คุณจะนำสถาปัตยกรรม Zero Trust ไปใช้โดยไม่มีการจัดการข้อมูลประจำตัวและการเข้าถึงได้อย่างไร
Zero Trust ก่อตั้งขึ้นบนความเชื่อที่ว่าองค์กรไม่ควรเชื่อถือสิ่งใด ๆ โดยอัตโนมัติภายในหรือภายนอกขอบเขตของตน และต้องตรวจสอบทุกอย่างที่พยายามเชื่อมต่อกับทรัพยากรก่อนที่จะให้สิทธิ์เข้าถึง โดยอิงตามข้อมูลประจำตัว บริบท และความน่าเชื่อถือ ที่ Symantec ในฐานะแผนกหนึ่งของ Broadcom เราทราบดีว่าเฟรมเวิร์กนี้มีมาระยะหนึ่งแล้ว แต่เพิ่งได้รับความสนใจมากขึ้นเมื่อเร็วๆ นี้ เนื่องจากช่วยจัดการกับการเปลี่ยนแปลงและแนวโน้มล่าสุด รวมถึงพนักงานที่ทำงานจากระยะไกล การโยกย้ายระบบคลาวด์ และโลกอัตโนมัติของ DevOps . และในขณะที่มีเทคโนโลยีต่างๆ มากมายที่ช่วยในการสร้างZero Trustการจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) ถือเป็นรากฐานที่สำคัญเนื่องจากแสดงถึงขอบเขตสุดท้าย
ภาพลวงตาอันยิ่งใหญ่: ปริมณฑลเท่ากับกำแพง
มีการพูดคุยกันมากมายเกี่ยวกับขอบเขตที่หายไป เนื่องจากองค์กรย้ายแอปพลิเคชันไปยังระบบคลาวด์ ในความเป็นจริง เมื่อสภาพแวดล้อมส่วนใหญ่ของคุณทำงานในโครงสร้างพื้นฐานของบุคคลอื่น สินทรัพย์จริงเพียงอย่างเดียวที่องค์กรจะเป็นเจ้าของคือตัวตน สิทธิ์การเข้าถึงที่ได้รับ และข้อมูลที่พวกเขาโต้ตอบด้วย สิ่งนี้ได้นำไปสู่การตระหนักว่าอัตลักษณ์เป็นขอบเขตสุดท้าย (และบางครั้งเท่านั้น) ที่สามารถป้องกันได้ เมื่อคุณสามารถตรวจสอบตัวตนของผู้ใช้และอุปกรณ์ทุกเครื่องที่ร้องขอการเข้าถึงในเชิงบวกได้แล้ว จากนั้นจึงจะสามารถบังคับใช้นโยบายเพื่ออนุญาตหรือปฏิเสธคำขอเข้าถึงนั้นได้ กระบวนการตรวจสอบตัวตนของผู้ใช้หรืออุปกรณ์เรียกว่าการรับรองความถูกต้อง แต่การดำเนินการนี้ไม่ง่ายหรือตรงไปตรงมาอย่างที่คุณคิด เนื่องจากไม่ได้สร้างข้อมูลรับรองการตรวจสอบสิทธิ์ทั้งหมดเท่ากัน
องค์ประกอบทางสังคมยังคงเป็นจุดเชื่อมโยงที่อ่อนแอที่สุดกับการโจมตีทางไซเบอร์โดยเน้นที่จุดอ่อน “ภายใน” เพื่อเตรียมการโจมตี วิธีเดียวที่จะจัดการกับสิ่งนั้นคือการลบองค์ประกอบของมนุษย์และต้องใช้ “สิ่งที่คุณมี” (ไบโอเมตริกซ์ ตัวตรวจสอบความถูกต้องของฮาร์ดแวร์) นอกเหนือจากหรือแทนที่จะใช้ “สิ่งที่คุณรู้/จำ” แต่การป้องกันชั้นพิเศษเหล่านี้มักจะทำให้เกิดการเสียดสีกับประสบการณ์ดิจิทัล ซึ่งเป็นการเสียดสีที่อาจไม่จำเป็นเสมอไป
และในขณะที่มีเทคโนโลยีต่างๆ มากมายที่ช่วยในการสร้างZero Trustการจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) ถือเป็นรากฐานที่สำคัญเนื่องจากแสดงถึงขอบเขตสุดท้าย
สิ่งนี้ชี้ให้เห็นถึงความจำเป็นของ Identity Assurance (ระดับของการรับรองความถูกต้อง) เพื่อให้สอดคล้องกับระดับความเสี่ยงที่เกิดจากการเข้าถึงที่ต้องการ ดังนั้นเทคโนโลยีและความคิดขั้นสูงจำนวนมากจึงเข้าสู่ศิลปะและวิทยาศาสตร์ของการบริหารความเสี่ยง ตั้งแต่ไบโอเมตริกซ์ขั้นสูงที่ติดตามเวลาตอบสนองของผู้คนไปจนถึงการวิเคราะห์ AI/ML ขั้นสูงที่พยายามทำความเข้าใจพฤติกรรมในอดีตรวมกับเซ็นเซอร์แบบเรียลไทม์เพื่อใช้กับขั้นสูง ตัวตรวจสอบสิทธิ์ส่วนบุคคลที่ใช้ประโยชน์จากความสามารถด้านการเข้ารหัส เช่น คีย์ความปลอดภัย FIDO2 และอุปกรณ์ และในทำนองเดียวกัน เราเห็นความสนใจจากลูกค้าเป็นอย่างมากสำหรับไบโอเมตริกซ์ขั้นสูง การวิเคราะห์เชิงคาดการณ์ และการใช้มาตรฐานการตรวจสอบสิทธิ์ FIDO2/WebAuthN
จากมุมมองของไซแมนเทค การรับรองความถูกต้องทั้งหมดต้องขึ้นอยู่กับระดับความเสี่ยงที่วัดจากความเสี่ยงของสินทรัพย์ หรือความเสี่ยงของข้อมูลประจำตัวที่ถูกบุกรุก การจัดการความเสี่ยงแบบไดนามิก วิเคราะห์ และเปิดใช้งาน AI/ML เป็นหนทางเดียวที่จะลดปัญหาด้านความปลอดภัย
ทำงานหาเลี้ยงชีพ: โลกที่ “อยู่ได้เสมอ”
“ ทุกที่ทุกเวลาอุปกรณ์ใด ๆ ” – เป็นมนต์มาหลายปีแล้ว แต่ตระหนักว่าในยุคที่บริการและระบบกระจายการเชื่อมต่อที่เชื่อมต่อกันอย่างสุดยอดตลอดเวลาที่ดำเนินการในนามของตนเองตลอดจนในนามของผู้คน ข้อมูลประจำตัวของเครื่องมีความสำคัญพอๆ กับข้อมูลประจำตัวของผู้ใช้ ระบบนิเวศของ Internet of Things (IoT) กำลังเติบโตอย่างทวีคูณด้วยการตัดสินใจด้วยสิ่งที่ชาญฉลาดในนามของเรา และอุปกรณ์ IoT ก็มีความเสี่ยงที่จะถูกประนีประนอมเช่นเดียวกับมนุษย์ และการเริ่มต้นของ 5G เร่งสิ่งนี้ขึ้นอย่างมาก ทำให้เกิดความจำเป็นในการขยายขนาดข้อมูลประจำตัว /กระบวนการรักษาความปลอดภัยเพื่อจัดการกับปริมาณของ “สิ่งที่เชื่อมต่อ” และ “การตัดสินใจด้านความปลอดภัยที่ต้องทำ”
สิ่งนี้จะผลักดันการนำ Cloud Computing ไปใช้โดยองค์กรต่างๆ (โดยเฉพาะองค์กรระดับโลก) ที่ใช้ประโยชน์จากกระบวนการและนวัตกรรมดิจิทัลใหม่ ๆ ขณะที่พวกเขาใช้โครงการ Digital Transformation เพื่อขับเคลื่อนการมีส่วนร่วมของลูกค้า ปรับปรุงการบริการลูกค้า และบูรณาการห่วงโซ่อุปทาน ในอนาคต องค์กรส่วนใหญ่จะไม่มีทักษะที่จำเป็นในการผสานรวม ดำเนินการ และดูแลกระบวนการดิจิทัลแบบ end-to-end ที่ครอบคลุมผู้ให้บริการหลายรายอย่างปลอดภัย
ความร้อนแรงของช่วงเวลา: การผสมผสานระหว่างความเป็นส่วนตัวและการเข้าถึง
เนื่องจากการใช้ข้อมูลประจำตัวของมนุษย์และเครื่องจักรยังคงเพิ่มขึ้นอย่างทวีคูณ จึงเป็นเรื่องยากอย่างยิ่งที่จะเข้าใจว่าแอปพลิเคชันและบริการที่เราใช้งานนั้นเชื่อมต่อถึงกันอย่างไรและมีการใช้ข้อมูลของเราอย่างไร สิ่งนี้ได้สร้าง (และยังคงสร้าง) สภาพแวดล้อมทางการเมืองเพื่อควบคุมการใช้ข้อมูลส่วนบุคคล – เพื่อปกป้องประชาชนจากการถูกเอารัดเอาเปรียบโดยธุรกิจที่ต้องการสร้างรายได้จากข้อมูลส่วนบุคคลของพวกเขาและพยายามเปิดใช้งาน “ความยินยอมเป็นรายบุคคล” เพื่อให้ดูเหมือน “ค่าโดยสาร” แม้ว่าในหลาย ๆ กรณี มารได้ออกจากขวดแล้ว
ภายในสภาพแวดล้อมที่มีค่าใช้จ่ายสูงนี้ ค่าใช้จ่ายในการหลีกเลี่ยงสำหรับผู้ให้บริการเริ่มเกินค่าใช้จ่ายในการปฏิบัติตามข้อกำหนด และนี่เป็นการขับเคลื่อนแนวโน้มเทคโนโลยีที่สำคัญสองประการ – สำหรับผู้บริโภคบริการ สิทธิที่จะมี “ความเป็นส่วนตัว” และสำหรับผู้ให้บริการ ภาระหน้าที่ในการสร้างและใช้งานแอปพลิเคชันและระบบโดยใช้วิธีการเข้าถึง “ที่มีสิทธิพิเศษน้อยที่สุด” แนวโน้มทั้งสองเป็นสถาปัตยกรรมที่ “ต้องมี” เพื่อรักษาการควบคุมข้อมูลส่วนบุคคลในขณะที่รับประกันความพร้อมในการให้บริการ
ในทำนองเดียวกัน เรายังเห็นการเกิดขึ้นของเทคโนโลยีการส่งสัญญาณแบ่งปันความเสี่ยง ซึ่งช่วยให้ผู้ให้บริการข้อมูลประจำตัวสามารถเผยแพร่การแจ้งเตือนเกี่ยวกับระดับภัยคุกคามที่เชื่อมโยงกับผู้ใช้เฉพาะหรือข้อมูลประจำตัวของเครื่อง สิ่งนี้มีความสำคัญอย่างยิ่งในสภาพแวดล้อมที่มีการรักษาข้อมูลและการเข้าถึงจำนวนมาก เช่น ผู้ให้บริการคลาวด์ที่เริ่มแชร์เซสชัน/สัญญาณความเสี่ยงโดยใช้เทคโนโลยีที่เรียกว่า Continuous Access Evaluation Protocol (CAEP) การสังเกตเชิงรุก –> ตรวจจับ –> แนวทางป้องกันช่วยให้องค์กรมีความคล่องตัวมากขึ้นในการป้องกันข้อมูลประจำตัวที่มีความเสี่ยงจากการก่อให้เกิดความเสียหายอย่างมีนัยสำคัญ
Wheel in the Sky: DevOps ยังคงหมุนต่อไป
ซอฟต์แวร์เป็นตัวขับเคลื่อนหลักของการเติบโต นวัตกรรม ประสิทธิภาพ และประสิทธิผล แต่วิธีการที่คุณนำเสนอนั้นบอกได้มากมายเกี่ยวกับวิธีที่คุณจะสามารถแข่งขันในโลกนี้ ผู้นำธุรกิจต่างตระหนักถึงความเป็นจริงใหม่นี้ โดยส่วนใหญ่ลงทุนในเทคโนโลยีและนำกระบวนการที่จำเป็นในการเปลี่ยนแปลงและยอมรับเศรษฐกิจแอพ แต่เมื่อแอปและบริการใหม่ๆ ออกสู่ตลาด การรักษาความปลอดภัยจึงถูกทิ้งไว้ภายหลังหรือถูกละเลยโดยสิ้นเชิง สร้างเป้าหมายใหม่สำหรับแฮ็กเกอร์เพื่อประนีประนอมและใช้ประโยชน์
ไปป์ไลน์เป็นหัวใจของ DevOps แต่ไปป์ไลน์การจัดส่งแบบต่อเนื่องที่เรียบง่ายไม่เพียงพออีกต่อไป คุณต้องการทั้งไปป์ไลน์ที่ชาญฉลาดและปลอดภัยเพื่อช่วยให้คุณเผยแพร่ซอฟต์แวร์คุณภาพสูงขึ้นด้วยความเร็วที่มากขึ้นและลดความเสี่ยง เรายังคงเห็นแนวทางปฏิบัติของ Secure Dev Ops เพื่อเพิ่มแรงผลักดันในการผสานรวมกระบวนการรักษาความปลอดภัยและการระบุตัวตนเข้ากับการพัฒนาแอปพลิเคชันและขั้นตอนการส่งมอบ เมื่อพิจารณาว่าการรักษาความปลอดภัยที่ดีนั้นยากต่อการนำไปใช้และต้องมีการพัฒนาอยู่ตลอดเวลา นักพัฒนาจึงไม่ใช่ผู้รักษาความปลอดภัยและต้องไม่นับรวมในการสร้างแอปพลิเคชันที่ปลอดภัยเพียงอย่างเดียว การรักษาความปลอดภัยต้องถูกทำให้เป็นภายนอกจากบุคคลที่ดำเนินการพัฒนาและปฏิบัติงาน และจะต้องทำงานโดยอัตโนมัติผ่านการผสานรวมกับกระบวนการรายวัน เทคโนโลยีเช่น Privileged Account Management เพื่อขจัดความจำเป็นในการใช้ข้อมูลประจำตัวที่ใช้ร่วมกันที่มีอายุการใช้งานยาวนาน