Zero Trust Seminar2. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
چالشی پرسش:
•است؟ تر صحیح جمله کدام
• 1- If there is NO Trust, there is NO Security.
• 2- NEVER Trust, ALWAYS Verify!
3. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
امنیت معماری قدیمی مدل
•شد می تقسیم بد و خوب آدمهای به دنیا.TrustوUntrust
4. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Trust, but verify
•رونالدریگانحین در
بین سرد جنگ مذاکرات
جمله شوروی و آمریکا
معروف
Trust, but Verify
برد بکار را.است جالب
ریشه جمله این که بدانید
ضرب یک درالمثلروسی
دارد قدیمی!
•اساس جمله این حال هر در
شد سایبری امنیت معماری.
5. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
گسترش باCloudوMobile Appمدل دیگر ها
نیست پاسخگو قدیمی.
6. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
های شبکه درZero Trustاعتماد چیزهایی چه به
نداریم؟
7. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
مدلازچراTraditional SecurityبهZero Trustایم؟ سیدهر
•محور بر ما تفکر اساس گذشته در“good guys”
و“bad guys”روی کردن هزینه با همیشه و بوده
FirewallوVPNوWeb Gatewayکردیم سعی ها
کنیم جدا هم از را آنها.
•شوند می تر بزرگ و بزرگ روز هر سازمانها.
یابد می افزایش کارمندان تعداد.تعدادapp
شود می بیشتر سازمانها های.سمت به سازمانها
Cloudکنند می حرکت.تجهیزاتIoTبروز روز
یابند می گسترش.
•دفاع دیواره بر بروز روز ترتیب این به
می ایجاد عمیقتری سوراخهای سازمانها سایبری
شود!به نیاز هم ما وضعیت این ادامه با
سایبری دفاع برای بیشتری انسانی نیروی
داریم.،بیشتر های تکنولوژی ،بیشتر نیروی
8. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Identity is the number-one attack vector you face
•از گزارشی طبقVerizon،4از مورد5
علت به سازمانها اطالعات بزرگ سرقت
در ضعفPasswordیا وPasswordپیش
است بوده فرض.
•از دیگری گزارش به بناForresterضعف ،
درIdentityعامل80از درصدسرقتهای
است اطالعات.
•شما ،تر ساده زبان بههرچقدرسیم
خاردارهایبلندتر را خود خانه دوره
خود های پنجره روی و کنید میجداره
کنید می نصب بیشتری امنیتی های
13. از انبوهیDBبدون حتی و دسترس در های
Password
(نیستند کم متاسفانه هم ایران در)!
"MongoDB Server Information" port:27017 -authentication
21. Tesla PowerPack Charging Status
http.title:"Tesla PowerPack System" http.component:"d3" -ga3ca4f2
http://199.76.14.229:1311/
27. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
•نیست امنیتی های نیازمندی پاسخگوی فعلی مدل پس.
•سال در2016شخصی اطالعات ،حادثه یک در10میلیون
چند پی در و رفت لو آمریکاییکمیته ،مشابه حادثه
ایاالت نمایندگان مجلسبه کرد توصیه شرکتها به متحده
مدلZero Trustکنند مهاجرت.
•توسط اطالعات نشت حوادث سوم یک ،آمار اساس بر
کارمندانیکه شده انجامTrustedاند بوده.
•Bad guys are already in our network
•مدل در لذاZero Trustبهداخلی کاربرانبیشتری اعتماد
نسبتخارجی کاربرانوجودندارد!
28. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
•تفکر ،موجود تجارب به توجه باCyber Securityاز باید
مدل
“trust, but verify”
مدل به
“never trust, always verify.”
یابد تغییر
29. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
مدل سازی پیاده برای عملی گام چهار
Zero Trust
•Verify the user
Passwordاز آن کنار در باید نیست کافیMFAاستفاده
کرد.
•Validate the device
کرده اطالعات به دسترسی درخواست دستگاهی چه از کاربر
است؟
•Limit access and privilege.
کارهایشان انجام برای کاربران به را ها دسترسی حداقل
بدهید آنها به.
•Learn and adapt
بر نظارتعمکردمصنوعی هوش از گیری بهره با کاربران
وMachin Learning.یک از دارد تالش کاربر مثالLocation
سیستم به مجاز غیرLoginکند.
30. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
رو پیش چالش
•از تجهیزات اقسام و انواع وجود باوندورهایمتفاوت
توانیم می چگونهمفهمومZero Trustپیاده شبکه در را
کنیم؟ سازی
31. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
سازی پیاده در گوگل تجربهZero Trust
▪سالاز خودداخلیشبکه یمعمار در گوگل2015
مدلZero Trustاساس بر و کرده یساز پیادهار
نقطه هر از دهد می هزاجا خود مندانرکابهآن
از استفادهبه نیازنبدواینترنت درVPNبه
بصورت وشوند متصلگوگل در خود های هژپرو
کنندپیدا ی دسترس آنهابهداینامیک.ناکنو
به دنیامختلف نقاطزاگوگلمهندسانرازه
گوگل هاداخلی سیستمبه امنروشاین
کنند میپیدا ی دسترس.
مدلاینZero Trustکرده یساز پیادهارآنگوگلکهBeyondCorpدردانام.
▪مدل باBeyondCorp،بهینیازVPNیرفناو ،حال عین در ونیستSSOایربصحنهپشت در ار ها ی دسترسمدیریت
اعمال و دهدمیانجامانربرکاPolicyشوندمی اعمالی دسترس لکنترموتوریکتوسطنیزداینامیک های.
▪نماییداجعهرم شدهیانداز اهر گوگلتوسطکه هژپرواین سایتبهتوانید میبیشتراطالعاتایرب:
https://www.beyondcorp.com
32. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Access ManagementدرZero Trust
Traditional access management Next-Gen Access Management
User/Password • SSO (Single Sign On)
• MFA
• Enterprise mobility management
(EMM)
• Privileged access management (PAM)
• User behavior analytics (UBA)
باشیم بررکا اعصاباقبرم!
داشتنخواهد خوبیاحساس بررکابخواهیم دوم مزر بررکا ازلحظهبهلحظهبخواهیمامنیت بخاطراگر.
99از بررکامواقع صدردLocationی مشخصسیستمبهی مشخص مانز در وی مشخصLoginمیکند.اینربناب
ترکیب باMFAوUBAوSSOبدوم مزر بررکااز مشکوک فتارر مشاهدهیاتغییر صورت در تنهامیتوانیمپرسیم
33. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Single Sign-On
یک به فقط شما شبکه منابع و افزارها نرم به دسترسی اگر
User/Passاست شکننده شدت به شما امنیت است بند!
با دائم ندارند عالقه سازمان کاربران طرفی از2FAیا و
MFAشوند مواجه.Adminبخاطر ندارند عالقه هم ها
بیایند کوتاه امنیت از کاربران نارضایتی.
راهکاراز استفاده چالش اینSSOاست.
بنام انجمنی منظور این برایFIDOبوجودتا است آمده
کننده تسهیلAuthenticationباشد.
https://fidoalliance.org/
36. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
های سیستم سازی یکپارچه استانداردهایSSO
•برای متعددی های سیستمSSOرود می بکار و شده ساخته.
برایIntegrateاین کردنSSOیکدیگر با ها
استانداردهاییجمله از است شده ایجاد:
38. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
First Registrations: OpenID Connect Self-Certifications
39. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Global Cross-Sector Leadership: Next Wave of Registrants
40. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Retail
Enterprise
Data Services
SaaS
Consulting Services
Banking
Government
Telcos
41. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
•ایدهاستارتاپیبرایایران
بومی سرویس ارائهIDaaS
42. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
کاربرد از زیبا ای نمونهSSOکمک به
Centrify
دمویCentrify
44. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
و مصنوعی هوشMachin LearningدرNext Gen
Access
•میشود کنترل مصنوعی هوش توسط کاربران رفتار.اینکه
معموال جغرافیایی موقعیت کدام از و ساعتی چه در کاربر
میدهد انجام چگونه را کاری چه.
•بالفاصله دهد نشان خود از مشکوک رفتار کاربر چنانچه
یکRed Flagاثر با میشود مجبور کاربر و شده ایجاد
یا انگشتPin codeکند تصدیق را خود هویت مجددا.
•به بسته مشکوک موارد درPolicyکاربر دسترسی توان می ها
کرد قطع را.
45. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Validating Every Device
•معماری درZero Trustبر عالوهاعتبارسنجیاعتبار ،کاربر
سنجیDeviceهمالزاماشود انجام باید.
•ConseptاصلیZero Trustاست شده استوار جمله این بر:
• You cannot trust that a user is who he says he is just because he
has the correct password to access your network.
•
46. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
روی کنترلهایی چهDeviceمیشود؟ انجام
•آیاCertificateروی کاربر انحصاریDeviceاست؟ شده نصب
•آیاDeviceکاربرjailbrokenاست؟ شده
•آیاPolicyروی سازمان هایDeviceاست؟ شده انجاممواردی
مثلDisk Encryption،Virus ProtectionوPatch Management
•بنام داریم ابزاری به نیاز کار این برای
•Enterprise Mobility Management (EMM)
•
47. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
قابلیتهایEnterprise Mobility Management (EMM)
•صدها متمرکز مدیریتDeviceکنسول یک از متحرک
•برخی اعمالPolicyمثل امنیتی هایLockشدنDeviceاز بعد
مشخص زمان مدت
•Encryptسازی ذخیره فضای کردنDevice
•Forceاز استفاده کردنPin codeمشخص مکانهای در
•دور راه از افزار نرم حذف یا نصب
•مدیریت و نصبPatchدور راه از ها
•LockکردنDeviceتوسط دور راه ازAdmin
•WipeکردنDeviceنیاز صورت در دور راه از
49. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
Mobile Application Managment
•بصورت ها افزار نرم نصبSelf Serviceاز کاربران توسط
App Storeسازمان اختصاصی
•بصورت کاربر برای امنیتی هشدارهای ارسال امکانReal
Time
•سازی فعال امکانMFAبرخی برایApplicationها
•به کاربر دسترسی حذفAppیک با ضروری مواقع در ها
توسط کلیدAdmin
•افزارهای نرم فقط اینکه از اطمینانAuthorizeنصب شده
شوند می استفاده و شده.
•و افزارها نرم اتوماتیک نصبUpdateها
50. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
چهارم گام:Limiting Access and Privilege
•به کاربر های دسترسی باید ،پیشین موارد بر عالوه
حداقلهایشود محدود کارهایش انجام برای نیاز مورد.
•درصورت بدهیم دسترسی نیازش از بیش کاربری به اگر
ما های سیستم از بیشتری بخش ،او به امنیتی آسیب بروز
بود خواهند آسیب معرض در.
51. معماری سمینارZero Trustفر کیائی علی-مدبران شرکت توسعه و تحقیق مدیر
آبان98
@Kiaeifar
If there is NO Trust, there is NO Security.
NEVER Trust, ALWAYS Verify!