Zero Trust Network: แนวคิดความปลอดภัยที่ไม่เชื่อใจใครในเครือข่าย
Zero Trust คือแนวคิดด้านความปลอดภัยที่บอกว่า “Never Trust, Always Verify” ไม่เชื่อใจอะไรทั้งนั้น ไม่ว่าจะมาจากภายในหรือภายนอกเครือข่าย ทุก request ทุก user ทุก device ต้องถูกตรวจสอบก่อนเข้าถึง resource ทุกครั้ง
แนวคิดเดิม (perimeter security) เชื่อว่า “ภายใน network ปลอดภัย” มี firewall กั้นภายนอก ข้างในเป็น trusted zone แต่ความจริงคือ 80% ของ data breaches มาจากภายใน (insider threats, compromised credentials, lateral movement) เมื่อ attacker ผ่าน firewall ได้แล้ว สามารถเคลื่อนที่ไปทั่ว network ได้อย่างอิสระ Zero Trust แก้ปัญหานี้โดยไม่มี trusted zone ทุกจุดต้อง verify
หลักการ Zero Trust
| หลักการ | คำอธิบาย | ตัวอย่าง |
|---|---|---|
| Verify Explicitly | ตรวจสอบทุก request ด้วยข้อมูลหลายแหล่ง | Identity + Device + Location + Behavior |
| Least Privilege Access | ให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น | JIT (Just-In-Time) access, RBAC |
| Assume Breach | สมมติว่าถูก breach แล้ว ออกแบบ defense ตาม | Micro-segmentation, encryption, monitoring |
Zero Trust Architecture Components
1. Identity & Access Management (IAM)
Identity เป็น perimeter ใหม่ ทุกการเข้าถึงต้อง authenticate ด้วย strong authentication (MFA) ใช้ Single Sign-On (SSO) + MFA สำหรับทุก application ตรวจสอบ identity ทุกครั้ง ไม่ใช่แค่ตอน login ครั้งแรก (continuous authentication) Conditional Access: อนุญาตหรือ block ตามเงื่อนไข (device, location, risk score)
2. Device Trust
ไม่ใช่แค่ user ที่ต้อง verify device ก็ต้อง verify ด้วย device มี patch ล่าสุดหรือไม่ มี endpoint protection (antivirus, EDR) หรือไม่ เป็น managed device หรือ BYOD มี compliance ตาม policy หรือไม่ ถ้า device ไม่ comply อาจ block หรือให้เข้าถึงแค่บาง resources
3. Network Micro-segmentation
Micro-segmentation แบ่ง network เป็น segments เล็กๆ ทุก segment มี access control ของตัวเอง ไม่ใช่แค่ perimeter firewall ทุก traffic ระหว่าง segments ถูก inspect และ enforce policy แม้ attacker เข้ามาใน segment หนึ่ง ก็ไม่สามารถ lateral move ไป segment อื่นได้
4. Data Protection
Encrypt data ทั้ง at-rest และ in-transit classify data ตาม sensitivity level ใช้ DLP (Data Loss Prevention) ป้องกัน data leakage กำหนด access control ที่ระดับ data (ไม่ใช่แค่ระดับ network)
5. Continuous Monitoring & Analytics
Monitor ทุกอย่าง ตลอดเวลา user behavior analytics (UBA) ตรวจจับ anomalous behavior SIEM/SOAR สำหรับ centralized logging และ automated response network traffic analysis (NTA) endpoint detection and response (EDR)
Zero Trust vs Traditional Security
| คุณสมบัติ | Traditional (Perimeter) | Zero Trust |
|---|---|---|
| Trust Model | Trust inside, verify outside | Never trust, always verify |
| Perimeter | Network perimeter (firewall) | Identity-based perimeter |
| Internal Traffic | Trusted (ไม่ inspect) | ทุก traffic ถูก inspect |
| Access Control | Network-level (IP, VLAN) | Identity + Device + Context |
| Lateral Movement | ง่าย (เข้ามาแล้วไปไหนก็ได้) | ยาก (micro-segmentation) |
| Remote Access | VPN (full network access) | ZTNA (per-application access) |
| เหมาะกับ | On-premise, office-centric | Hybrid, cloud, remote work |
ZTNA (Zero Trust Network Access)
แทนที่ VPN
ZTNA ให้ remote access แบบ Zero Trust แทน traditional VPN VPN: connect แล้วเข้าถึง network ทั้งหมด (over-privileged) ZTNA: connect แล้วเข้าถึงเฉพาะ application ที่ได้รับอนุญาต ตรวจสอบ identity + device + context ทุกครั้ง ไม่ expose network ให้ remote users vendors: Zscaler Private Access, Cloudflare Access, Palo Alto Prisma Access
วิธี Implement Zero Trust
Phase 1: Identity (เดือน 1-3)
เริ่มจาก identity foundation implement MFA สำหรับทุก user (ง่ายสุด impact สูงสุด) ใช้ SSO สำหรับ applications ทั้งหมด ตั้ง conditional access policies (block risky sign-ins) inventory ทุก user accounts และ service accounts
Phase 2: Device (เดือน 3-6)
Device compliance enroll devices ใน MDM (Microsoft Intune, Jamf) กำหนด compliance policies (OS version, encryption, antivirus) block non-compliant devices จาก corporate resources
Phase 3: Network (เดือน 6-12)
Micro-segmentation แบ่ง network segments ตาม sensitivity วาง internal firewalls/ACLs ระหว่าง segments implement ZTNA สำหรับ remote access แทน VPN encrypt internal traffic (mTLS)
Phase 4: Data & Monitoring (เดือน 12+)
Data classification และ DLP implement SIEM/SOAR สำหรับ centralized monitoring user behavior analytics continuous improvement ตาม findings
ข้อจำกัดของ Zero Trust
ความซับซ้อนและค่าใช้จ่าย
Zero Trust ไม่ได้ implement ได้ข้ามคืน ต้องใช้เวลา 1-3 ปี ขึ้นอยู่กับขนาดองค์กร ค่าใช้จ่ายสูง (tools, licenses, training) user experience อาจแย่ลงในช่วงแรก (MFA, conditional access) ต้องการ cultural change (IT team + users) legacy systems อาจไม่รองรับ Zero Trust controls
ทิ้งท้าย: Zero Trust ไม่ใช่ Product แต่เป็น Strategy
Zero Trust ไม่มี vendor ไหนขาย “Zero Trust product” ได้ครบทุกอย่าง เป็น security strategy ที่ต้อง implement ทีละ layer เริ่มจาก MFA (impact สูงสุด ง่ายสุด) แล้วขยายไป device compliance, micro-segmentation, ZTNA ทำทีละ phase ไม่ต้องทำครบทุกอย่างพร้อมกัน
อ่านเพิ่มเติมเกี่ยวกับ 802.1X NAC และ Network Segmentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
