जीरो ट्रस्ट सुरक्षा मॉडल नया नहीं है। यह तब से है जब फ़ोरेस्टर रिसर्च के जॉन किंडरवाग ने 2010 में अपना पेपर "नो मोर चेवी सेंटर्स:इंट्रोड्यूसिंग द जीरो ट्रस्ट मॉडल ऑफ़ इंफॉर्मेशन सिक्योरिटी" लिखा था।
ज़ीरो ट्रस्ट दृष्टिकोण इस विश्वास के इर्द-गिर्द केंद्रित है कि किसी भी उपयोगकर्ता या एप्लिकेशन पर स्वाभाविक रूप से भरोसा नहीं किया जाना चाहिए, यहां तक कि उन लोगों पर भी जो पहले से ही नेटवर्क परिधि के अंदर हैं।
साइबर हमले के बढ़ते खतरे से निपटने के लिए Google, कोका-कोला और NSA जैसी बड़ी कंपनियों और संगठनों द्वारा इस विचार को पहले से ही अपनाया जा रहा है। हालांकि, अभी भी इसकी मुख्यधारा को अपनाने में बाधाएं हैं।
ज़ीरो ट्रस्ट सुरक्षा के बारे में मिथक
जीरो-ट्रस्ट मॉडल दृष्टिकोण में संगठनों की रुचि बढ़ने के साथ, ढांचे के बुनियादी सिद्धांतों के बारे में कुछ गलत धारणाएं अपनाने के रास्ते में आ गई हैं। यहां कुछ मिथक हैं जिन पर आपको विश्वास नहीं करना चाहिए।
मिथ वन:ज़ीरो ट्रस्ट अविश्वास की संस्कृति बनाता है
जीरो ट्रस्ट के बारे में एक आम गलत धारणा यह है कि यह आपके कर्मचारियों पर भरोसा न करने के विचार को बढ़ावा देता है। जबकि ज़ीरो ट्रस्ट ढांचे के लिए कंपनियों को अपने नेटवर्क संसाधनों तक पहुँचने वाले उपयोगकर्ताओं की जांच करने की आवश्यकता होती है, इसे कुछ व्यक्तिगत के रूप में गलत नहीं समझा जाना चाहिए।
तथ्य यह है कि ट्रस्ट एक भेद्यता का प्रतिनिधित्व करता है जो आपके संगठन को हमले के जोखिम में डाल सकता है। साइबर अपराधी विशेष रूप से कंपनियों को लक्षित करने के लिए भरोसे का फायदा उठाते हैं, और जीरो ट्रस्ट इसे कम करने का एक तरीका प्रदान करता है। यह सभी को एक इमारत में प्रवेश करने की अनुमति देने के बजाय एक कुंजी कार्ड प्रविष्टि के बराबर है।
कम से कम विशेषाधिकार के सिद्धांत (पीओएलपी) का उपयोग करके, संगठन अपनी थ्रेशोल्ड नीतियों को वैयक्तिकृत कर सकते हैं ताकि उपयोगकर्ताओं को उनके द्वारा अर्जित विश्वास के आधार पर केवल उन संसाधनों तक पहुंच प्रदान की जा सके जिनकी उन्हें आवश्यकता है।
दूसरा मिथक:ज़ीरो ट्रस्ट एक उत्पाद है
जीरो ट्रस्ट एक रणनीति या ढांचा है, उत्पाद नहीं। इसे कभी भी भरोसा न करने और हमेशा सत्यापित करने के विचार के आसपास बनाया गया है।
विक्रेताओं द्वारा पेश किए जाने वाले विभिन्न उत्पाद जीरो ट्रस्ट प्राप्त करने में मदद कर सकते हैं; हालांकि, वे ज़ीरो ट्रस्ट उत्पाद नहीं हैं। वे केवल ऐसे उत्पाद हैं जो ज़ीरो ट्रस्ट के माहौल में अच्छा काम करते हैं। इसलिए, यदि कोई विक्रेता आपसे उनका ज़ीरो ट्रस्ट उत्पाद खरीदने के लिए कहता है, तो यह एक संकेत है कि वे अंतर्निहित अवधारणा को नहीं समझते हैं।
जब ज़ीरो ट्रस्ट आर्किटेक्चर के साथ ठीक से एकीकृत किया जाता है, तो विभिन्न उत्पाद हमले की सतह को प्रभावी ढंग से कम कर सकते हैं और उल्लंघन के मामले में विस्फोट त्रिज्या को शामिल कर सकते हैं। एक बार पूरी तरह से लागू हो जाने के बाद, निरंतर सत्यापन के साथ एक जीरो ट्रस्ट समाधान हमले की सतह को पूरी तरह से समाप्त कर सकता है।
मिथक तीन:जीरो ट्रस्ट को लागू करने का एक ही तरीका है
ज़ीरो ट्रस्ट सुरक्षा सिद्धांतों का एक संग्रह है जिसमें निरंतर सत्यापन, कम से कम विशेषाधिकार पहुंच का सिद्धांत और हमले की सतह को कम करना शामिल है।
पिछले कुछ वर्षों में, जीरो ट्रस्ट मॉडल के साथ शुरुआत करने के लिए दो दृष्टिकोण सामने आए हैं। पहला दृष्टिकोण पहचान से शुरू होता है और इसमें बहु-कारक प्रमाणीकरण शामिल होता है, जो त्वरित परिणाम देता है।
दूसरा दृष्टिकोण नेटवर्क-केंद्रित है और नेटवर्क विभाजन से शुरू होता है। अवधारणा में उन खंडों के भीतर और उनके बीच यातायात को नियंत्रित करने के लिए नेटवर्क खंड बनाना शामिल है। नेटवर्क व्यवस्थापक तब प्रत्येक खंड के लिए अलग प्राधिकरण बनाए रख सकते हैं, इस प्रकार सिस्टम में पार्श्व खतरों के प्रसार को सीमित कर सकते हैं।
मिथ फोर:ज़ीरो ट्रस्ट केवल बड़े उद्यमों की सेवा करता है
Google 2009 में ऑपरेशन ऑरोरा के जवाब में ज़ीरो ट्रस्ट आर्किटेक्चर को तैनात करने वाली पहली कंपनियों में से एक थी। यह Google, Yahoo, Morgan Stanley, और Adobe Systems जैसे बड़े उद्यमों के उद्देश्य से हमलों की एक श्रृंखला थी।
जब Google ने हमलों के तुरंत बाद ज़ीरो ट्रस्ट मॉडल अपनाया, तो कई व्यवसायों ने सोचा (और अभी भी सोचते हैं) यह केवल बड़े संगठनों पर लागू होता है। यह धारणा तभी सही होगी जब साइबर हमले बड़े उद्यमों तक ही सीमित हों, जो कि ऐसा नहीं है। वास्तव में, 2021 में लगभग 46 प्रतिशत डेटा उल्लंघनों का लक्ष्य छोटे व्यवसायों के लिए था।
जबकि मीडिया बड़े उद्यमों को प्रभावित करने वाले डेटा उल्लंघनों को कवर करता है, इसमें कोई संदेह नहीं है कि छोटे व्यवसायों को भी साइबर हमलों से सुरक्षा की आवश्यकता है।
अच्छी खबर यह है कि जीरो ट्रस्ट मॉडल को लागू करने के लिए छोटे संगठनों को बैंक को तोड़ने की जरूरत नहीं है। चूंकि यह कोई उत्पाद नहीं है, इसलिए व्यवसाय ज़ीरो ट्रस्ट आर्किटेक्चर में मामूली वार्षिक निवेश आवंटित करके इसे धीरे-धीरे पेश कर सकते हैं।
मिथ फाइव:ज़ीरो ट्रस्ट उपयोगकर्ता अनुभव को बाधित करता है
ज़ीरो ट्रस्ट अपनाने में बाधाओं में से एक उपयोगकर्ता अनुभव पर कथित प्रभाव है। यह मान लेना समझ में आता है कि उपयोगकर्ताओं की पहचान को लगातार सत्यापित करने पर उपयोगकर्ताओं की उत्पादकता और चपलता प्रभावित होगी। हालांकि, जब उचित रूप से लागू किया जाता है, तो ज़ीरो ट्रस्ट उपयोगकर्ता के अनुकूल अनुभव प्रदान कर सकता है।
संगठन उपयोगकर्ता प्रोफाइल का आकलन कर सकते हैं और जोखिम की पहचान करने और त्वरित पहुंच निर्णय लेने के लिए मशीन लर्निंग के साथ जोखिम-आधारित प्रमाणीकरण को जोड़ सकते हैं। यदि जोखिम अधिक है, तो सिस्टम को एक अतिरिक्त प्रमाणीकरण चरण की आवश्यकता हो सकती है या अपने संसाधनों की सुरक्षा के लिए पहुंच को पूरी तरह से अवरुद्ध कर सकता है। इसके विपरीत, जोखिम कम होने पर यह प्रमाणीकरण चुनौतियों को समाप्त कर सकता है।
एक ज़ीरो ट्रस्ट दृष्टिकोण चीजों के प्रशासनिक पक्ष पर जटिलता को भी कम करता है। यदि वे आपके साथ व्यापार करना बंद कर देते हैं तो ठेकेदार और कर्मचारी अब सुरक्षा देनदारी नहीं होंगे। एक कुशल ज़ीरो ट्रस्ट मॉडल के तहत, सिस्टम प्रमुख संपत्तियों तक उनकी पहुंच को तुरंत समाप्त कर देगा, पिछले दरवाजे को खत्म कर देगा।
मिथ सिक्स:ज़ीरो ट्रस्ट ऑन-प्रेम पर्यावरण तक सीमित है
कई व्यवसाय अभी भी ज़ीरो ट्रस्ट को एक ऐसे मॉडल के रूप में देखते हैं जिसे केवल ऑन-प्रिमाइसेस ही प्रबंधित किया जा सकता है। यह एक प्रमुख मुद्दा बन जाता है क्योंकि संवेदनशील डेटा अब हाइब्रिड और क्लाउड वातावरण में रहता है। ऑन-प्रिमाइसेस आर्किटेक्चर को प्रभावित करने वाले साइबर हमलों और हैक्स के बढ़ने के साथ, अधिक से अधिक व्यवसाय क्लाउड की ओर बढ़ रहे हैं।
अच्छी खबर यह है कि जीरो ट्रस्ट तेजी से इसके साथ आगे बढ़ रहा है।
क्लाउड में ज़ीरो ट्रस्ट आर्किटेक्चर स्थापित करके, कंपनियां संवेदनशील डेटा की रक्षा कर सकती हैं और अपने नेटवर्क में कमजोर संपत्तियों के जोखिम को कम कर सकती हैं।
इसके अतिरिक्त, जैसे-जैसे रिमोट-वर्क कल्चर तेज होता है और साइबर अपराधी कमजोरियों का फायदा उठाने के नए तरीके विकसित करते हैं, ऐसे व्यवसाय जो ऑन-प्रिमाइसेस इंफ्रास्ट्रक्चर जोखिम व्यवधान पर भरोसा करते हैं।
कभी भी भरोसा न करें; हमेशा सत्यापित करें
संगठनों को लक्षित करने वाले डेटा उल्लंघनों की संख्या के आधार पर, यह स्पष्ट है कि सुरक्षा के प्रति पुराने स्कूल का दृष्टिकोण पर्याप्त नहीं है। जबकि कई लोग मानते हैं कि ज़ीरो ट्रस्ट महंगा और समय लेने वाला है, यह अभी की सुरक्षा समस्याओं के लिए एक शानदार प्रतिरक्षी है।
ज़ीरो ट्रस्ट मॉडल ट्रस्ट-आधारित सिस्टम को केवल इसलिए हटाने का प्रयास करता है क्योंकि साइबर हमले में इसका अक्सर शोषण होता है। यह इस सिद्धांत पर काम करता है कि नेटवर्क संसाधनों तक पहुंच प्राप्त करने से पहले सभी को और सब कुछ सत्यापित किया जाना चाहिए। जोखिमों को कम करने और अपनी सुरक्षा स्थिति में सुधार करने वाली कंपनियों के लिए यह एक योग्य खोज है।