در سال‌های ۲۰۲۴ و ۲۰۲۵، زیرساخت‌های ابری در معرض پیچیده‌ترین و گسترده‌ترین تهدیدات سایبری تاریخ خود قرار گرفته‌اند. گسترش استفاده از خدمات SaaS، مهاجرت سریع به چندابری (multi-cloud)، و افزایش کار از راه دور باعث شده که مرزهای سنتی امنیت شبکه از بین برود و مدل‌های مبتنی بر اعتماد داخلی (trusted internal zones) ناکارآمد شوند.

گزارش‌های امنیتی شرکت‌هایی مانند CrowdStrike، Palo Alto، و IBM نشان داده‌اند که حملات از نوع lateral movement، credential abuse، cloud misconfiguration و API exploitation رشد شدیدی داشته‌اند و به‌ویژه “سرویس‌های ذخیره‌سازی عمومی، پایگاه‌های داده بدون احراز هویت، و پیکربندی نادرست IAM” هدف حملات پیشرفته قرار گرفته‌اند.

علاوه بر آن، گروه‌های باج‌افزاری و حملات زنجیره تأمین (supply chain) با بهره‌برداری از آسیب‌پذیری‌های درون کانتینرها، CI/CD pipelineها و دسترسی‌های Third-Party، سطح حمله را به‌شدت گسترش داده‌اند. آسیب‌هایی مانند نفوذ به محیط‌های ابری از طریق key leakage یا استفاده از tokenهای JWT بدون انقضاء به‌طور گسترده گزارش شده‌اند.

در واکنش به این تهدیدات، سازمان‌ها و معماران امنیت به‌طور فزاینده‌ای به‌سوی مدل “Zero Trust Network (ZTN” روی آورده‌اند؛ مدلی که هیچ‌گونه اعتماد پیش‌فرضی به موقعیت شبکه، کاربر یا سرویس قائل نیست و همه چیز را با “احراز هویت، مجوزهای دقیق، segmentation و مانیتورینگ پیوسته” کنترل می‌کند. در واقع، ZTN پاسخ طبیعی به فروپاشی «مرزهای سنتی شبکه» و نیاز به امنیت در محیط‌های پویا، توزیع‌شده و فاقد کنترل مرکزی است.

زیرساخت‌های ابری، به‌رغم مزایای فراوانی همچون مقیاس‌پذیری و دسترسی بالا، در سال‌های اخیر به یکی از اهداف اصلی مهاجمان سایبری تبدیل شده‌اند. تهدیداتی مانند سوءاستفاده از پیکربندی نادرست منابع ابری، نفوذ از طریق حساب‌های دسترسی بالا، حملات به APIها و نشت داده از کانتینرها تنها بخشی از چالش‌های امنیتی هستند که مراکز داده ابری با آن مواجه‌اند. در پاسخ به این واقعیت، مدل امنیتی Zero Trust Network (ZTN) طراحی شده است تا با حذف اعتماد پیش‌فرض، کنترل دقیق دسترسی، تفکیک شبکه (micro-segmentation)، احراز هویت چندمرحله‌ای و مانیتورینگ مستمر، بسیاری از این تهدیدات را کاهش داده یا به‌طور کامل خنثی کند.

با این حال، ZTN پاسخ کامل به همه تهدیدات نیست ریسک‌هایی مانند قرار دادن بک‌دور (Backdoor) در کد برنامه‌ها ، استفاده از کتابخانه‌های نرم‌افزاری آلوده یا آسیب‌پذیر (Supply Chain Attacks) ، یا سوءاستفاده از آسیب‌پذیری‌های zero-day در سیستم‌عامل یا نرم‌افزارهای زیرساختی همچنان وجود دارند و خارج از دایره کنترل مستقیم ZTN قرار می‌گیرند. همچنین، تهدیدات انسانی مانند Social Engineering یا خطاهای ناشی از توسعه‌دهندگان داخلی، نیازمند کنترل‌های مکمل مانند DevSecOps، کدنویسی ایمن، تحلیل کد ایستا (SAST)، و ارزیابی‌های امنیتی منظم هستند. بنابراین، در کنار پیاده‌سازی ZTN، باید رویکردی جامع‌تر شامل امنیت زنجیره تأمین نرم‌افزار، آموزش نیروی انسانی، و نظارت مداوم نیز مدنظر قرار گیرد.
همچنین در ایران به دلیل مواجه با تحریمهای بین المللی استفاده از بسیاری از محصولات امریکایی و اروپایی و بروزرسانی مستمر آنها به یکی از چالشهای بومی خدمات فناوری اطلاعات تبدیل شده که نهایتا نهادهای بالادستی امنیت سایبری مانند شورای عالی فضای مجازی و مرکز افتا استفاده از محصولات فاقد مجوز در زیرساختهای حیاتی را ممنوع کرده اند که در نتیجه استفاده از محصولات رایج تجاری دشوار میشود و باید به سمت ترکیب متدهای بومی و بازمتن و برخی محصولات شرقی دارای مجوز مهاجرت کرد و معماری چند محصولی (Multi-Brand ) برای کاهش ریسک امنیتی توصیه گردیده است .

لذا برای مهاجرت از مدل سنتی امنیت به معماری مبتنی بر ZTN فازهای اجرایی باید مبتنی بر زیرساخت و تجهیزات و سازکار فعلی تاحد امکان بازطراحی شود تا هم باعث کاهش هزینه ها گردیده و موارد امنیتی نهادهای بالادستی رعایت گردد .

فازهای اجرایی پیشنهادی برای مهاجرت به ZTN

آمادگی و تحلیل وضعیت موجود

 

• شناسایی کامل دارایی‌ها، کاربران و جریان‌های داده
• ارزیابی ریسک‌های فعلی و آسیب‌پذیری‌های موجود

طراحی معماری Zero Trust

 

• تعریف سیاست‌های دسترسی بر اساس Least Privilege
• انتخاب ابزارهای هویت‌سنجی، رمزنگاری و segmentation

پیاده‌سازی زیرساخت امنیتی ZTN

 

• راه‌اندازی احراز هویت چندعاملی (MFA، SSO)
• پیاده‌سازی micro-segmentation در سطح سرویس و شبکه
• نصب و پیکربندی ابزارهای Vault، Boundary، Consul یا Cisco ACI/NSX

اعمال سیاست‌های امنیتی و کنترل دسترسی

 

• تعریف و enforce کردن policyهای دسترسی پویا (Context-based Access)
• استفاده از Policy Engine برای تصمیم‌گیری و PEPها برای اعمال سیاست

نظارت، ارزیابی و بهینه‌سازی

 

• پیاده‌سازی سیستم SIEM و تحلیل رفتار کاربران (UEBA)
• تست نفوذ و تنظیم مجدد سیاست‌ها بر اساس رفتار واقعی

مستندسازی، آموزش و انطباق با مقررات

 

• آموزش پرسنل فناوری اطلاعات و کاربران کلیدی
• مستندسازی سیاست‌ها برای انطباق با استانداردهایی مانند ISO 27001، NIST و GDPR

دستاوردهای نهایی مهاجرت به ZTN

1. “افزایش چشمگیر امنیت زیرساخت ابری” با حذف اعتماد پیش‌فرض
2. “کاهش سطح حمله (Attack Surface)” از طریق تفکیک دقیق شبکه و دسترسی
3. “امنیت در برابر تهدیدات داخلی و Third-Party” با کنترل‌های پویا و متمرکز
4. “افزایش شفافیت و نظارت پیوسته” بر رفتار کاربران و سرویس‌ها
5. “هم‌راستایی با الزامات انطباق بین‌المللی” و استانداردهای امنیتی روز دنیا

با اجرای موفق این مهاجرت، سازمان‌ها به زیرساختی می‌رسند که نه تنها انعطاف‌پذیرتر و مقیاس‌پذیرتر است، بلکه در برابر حملات روزافزون سایبری نیز بسیار مقاوم‌تر عمل می‌کند.