एमटीई बताता है: शून्य ट्रस्ट क्या है और यह इतना महत्वपूर्ण क्यों है?
ऐसा लगता है कि हैकिंग अधिक प्रचलित हो रही है, और कई कंपनियां यह पता लगाने के लिए चिल्ला रही हैं कि हमले के हमले से पीड़ित होने से रोकने के लिए क्या करना है। कई सालों तक उन्होंने एक मॉडल के तहत संचालित किया है जो कुछ हद तक आकर्षक था, लेकिन इसका समय स्पष्ट रूप से खत्म हो गया है, दुनिया भर के डेटाबेस से उल्लंघन किए गए रिकॉर्ड की प्रभावशाली राशि का निर्धारण कर रहा है। यह कुछ नया समय है। यह शून्य ट्रस्ट मॉडल के लिए समय है। पर यह क्या? और यह कैसे कंपनियों को एक बेकार बाल्टी जैसे डेटा लीक करने से बचने में मदद कर सकता है?
शून्य ट्रस्ट क्या है?
जैसा कि नाम का तात्पर्य है, शून्य ट्रस्ट मॉडल जब भी संभव हो, आईटी इंफ्रास्ट्रक्चर के किसी भी हिस्से पर भरोसा करने से कंपनियों को हतोत्साहित करते हैं। हाल ही में जब तक अधिकांश व्यवसायों ने बाहरी दुनिया पर भरोसा करने पर ध्यान केंद्रित नहीं किया। हालांकि, हैकिंग प्रयासों के परिष्कार में हालिया वृद्धि ने अपने आंतरिक नेटवर्क से भी समझौता किया है।
असल में, आप अब विश्वास नहीं कर सकते कि आपकी कंपनी की दीवारों के अंदर क्या चल रहा है। अगर कोई आंतरिक नेटवर्क में मैलवेयर से संक्रमित फ़ोन लाता है, तो यह संभव है कि संक्रमण प्रणाली के माध्यम से फैल सके और पूरे इंफ्रास्ट्रक्चर को समझौता करने वाले हैकर से ज्यादा प्रयास किए बिना समझौता किया जा सके।
घुसपैठ उतना कठिन नहीं है जितना कि यह होता था। आप लोगों को उन चीज़ों तक पहुंच प्रदान करने में मदद कर सकते हैं जिनके पास अन्यथा पहुंच नहीं होनी चाहिए। व्यवसायों में सुविधा उन्मुख प्रौद्योगिकियों का प्रसार महत्वपूर्ण कमजोर बिंदु भी प्रस्तुत करता है क्योंकि वे हमेशा दिमाग में सुरक्षा के साथ नहीं बनाए जाते हैं।
आदर्श वाक्य, "विश्वास, लेकिन सत्यापित करें, " अब यहां लागू नहीं है। इसके बजाए, शून्य ट्रस्ट मॉडल इसे "कभी भरोसा न करें, हमेशा सत्यापित करें" में बदल दें।
शून्य ट्रस्ट स्टॉप हैकर्स कैसे करता है?
यद्यपि हैकर्स का मुकाबला करने के लिए शून्य ट्रस्ट आर्किटेक्चर नहीं बनाए गए हैं, लेकिन वे पूरे सिस्टम को समझौता करने के लिए जितना संभव हो सके उतना मुश्किल बनाने के लिए हैं। किसी नेटवर्क में सब कुछ जोड़ने के बजाय, इसके प्रत्येक टुकड़े में एक अलग सेगमेंट होता है जो हमलावरों को हर बार "बाद में" स्थानांतरित करने के लिए शोषण प्रक्रिया को दोहराने के लिए होगा।
इसे आसानी से रखने के लिए: यह नेटवर्क को चबाने में इतना मुश्किल बनाता है कि हैकर्स हार जाएंगे और कहीं और हरे रंग के चरागाहों की खोज करेंगे। यदि आप आर्किटेक्चर के एक हिस्से से समझौता करते हैं, तो बाकी सब कुछ अपने ही स्थान पर बना रहता है, जिससे प्रगति अविश्वसनीय रूप से बोझिल हो जाती है।
आइए इस विचार को अभ्यास में रखें: यदि आपके पास बिक्री विभाग है, तो आप उन्हें केवल उन डेटा तक पहुंच प्रदान करेंगे जिन्हें उन्हें अपनी नौकरी करने की आवश्यकता है। इसका मतलब है कि उन्हें केवल उन ग्राहकों के डेटा तक पहुंच प्रदान करना जो विपणन के लिए प्रासंगिक हैं (जैसे कि वे कौन से उत्पाद खरीदे गए हैं, आदि)। दूसरी तरफ, वित्तीय जानकारी केवल लेखा विभाग द्वारा ही प्राप्त की जानी चाहिए।
इस प्रकार के मॉडल एक हैकर के लिए एक बिक्री प्रतिनिधि के प्रमाण पत्र समझौता करके एक वाणिज्यिक डेटाबेस तक पहुंच हासिल करना असंभव कर देगा।
विभागीकरण के अलावा, एक शून्य ट्रस्ट मॉडल में अन्य सिद्धांत भी हो सकते हैं:
- प्रत्येक कर्मचारी के पास पहुंच की मात्रा को प्रतिबंधित करें ताकि उनके पास केवल अपना काम सही ढंग से करने के लिए आवश्यक डेटा हो।
- सबकुछ लॉग करें और सुनिश्चित करें कि आप देख सकते हैं कि डेटा आपके बुनियादी ढांचे के माध्यम से कैसे बहता है, जिससे यह होता है कि जब हमले होते हैं तो हमले के रास्ते को समझना आसान हो जाता है।
- अधिक सरल हमलों से बचने के लिए बहु-कारक प्रमाणीकरण का उपयोग करें।
जैसा कि मैंने पहले कहा था, शून्य ट्रस्ट हमलों को रोकने के लिए नहीं है, लेकिन यह सुनिश्चित करने के लिए एक सक्रिय विधि के रूप में काम करता है कि हैकर्स को जो कुछ भी चाहिए वह करने में कठिन समय हो।
क्या आप किसी रचनात्मक तरीके से जानते हैं जहां कंपनियों ने शून्य ट्रस्ट आर्किटेक्चर को एकीकृत किया है? टिप्पणी के बारे में सब कुछ बताओ!