Zero Trust Network Architecture (ZTNA): แนวคิด Never Trust, Always Verify
Zero Trust คือ security framework ที่ไม่เชื่อถือสิ่งใดโดยอัตโนมัติ ไม่ว่าจะอยู่ภายในหรือภายนอก network perimeter ทุก user, device และ application ต้องถูกยืนยันตัวตนและ authorize ก่อนเข้าถึง resource ใดๆ ทุกครั้ง แม้จะเคยเชื่อมต่อแล้วก็ตาม
แนวคิดเดิม “trust but verify” ถือว่าทุกอย่างภายใน network เชื่อถือได้ แต่ในยุคที่มี cloud, remote work, BYOD และภัยคุกคามที่ซับซ้อนขึ้น perimeter-based security ไม่เพียงพอ Zero Trust เปลี่ยนเป็น “never trust, always verify” บทความนี้จะอธิบายแนวคิด สถาปัตยกรรม และวิธี implement ZTNA
Zero Trust Principles
| Principle | รายละเอียด |
|---|---|
| Never Trust, Always Verify | ไม่เชื่อถือใครโดยอัตโนมัติ ต้อง authenticate + authorize ทุกครั้ง |
| Least Privilege Access | ให้สิทธิ์น้อยที่สุดเท่าที่จำเป็น (minimum access needed) |
| Assume Breach | สมมติว่าถูก breach แล้ว ออกแบบให้ลด blast radius |
| Micro-Segmentation | แบ่ง network เป็นส่วนเล็กๆ จำกัดการเคลื่อนที่ของ attacker |
| Continuous Verification | ตรวจสอบ identity + device health อย่างต่อเนื่อง ไม่ใช่แค่ตอน login |
| Explicit Verification | ตรวจสอบทุก factor: identity, device, location, behavior, risk level |
Traditional vs Zero Trust
| คุณสมบัติ | Traditional (Perimeter-based) | Zero Trust |
|---|---|---|
| Trust Model | Trust inside, block outside | Trust no one, verify everything |
| Network Access | VPN → full network access | Per-application access (need-to-know) |
| Lateral Movement | ง่าย (once inside, move freely) | ยาก (micro-segmented) |
| Remote Work | VPN bottleneck | Direct-to-app access (no VPN needed) |
| Cloud Support | ต้อง backhaul traffic ผ่าน HQ | Native cloud access |
| Verification | One-time at login | Continuous (every request) |
ZTNA Architecture
Core Components
1. Identity Provider (IdP): Azure AD, Okta, Google Workspace ยืนยันตัวตน user ด้วย MFA (Multi-Factor Authentication) SSO (Single Sign-On) สำหรับทุก applications
2. Policy Engine: ตัดสินใจ allow/deny based on: Who (identity), What (device health), Where (location), When (time), How (behavior) ใช้ risk-based access control
3. Policy Enforcement Point (PEP): Proxy หรือ gateway ที่บังคับใช้ policy ทุก request ผ่าน PEP ก่อนเข้าถึง resource Block ทุกอย่างที่ไม่ผ่าน policy
4. Device Trust: ตรวจสอบ device health: OS updated? Antivirus active? Encrypted? Managed vs unmanaged device → access level ต่างกัน
ZTNA Implementation Pillars
| Pillar | Components | Tools |
|---|---|---|
| Identity | MFA, SSO, Conditional Access, PAM | Azure AD, Okta, CyberArk |
| Device | MDM, EDR, Device Compliance | Intune, CrowdStrike, SentinelOne |
| Network | Micro-segmentation, SDP, SASE | Zscaler, Cloudflare, Palo Alto Prisma |
| Application | Per-app access, CASB, WAF | Zscaler ZPA, Cloudflare Access |
| Data | DLP, Encryption, Classification | Microsoft Purview, Symantec DLP |
| Visibility | SIEM, UEBA, Logging | Splunk, Microsoft Sentinel, Elastic |
ZTNA Solutions
| Solution | Type | จุดเด่น |
|---|---|---|
| Zscaler Private Access (ZPA) | Cloud ZTNA | Leader, no VPN needed, app-level access |
| Cloudflare Access | Cloud ZTNA | Easy setup, free tier, global edge network |
| Palo Alto Prisma Access | SASE + ZTNA | Full SASE suite, strong firewall heritage |
| Microsoft Entra Private Access | Cloud ZTNA | Integrate กับ Azure AD/M365 ecosystem |
| Cisco Duo + Umbrella | Hybrid ZTNA | Strong MFA + DNS security |
| Google BeyondCorp | Cloud ZTNA | Pioneer of Zero Trust (Google internal) |
Implementation Roadmap
| Phase | Actions | Timeline |
|---|---|---|
| Phase 1: Foundation | Deploy MFA ทุก user, Inventory assets, Classify data | 1-3 เดือน |
| Phase 2: Identity | SSO, Conditional Access, PAM for admins | 3-6 เดือน |
| Phase 3: Device | MDM, Device compliance, EDR | 6-9 เดือน |
| Phase 4: Network | Micro-segmentation, ZTNA for remote access | 9-12 เดือน |
| Phase 5: Applications | Per-app access, CASB for SaaS | 12-18 เดือน |
| Phase 6: Continuous | UEBA, continuous monitoring, automation | Ongoing |
Quick Wins
| Action | Effort | Impact |
|---|---|---|
| Enable MFA everywhere | ต่ำ | สูงมาก (ป้องกัน 99.9% credential attacks) |
| Remove admin rights from users | ปานกลาง | สูง (least privilege) |
| Implement Conditional Access | ปานกลาง | สูง (risk-based access) |
| Segment critical servers | ปานกลาง | สูง (limit lateral movement) |
| Deploy EDR | ปานกลาง | สูง (detect + respond) |
ทิ้งท้าย: Zero Trust เป็น Journey ไม่ใช่ Destination
Zero Trust ไม่ใช่ product ที่ซื้อมาติดตั้งแล้วเสร็จ แต่เป็น framework ที่ต้อง implement ทีละขั้น เริ่มจาก MFA (quick win ที่สำคัญที่สุด) ค่อยๆ เพิ่ม identity, device, network, application controls อย่ารอจนพร้อมทุกอย่าง เริ่มเลยวันนี้
อ่านเพิ่มเติมเกี่ยวกับ Network Segmentation Micro-Segmentation และ Firewall Rules Best Practices ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
