบ Zero Trust (ZTNA) นั้นมีความสำคัญ เพราะสอดคล้องกับความต้องการที่เพิ่มขึ้นในการรักษาความปลอดภัยทางไซเบอร์ที่ปรับเปลี่ยนได้และยืดหยุ่นในที่ทำงานที่ทำงานที่มีการกระจายตัวและเน้นดิจิทัลเป็นหลักมากขึ้น

สาเหตุที่ระบบนี้กลายเป็นเฟรมเวิร์กสำคัญมีดังต่อไปนี้:

การป้องกันภัยคุกคามที่พัฒนาอยู่ตลอดเวลา แบบจำลองความปลอดภัยดั้งเดิมซึ่งให้สิทธิ์เข้าถึงเครือข่ายวงกว้างแก่ผู้ใช้ภายในนั้นไม่เพียงพอต่อการรับมือภัยคุกคามทางไซเบอร์อันซับซ้อนในปัจจุบัน โดยเฉพาะภัยคุกคามภายในหรือภัยคุกคามที่เกิดจากข้อมูลประจำตัวที่มีช่องโหว่ ZTNA จะถือว่าไม่มีเอนทิตีใดที่เชื่อถือได้โดยธรรมชาติ ซึ่งจำกัดเวกเตอร์การโจมตีที่อาจเกิดขึ้น

การสนับสนุนการทำงานจากระยะไกลและทรัพยากรบนระบบ Cloud การทำงานจากระยะไกลและการเริ่มนำระบบคลาวด์มาใช้ที่เพิ่มมากขึ้นทำให้ธุรกิจต้องเปลี่ยนจากเครือข่ายภายในองค์กรแบบดั้งเดิมไปใช้โครงสร้างพื้นฐานแบบไฮบริดหรือแบบระบบ Cloud เต็มรูปแบบ ZTNA ให้การเข้าถึงทรัพยากรที่ปลอดภัยจากทุกตำแหน่งที่ตั้ง โดยบังคับใช้นโยบายรักษาความปลอดภัยอย่างต่อเนื่องระหว่างสภาพแวดล้อมภายในองค์กรกับระบบคลาวด์

การบรรเทาการโจมตีแบบย้ายเครื่องไปเรื่อยๆ ในการโจมตีทางไซเบอร์ ในสถานการณ์ที่มีการเจาะระบบความปลอดภัย การเข้าถึงแบบแบ่งส่วนของ ZTNA จะช่วยป้องกันการโจมตีแบบย้ายเครื่องไปเรื่อยๆ ของผู้โจมตี ซึ่งช่วยจำกัดขอบเขตความเสียหายที่อาจเกิดขึ้น เนื่องจากจะมอบการเข้าถึงให้ตามที่จำเป็นเท่านั้น ทำให้ผู้โจมตีย้ายไปมาระหว่างระบบและเข้าถึงสินทรัพย์สำคัญได้ยากมากๆ

ZTNA มีประโยชน์มากมายสำหรับธุรกิจ ได้แก่:

ความปลอดภัยขั้นสูง รูปแบบการตรวจสอบข้อมูลประจำตัวและอุปกรณ์แบบต่อเนื่องของ ZTNA ช่วยลดความเสี่ยงในการเข้าถึงที่ไม่ได้รับอนุญาตและลดภัยคุกคามจากข้อมูลประจำตัวที่มีช่องโหว่ได้ ZTNA เสริมความแข็งแกร่งให้กับเสถียรภาพการรักษาความปลอดภัยโดยรวมและลดการเข้าถึงโดยไม่ได้รับอนุญาตให้เหลือน้อยที่สุดโดยตรวจสอบความพยายามในการเข้าถึงแต่ละครั้งโดยยึดตามปัจจัยต่างๆ เช่น ข้อมูลประจำตัว ตำแหน่งที่ตั้ง และสภาพการทำงานของอุปกรณ์

การควบคุมการเข้าถึงและการบังคับใช้นโยบายที่ได้รับการปรับปรุง ZTNA ช่วยให้องค์กรสามารถบังคับใช้นโยบายการเข้าถึงตามบทบาทในระดับแยกย่อยได้ ผู้ใช้จะได้รับสิทธิ์เข้าถึงแอปพลิเคชันหรือทรัพยากรตามที่จำเป็นเท่านั้น ซึ่งช่วยลดโอกาสในการเข้าถึงข้อมูลละเอียดอ่อนโดยไม่ได้ตั้งใจหรือโดยตั้งใจ และยังลดความซับซ้อนในการปฏิบัติตามข้อบังคับด้านการคุ้มครองข้อมูลและความเป็นส่วนตัวโดยรับรองว่าการเข้าถึงนั้นถูกจำกัดและได้รับการบันทึก

พื้นหน้าของการโจมตีที่ลดลง เนื่องจาก ZTNA จะไม่เปิดเผยเครือข่ายทั้งหมดให้กับผู้ใช้รายหนึ่งหรืออุปกรณ์เครื่องหนึ่ง จึงช่วยลดพื้นหน้าของการโจมตีได้อย่างมาก เฉพาะผู้ใช้และอุปกรณ์ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงทรัพยากรเฉพาะได้ และต้องเข้าถึงทรัพยากรนั้นผ่านการเชื่อมต่อที่ปลอดภัยและเข้ารหัสเท่านั้น ซึ่งช่วยลดความเสี่ยงในการรั่วไหลของข้อมูลหรือการเปิดเผยโดยไม่ได้รับอนุญาตได้

แบบจำลองความปลอดภัยดั้งเดิมนั้นใช้แนวคิดที่ว่าเครือข่ายภายใน"เชื่อถือได้"และเครือข่ายภายนอก"เชื่อถือไม่ได้" ซึ่งรักษาความปลอดภัยด้วยไฟร์วอลล์และ VPN ความแตกต่างสำคัญระหว่างการเข้าถึงเครือข่ายแบบ Zero Trust (ZTNA) และแบบจำลองดั้งเดิมนั้นประกอบด้วย:

ตามขอบเขตเทียบกับตามข้อมูลประจำตัว การรักษาความปลอดภัยแบบดั้งเดิมนั้นอาศัยการรักษาความปลอดภัยตามขอบเขตเครือข่าย โดยถือว่าผู้ใช้ภายในเครือข่ายนั้นเชื่อถือได้ ZTNA ถือว่าความพยายามในการเข้าถึงทุกครั้งอาจมีความเสี่ยง โดยไม่คำนึงถึงตำแหน่งที่ตั้ง ซึ่งจำเป็นต้องมีการตรวจสอบข้อมูลประจำตัวทุกครั้ง

ความน่าเชื่อถือโดยนัยเทียบกับโดยชัดแจ้ง ในแบบจำลองดั้งเดิม เมื่อผ่านการตรวจสอบแล้ว ผู้ใช้จะได้รับความไว้วางใจ และมักจะเคลื่อนย้ายการโจมตีภายในเครือข่ายโดยไม่มีข้อจำกัดมากนัก แต่ ZTNA จะใช้การแบ่งส่วนย่อยและสิทธิ์เข้าถึงเท่าที่จำเป็น เพื่อจำกัดการโจมตีแบบย้ายเครื่องไปเรื่อยๆ และลดความเสี่ยงที่เกี่ยวข้องกับข้อมูลประจำตัวที่มีช่องโหว่

การควบคุมการเข้าถึงแบบคงที่เทียบกับแบบไดนามิก โดยทั่วไปแล้ว แบบจำลองความปลอดภัยดั้งเดิมจะมีกฎแบบคงที่ ซึ่งมีความยืดหยุ่นน้อยกว่าและมักจะล้าสมัยในสภาพแวดล้อมปัจจุบัน ส่วน ZTNA จะใช้นโยบายแบบไดนามิกที่ปรับเปลี่ยนไปตามปัจจัยความเสี่ยง พฤติกรรมของผู้ใช้ และเบาะแสตามบริบทอื่นๆ

VPN เทียบกับการเข้าถึงโดยตรงที่ปลอดภัย รูปแบบการเชื่อมต่อเครือข่ายดั้งเดิมมักจะใช้ VPN สำหรับการเข้าถึงระยะไกล ซึ่งอาจก่อให้เกิดเวลาแฝงและปรับขนาดได้ยาก ส่วนโซลูชัน ZTNA นั้นให้การเข้าถึงแอปพลิเคชันโดยตรงที่ปลอดภัยโดยไม่ต้องกำหนดเส้นทางปริมาณการใช้งานทั้งหมดผ่าน VPN ซึ่งช่วยเพิ่มประสิทธิภาพและความสามารถในการปรับขนาด

การเข้าถึงเครือข่ายแบบ Zero Trust (ZTNA) เป็นส่วนหนึ่งของเฟรมเวิร์ก Security Service Edge และใช้เพื่อรักษาความปลอดภัยในการเข้าถึงทรัพยากรส่วนตัวที่สร้างขึ้นตามหลักการ Zero Trust ในสภาพแวดล้อม ZTNA นั้น ผู้ใช้ อุปกรณ์ และแอปพลิเคชันต้องพิสูจน์ความถูกต้องตามกฎเกณฑ์ทุกครั้งก่อนที่จะเข้าถึงทรัพยากร ไม่ว่าจะเข้าถึงจากตำแหน่งที่ตั้งภายในหรือภายนอกเครือข่ายก็ตาม กลไกการดำเนินงานที่สำคัญมีดังต่อไปนี้:

ระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร ZTNA จะเริ่มต้นด้วยการตรวจสอบข้อมูลประจำตัวที่เข้มงวด ผู้ใช้แต่ละรายหรืออุปกรณ์แต่ละเครื่องจะต้องรับรองความถูกต้องของข้อมูลประจำตัวของตน โดยมักจะต้องใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ก่อนที่จะเข้าถึงแอปพลิเคชันหรือทรัพยากรใดๆ วิธีนี้จะช่วยให้ระบุตัวตนและอนุญาตให้เข้าถึงได้เฉพาะผู้ใช้ที่ถูกต้องเท่านั้น

การแบ่งส่วนย่อย ZTNA จะแบ่งเครือข่ายออกเป็นส่วนย่อยที่แยกจากกัน แทนที่จะใช้ขอบเขตเครือข่ายเดียว โดยแต่ละส่วนจะประกอบด้วยทรัพยากรหรือแอปพลิเคชันเฉพาะ ซึ่งทำให้ผู้โจมตีเคลื่อนย้ายการโจมตีในเครือข่ายได้ยาก หากสามารถโจมตีส่วนใดส่วนหนึ่งได้

สิทธิ์เข้าถึงเท่าที่จำเป็น ผู้ใช้และอุปกรณ์จะได้รับสิทธิ์เข้าถึงเฉพาะแอปพลิเคชันหรือข้อมูลเฉพาะที่จำเป็นสำหรับบทบาทของตนเท่านั้น ซึ่งช่วยจำกัดความเสี่ยงที่อาจเกิดขึ้นได้ แนวทางสิทธิ์เท่าที่จำเป็นนี้ช่วยลดความเสี่ยงในการรั่วไหลของข้อมูลหรือการเข้าถึงที่ไม่ได้รับอนุญาตได้โดยจำกัดสิ่งที่บัญชีที่ถูกโจมตีสามารถเข้าถึงได้

สิทธิ์เข้าถึงระดับแอปพลิเคชัน ZTNA รองรับการเชื่อมต่อเฉพาะแอปพลิเคชัน แทนที่จะให้สิทธิ์เข้าถึงระดับเครือข่ายวงกว้าง ซึ่งหมายความว่าแม้อุปกรณ์จะได้รับสิทธิ์เข้าถึงแล้ว แต่จะสื่อสารได้กับแอปพลิเคชันหรือทรัพยากรเฉพาะที่ได้รับอนุญาตให้เข้าถึงเท่านั้น โดยช่วยลดพื้นหน้าของการโจมตีได้ เนื่องจากผู้ใช้และอุปกรณ์ไม่สามารถมองเห็นหรือเข้าถึงเครือข่ายทั้งหมดได้

การประเมินการเข้าถึงแบบต่อเนื่อง การประเมินพฤติกรรมผู้ใช้และลักษณะการทำงานของอุปกรณ์อย่างต่อเนื่องเป็นส่วนสำคัญของ ZTNA ซึ่งจะติดตามตรวจสอบรูปแบบกิจกรรมที่ผิดปกติ เสถียรภาพของอุปกรณ์ (เช่น มีการติดตั้งอัปเดตการรักษาความปลอดภัยหรือไม่) และการเปลี่ยนแปลงต่างๆ ในตำแหน่งที่ตั้ง หากตรวจพบสิ่งผิดปกติ สิทธิ์เข้าถึงอาจถูกเพิกถอนหรือจำเป็นต้องมีการรับรองความถูกต้องเพิ่มเติม

เครือข่ายแบบ Zero Trust ยังคงพัฒนาอย่างต่อเนื่องเพื่อจัดการกับความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามทางไซเบอร์สมัยใหม่และสภาพแวดล้อมการทำงานจากระยะไกล ในช่วงแรก ZTNA ได้แนะนำหลักการสำคัญของ Zero Trust โดยให้การเข้าถึงตามข้อมูลประจำตัวของผู้ใช้และเสถียรภาพของอุปกรณ์แทนการป้องกันขอบเขตเครือข่ายแบบดั้งเดิม แต่เนื่องจากภัยคุกคามทางไซเบอร์ได้พัฒนามากขึ้น จึงจำเป็นต้องมีแนวทางที่ครอบคลุมและปรับเปลี่ยนได้มากขึ้น ซึ่งนำไปสู่การพัฒนาความก้าวหน้าใน ZTNA ซึ่งประกอบด้วย:

การควบคุมการเข้าถึงแอปพลิเคชันโดยละเอียด ตอนนี้ ZTNA มีการควบคุมการเข้าถึงในระดับแอปพลิเคชันที่ละเอียดมากขึ้น ซึ่งก้าวข้ามการเข้าถึงผ่านเครือข่ายอย่างง่ายหรือ IP โดยรับประกันว่าผู้ใช้จะเข้าถึงเฉพาะแอปพลิเคชันและทรัพยากรเฉพาะที่จำเป็นเท่านั้น และภายในแอปพลิเคชันเหล่านั้น จะจำกัดผู้ใช้ให้เข้าถึงเฉพาะข้อมูลและการดำเนินการที่ตนได้รับอนุญาตให้ดำเนินการเท่านั้น

การประเมินความน่าเชื่อถืออย่างต่อเนื่อง โดยทั่วไปแล้ว ZTNA แบบดั้งเดิมนั้นอาศัยการประเมินความน่าเชื่อถือแบบครั้งเดียวเมื่อเริ่มต้นเซสชันหนึ่ง แต่ตอนนี้ ZTNA จะใช้โมเดลความน่าเชื่อถืออย่างต่อเนื่อง โดยประเมินลักษณะการทำงานของผู้ใช้และอุปกรณ์แบบไดนามิกตลอดเซสชัน การติดตามตรวจสอบอย่างต่อเนื่องช่วยตรวจหาและตอบสนองต่อสิ่งผิดปกติหรือพฤติกรรมที่มีความเสี่ยงได้ในเวลาจริง

การป้องกันภัยคุกคามแบบผสานรวมในตัว ตอนนี้ ZTNA จะผสานรวมความสามารถในการป้องกันภัยคุกคาม เช่น การตรวจจับมัลแวร์ การป้องกันการบุกรุก และการตรวจสอบความปลอดภัยอื่นๆ ลงในโมเดลการเข้าถึงโดยตรง เลเยอร์รักษาความปลอดภัยเชิงรุกนี้ช่วยป้องกันไม่ให้ผู้โจมตีเคลื่อนย้ายการโจมตีในเครือข่ายได้ แม้จะได้รับสิทธิ์เข้าถึงเบื้องต้นแล้วก็ตาม

การรับรู้บริบทของผู้ใช้และอุปกรณ์ที่ได้รับการปรับปรุง ตอนนี้ ZTNA ไม่ได้เพียงแค่ยืนยันข้อมูลประจำตัวของผู้ใช้และเสถียรภาพของอุปกรณ์ แต่ยังรวมปัจจัยทางบริบทอื่นๆ เช่น รูปแบบพฤติกรรมของผู้ใช้ ประวัติอุปกรณ์ และปัจจัยด้านสิ่งแวดล้อมต่างๆ เช่น ตำแหน่งที่ตั้งทางภูมิศาสตร์และเวลา ในการเข้าถึงอีกด้วย ซึ่งจะช่วยสร้างโปรไฟล์ความเสี่ยงที่แม่นยำยิ่งขึ้นสำหรับคำขอการเข้าถึงแต่ละรายการ

Secure Access Service Edge (SASE) คือเฟรมเวิร์กการรักษาความปลอดภัยทางไซเบอร์ที่รวมบริการระบบเครือข่ายและบริการรักษาความปลอดภัยไว้ในโมเดลระบบคลาวด์แบบรวมศูนย์ โดยมีวัตถุประสงค์เพื่อมอบการเข้าถึงที่ปลอดภัยให้กับผู้ใช้จากทุกที่ โดยผสานรวมฟังก์ชันรักษาความปลอดภัยต่างๆ เช่น เกตเวย์เว็บที่ปลอดภัย ตัวกลางรักษาความปลอดภัยของการเข้าถึงระบบคลาวด์ ไฟร์วอลล์แบบบริการ และการเข้าถึงเครือข่ายแบบ Zero Trust พร้อมด้วยความสามารถระบบเครือข่ายในพื้นที่กว้าง SASE มีวิธีการที่ยืดหยุ่นและปรับขนาดได้เพื่อรักษาความปลอดภัยของบุคลากรที่อยู่กระจัดกระจายกัน ซึ่งมีประโยชน์อย่างยิ่งในสภาพแวดล้อมสมัยใหม่ที่การทำงานจากระยะไกลและสภาพแวดล้อมแบบมัลติคลาวด์ถือเป็นมาตรฐาน

ZTNA คือคอมโพเนนต์หลักในโมเดล SASE ซึ่งมุ่งเน้นไปที่การควบคุมการเข้าถึงโดยยึดตามสถาปัตยกรรม Zero Trust โดยเฉพาะ ในขณะที่ ZTNA บังคับใช้การควบคุมการเข้าถึงที่เข้มงวดในระดับแอปพลิเคชันและทรัพยากร SASE จะขยายขอบเขตนี้โดยมอบโมเดลการรักษาความปลอดภัยและระบบเครือข่ายที่ครอบคลุม สาระสำคัญคือ ZTNA เป็นองค์ประกอบสำคัญของ SASE ซึ่งมุ่งเน้นไปที่การจัดการการเข้าถึงโดยละเอียด ในขณะที่ SASE จะรวม ZTNA ไว้ในชุดเครื่องมือรักษาความปลอดภัยขนาดใหญ่ เพื่อให้การป้องกันแบบครบวงจรทั่วทั้งเครือข่าย

โซลูชันการเข้าถึงเครือข่ายแบบ Zero Trust (ZTNA) ของ Microsoft ได้รับการออกแบบมาเพื่อให้การเข้าถึงแอปพลิเคชันและทรัพยากรที่ปลอดภัย โดยไม่คำนึงถึงตำแหน่งที่ตั้งของผู้ใช้


คอมโพเนนต์หลักของแนวทางนี้คือ Microsoft Entra Private Access ซึ่งมาแทนที่ VPN แบบดั้งเดิม ซึ่งช่วยให้เข้าถึงแอปและทรัพยากรส่วนตัวทั้งหมดอย่างปลอดภัยสำหรับผู้ใช้ได้จากทุกที่ด้วยโซลูชัน ZTNA ที่ยึดข้อมูลประจำตัวเป็นศูนย์กลาง Microsoft Entra Private Access ช่วยให้คุณสามารถเปลี่ยนจาก VPN แบบดั้งเดิมเป็น ZTNA ได้ คุณสามารถขยายนโยบายการเข้าถึงแบบมีเงื่อนไขไปยังเครือข่ายของคุณได้โดยใช้การควบคุมการเข้าถึงที่ยึดข้อมูลประจำตัวเป็นศูนย์กลางและเปิดใช้งานการลงชื่อเข้าระบบครั้งเดียว (SSO) และการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ในแอปและทรัพยากรส่วนตัวทั้งหมด โดยไม่ต้องทำการเปลี่ยนแปลงใดๆ กับแอปของคุณ เครือข่ายส่วนตัวส่วนกลางของ Microsoft ช่วยให้พนักงานได้รับประสบการณ์การเข้าถึงที่รวดเร็วและราบรื่นซึ่งสร้างความสมดุลระหว่างความปลอดภัยและประสิทธิภาพการทำงาน