शून्य विश्वास एक उच्च स्तरीय रणनीति है जो मानती है कि बाहरी और आंतरिक दोनों तरह से कंपनी के संसाधनों तक पहुंचने का प्रयास करने वाले व्यक्तियों, उपकरणों और सेवाओं पर स्वचालित रूप से भरोसा नहीं किया जा सकता है। यह दृष्टिकोण लोकप्रिय हो गया है क्योंकि यह आधुनिक हमले की सतह से जुड़े जोखिम को संबोधित करता है। हालाँकि, विभिन्न डेटा स्रोतों को एक साथ जोड़ना और जोखिम को कम करने के लिए संदर्भ बनाना कोई सरल प्रस्ताव नहीं है।
इस रास्ते पर चलने वाले उद्यम अक्सर कुछ प्रमुख क्षेत्रों के साथ संघर्ष करते हैं, जिसमें संगठन द्वारा उपयोग की जाने वाली समग्र बुनियादी ढांचे और सेवाओं की दृश्यता की कमी भी शामिल है। अब साधारण बुनियादी ढांचे जैसी कोई चीज नहीं रह गई है। डिजिटल परिवर्तन, SaaS को अपनाना, दूरदराज के काम, परिचालन प्रौद्योगिकी, तृतीय-पक्ष सेवाएँ, और डेटा विनिमय सभी ने कहीं अधिक जटिल हमले की सतह को जन्म दिया है।
संगठन अक्सर अपने शून्य विश्वास कार्यक्रम को प्रमाणीकरण पर केंद्रित करते हैं, लेकिन पात्रता और पर्यावरण भी समझने के लिए महत्वपूर्ण हैं। दो-कारक प्रमाणीकरण को लागू करना केवल सतह को खरोंचने जैसा है। एक अविश्वसनीय वातावरण में एक अज्ञात डिवाइस पर 2FA के माध्यम से एक DevOps इंजीनियर को प्रमाणित किए जाने के बारे में क्या कहना है, जिसमें एप्लिकेशन और प्लेटफ़ॉर्म पर आवश्यकता से कहीं अधिक विशेषाधिकार हैं?
पहुंच के सही स्तर के लिए इंजीनियरों को प्रावधान करने और लगातार बदलते परिवेश में उनकी अनुमतियों को लगातार सत्यापित करने की जटिलता के कारण क्लाउड में ओवरएंटाइटलमेंट विशेष रूप से समस्याग्रस्त है। "कभी भरोसा न करें, हमेशा सत्यापित करें" की मूल अवधारणा न केवल उपयोगकर्ता के लिए, बल्कि उनके द्वारा उपयोग की जाने वाली संपत्तियों और उनके लिए भी सच है पहुंच वे एक बार प्रमाणित कर चुके हैं.
कार्य में शून्य विश्वास लाना
जब ठीक से लागू किया जाता है, तो मल्टीफैक्टर प्रमाणीकरण और अन्य शून्य विश्वास प्रमाणीकरण क्षमताओं को सुरक्षा में वृद्धि करनी चाहिए, बाधा नहीं। उपयोगकर्ता अनुभव को सत्यापन प्रक्रिया को सुव्यवस्थित करना चाहिए और फिर उपयोगकर्ता को मार्गदर्शन करना चाहिए कि उनके लिए कौन सी सेवाएँ उपलब्ध हैं।
संपत्ति के नजरिए से, यह महत्वपूर्ण है कि संगठनों को हमले के अग्रणी और अनुवर्ती दोनों संकेतकों की समझ हो - उदाहरण के लिए, यह जानना कि सिस्टम कितना सुरक्षित है और क्या कोई संकेत है कि सुरक्षा के उस स्तर से समझौता किया गया है। यह जानना कि कोई संपत्ति कितनी उजागर है, खासकर जब इसका उपयोग सेवाओं तक पहुंचने के लिए किया जा रहा हो, हमेशा सत्यापन की प्रक्रिया का हिस्सा होना चाहिए।
तेजी से जटिल और व्यापक सुरक्षा ढांचे के भीतर, कोई भी ऐसा समाधान नहीं है जो शून्य विश्वास प्रदान करता हो। हालाँकि, कुछ तकनीकें हैं जो शून्य विश्वास दृष्टिकोण के साथ उत्पन्न होने वाली चुनौतियों पर काबू पाने में मदद कर सकती हैं।
1. डेटा लेक और एपीआई को जोड़ें
ऐसे कुछ उपकरण हैं जो क्लाउड द्वारा लाई जाने वाली अराजकता को प्रबंधित करने में मदद करते हैं। डेटा लेक समाधानों ने अलग-अलग डेटा स्रोतों को एक एकीकृत दृश्य में आसवित करने की प्रक्रिया को सरल बना दिया है। लेकिन डेटा झीलों के तटों पर प्रतीक्षा करना डेटा-एकत्रित करने वाली दुनिया का कार्यक्षेत्र है - सर्वव्यापी और उपयोगी एपीआई। एपीआई प्लेटफ़ॉर्म आर्किटेक्ट्स के लिए महत्वपूर्ण अंतर्दृष्टि इकट्ठा करना और उन्हें स्वचालित विश्लेषण के लिए डेटा लेक में डंप करना बहुत आसान बना रहा है।
डेटा लेक बड़ी मात्रा में लॉग, अलर्ट और अन्य सुरक्षा डेटा के विश्लेषण को केंद्रीकृत और सुव्यवस्थित कर सकता है, जिससे मशीन लर्निंग के उपयोग को कुशलता से पता लगाने और खतरों का जवाब देने में सक्षम बनाया जा सकता है। इस बीच, एपीआई सुरक्षा प्लेटफार्मों के बीच वास्तविक समय डेटा साझा करने की सुविधा प्रदान कर सकता है, जिससे गति और सटीकता बढ़ जाती है खतरे का पता लगाना और प्रतिक्रिया देना. दोनों प्रौद्योगिकियों को कड़े डेटा प्रशासन और सुरक्षा उपायों के पालन के साथ जिम्मेदार उपयोग की आवश्यकता होती है।
2. आक्रमण पथों को अवरुद्ध करें
शून्य विश्वास को लागू करने से, प्रभावित सिस्टम को अलग करने की क्षमता के कारण किसी समझौता की गई संपत्ति या उपयोगकर्ता के डोमेनव्यापी उल्लंघन की संभावना बहुत कम हो जाती है। शून्य विश्वास पार्श्व आंदोलन और विशेषाधिकार वृद्धि को रोक सकता है, यही वह तरीका है जिससे हमलावर रैंसमवेयर हमले करते हैं।
उल्लंघनों को रोकने के लिए, सुरक्षा टीमों को खतरे वाले अभिनेताओं द्वारा समर्थित हमले के रास्तों को तोड़ने पर ध्यान केंद्रित करना चाहिए। ऐसा करने के लिए, टीमों को परिसंपत्तियों पर अंतर्निहित जोखिमों को संबोधित करने की आवश्यकता है, साथ ही शून्य विश्वास कार्यान्वयन में निहित विभाजन और सत्यापन को नियोजित करना होगा। क्लाइंट सिस्टम पर आसानी से उपयोग की जाने वाली ब्राउज़र भेद्यता या स्थानीय विशेषाधिकार वृद्धि समस्या को व्यापक समस्या की ओर ले जाने के बजाय केवल उस एकल संपत्ति को प्रभावित करना चाहिए।
एक ओर विरोधियों द्वारा समर्थित रणनीति पर सक्रिय रूप से ध्यान केंद्रित करना, और दूसरी ओर प्रभावित प्रणालियों का पता लगाने और अलग करने को स्वचालित करना, हमलावर द्वारा उठाए जाने वाले प्रत्येक कदम को अधिक कठिन और महंगा बनाना चाहिए।
3. सही KPI देखें
सही मेट्रिक्स चुनने से इसे अपनाया जा सकता है और शून्य विश्वास से जुड़े मूलभूत नियंत्रणों को क्रियाशील बनाया जा सकता है। मेट्रिक्स किसी भी अच्छे सुरक्षा कार्यक्रम की आधारशिला हैं, जो कवरेज और नियंत्रण के उचित स्तर को सुनिश्चित करते हैं और सुधार के लिए अंतराल और क्षेत्रों की पहचान करते हैं। उदाहरण के लिए, क्लाउड इंफ्रास्ट्रक्चर एंटाइटेलमेंट मैनेजमेंट (सीआईईएम) के मामले में, एक संगठन उन क्लाउड खातों के प्रतिशत को माप सकता है जो परिभाषित नीतियों के अनुपालन के लिए ज्ञात और मूल्यांकन किए गए हैं, या अनुपालन विफलता के लिए प्रतिक्रिया समय को माप सकते हैं।
मेट्रिक्स आम तौर पर नियंत्रण-विशिष्ट होते हैं, इसलिए इसका लाभ उठाना सबसे अच्छा है मौजूदा सर्वोत्तम प्रथाएँ सेंटर फॉर इंटरनेट सिक्योरिटी जैसे संगठनों से। हालाँकि, मेट्रिक्स के साथ सुरक्षा कार्यक्रम की प्रभावशीलता को मापते समय, यह महत्वपूर्ण है कि मेट्रिक्स स्मार्ट (विशिष्ट, मापने योग्य, प्राप्त करने योग्य, प्रासंगिक और समय पर) हों और वांछित परिणामों पर केंद्रित हों। ऐसे कई और कठिन मेट्रिक्स की तुलना में, जिन्हें मापने से हर कोई डरता है, कुछ मेट्रिक्स का होना कहीं अधिक प्रभावी है, जिनमें टीम से व्यापक खरीद-फरोख्त होती है।
जीरो ट्रस्ट आर्किटेक्चर क्लाउड साइबर सुरक्षा के परिदृश्य में एक महत्वपूर्ण प्रवर्तक है, लेकिन इसका कार्यान्वयन सीधा नहीं है। डेटा लेक और एपीआई का रणनीतिक एकीकरण, हमले का पता लगाने और समझौता किए गए सिस्टम को अलग करने के स्वचालन के साथ मिलकर, क्लाउड में सुरक्षा बढ़ाने की कुंजी है। और सटीक मेट्रिक्स को नियोजित करने से सुरक्षा टीमों को शून्य विश्वास को अपनाने से जुड़ी जटिलताओं से निपटने और इसकी पूरी क्षमता को अनलॉक करने में मदद मिलती है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud-security/executing-zero-trust-in-the-cloud-takes-strategy
