Home » Zero Trust Network Architecture: Never Trust Always Verify
Zero Trust Network Architecture: Never Trust Always Verify
Zero Trust Network Architecture: Never Trust Always Verify
Zero Trust เป็น security model ที่ไม่เชื่อถือ user หรือ device ใดๆ โดยอัตโนมัติ ไม่ว่าจะอยู่ภายในหรือภายนอก network perimeter ทุก access request ต้องถูก verify ทุกครั้ง ตาม principle “Never Trust, Always Verify” แตกต่างจาก traditional security ที่เชื่อถือทุกอย่างภายใน network
Traditional perimeter-based security ไม่เพียงพออีกต่อไป เพราะ cloud, remote work และ BYOD ทำให้ network perimeter หายไป Attackers ที่เข้ามาภายใน network (lateral movement) สามารถเข้าถึงทุกอย่างได้ Zero Trust แก้ปัญหานี้ด้วยการ verify ทุก request ไม่ว่าจะมาจากไหน
Traditional vs Zero Trust
| คุณสมบัติ |
Traditional (Perimeter-based) |
Zero Trust |
| Trust Model |
Trust inside, don’t trust outside |
Never trust, always verify |
| Access Control |
Network-based (inside = trusted) |
Identity-based (verify every request) |
| Lateral Movement |
Easy (flat network inside) |
Difficult (micro-segmentation) |
| Remote Access |
VPN → full network access |
Per-application access only |
| Assumption |
Network is secure |
Network is compromised (assume breach) |
Zero Trust Principles
| Principle |
รายละเอียด |
| Verify Explicitly |
Authenticate + authorize ทุก request ด้วย all available data (identity, location, device, etc.) |
| Least Privilege Access |
ให้ access เฉพาะที่จำเป็น ตาม role + context (JIT/JEA) |
| Assume Breach |
ออกแบบเหมือน attacker อยู่ใน network แล้ว (minimize blast radius) |
Zero Trust Pillars
| Pillar |
ต้องทำอะไร |
เทคโนโลยี |
| Identity |
Strong authentication + MFA ทุก user/service |
Azure AD, Okta, Duo, FIDO2 |
| Devices |
ตรวจสอบ device health/compliance ก่อนให้ access |
MDM (Intune, Jamf), EDR (CrowdStrike) |
| Network |
Micro-segmentation, encrypt all traffic |
NSG, firewall, ZTNA, mTLS |
| Applications |
Per-app access, no VPN broad access |
ZTNA (Zscaler, Cloudflare Access) |
| Data |
Classify + protect data, encrypt at rest/transit |
DLP, encryption, CASB |
| Visibility |
Log + monitor ทุก access, detect anomalies |
SIEM (Sentinel, Splunk), UEBA |
ZTNA vs VPN
| Feature |
Traditional VPN |
ZTNA (Zero Trust Network Access) |
| Access Scope |
Full network access (once connected) |
Per-application access only |
| Authentication |
Once at connection time |
Continuous (every request) |
| Device Check |
ไม่มี (หรือ basic) |
Device posture check ทุกครั้ง |
| Lateral Movement |
ง่าย (full network) |
ยาก (app-level isolation) |
| User Experience |
ช้า (route traffic ผ่าน VPN concentrator) |
เร็ว (direct-to-app, edge-based) |
| Scalability |
จำกัด (VPN concentrator capacity) |
Cloud-native, scalable |
ZTNA Solutions
| Solution |
Vendor |
จุดเด่น |
| Zscaler Private Access (ZPA) |
Zscaler |
Cloud-native ZTNA, inline inspection |
| Cloudflare Access |
Cloudflare |
Edge-based, fast, easy setup |
| Palo Alto Prisma Access |
Palo Alto |
SASE + ZTNA, NGFW integration |
| Microsoft Entra Private Access |
Microsoft |
Azure AD integration, conditional access |
| Cisco Duo + Secure Access |
Cisco |
MFA + ZTNA, Cisco ecosystem |
| Tailscale/Headscale |
Open-source option |
WireGuard-based mesh VPN, simple |
Zero Trust Implementation Roadmap
| Phase |
Action |
Timeline |
| 1. Foundation |
MFA ทุก user, SSO, inventory assets |
0-3 เดือน |
| 2. Identity |
Conditional Access policies, device compliance |
3-6 เดือน |
| 3. Network |
Micro-segmentation, ZTNA for remote access |
6-12 เดือน |
| 4. Applications |
Per-app access policies, remove VPN |
12-18 เดือน |
| 5. Data |
Data classification, DLP, encryption |
18-24 เดือน |
| 6. Continuous |
SIEM/UEBA monitoring, continuous improvement |
Ongoing |
Conditional Access Policies
| Signal |
Policy Example |
| User Identity |
Admin accounts → require MFA + compliant device |
| Device Health |
Non-compliant device → block or limited access |
| Location |
Unknown country → block or require step-up auth |
| Risk Level |
High-risk sign-in (impossible travel) → block + alert |
| Application |
Sensitive apps (HR, Finance) → require MFA + managed device |
| Session |
Re-authenticate every 4 hours for sensitive resources |
ทิ้งท้าย: Zero Trust = Modern Security Standard
Zero Trust = Never Trust, Always Verify ทุก request ต้อง authenticate + authorize MFA + device compliance + conditional access = foundation ZTNA แทน VPN = per-app access, no lateral movement Micro-segmentation = minimize blast radius เริ่มจาก MFA → conditional access → ZTNA → micro-seg
อ่านเพิ่มเติมเกี่ยวกับ 802.1X Authentication และ Firewall Best Practices ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
