जीरो ट्रस्ट आर्किटेक्चर का परिचय

राष्ट्रीय सुरक्षा एजेंसी (NSA) नेटवर्क इंफ्रास्ट्रक्चर सिक्योरिटी गाइडेंस रिपोर्ट के हालिया प्रकाशन के लिए धन्यवाद, सामान्य नेटवर्क कमजोरियों और कमजोरियों को दूर करने के लिए कई व्यावसायिक निर्णय निर्माताओं के एजेंडे में शीर्ष पर पहुंच गए हैं।

आखिरकार, डेटा उल्लंघन का औसत वित्तीय नतीजा $4.24 मिलियन - 17 साल के उच्च स्तर पर पहुंच गया है। आज के संगठनों को डेटा सुरक्षा और ज़ीरो ट्रस्ट आर्किटेक्चर (ZTA) के लाभों को प्राथमिकता देनी चाहिए, लेकिन इससे पहले कि हम आगे बढ़ें, आइए एक नज़र डालते हैं कि ZTA क्या है और यह अवधारणा कहाँ से आई है।

जीरो ट्रस्ट क्या है?

परिधि रहित सुरक्षा के रूप में भी जाना जाता है, ज़ीरो ट्रस्ट एक सुरक्षा मॉडल है जो तेजी से विकेन्द्रीकृत वातावरण में साइबर खतरों को संबोधित करने के लिए आईटी सिस्टम के डिजाइन और कार्यान्वयन के सिद्धांतों के ढांचे पर आधारित है। सिस्टम और डेटा तक पहुंच प्रदान करने से पहले उपयोगकर्ताओं को प्रमाणित, अधिकृत और निरंतर मान्य होना चाहिए। संक्षेप में, ज़ीरो ट्रस्ट स्वाभाविक रूप से किसी पर भरोसा नहीं करता है।

हैकर्स का प्रवेश बिंदु अक्सर नेटवर्क के भीतर उनका लक्षित स्थान नहीं होता है। इसके बजाय, वे एक क्षेत्र में एक भेद्यता की पहचान करते हैं और अपने लक्ष्य तक पहुंचने तक बाद में आगे बढ़ते हैं। ZTA उपयोगकर्ताओं को कई बिंदुओं पर खुद को पहचानने के लिए मजबूर करके ऐसा होने से रोकता है-एक खराब अभिनेता जो नुकसान कर सकता है उसे सीमित करता है।

जीरो ट्रस्ट कोई नई अवधारणा नहीं है। इसे पहली बार 2009 में फॉरेस्टर रिसर्च के पूर्व प्रमुख विश्लेषक जॉन किंडरवाग द्वारा प्रस्तुत किया गया था। हालांकि, पिछले दो वर्षों में इसकी लोकप्रियता में विस्फोट हुआ है। वास्तव में, 2021 की Microsoft रिपोर्ट में पाया गया कि 90% सुरक्षा निर्णय लेने वाले इस अवधारणा से परिचित थे, जो एक साल पहले केवल 20% था। निस्संदेह इस प्रवृत्ति को दूरस्थ कामकाज के विकास और क्लाउड अपनाने में वृद्धि से उत्प्रेरित किया गया है। साइबर हमलों की आसमान छूती संख्या का उल्लेख नहीं करना - जो अमेरिकी व्यवसायों पर आने वाले रूसी साइबर हमले के बारे में व्हाइट हाउस की हालिया चेतावनियों के आधार पर और बढ़ने की संभावना है।

"ठीक है, लेकिन मैं जीरो ट्रस्ट को व्यवहार में कैसे लागू कर सकता हूं?"

ZTA को लागू करने के लिए कोई एक आकार-फिट-सभी मॉडल नहीं है। हालांकि, संगठनों को आम तौर पर निम्नलिखित पर विचार करना चाहिए:

• आइडेंटिटी गवर्नेंस: सुनिश्चित करें कि आप मजबूत नीतियों और एक्सेस एंटाइटेलमेंट के माध्यम से सभी उपयोगकर्ता पहचानों को प्रबंधित और सुरक्षित कर रहे हैं। भूमिका-आधारित अभिगम नियंत्रण उपयोगकर्ता भूमिकाओं का लाभ उठाकर इन नीतियों को लागू करने में आपकी मदद कर सकते हैं ताकि वे उन प्रणालियों और अनुप्रयोगों तक पहुँच प्रदान कर सकें जिनकी उन्हें अपना कार्य करने की आवश्यकता है, और इससे अधिक कुछ नहीं।
• विशेषाधिकार प्राप्त पहुंच प्रबंधन: विशेषाधिकार प्राप्त खाते वे होते हैं जिनके पास उच्चतम स्तर की पहुंच होती है और संवेदनशील जानकारी की डिग्री को देखते हुए औसत उपयोगकर्ता की तुलना में अधिक सुरक्षा जोखिम होता है जिसे उजागर किया जा सकता है। सिस्टम स्तर पर बारीक नीति नियंत्रण के माध्यम से किसी कार्य को पूरा करने के लिए तृतीय पक्षों या व्यवस्थापकों को पर्याप्त पहुंच प्रदान करके कम से कम विशेषाधिकार के सिद्धांत का पालन करें।
• मल्टीफ़ैक्टर प्रमाणीकरण (एमएफए): सबसे आम प्रारंभिक हमले वैक्टर में से एक है समझौता उपयोगकर्ता क्रेडेंशियल, जिसे एमएफए का लक्ष्य रोकना है। सुरक्षा की इस परत को सिस्टम या एप्लिकेशन तक पहुंच प्रदान करने से पहले प्रमाणीकरण के दो तरीकों की आवश्यकता होती है: कुछ जो आप जानते हैं (पासवर्ड या पिन), आपके पास कुछ (स्मार्टफोन या टोकन), और कुछ आप (बायोमेट्रिक डेटा)।
• सिंगल साइन-ऑन (एसएसओ): सुरक्षा केवल उतनी ही अच्छी होती है, जितनी इसका उपयोग करने वाले, और जब सुरक्षा पर उपयोगकर्ताओं द्वारा ध्यान दिया जाता है, तो इसे अक्सर अनदेखा कर दिया जाता है। वास्तव में, 57% स्टिकी नोट्स पर पासवर्ड लिखने की बात स्वीकार करते हैं जबकि कई अन्य उपयोगकर्ता सहकर्मियों के साथ क्रेडेंशियल साझा करते हैं। एसएसओ संगठनों को याद रखने की आवश्यकता को समाप्त करके और सिस्टम तक पहुंचने के लिए बार-बार उपयोगकर्ता नाम और पासवर्ड टाइप करके मजबूत सुरक्षा लागू करने में सक्षम बनाता है।
• जीरो ट्रस्ट पॉलिसी इंजन: जैसा कि नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी (एनआईएसटी) के दस्तावेज बताते हैं, यह आपके जेडटीए का "दिमाग" है। हर बार एक डिजिटल पहचान, चाहे वह एक व्यक्ति हो या मशीन, किसी उद्यम संसाधन तक पहुँचने की कोशिश करती है, ZTA नीति इंजन से पूछा जाता है कि क्या उसे इसे एक्सेस करना चाहिए। बेशक, आप अपने पॉलिसी इंजन के लिए पैरामीटर सेट करते हैं। प्रभावी रूप से, यदि आपका डिजिटल पहचान प्रबंधन सख्त है, तो आप कुछ उपयोगकर्ता नाम या पासवर्ड आवश्यकताओं के साथ-साथ एमएफए आवश्यकताओं को हटाने के लिए जेडटीए नीति इंजन का भी उपयोग कर सकते हैं। अनिवार्य रूप से, आप आसान पहुँच प्रदान करते हुए सुरक्षा में सुधार कर सकते हैं - क्या यह परिचित नहीं लगता?

पहचान और पहुंच प्रबंधन - यह आपके घर को क्रम में लाने का समय है

डिजिटल पहचान को प्रभावी ढंग से प्रबंधित करना और सुरक्षित करना यकीनन ZTA का सबसे महत्वपूर्ण घटक है। सीधे शब्दों में कहें, बिना पहचान और पहुंच प्रबंधन (आईएएम) की रणनीति के - आप जीरो ट्रस्ट को भूल सकते हैं। या, कम से कम इससे होने वाले किसी भी लाभ को भूल जाइए।

उपकरण की एक विशाल श्रृंखला है जिसका उपयोग संगठन अपनी IAM रणनीति को लागू करते समय कर सकते हैं लेकिन उपरोक्त समाधानों का होना पहेली का सिर्फ एक टुकड़ा है। विरासत प्रणालियों की एक श्रृंखला के लिए धन्यवाद, जो अभी भी अधिकांश संगठनों के पास है, प्रावधान और विप्रावधान के लिए एक उपकरण, एमएफए के लिए दूसरा, एसएसओ के लिए एक तिहाई, और इसी तरह के लिए एक उपकरण देखना आम है। ऐसा करने का इरादा किए बिना, इस प्रकार के खंडित दृष्टिकोण वाले संगठन अक्सर उन जोखिमों का परिचय देते हैं जिनसे वे बचने की कोशिश कर रहे हैं।

इसके बजाय, आगे की सोच रखने वाले संगठनों को इन उपकरणों को एक एकीकृत रणनीति के साथ समेकित करना चाहिए जो अंतराल को समाप्त करता है और नियंत्रण के एक बिंदु को सक्षम बनाता है।

कुल मिलाकर, वर्तमान में संगठनों के सामने मौजूद साइबर सुरक्षा से संबंधित चुनौतियों की भारी संख्या को कम करना कठिन है। बेशक, कई लोगों के लिए, यह पता लगाने का मामला है कि तत्काल अवधि में सिस्टम, डेटा और उपयोगकर्ताओं को कैसे सुरक्षित किया जाए। लेकिन एक बार जब वे अग्निशामक हो जाते हैं, तो ZTA को लागू करना - एक प्रभावी पहचान और पहुंच प्रबंधन रणनीति के आधार पर - कोई दिमाग नहीं है।