รู้จักกับ ZTNA หนึ่งในหัวใจสำคัญแห่ง Zero Trust และความสามารถที่เหนือกว่า VPN
ทุกวันนี้ Vendor ด้านไอทีส่วนใหญ่กำลังมุ่งหน้าไปกับคำว่า Zero Trust อย่างไรก็ดีอีกคำหนึ่งที่เราได้ยินกันมากขึ้นเรื่อยๆ ก็คือคำศัพท์เรื่อง Zero Trust Network Access (ZTNA) วันนี้เราจะพาท่านมารู้จักกับความหมายของ ZTNA ซึ่งถือเป็นเสาหลักหนึ่งในการทำ Zero Trust มาดูกันว่าจะเกี่ยวข้องกันอย่างไร และจุดเด่นของ ZTNA เทียบกับ VPN
ณ บทความนี้จะไม่ขอกล่าวถึงความหมายของ Zero Trust มากนัก แต่คร่าวๆคือเป็นเพียงคอนเซปต์การที่ไม่เชื่อถือในอุปกรณ์ หรือตัวบุคคลใด ซึ่งสมัยก่อนเรามักเชื่อโดยพื้นฐานว่าการใช้งานอุปกรณ์จากในองค์กรนั้นเชื่อได้ แต่หากพิจารณาบริบทของทรัพยากรที่เกี่ยวข้องกับองค์กรในปัจจุบันจะเห็นได้ว่า ผู้คน อุปกรณ์ ข้อมูล และทรัพยากรกระจัดกระจายกันอย่างมาก ทั้ง SaaS, Cloud, การทำงานในรูปแบบของ Work from Anywhere หรือ Hybrid Workforce ที่ทำให้องค์กรดูแลเรื่อง Security ได้ยากลำบากมากขึ้นกว่าที่เคย ศึกษาเรื่อง Zero Trust เพิ่มเติมได้ที่ https://www.techtalkthai.com/zero-trust-concept-and-how-to-in-practical-by-cisco/
กล่าวได้ว่า Zero Trust นั้นต้องหลอมรวมจากหลายองค์ประกอบ ซึ่งในมุมของ Cloudflare ได้แนะนำสิ่งสำคัญที่มาควบคู่กันเมื่อพูดถึง Zero Trust ไว้ดังนี้
1.) ต้องสามารถติดตาม ตรวจสอบอย่างต่อเนื่อง โดยจากความหมายที่เป็นไปได้ว่าคนร้ายอาจจะมาจากข้างในหรือนอกเครือข่ายไม่มีใครรู้ได้ ดังนั้นสิ่งที่องค์กรต้องทำก็คือการหมั่นตรวจสอบ ตัวตนของคนและอุปกรณ์ รวมถึงสิทธิ์เอาไว้ ซึ่งการกำหนดช่วงเวลาของ Timeout Session เป็นสิ่งที่จำเป็น ทำให้เกิดการตรวจสอบได้อย่างสม่ำเสมอ
2.) ต้องให้สิทธิ์ต่ำที่สุดที่จำเป็น ตรงนี้เองเป็นจุดที่ VPN ทำได้ไม่ดีนัก
3.) มีการควบคุมการเข้าถึงของอุปกรณ์อย่างเข้มงวด ซึ่งหมายถึงองค์กรต้องมีความสามารถในการติดตามอุปกรณ์หลากหลายประเภทที่เข้ามาใช้งาน และทำให้แน่ใจว่าทุกอุปกรณ์ถูกพิสูจน์ตัวตน พร้อมทั้งสามารถควบคุมการใช้งาน และอุปกรณ์ไม่ได้ถูกแทรกแซง
4.) สามารถทำการแบ่งย่อยขอบเขตด้าน Security ออกเป็นสัดส่วนหรือ Microsegmentation ทำให้การบังคับด้าน Security เป็นไปได้อย่างรัดกุมมากขึ้น เช่น คนหรืออุปกรณ์ที่เข้าถึงเครื่อง A อาจไม่สามารถเข้าถึงเครื่อง B ได้พิจารณาจากกระบวนการทำงานตามสมควร
5.) ป้องกันการขยายวงการโจมตี ณ จุดนี้เองพูดถึงว่าเมื่อคนร้ายเจาะเข้ามาได้แล้ว จะทำอย่างไรที่ไม่ให้เกิดการขยายวงการโจมตีได้ หากเป็นการป้องกันแบบ Perimeter เช่นเดิม คงทำไม่ได้แน่ ทั้งนี้ Lateral Movement ถือเป็นจุดที่รับมือได้ยากมาก เพราะแม้จะรู้ว่าแฮ็กเกอร์เข้ามาได้แล้ว แต่ยากที่จะทราบว่าคนร้ายเข้าไปถึงไหนแล้ว ด้วยเหตุนี้เองการวางระบบขององค์กรจะต้องมีวิธีการกักกันเครื่องหรือบัญชีใดที่สุ่มเสี่ยงได้อย่างรวดเร็วเมื่อมีแนวโน้มถูกโจมตี
6.) Multi-factor Authentication (MFA) มีผลศึกษาพบว่า MFA ช่วยป้องกันการขโมยบัญชีได้กว่า 99% ด้วยเหตุนี้เองการทำ Zero Trust จึงไม่สามารถมองข้ามโซลูชันนี้ได้ (https://www.techtalkthai.com/multi-factor-authentication-blocks-99-9-percent-of-account-takeover/)
แล้ว ZTNA เกี่ยวข้องกับ Zero Trust อย่างไร
มาเริ่มต้นกันจากเจ้านิยามศัพท์มากมายในโลกของโซลูชันด้านไอทีอย่าง Gartner กันก่อน โดยทาง Gartner ได้ให้คำจำกัดความของ ZTNA ว่าเป็นผลิตภัณฑ์หรือบริการ ที่ช่วยให้สามารถเข้าถึงแอปพลิเคชันหรือกลุ่มของแอปพลิเคชัน โดยพิจารณาจาก Identity และบริบทของการเข้าถึง ทั้งนี้จะมี Trusted Broker ที่ทำหน้าที่จำกัดการเข้าถึงและแอปพลิเคชันจะถูกซ่อนจากการค้นหา โดยตัว Broker เองจะมีการยืนยันตรวจสอบ Identity และบริบทของการเข้าใช้งาน ยึดมั่นปฏิบัติตาม Policy กับผู้เข้าใช้อย่างเฉพาะเจาะจงก่อนอนุมัติการเข้าใช้งาน และยังป้องกันเรื่อง Lateral Movement
โดย Vendor หลายเจ้าได้ให้คำจำกัดความที่สอดคล้องไปกับความหมายหลักจาก Gartner โดยพูดถึงในแนวทางที่ว่า ZTNA เป็นเทคโนโลยีที่ช่วยให้สามารถเข้าถึงแอปพลิเคชันหรือบริการ เกิดขึ้นได้อย่างมั่นคงปลอดภัย โดยมีการพิจารณาจากบริบทการเข้าถึง และตัวตน ทั้งนี้จะมีนโยบายเป็น Default Deny หรือปฏิเสธการเข้าถึงที่นอกเหนือการอนุญาตในการตั้งค่าโดยพื้นฐาน อีกเรื่องคือการที่โซลูชันได้อาศัยคอนเซปต์ Dark Cloud คล้ายกับที่ทำใน Software-defined Perimeter (SDP) ที่ช่วยป้องกันไม่ให้ผู้ใช้งานเห็นถึงแอปพลิเคชันหรือบริการอื่นที่ตนไม่มีสิทธิ์
ZTNA ทำงานอย่างไร
Cloudflare ชี้ว่าแม้การทำงานของ ZTNA จะแตกต่างกันออกไปในแต่ละ Vendor แต่สิ่งที่มีร่วมกันเป็นดังนี้
- ZTNA มองการเข้าถึงแอปพลิเคชันแยกกันกับการเข้าถึงของเครือข่าย การเข้าถึงแค่เครือข่ายไม่ได้ให้สิทธิ์ต่อไปยังแอป
- ZTNA ไม่เปิดเผยไอพีกับเครือข่าย อุปกรณ์ที่เชื่อมต่อจะมองเห็นแค่บริการหรือแอปที่ตนเชื่อมต่ออยู่เท่านั้น
- ZTNA มีส่วนช่วยในการลดความเสี่ยงและดูเรื่อง Security Posture ของอุปกรณ์ที่เข้ามาได้ อาจจะอาศัยความสามารถของ Agent ที่ติดตั้งอยู่บนเครื่องที่เข้ามาใช้ เช่น บางค่ายมีโซลูชันที่ต้องติดตั้ง Agent ไว้อยู่แล้วก็ทำงานร่วมกันเพื่อการมองเห็นภัยคุกคามจากเครื่องได้ หรืออาศัยการวิเคราะห์ทราฟฟิคที่วิ่งเข้าออกกับเครื่อง ทั้งนี้ Vendor หลายรายได้สอดแทรกการนำเสนอเรื่อง SASE เพื่อช่วยวิเคราะห์ต่อว่าเครื่องหรือบัญชีใดอาจอาจถูกแทรกซึมแล้ว
- ZTNA พิจารณาจากบริบทการเข้าถึงได้ นอกเหนือจากแค่ Identity และ Role อย่างเช่น พิกัดที่เข้ามา เวลา และความถี่ในการร้องขอ แอปหรือข้อมูลปลายทางที่ต้องการ หรือปัจจัยอื่นๆ แม้ผู้ใช้จะล็อกอินเข้ามาได้แต่หากการเข้าถึงนั้นไม่น่าไว้ใจก็จะถูกปฏิเสธนั่นเอง
- ZTNA ถูกสร้างมาให้ใช้งานข้ามเครือข่ายสาธารณะหรือมีการเข้ารหัสบน TLS โดยโซลูชันจะมีการสร้าง Tunnel ระหว่างผู้ใช้ตรงเข้ากับแอปพลิเคชัน
- ZTNA มีทางเลือกทั้งแบบ Agent-based หรือให้บริการผ่านคลาวด์
- โซลูชันส่วนใหญ่มักต้องไป Integrate กับ identity provider (IdP) หรือแพลตฟอร์มด้าน SSO ต่างหาก
ในรูปแบบของการ Deploy ใช้งานเป็นไปได้ 2 แนวทางคือ การติดตั้ง Agent บนเครื่องผู้ใช้ ซึ่งก็ควรพิจารณาจากว่าอุปกรณ์ขององค์กรที่ท่านเกี่ยวข้องพร้อมติดตั้งซอฟต์แวร์หรือไม่ สามารถจัดการได้แค่ไหน ส่วนอีกรูปแบบหนึ่งคือเป็นแบบ Service-based ที่ไม่ต้องมีการติดตั้ง Agent แต่ก็ต้องมี Connector เข้ามาขวางระหว่างการเชื่อมต่ออยู่ดี ทั้งนี้การใช้งานอาจจะเป็นการ Deploy ระบบบน On-premise ของท่านหรืออาจจะไปใช้ ZTNA ที่ตั้งอยู่บนคลาวด์ ทำให้ได้ประโยชน์เรื่องของความยืดหยุ่นและรองรับการเชื่อมต่อได้จากทุกสถานที่ อีกทั้งผู้ใช้ควรมองภาพจริงว่าการใช้งานในองค์กรเน้นใช้ SaaS หรือแอปบน On-premise ภายในองค์กรหรืออื่นใด โดยสิ่งเหล่านี้ก็สามารถปรึกษา Vendor ของท่านถึงสิ่งที่เขานำเสนอได้ เพราะบางเจ้าก็อาจจะมีให้เลือกหรือบางเจ้าก็นำเสนอแค่คลาวด์อย่างเดียว
ZTNA vs VPN
อีกหนึ่งประเด็นสำคัญที่ Vendor มักหยิบยกมาอ้างอิงก็คือการเปรียบเทียบความสามารถระหว่าง VPN และ ZTNA โดยเราขอสรุปเป็นประเด็นในตารางดังนี้
| VPN | ZTNA | |
| OSI Layer | มองการเชื่อมต่อ L3 Ipsec (หาก VPN ใช้ TLS ก็จะคล้ายกับ ZTNA) | ทำงานที่ระดับ Application Layer |
| Agent | มี | มีหรือไม่มีก็ได้ |
| ฮาร์ดแวร์ | มักมีเซิร์ฟเวอร์แบบ On-premise และเข้าถึงผ่าน Firewall ขององค์กรเข้ามา | ใช้งานผ่านคลาวด์ได้ |
| การควบคุมการเชื่อมต่อ | VPN มองการเชื่อมต่อแค่ผู้ใช้กับ LAN ดังนั้นจึงยากที่จะแยกขาดการปฏิบัติต่อ คนและอุปกรณ์ที่ต่างกัน | มองการเชื่อมต่อระหว่างอุปกรณ์ และแอป หรือเซิร์ฟเวอร์นั้นๆ ดูตามบริบทการใช้งาน |
สุดท้ายนี้วิธีการเลือกโซลูชัน ZTNA ที่ใครๆก็บอกว่ามีนั้น ท่านอาจพิจารณาได้จากความสามารถที่ครอบคลุมของ Vendor เช่น อาจจะครอบคลุมได้ครบทั้ง IAM, Network Service และ Network Security รวมถึงความพร้อมในการทำงานร่วมกับโซลูชันอื่น เช่น ท่านอาจจะลงทุนในการทำ Zero Trust ด้านอื่นไปแล้วจะเติม ZTNA เข้าไป หากแม้ยังไม่มีเลยก็ต้องง่ายต่อการเริ่มต้นทำใหม่ ที่สำคัญต้องรองรับ IdP ที่องค์กรมักมีใช้อยู่ก่อนด้วย ไม่ใช่ว่าต้องย้ายไปใช้เจ้าใหม่ ที่ทำให้ยุ่งยากมากขึ้น หรือหากท่านเป็นผู้มีแอปเก่าแต่สำคัญบน On-premise ตัว ZTNA จะมีหนทางที่คอนฟิคให้สามารถตอบโจทย์นั้นได้หรือไม่
ที่มา :
https://www.cloudflare.com/learning/security/glossary/what-is-zero-trust/
https://www.cloudflare.com/learning/access-management/what-is-ztna/
https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna-
https://www.paloaltonetworks.com/cyberpedia/what-is-zero-trust-network-access
https://www.vmware.com/topics/glossary/content/zero-trust-network-access-ztna
Comments
Post a Comment