การเข้าถึงเครือข่ายแบบ Zero trust (ZTNA) คืออะไร

ในช่วงที่การทำงานจากระยะไกล บริการบนคลาวด์ และภัยคุกคามทางไซเบอร์มีการพัฒนาอยู่เรื่อย ๆ รูปแบบการรักษาความปลอดภัยเครือข่ายแบบเดิมก็ไม่เพียงพออีกต่อไป การเข้าถึงเครือข่ายแบบ zero trust (ZTNA) เป็นวิธีการใหม่ในการรักษาความปลอดภัยให้สภาพแวดล้อมดิจิทัลซึ่งถูกออกแบบมาเพื่อรับมือกับความท้าทายของสภาพแวดล้อมแบบไร้ขอบเขต

คู่มือนี้จะแจกแจงรายละเอียดว่า ZTNA คืออะไร ทำงานอย่างไร และทำไมมันถึงกลายเป็นรากฐานสำคัญของกลยุทธ์การรักษาความปลอดภัยสมัยใหม่

หมายเหตุ : ExpressVPN เป็นเครื่องมือด้านความเป็นส่วนตัวซึ่ง ตอบโจทย์วัตถุประสงค์ที่แตกต่าง จากเฟรมเวิร์กสำหรับองค์กรอย่างสถาปัตยกรรม zero trust เรานำเสนอหัวข้อนี้เพื่อให้ผู้อ่านเข้าใจบทบาทของ ZTNA ในโลกของความปลอดภัยทางไซเบอร์ที่กว้างขึ้น

เครือข่ายแบบ zero trust คืออะไร?

เครือข่าย zero trust คือแนวทางสมัยใหม่ด้านความปลอดภัยทางไซเบอร์ที่ดำเนินงานภายใต้หลักการ "ไม่ไว้วางใจใครทั้งสิ้น และต้องตรวจสอบทุกครั้ง" เพื่อให้เข้าใจว่าทำไมสิ่งนี้ถึงถือเป็นนวัตกรรม การเปรียบเทียบกับรูปแบบการรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมจะช่วยให้เห็นภาพได้ชัดเจนยิ่งขึ้น

รูปแบบการรักษาความปลอดภัยแบบดั้งเดิมมักจะพึ่งพาการกำหนดขอบเขตเครือข่ายที่ชัดเจน เมื่อผู้ใช้หรืออุปกรณ์ผ่านเข้าสู่ขอบเขตดังกล่าวแล้ว โดยทั่วไปก็จะได้รับความไว้วางใจโดยปริยาย และได้รับสิทธิ์เข้าถึงทรัพยากรต่าง ๆ ในเครือข่ายได้อย่างกว้างขวาง

ในทางกลับกัน เครือข่ายแบบ zero trust จะไม่ไว้วางใจผู้ใช้งานหรืออุปกรณ์ใด ๆ โดยอัตโนมัติทั้งสิ้น ไม่ว่าจะเป็นภายในหรือภายนอกขอบเขตก็ตาม ทุกคำร้องขอเข้าถึงจะถูกตรวจสอบอย่างละเอียด โดยพิจารณาจากตัวตน, ระดับความปลอดภัยของอุปกรณ์, ตำแหน่ง และบริบทอื่น ๆ แม้จะผ่านการยืนยันตัวตนสำเร็จแล้ว ผู้ใช้ก็จะได้รับสิทธิ์การเข้าถึงขั้นต่ำที่สุดที่จำเป็นสำหรับการปฏิบัติงานเฉพาะอย่างเท่านั้น แนวทางนี้ช่วยจำกัดความเสียหายที่อาจเกิดขึ้นจากการที่ข้อมูลการเข้าสู่ระบบถูกละเมิดหรืออุปกรณ์ถูกเจาะระบบได้

การเข้าถึงเครือข่ายแบบ zero trust เป็นส่วนสำคัญของ สถาปัตยกรรม zero trust ที่ขับเคลื่อนกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ในยุคปัจจุบัน

ทำไม zero trust จึงมีความสำคัญสำหรับความปลอดภัยทางไซเบอร์ในยุคปัจจุบัน

รูปแบบการรักษาความปลอดภัยที่มีขอบเขตแบบดั้งเดิม อย่างเช่น การควบคุมสิทธิ์ในการเข้าถึงระบบเครือข่าย (NAC) ถูกสร้างขึ้นมาในยุคสมัยที่ผู้ใช้งานและแอปพลิเคชันส่วนใหญ่ทำงานอยู่ภายในเครือข่ายที่องค์กรเป็นผู้ควบคุม อย่างไรก็ตาม ในยุคปัจจุบัน ผู้ใช้งาน อุปกรณ์ และภาระงานส่วนใหญ่มักจะกระจายอยู่ในสภาพแวดล้อมแบบคลาวด์ ตำแหน่งจากระยะไกล และเครือข่ายของบุคคลที่สาม ดังนั้นการจะพึ่งพาขอบเขตแบบรวมศูนย์อย่างเดิมจึงไม่ใช่วิธีป้องกันที่มีประสิทธิภาพอีกต่อไป

การที่รูปแบบการรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมให้ความไว้วางใจโดยอัตโนมัติสำหรับใครก็ตามที่อยู่ภายในเครือข่ายยังส่งผลให้เกิดช่องโหว่อันใหญ่หลวงซึ่งเสี่ยงต่อการถูกโจมตีผ่านข้อมูลการเข้าสู่ระบบที่ถูกละเมิดและภัยคุกคามจากบุคคลภายใน เนื่องจากรูปแบบการโจมตีมีความซับซ้อนมากขึ้น และโครงสร้างพื้นฐานมีการกระจายแยกส่วนมากกว่าเดิม องค์กรต่าง ๆ จึงจำเป็นต้องมีรูปแบบการรักษาความปลอดภัยแบบใหม่ที่ไม่มอบความไว้วางใจโดยอัตโนมัติจากการอ้างอิงตำแหน่งหรือข้อมูลการเข้าสู่ระบบเพียงอย่างเดียว

การรักษาความปลอดภัยแบบ zero trust จะช่วยแก้ไขจุดอ่อนเหล่านี้ แทนที่จะสรุปในทันทีว่าสิ่งที่อยู่ในเครือข่ายนั้นปลอดภัยทั้งหมด มันจะทำการตรวจสอบการเชื่อมต่อแยกทั้งหมด นี่ทำให้มันเหมาะสำหรับสภาพแวดล้อมการรักษาความปลอดภัยแบบไร้ขอบเขตซึ่งผู้ใช้งาน อุปกรณ์ และแอปพลิเคชันไม่ได้ถูกจำกัดอยู่ภายในเครือข่ายที่ปลอดภัยเพียงแห่งเดียวอีกต่อไปแล้ว

ZTNA ทำงานอย่างไร : องค์ประกอบหลักและโฟลว์การทำงาน

ZTNA อาศัยหลักการทางสถาปัตยกรรมและองค์ประกอบที่ทำงานประสานกัน เพื่อมอบการเข้าถึงแอปพลิเคชันตามนโยบายที่มีความปลอดภัยสูง

หลักการสำคัญของ ZTNA

ZTNA ทำงานโดยอาศัยสามหลักการสำคัญ :

1. ไม่ไว้วางใจใครทั้งสิ้น และต้องตรวจสอบทุกครั้ง : จะไม่มีการไว้วางใจผู้ใช้งาน อุปกรณ์ หรือตำแหน่งเครือข่ายใด ๆ โดยอัตโนมัติ คำร้องขอเข้าถึงแต่ละคำร้องจะถูกประเมินแบบไดนามิกด้วยการอาศัย ตัวตน ระดับความปลอดภัยของอุปกรณ์ ตำแหน่ง และสัญญาณทางบริบทอื่น ๆ
2. การเข้าถึงแบบมีสิทธิ์ขั้นต่ำที่สุด : ผู้ใช้งานจะได้รับสิทธิ์การเข้าถึงไปยังแอปพลิเคชันหรือทรัพยากรเฉพาะในส่วนที่จำเป็นสำหรับหน้าที่ของพวกเขา
3. การตรวจสอบอย่างต่อเนื่อง : ความไว้วางใจจะไม่ถูกมอบให้อย่างไม่มีเวลากำหนด โซลูชัน ZTNA จะตรวจสอบเซสชันและประเมินสิทธิ์การเข้าถึงใหม่อย่างต่อเนื่อง ถ้าระดับความเสี่ยงเปลี่ยนไป การเข้าถึงก็สามารถถูกยกเลิกได้แบบเรียลไทม์

องค์ประกอบของโซลูชัน ZTNA

การใช้งาน ZTNA อย่างเต็มรูปแบบมักจะมีองค์ประกอบต่าง ๆ เหล่านี้ทำงานร่วมกัน :

• ผู้ให้บริการยืนยันตัวตน : ZTNA ทำงานร่วมกับระบบจัดการตัวตนและการเข้าถึงขององค์กร เช่น Azure AD หรือ Okta เพื่อยืนยันตัวตนของผู้ใช้ สิ่งนี้จะช่วยให้มั่นใจได้ว่าการเข้าถึงนั้นถูกเชื่อมโยงกับตัวตนที่ผ่านการตรวจสอบแล้ว และรองรับการควบคุมการเข้าถึงที่อ้างอิงจากตัวตน อย่าง การยืนยันตัวตนหลายชั้น (MFA) และ ไบโอเมตริกซ์ พร้อมทำให้สามารถกำหนดสิทธิ์ตามหน้าที่ได้
• การประเมินระดับการรักษาความปลอดภัยของอุปกรณ์ : ก่อนที่ ZTNA จะมอบสิทธิ์การเข้าถึงให้ ก็จะมีการประเมินสถานะการรักษาความปลอดภัยของอุปกรณ์ที่ใช้เชื่อมต่อ นี่อาจจะรวมถึงเวอร์ชันระบบปฏิบัติการ ระดับการแพตช์ วิธีการรักษาความปลอดภัยปลายทาง และตัวบ่งบอกความเสี่ยงอื่น ๆ อุปกรณ์ที่ไม่เป็นไปตามข้อกำหนดก็จะไม่ได้รับสิทธิ์ในการเข้าถึงหรือจะได้รับสิทธิ์ที่จำกัด
• Policy decision และ enforcement points : ส่วนนี้รวมทั้งเอนจินควบคุมการเข้าถึงที่ทำหน้าที่ประเมินคำร้องขอเข้าถึงโดยอ้างอิงจากตัวตน ระดับความปลอดภัยของอุปกรณ์ และบริบท และ policy enforcement point ที่ทำหน้าที่นำการตัดสินใจเหล่านั้นไปใช้แบบเรียลไทม์ ทั้งสองสิ่งนี้จะร่วมกันตัดสินใจว่าผู้ใช้งานจะสามารถเข้าถึงแอปพลิเคชันต่าง ๆ ได้หรือไม่และเข้าถึงได้อย่างไร
• Microsegmentation และ application proxying: ZTNA จะให้สิทธิ์ผู้ใช้เข้าถึงได้เฉพาะแอปพลิเคชันที่ระบุไว้เท่านั้น พร้อมทั้งช่วยซ่อนแอปพลิเคชันเหล่านั้นจากอินเทอร์เน็ตและผู้ที่ไม่มีสิทธิ์เข้าใช้งาน เพื่อลดโอกาสในการถูกโจมตีให้น้อยลง กระบวนการนี้ทำได้ผ่านการเชื่อมต่อแบบ outbound-only และการแบ่งส่วนเครือข่ายอย่างเข้มงวดในระดับแอปพลิเคชัน แนวทางนี้จะรองรับ กลยุทธ์การปกป้องข้อมูลแบบ zero trust ด้วยการจำกัดการถูกเปิดเผยและควบคุมการเข้าถึงทรัพยากรที่มีความละเอียดอ่อนอย่างเข้มงวด
• การตรวจสอบอย่างต่อเนื่องและโทรมาตร : โซลูชัน ZTNA จะติดตามเซสชันที่ใช้งานอยู่เพื่อตรวจจับปัญหา อย่างเช่น พฤติกรรมที่น่าสงสัย อุปกรณ์ที่ถูกละเมิด หรือการทำผิดนโยบาย ถ้าระดับความเสี่ยงเปลี่ยนแปลงไป สิทธิ์การเข้าถึงก็จะถูกปรับหรือถูกยกเลิกในทันที ข้อมูลที่ถูกเก็บมักจะถูกส่งไปยังเครื่องมือการรักษาความปลอดภัยอื่น ๆ อย่างเช่นแพลตฟอร์ม security information and event management (SIEM) หรือ การตรวจหาและการตอบสนองแบบขยาย (XDR) เพื่อทำการวิเคราะห์เพิ่มเติม

องค์ประกอบต่าง ๆ เหล่านี้จะสร้างวงจรการควบคุม : ยืนยันตัวตน ประเมิน เชื่อมต่อ ตรวจสอบ และประเมินใหม่ กระบวนการนี้จะช่วยให้มั่นใจว่าการเข้าถึงนั้นถูกควบคุมแบบไดนามิกและสอดคล้องกับความเสี่ยงแบบเรียลไทม์

ZTNA ภายในเฟรมเวิร์ก SASE

ZTNA มักถูกนำมาปรับใช้เป็นองค์ประกอบสำคัญภายในสถาปัตยกรรม Secure Access Service Edge (SASE) ในภาพรวมที่กว้างขึ้น SASE ผสมผสานทั้งเรื่องประสิทธิภาพของเครือข่ายและเครื่องมือรักษาความปลอดภัยเข้าไว้ในโซลูชันเดียวกัน มันถูกออกแบบมาเพื่อรองรับวิธีการทำงานในปัจจุบันของพวกเรา : จากระยะไกล จากอุปกรณ์อื่น ๆ และด้วยการใช้แอปบนคลาวด์

ZTNA เกี่ยวข้องอย่างไรในเฟรมเวิร์ก SASE

SASE เป็นสถาปัตยกรรมแบบคลาวด์ที่ประสานฟังก์ชันด้านเครือข่ายและการรักษาความปลอดภัยเข้าด้วยกัน ประกอบด้วย Software-defined wide area networks (SD-WAN), Secure web gateways (SWG), Cloud access security brokers (CASB), Firewall-as-a-Service (FWaaS) และ ZTNA ไว้ในบริการเดียวกัน

ภายในเฟรมเวิร์กนี้ ZTNA จะจัดการควบคุมการเข้าถึงอย่างปลอดภัย เพื่อให้มั่นใจว่าจะมีเฉพาะผู้ใช้งานและอุปกรณ์ที่ผ่านการยืนยันตัวตนและได้รับอนุญาตเท่านั้นที่จะสามารถเข้าถึงแอปพลิเคชันหรือทรัพยากรที่กำหนดเอาไว้ได้ ส่วนประกอบอื่น ๆ ของ SASE จะเน้นไปที่การปกป้องทราฟฟิคเว็บไซต์ กรองเนื้อหา หรือบังคับใช้นโยบายเครือข่ายที่กว้างขึ้น

ZTNA vs. VPN สำหรับองค์กร

เครือข่ายส่วนตัวเสมือน (VPN) สำหรับองค์กร (แตกต่างจาก VPN สำหรับผู้บริโภค อย่าง ExpressVPN) เป็นมาตรฐานที่พึ่งพาได้มานานหลายทศวรรษแล้ว VPN นั้นใช้งานง่าย รองรับอุปกรณ์หลากหลาย และผู้ใช้งานส่วนใหญ่ก็มีความคุ้นเคย VPN มักเป็นตัวเลือกที่คุ้มค่าสำหรับองค์กรขนาดเล็ก และยังคงเหมาะสมกับสถานการณ์ที่ผู้ใช้จำเป็นต้องเข้าถึงเครือข่ายในวงกว้าง เช่น เจ้าหน้าที่ไอทีที่ต้องจัดการโครงสร้างพื้นฐาน หรือพนักงานที่ต้องทำงานกับระบบเก่า ๆ ซึ่งไม่สามารถแบ่งส่วนการเข้าถึงแยกเป็นรายแอปพลิเคชันได้ง่าย ๆ

ในขณะเดียวกัน VPN สำหรับองค์กรจะส่งข้อมูลผ่านเกทเวย์แบบรวมศูนย์ซึ่งอาจทำให้เกิดเวลาแฝง โดยเฉพาะเมื่อผู้ใช้งานเข้าถึงแอปพลิเคชันบนคลาวด์หรือซอฟต์แวร์ในรูปแบบบริการ (SaaS) ที่อยู่นอกเครือข่ายขององค์กร มันมักจะมอบสิทธิ์ในการเข้าถึงเครือข่ายที่กว้างกว่าเมื่อผู้ใช้งานผ่านการยืนยันตัวตนแล้ว ซึ่งก็จะเพิ่มโอกาสที่ข้อมูลจะรั่วไหลถ้าอุปกรณ์หรือข้อมูลการเข้าสู่ระบบถูกละเมิด บางครั้งองค์กรจะป้องกันความเสี่ยงเหล่านี้ด้วยวิธี อย่างเช่น การอนุญาต IP หรือการแบ่งส่วนเครือข่าย แต่สิ่งเหล่านี้ก็สามารถปรับขนาดได้ยาก

ZTNA จัดการกับการเข้าถึงจากระยะไกลในรูปแบบที่แตกต่างออกไป แทนที่จะเชื่อมต่อผู้ใช้งานกับทั้งเครือข่าย มันจะเชื่อมต่อผู้ใช้งานโดยตรงไปยังแอปพลิเคชันที่ต้องการผ่านตัวกลางการเข้าถึงทั้งแบบบนคลาวด์และแบบภายในพื้นที่ สิ่งนี้ช่วยเพิ่มประสิทธิภาพเมื่อเข้าถึงทรัพยากรที่กระจายอยู่ตามที่ต่าง ๆ และช่วยให้ควบคุมการเข้าถึงได้อย่างละเอียดมากขึ้น ผ่านการบังคับใช้นโยบายโดยการอ้างอิงจากตัวตนของผู้ใช้งานและระดับความปลอดภัยของอุปกรณ์ โซลูชัน ZTNA โดยทั่วไปยังสามารถปรับขนาดได้ง่ายกว่า เนื่องจากรูปแบบที่ให้บริการผ่านคลาวด์ช่วยให้นโยบายและการตรวจสอบสามารถติดตามผู้ใช้และภาระงานไปได้ทุกที่ ทุกเวลา

ในทางปฏิบัติ องค์กรส่วนใหญ่จะเลือกใช้ทั้งสองสิ่ง : VPN สำหรับแอปพลิเคชันเก่า ๆ และความต้องการเข้าถึงเครือข่ายอย่างเต็มรูปแบบ กับ ZTNA สำหรับสภาพแวดล้อมแบบคลาวด์ในยุคปัจจุบันซึ่งต้องการการควบคุมที่ปรับขนาดได้และมีความละเอียดกว่า

ZTNA vs. การควบคุมสิทธิ์ในการเข้าถึงระบบเครือข่าย (NAC)

ZTNA และ NAC ต่างก็จัดการการเข้าถึงระบบของคุณ แต่จะมีความแตกต่างกันอย่างมีนัยสำคัญในด้านของวิธีและเวลาที่บังคับใช้การควบคุม

NAC จะตรวจสอบอุปกรณ์เมื่อเชื่อมต่อกับเครือข่ายเป็นครั้งแรก โดยมักจะใช้ agent หรือฮาร์ดแวร์ท้องถิ่น เมื่ออุปกรณ์ผ่านการตรวจสอบแล้ว ก็มักจะได้รับสิทธิ์การเข้าถึงอย่างกว้างขวาง ในขณะที่ NAC อาจจะพยายามตรวจสอบหรือจำกัดพฤติกรรมของอุปกรณ์หลังจากที่อนุญาตให้เข้าถึงในครั้งแรกแล้ว แต่การควบคุมนี้ก็ทำได้จำกัด นี่ถือเป็นความเสี่ยงถ้าอุปกรณ์หรือผู้ใช้งานถูกละเมิดหลังจากที่ผ่านการตรวจสอบในตอนแรกแล้ว

NAC นั้นตั้งค่าและปรับขนาดได้ยากกว่า โดยเฉพาะอย่างยิ่งสำหรับที่ทำงานระยะไกลหรือสภาพแวดล้อมแบบคลาวด์ เพราะว่า NAC มักจะต้องพึ่งพาฮาร์ดแวร์หรือซอฟต์แวร์ที่เชื่อมโยงอยู่กับเครือข่ายเฉพาะ ทำให้เป็นเรื่องยากที่จะบังคับใช้นโยบายอย่างสม่ำเสมอกับตำแหน่งที่มีความหลากหลายหรือตำแหน่งบนคลาวด์

ในขณะที่ ZTNA จะเน้นไปยังแอปพลิเคชันแต่ละตัวแทนที่จะเป็นทั้งเครือข่าย สิทธิ์การเข้าถึงจะขึ้นกับผู้ใช้งานและอุปกรณ์ของพวกเขาไว้วางใจได้หรือไม่ มันมีความแม่นยำกว่าและจัดการบนคลาวด์ได้ง่าย

ประโยชน์ของการใช้งาน ZTNA

เมื่อนำมาใช้งานร่วมกับ กลยุทธ์ zero trust ในภาพรวมที่กว้างขึ้น ZTNA จะช่วยสนับสนุนเสาหลักหลายด้านจากทั้งหมด เจ็ดเสาหลักของการรักษาความปลอดภัยแบบ zero trust ซึ่งช่วยให้คุณได้รับประโยชน์ต่าง ๆ เช่น :

การรักษาความปลอดภัยการเข้าถึงจากระยะไกลที่ดียิ่งขึ้น

ZTNA ปกป้องการเข้าถึงจากระยะไกลด้วยการตรวจสอบทั้งตัวตนของผู้ใช้งานและระดับความปลอดภัยของอุปกรณ์ก่อนที่จะมอบสิทธิ์การเข้าถึงให้ แทนที่จะมอบความไว้วางใจให้โดยอ้างอิงจากตำแหน่งเครือข่าย ZTNA จะประเมินความเสี่ยงของเซสชันอย่างต่อเนื่องแบบเรียลไทม์ เป็นการลดโอกาสการเข้าถึงที่ไม่ได้รับอนุญาตซึ่งเกิดจากการละเมิดหรืออุปกรณ์ปลายทางที่ไม่เป็นไปตามข้อกำหนด

การเข้าถึงสภาพแวดล้อมแบบ multicloud และ hybrid

ZTNA ทำงานโดยไม่ขึ้นกับตำแหน่งของเครือข่าย ทำให้มันเหมาะสมอย่างยิ่งสำหรับสภาพแวดล้อมที่ครอบคลุมทั้งบริการแบบคลาวด์, โครงสร้างพื้นฐานในพื้นที่ และบุคลากรที่ทำงานจากระยะไกล การเข้าถึงจะถูกควบคุมโดยนโยบายแบบไดนามิกที่ถูกผูกกับตัวตนของผู้ใช้งาน ระดับความปลอดภัยของอุปกรณ์ และบริบท ทำให้สามารถบังคับใช้ในสภาพแวดล้อมที่หลากหลายมากยิ่งขึ้น

ลดความเสี่ยงจากบุคคลที่สามและบุคคลภายใน

ZTNA จะมอบสิทธิ์การเข้าถึงขั้นต่ำที่สุด เพื่อช่วยให้มั่นใจว่าผู้ใช้งานนั้น (รวมถึง ผู้รับเหมา เวนเดอร์ หรือพนักงานภายใน) จะสามารถเข้าถึงได้เฉพาะทรัพยากรที่พวกเขาต้องใช้เท่านั้น นี่จะจำกัดการรั่วไหลที่อาจเกิดขึ้นจากบัญชีที่ถูกละเมิดหรือบุคคลภายในที่มีเจตนาร้ายด้วยการลดสิ่งที่ผู้ใช้งานคนใดคนหนึ่งสามารถมองเห็นหรือสามารถทำภายในสภาพแวดล้อมได้

ประสบการณ์ของผู้ใช้งานและประสิทธิภาพของแอปพลิเคชันที่ดียิ่งขึ้น

ZTNA จะเชื่อมต่อพนักงานกับแอปพลิเคชันที่พวกเขาได้รับอนุญาตให้ใช้ได้โดยตรง เป็นการเพิ่มความคล่องตัวและลดเวลาแฝง นโยบายรักษาความปลอดภัยจะถูกบังคับใช้ในตำแหน่งที่ใกล้กับผู้ใช้งานมากขึ้น ซึ่งช่วยเพิ่มการตอบสนองและหลีกเลี่ยงความล่าช้าที่เกิดจากการกำหนดเส้นทางข้อมูลผ่านโครงสร้างพื้นฐานแบบรวมศูนย์

ความท้าทายและข้อจำกัดของ ZTNA

ในขณะที่ ZTNA มีประโยชน์ด้านความปลอดภัยมากมาย แต่องค์กรก็ยังคงต้องเผชิญกับความท้าทายในการเลือกใช้งานและจัดการกับโซลูชันเหล่านี้

ความกังวลด้านประสิทธิภาพและเวลาแฝง

การตรวจสอบความปลอดภัยและการบังคับใช้นโยบายของ ZTNA อาจทำให้เกิดเวลาแฝงได้ในบางครั้ง โดยเฉพาะอย่างยิ่งถ้าโซลูชันกำหนดเส้นทางผ่านไปยังเกทเวย์แบบคลาวด์หรือใช้ขั้นตอนการยืนยันหลายขั้นตอน การจะทำให้ผู้ใช้งานได้รับประสบการณ์ที่ราบรื่น จำเป็นต้องมีสถาปัตยกรรมเครือข่ายและการปรับแต่งอย่างรอบคอบ เพื่อสร้างสมดุลระหว่างความปลอดภัยและประสิทธิภาพ

การใช้งานร่วมกับระบบเก่า

การใช้งาน ZTNA ร่วมกับโครงสร้างพื้นฐานแบบเก่าที่มีอยู่แล้วนั้นอาจมีความซับซ้อน แอปพลิเคชันและระบบเก่า ๆ อาจไม่รองรับการยืนยันตัวตนในรูปแบบปัจจุบัน หรืออาจต้องทำการดัดแปลง ซึ่งก็จะทำให้การใช้งาน ZTNA อย่างเต็มรูปแบบมีความท้าทายมากยิ่งขึ้นในสภาพแวดล้อมที่มีเทคโนโลยีที่ล้าสมัยหรือมีความหลากหลาย

ความซับซ้อนด้านตัวตนและนโยบาย

ZTNA พึ่งพาการตรวจสอบยืนยันตัวตนอย่างละเอียดและการบังคับใช้นโยบายแบบไดนามิกเป็นอย่างสูง การสร้าง จัดการ และอัปเดตนโยบายการเข้าถึงที่มีความละเอียดอย่างต่อเนื่องนั้นอาจกลายเป็นเรื่องที่ต้องใช้ทรัพยากรเยอะและเป็นงานจัดการที่ต้องอาศัยทักษะเฉพาะทางเพื่อหลีกเลี่ยงช่องโหว่หรือการจำกัดการเข้าถึงที่มากเกินไป

กรณีการใช้งานสำหรับการเข้าถึงเครือข่ายแบบ zero trust

นี่เป็นสาเหตุที่พบเห็นได้บ่อยว่าทำไมองค์กรสมัยใหม่ถึงเลือกใช้ ZTNA

• ปกป้องการเข้าถึงสำหรับบุคลากรจากระยะไกลและแบบ hybrid : ZTNA เป็นตัวเลือกที่ เหมาะมากสำหรับสภาพแวดล้อมการทำงานจากระยะไกลและแบบ hybrid เพราะว่ามันจะบังคับนโยบายการเข้าถึงโดยอ้างอิงจากตัวตนของผู้ใช้งาน ความปลอดภัยของอุปกรณ์ และบริบท ทำให้ได้รับการป้องกันที่สม่ำเสมอไม่ว่าผู้ใช้งานจะเชื่อมต่อจากที่ไหนหรือทรัพยากรจะอยู่ที่ไหนก็ตาม
• การรวมระบบหลังการควบรวมกิจการและการทำงานร่วมกับพันธมิตร : ZTNA ช่วยให้การรวมระบบไอทีหลังการควบรวมกิจการและการทำงานร่วมกับพันธมิตรทำได้รวดเร็วยิ่งขึ้น โดยการให้สิทธิ์เข้าถึงแอปพลิเคชันภายในได้อย่างปลอดภัย ง่ายดาย และทันที โดยไม่ต้องเปิดเผยทั้งเครือข่าย
• การปฏิบัติตามข้อกำหนดและความพร้อมสำหรับการตรวจสอบ : การควบคุมการเข้าถึงที่ละเอียดและการจัดเก็บข้อมูลการใช้งานแบบรวมศูนย์จะช่วยให้องค์กรปฏิบัติตามกฎข้อกำหนดและช่วยให้การตรวจสอบเป็นไปได้ง่ายขึ้น ด้วยการแสดงให้เห็นว่าใครเข้าถึงอะไร เมื่อไร และจากที่ไหน ZTNA ทำงานร่วมกับเครื่องมือปกป้องข้อมูลบนคลาวด์ได้อย่างราบรื่นเพื่อบังคับใช้นโยบายเหล่านี้โดยตรง ช่วยให้ระบบของคุณปฏิบัติตามข้อกำหนดในสถานที่ต่าง ๆ โดยไม่เพิ่มภาระงานให้กับทีมไอที

วิธีเลือกโซลูชัน ZTNA

การเลือกโซลูชัน ZTNA ที่เหมาะสมนั้นเป็นปัจจัยสำคัญในการนำการรักษาความปลอดภัยแบบ zero trust มาใช้งานได้สำเร็จ สิ่งนี้จำเป็นต้องมีความสมดุลระหว่างความต้องการด้านความปลอดภัย ความซับซ้อนในการติดตั้งใช้งาน และความง่ายในการใช้งาน พร้อมทั้งต้องมั่นใจว่าโซลูชันดังกล่าวสอดคล้องกับสภาพแวดล้อมและเป้าหมายขององค์กรของคุณด้วย

เกณฑ์การประเมินเวนเดอร์ผู้ให้บริการ ZTNA

ในการประเมินเวนเดอร์ ZTNA ให้คำนึงถึงปัจจัยต่าง ๆ เหล่านี้

• ตัวเลือกการติดตั้งใช้งานที่ยืดหยุ่น : มองหาโซลูชันที่ใช้งานกับโครงสร้างพื้นฐานของคุณได้ทั้งหมด ไม่ว่าจะเป็นในส่วนของคลาวด์ ในพื้นที่จริง หรือทั้งแบบผสมก็ตาม มันควรจะสามารถจัดการทราฟฟิคเครือข่ายรูปแบบต่าง ๆ ได้ และปรับตัวตามการเติบโตขององค์กรของคุณได้
• ความเข้ากันได้กับอุปกรณ์ : บางแพลตฟอร์มจำเป็นต้องติดตั้งซอฟต์แวร์บนอุปกรณ์ของผู้ใช้งานทั้งหมด ซึ่งก็อาจจะเป็นปัญหาได้ถ้าคุณทำงานร่วมกับผู้รับเหมา พาร์ทเนอร์ หรือพนักงานที่ใช้อุปกรณ์ส่วนตัวหรืออุปกรณ์ที่ไม่มีการจัดการ หากเป็นกรณีนี้ ควรตรวจสอบให้แน่ใจว่าแพลตฟอร์มดังกล่าวรองรับการเข้าถึงผ่านเบราว์เซอร์หรือการเข้าถึงแบบไม่ต้องติดตั้ง agent ได้หรือไม่
• รองรับแอปและบริการสำคัญ : ตรวจสอบว่าโซลูชันรองรับแอปและเครื่องมือทั้งหมดที่ทีมของคุณใช้งานหรือไม่ อย่างเช่น เว็บแอปภายใน เครื่องมือ remote desktop หรือระบบแชร์ไฟล์ การรองรับที่จำกัดอาจทำให้คนยอมรับและใช้งานกันช้าลง และก็อาจเกิดการสร้างวิธีแก้ที่ทำให้การรักษาความปลอดภัยอ่อนแอลง
• การบันทึกข้อมูลและการมองเห็น : โซลูชันที่ดีควรจะมีบันทึกอย่างละเอียดว่าใครเข้าถึงอะไร เมื่อไร และจากที่ไหน สิ่งนี้จะช่วยเฝ้าระวัง ตรวจสอบ และสืบสวน และก็เป็นสิ่งจำเป็นสำหรับการปฏิบัติตามข้อกำหนด
• การขยายขนาดและประสิทธิภาพ : แพลตฟอร์มควรจะมอบการเข้าถึงที่เชื่อถือได้สำหรับแอปพลิเคชันไม่ว่าผู้ใช้งานจะอยู่ที่ไหนหรือทีมของคุณจะมีขนาดใหญ่ขึ้นเท่าไรก็ตาม หลีกเลี่ยงโซลูชันที่ยิ่งใช้ไปเรื่อย ๆ แล้วยิ่งช้าลงหรือให้บริการผู้ใช้งานที่อยู่ในภูมิภาคอื่น ๆ ได้ไม่ดีเท่าที่ควร
• ความลึกซึ้งด้านการรักษาความปลอดภัย : มองหาอะไรที่มากกว่าการควบคุมการเข้าถึงขั้นพื้นฐาน โซลูชัน ZTNA ที่แข็งแกร่งควรจะต้องจำกัดสิ่งที่ผู้ใช้งานสามารถมองเห็นและทำได้โดยอ้างอิงจากหน้าที่ของพวกเขาและมีการตรวจสอบใหม่อย่างต่อเนื่องว่าสิทธิ์การเข้าถึงยังควรได้รับอนุญาตอยู่หรือไม่ บวกคะแนนให้พิเศษถ้ามันใช้งานร่วมกับเครื่องมือรักษาความปลอดภัยอื่น ๆ ที่คุณใช้เพื่อปกป้องข้อมูลและตรวจสอบพฤติกรรมของผู้ใช้งานอยู่แล้ว

ธงแดงที่ควรระวังจากแพลตฟอร์ม ZTNA

คุณควรจะระวังแพลตฟอร์ม ZTNA ที่ :

• พึ่งพาตำแหน่งเครือข่ายมากจนเกินไป : การมอบหรือปฏิเสธการเข้าถึงโดยอ้างอิงจากที่อยู่ IP, การแบ่งส่วนเครือข่าย หรือตำแหน่งทางกายภาพ หมายความว่าโซลูชันนั้นไม่ใช่แบบ zero trust ที่แท้จริง การเข้าถึงนั้นควรจะอ้างอิงจากตัวตน สุขภาพของอุปกรณ์ และบริบทแทน
• รองรับแค่บางโปรโตคอลหรือแอปพลิเคชัน : ถ้าแพลตฟอร์มปกป้องเฉพาะแอปที่ทำงานบนเบราว์เซอร์ และไม่สามารถรองรับระบบเก่า ๆ หรือโปรโตคอลอย่าง Secure Shell (SSH) หรือ Remote Desktop Protocol (RDP) ได้โดยไม่ต้องมีวิธีแก้ที่ซับซ้อน มันก็อาจจะไม่เหมาะกับความต้องการของคุณ
• ขาดการเฝ้าระวังเซสชันหรือการตรวจสอบความไว้วางใจอย่างต่อเนื่อง : โซลูชันที่ตรวจสอบยืนยันตัวตนเฉพาะตอนเริ่มเซสชัน และไม่มีการประเมินความเสี่ยงอย่างต่อเนื่องอาจทำให้เกิดช่องโหว่ในการรักษาความปลอดภัยซึ่งอาจถูกผู้โจมตีนำไปใช้ประโยชน์ได้
• ต้องติดตั้งซอฟต์แวร์ตัวเต็มบนอุปกรณ์ทุกเครื่อง : แพลตฟอร์มที่ต้องใช้ซอฟต์แวร์บนอุปกรณ์ปลายทางทั้งหมดอาจรองรับอุปกรณ์ที่ไม่มีการจัดการหรืออุปกรณ์ส่วนตัวได้ไม่ดีนัก และจำกัดความยืดหยุ่นในการทำงานของบุคลากรจากระยะไกลหรือบุคคลที่สามอื่น ๆ
• ต้องจัดการนโยบายเอง : ถ้าการระบุหรืออัปเดตนโยบายการเข้าถึงเป็นเรื่องยาก ใช้เวลาเยอะ หรือต้องมีการเขียนโค้ดแบบปรับแต่งเอง ระบบนี้ก็อาจจะจัดการได้ยากถ้าองค์กรของคุณมีขนาดใหญ่ขึ้น
• มีการบันทึกหรือรายงานที่น้อย : ถ้าไม่มีการบันทึกอย่างละเอียดรวมถึงสิทธิ์ในการมองเห็น ก็จะเกิดความท้าทายในด้านการตรวจสอบ การปฏิบัติตามข้อกำหนด และการตอบสนองต่อภัยคุกคาม
• สร้างการผูกขาดของเวนเดอร์ : แพลตฟอร์มที่ไม่สามารถใช้งานร่วมกับระบบเกี่ยวกับตัวตน เครื่องมืออุปกรณ์ปลายทาง หรือเวิร์กโฟลว์การปกป้องข้อมูลที่มีอยู่แล้วของคุณได้อย่างราบรื่นจะจำกัดความยืดหยุ่นและเพิ่มค่าใช้จ่าย

คำถามที่พบบ่อย : คำถามที่พบบ่อยเกี่ยวกับเครือข่ายแบบ zero trust