زیرو ٹرسٹ ماڈل نے سیکیورٹی ماہرین کے ساتھ بھاپ حاصل کی

"کبھی اعتبار نہ کریں always ہمیشہ تصدیق کریں۔" عقل کی طرح لگتا ہے ، ٹھیک ہے؟ زیرو ٹرسٹ نامی اس حکمت عملی کے پیچھے یہی مقصد ہے ، جو سائبرسیکیوریٹی کی دنیا میں کار پذیر ہے۔ اس میں ایک IT محکمہ شامل ہے جو رسائی کی مراعات دینے سے پہلے تمام صارفین کی تصدیق کرتا ہے۔ 2018 ویریزون ڈیٹا بریچ انویسٹی گیشن رپورٹ کے مطابق 2017 میں ماڈائزائزڈ بزنس (ایس ایم بی) کے ڈیٹا کی خلاف ورزی کی اطلاع دینے والے 58 فیصد چھوٹے کاروباروں کے ساتھ اکاؤنٹس تک رسائی کا مؤثر انداز میں ہونا پہلے سے کہیں زیادہ اہم ہے۔

زیرو ٹرسٹ کے تصور کی بنیاد جان کینڈرواگ نے رکھی ، جو فارسسٹر ریسرچ کے سابق تجزیہ کار اور اب پالو آلٹو نیٹ ورکس میں ایک فیلڈ سی ٹی او ہے۔ "ہمیں ایک حقیقی حکمت عملی بنانا شروع کرنے کی ضرورت ہے ، اور زیرو ٹرسٹ اس کے قابل بناتا ہے ،" کنڈرواگ نے 30 Oct اکتوبر کو نیو یارک شہر میں سیکورٹ زیرو ٹرسٹ سمٹ کے موقع پر سامعین کو بتایا۔ انہوں نے مزید کہا کہ زیرو ٹرسٹ کا خیال اس وقت شروع ہوا جب وہ بیٹھے اور واقعتا trust اعتماد کے تصور پر غور کیا ، اور یہ وہ بدنیتی پر مبنی اداکار ہیں جو عام طور پر ایسی جماعتوں سے فائدہ اٹھاتے ہیں جو فریقین پر بھروسہ کرتے ہیں جو انہیں نہیں کرنا چاہئے۔

ڈاکٹر چیس کننگھم زیرو ٹرسٹ تک رسائ حاصل کرنے میں فوریسٹر میں پرنسپل تجزیہ کار کے طور پر کنڈرواگ کا جانشین بن گیا۔ کننگھم نے زیرو ٹرسٹ میں پی سی میگ کو بتایا ، "زیرو ٹرسٹ وہی ہے جو ان دو لفظوں میں شامل ہے ، جس کا مطلب ہے کچھ نہیں اعتماد ، پاس ورڈ مینجمنٹ پر بھروسہ نہ کریں ، اسناد پر اعتماد نہ کریں ، صارفین پر اعتماد نہ کریں ، اور نیٹ ورک پر اعتماد نہ کریں۔" سمٹ۔

کنڈرواگ نے امریکی خفیہ سروس کی مثال استعمال کرتے ہوئے بتایا کہ کسی تنظیم کو کس طرح ان کی حفاظت کے لئے ضرورت ہے اور کس کو رسائی کی ضرورت ہے اس پر نظر رکھنا چاہئے۔ "وہ ان کنٹرولوں کی مستقل نگرانی اور اپ ڈیٹ کرتے ہیں تاکہ وہ کسی بھی وقت مائکرو فریمٹر کو منتقل کرنے والی چیزوں کو کنٹرول کرسکیں۔" "ایگزیکٹو پروٹیکشن کا یہ زیرو ٹرسٹ کا طریقہ ہے۔ یہ زیرو ٹرسٹ میں ہم کیا کرنے کی کوشش کر رہے ہیں اس کی سب سے عمدہ مثال ہے۔"

او پی ایم میں زیرو ٹرسٹ اسباق سیکھا

تنظیموں کو فائدہ پہنچانے کے لئے زیرو ٹرسٹ کس طرح کام کرسکتا ہے اس کی ایک عمدہ مثال امریکی وفاقی حکومت کے سابقہ ​​سی آئی او سے ملی۔ زیرو ٹرسٹ سربراہی اجلاس میں ، ڈاکٹر ٹونی اسکاٹ ، جنہوں نے سن 2015 سے لے کر سن 2017 تک یو ایس سی آئی او کا عہدہ سنبھالا ، نے 2014 میں امریکی آفس پرسنل مینجمنٹ (او پی ایم) میں پیش آنے والے ڈیٹا کی ایک بڑی خلاف ورزی کے بارے میں بتایا۔ خلاف ورزی غیر ملکی جاسوسوں کی وجہ سے ہوئی ہے۔ جس میں 5.1 ملین افراد پر فنگر پرنٹ ڈیٹا کے ساتھ 22.1 ملین افراد کے لئے ذاتی معلومات اور سیکیورٹی کلیئرنس پس منظر کی معلومات چوری کی گئیں۔ اسکاٹ نے بتایا کہ نہ صرف ڈیجیٹل اور جسمانی سلامتی کے امتزاج کو اس خلاف ورزی کو ختم کرنے کے لئے ضروری ہوتا ، بلکہ یہ زیرو ٹرسٹ پالیسی کی ایک موثر اطلاق بھی ہے۔

جب لوگ او پی ایم میں ملازمت کے لئے درخواست دیں گے ، تو انہوں نے ایک عمدہ اسٹینڈرڈ فارم (ایس ایف) 86 سوالنامہ پُر کیا ، اور اعداد و شمار کو مسلح محافظوں اور ٹینکوں کے ذریعہ ایک غار میں رکھا جائے گا۔ "اگر آپ غیر ملکی ادارہ ہوتے اور آپ اس معلومات کو چوری کرنا چاہتے تھے تو آپ کو پنسلوینیا میں اس غار کی خلاف ورزی کرنی ہوگی اور مسلح محافظوں سے گذرنا پڑے گا۔ تب آپ کو کاغذ کے ٹرک سے بوجھ لے کر چلے جانا پڑے گا یا ایک بہت ہی تیز زیروکس مشین یا کچھ اور ہونا پڑے گا۔ ، "سکاٹ نے کہا۔

انہوں نے مزید کہا ، "21 ملین ریکارڈوں کے ساتھ فرار ہونے کی کوشش کرنا یادگار ہوتا۔" "لیکن آہستہ آہستہ ، جیسے ہی او پی ایم کے عمل میں آٹومیشن آگیا ، ہم نے یہ چیزیں کمپیوٹر فائلوں میں مقناطیسی میڈیا پر رکھنا شروع کردیں ، اور اسی طرح سے۔ اس سے چوری کرنا بہت آسان ہوگیا ہے۔" اسکاٹ نے وضاحت کی کہ ایجنسی ڈیجیٹل ہونے پر او پی ایم مسلح محافظوں کے برابر مساوی قسم کی سلامتی تلاش کرنے میں ناکام رہی۔ حملے کے بعد ، کانگریس نے ایک رپورٹ جاری کی جس میں مستقبل میں اس قسم کے خلاف ورزیوں کے تحفظ کے لئے زیرو ٹرسٹ کی حکمت عملی پر زور دیا گیا۔

"کانگریس کی رپورٹ میں کہا گیا ہے کہ" وفاقی حکومت کے آئی ٹی نیٹ ورکس سے سمجھوتہ کرنے یا ان کا استحصال کرنے کی کوشش کرنے والے جدید مستقل خطرات سے نمٹنے کے لئے ، ایجنسیوں کو انفارمیشن سیکیورٹی اور آئی ٹی فن تعمیر کے 'زیرو ٹرسٹ' ماڈل کی طرف بڑھنا چاہئے۔ سابق امریکی نمائندہ جیسن شیفٹز (آر یوٹاہ) ، اس وقت کی نگرانی کمیٹی کے چیئرمین ، نے بھی اس وقت زیرو ٹرسٹ کے بارے میں ایک تحریر لکھا تھا ، اصل میں فیڈرل نیوز ریڈیو نے شائع کیا تھا۔ چیفٹز نے لکھا ، "آفس آف مینجمنٹ اینڈ بجٹ (او ایم بی) کو زیرو ٹرسٹ کو موثر انداز میں نفاذ کے ل executive ایگزیکٹو ڈیپارٹمنٹس اور ایجنسی کے سربراہوں کے لئے رہنما اصول تیار کرنا چاہئے تاکہ نیٹ ورک کی تمام ٹریفک کو تصور اور لاگ ان کرنے کے اقدامات بھی ہوں۔

اصلی دنیا میں زیرو ٹرسٹ

زیرو ٹرسٹ کے نفاذ کی ایک حقیقی دنیا کی مثال کے طور پر ، گوگل نے داخلی طور پر ایک پہل متعارف کرایا جس کا نام بیونڈ کارپ ہے جس کا مقصد نیٹ ورک کے اطراف سے ایکسیس کنٹرول کو انفرادی آلات اور صارفین تک منتقل کرنا ہے۔ ایڈمنسٹریٹر IP کلاؤڈ پلیٹ فارم اور گوگل جی سویٹ کیلئے IP ایڈریس ، آلے کی سیکیورٹی کی حیثیت ، اور صارف کی شناخت کی بنیاد پر گرینولر ایکسیس کنٹرول پالیسیاں بنانے کے راستے کے طور پر BeyondCorp استعمال کرسکتے ہیں۔ لومینیٹ نامی ایک کمپنی بیونڈ کارپ پر مبنی خدمت کے طور پر زیرو ٹرسٹ سیکیورٹی فراہم کرتی ہے۔ لیمنیٹ سیکیور ایکسیس کلاؤڈ صارفین کو توثیق کرتا ہے ، آلات کی توثیق کرتا ہے ، اور ایسا انجن پیش کرتا ہے جو رسک اسکور مہیا کرتا ہے جو اطلاق تک رسائی کی اجازت دیتا ہے۔

"ہمارا مقصد یہ ہے کہ کسی صارف کو ، کسی بھی آلے سے ، کسی بھی کارپوریٹ وسائل تک باضابطہ طور پر رسائی حاصل کی جائے ، قطع نظر اس کی میزبانی کی جائے ، بادل میں ہو یا احاطے میں ، اختتامی نقطہ میں کسی بھی ایجنٹ کی تقرری کے بغیر یا ورچوئل پرائیوٹ نیٹ ورکس (VPNs) ، "منزل پر سائٹ پر فائر والز ، یا پراکسیز ،" مائیکل ڈوبنسکی ، لومینیٹ میں پروڈکٹ مینجمنٹ کے سربراہ ، نے نیویارک میں ہائبرڈ شناخت پروٹیکشن (HIP) کانفرنس 2018 (HIP2018) میں پی سی میگ کو بتایا۔

آئی ٹی کا ایک اہم ضبط جس میں زیرو ٹرسٹ تیزی سے ٹریک حاصل کررہا ہے وہ شناخت کا انتظام ہے۔ اس کا امکان ہے کیونکہ 80 فیصد خلاف ورزی مراعات یافتہ اسناد کے غلط استعمال کی وجہ سے ہوتی ہیں ، "فاریسٹر لہر: استحقاق شناخت کی انتظامیہ ، Q3 2016" کی رپورٹ کے مطابق۔ وہ سسٹم جو زیادہ دانے دار ڈگری تک مجاز رسائی پر قابو رکھتے ہیں ان واقعات کو روکنے میں مدد کرسکتے ہیں۔

شناخت کے انتظام کی جگہ کوئی نئی نہیں ہے ، اور ایسی کمپنیوں کی ایک لمبی فہرست ہے جو اس طرح کے حل پیش کرتی ہیں ، جس میں غالبا مائیکرو سافٹ اور اس کے ایکٹو ڈائرکٹری (AD) پلیٹ فارم موجود ہیں ، جو اب بھی مشہور ونڈوز سرور آپریٹنگ سسٹم میں سرایت شدہ ہے ( OS)۔ تاہم ، بہت سارے نئے کھلاڑی موجود ہیں جو AD سے زیادہ نہ صرف زیادہ فعالیت پیش کرسکتے ہیں ، بلکہ شناخت کا انتظام بھی نفاذ اور برقرار رکھنے میں آسان بنا سکتے ہیں۔ اس طرح کی کمپنیوں میں سنٹری فائی ، آئیڈیپٹیو ، اوکٹا ، اور سیلپوائنٹ ٹیکنالوجیز جیسے کھلاڑی شامل ہیں۔

اور جب وہ لوگ جو پہلے ہی ونڈوز سرور میں سرمایہ کاری کر چکے ہیں وہ اس ٹکنالوجی کے لئے زیادہ سے زیادہ ادائیگی کرنے میں سوچ سکتے ہیں جو انھیں لگتا ہے کہ انہوں نے پہلے ہی سرمایہ کاری کی ہے ، لیکن گہری اور بہتر برقرار رکھی جانے والی شناخت کا نظم و نسق فن تعمیر کو ناکام بنائے جانے والے خلاف ورزیوں اور تعمیل آڈٹ میں بہت زیادہ فائدہ پہنچا سکتا ہے۔ اس کے علاوہ ، قیمت ممنوع نہیں ہے ، اگرچہ یہ اہم ہوسکتی ہے۔ مثال کے طور پر ، سینٹرفی انفراسٹرکچر سروسز فی نظام $ 22 سے ہر ماہ میں شروع ہوتی ہے۔

زیرو ٹرسٹ کیسے کام کرتا ہے

کنڈرواگ نے کہا ، "زیرو ٹرسٹ میں سے ایک کام نیٹ ورک کے حصے کی وضاحت ہے۔ نیٹ ورک مینجمنٹ اور سائبرسیکیوریٹی دونوں میں طبقہ بندی ایک کلیدی تصور ہے۔ اس میں کمپیوٹر نیٹ ورک کو سب نیٹ ورکس میں تقسیم کرنا شامل ہے ، منطقی یا جسمانی طور پر ، کارکردگی اور حفاظت کو بہتر بنانا۔

زیرو ٹرسٹ کا ایک فن تعمیر ایک پیرامیٹر ماڈل سے آگے بڑھتا ہے ، جو نیٹ ورک کی جسمانی جگہ پر محیط ہوتا ہے۔ کننگھم نے کہا کہ اس میں "مابعد کو ہستی کی طرف دھکیلنا شامل ہے۔"

انہوں نے کہا ، "یہ ادارہ سرور ، صارف ، ڈیوائس یا رسائ پوائنٹ ہوسکتا ہے۔ "آپ واقعی اونچی دیوار تعمیر کر چکے ہیں اور یہ کہ آپ محفوظ ہیں یہ سوچنے کی بجائے آپ کنٹرولوں کو مائیکرو سطح پر لے جاتے ہیں۔" کننگھم نے فائر فال کو ایک عام گھیرے کے حصے کے طور پر بیان کیا۔ انہوں نے کہا ، "یہ نقطہ نظر اور حکمت عملی اور تناؤ کا مسئلہ ہے۔" "اونچی دیواریں اور ایک بڑی چیز: وہ صرف کام نہیں کرتی ہیں۔"

نیٹ ورک تک رسائی حاصل کرنے کے لئے ، سیکیورٹی کا ایک پرانا پہلو روٹر استعمال کررہا تھا ، شناختی انتظامیہ کی کمپنی ، ایڈیپٹیو کے نئے سی ای او ڈینی کیبل کے مطابق ، جو سینٹری فائی سے دور ہورہے ہیں۔ زیرو ٹرسٹ سے پہلے کمپنیاں تصدیق کرتی اور پھر اعتماد کرتی۔ لیکن صفر ٹرسٹ کے ساتھ ، آپ "ہمیشہ توثیق کرتے ہیں ، کبھی بھی اعتماد نہیں کرتے ہیں ،" کیبل نے وضاحت کی۔

اڈپٹیو ایک نیکسٹ جن جن رسائی پلیٹ فارم پیش کرتا ہے جس میں سنگل سائن آن (ایس ایس او) ، انکولی ملٹی فیکٹر استنٹیفیکیشن (ایم ایف اے) ، اور موبائل ڈیوائس مینجمنٹ (ایم ڈی ایم) شامل ہیں۔ ایڈیپٹیو جیسی خدمات تک رسائی پر ضروری دانے دار قابو پیدا کرنے کا ایک طریقہ فراہم کرتی ہیں۔ آپ کو مختلف ایپلی کیشنز تک کس کی رسائ کی ضرورت ہے اس کی بنیاد پر رزق یا غیر فراہمی کر سکتے ہیں۔ کیبل نے کہا ، "اس سے تنظیم کو اپنی رسائی پر قابو پانے کی عمدہ صلاحیت حاصل ہے۔ "اور یہ ان تنظیموں کے ل super بہت اہم ہے جن کو ہم دیکھ رہے ہیں کیونکہ غیر مجاز رسائی کے معاملے میں بہت سارے پھیلاؤ موجود ہیں۔"

کیبل نے آئیڈپٹیو کے زیرو ٹرسٹ کے لئے نقطہ نظر کو تین مراحل کے ساتھ واضح کیا: صارف کی تصدیق کریں ، ان کے آلے کی تصدیق کریں ، اور صرف اس صورت میں صارف کے ل applications ایپلی کیشنز اور خدمات تک رسائی کی اجازت دیں۔ کیبل نے کہا ، "ہمارے پاس صارف کے طرز عمل کا جائزہ لینے کے لئے متعدد ویکٹر موجود ہیں: مقام ، جغرافیہ ، دن کا وقت ، ہفتے کا وقت ، آپ کس قسم کی درخواست استعمال کر رہے ہیں ، اور یہاں تک کہ کچھ معاملات میں بھی آپ اس اطلاق کو کس طرح استعمال کر رہے ہیں۔" . انڈیپٹیو مانیٹر کامیاب اور ناکام لاگ ان کوششوں کو دیکھنے کی کوشش کرتے ہیں جب تصدیق کو دوبارہ سے چلانے کی ضرورت ہوتی ہے یا صارف کو مکمل طور پر بلاک کرنے کی ضرورت ہوتی ہے۔

30 اکتوبر کو ، سینٹرفی نے زیرو ٹرسٹ پریلیج نامی سائبرسیکیوریٹی اپروچ متعارف کروائی جس میں کمپنیاں کم سے کم مراعات یافتہ رسائی کو ضروری فراہم کرتی ہیں اور تصدیق کرتی ہیں کہ کون رسائی کی درخواست کر رہا ہے۔ زیرو ٹرسٹ استحقاق کے عمل کے چار مراحل میں صارف کی تصدیق ، درخواست کے سیاق و سباق کو دیکھنے ، منتظم ماحول کو محفوظ بنانا ، اور کم سے کم ضروری استحقاق کی فراہمی شامل ہیں۔ سنٹری فری کے زیرو ٹرسٹ استحقاق کے نقطہ نظر میں خطرہ کم کرنے کے لئے ایک مرحلہ وار نقطہ نظر شامل ہوتا ہے۔ یہ لیگیسی پرائیلیجڈ ایکسیس مینجمنٹ (پی اے ایم) سے بھی تبدیلی لاتا ہے ، جو سافٹ ویئر ہے جو کمپنیوں کو کلاؤڈ اسٹوریج پلیٹ فارم ، بگ ڈیٹا پراجیکٹس ، اور بزنس گریڈ ویب میں چلنے والے جدید ترین کسٹم ایپلیکیشن ڈویلپمنٹ پروجیکٹس جیسے جدید ماحول میں بھی رسائی محدود رکھتا ہے۔ ہوسٹنگ کی سہولیات

سنٹرفی کے صدر ، ٹم اسٹینکوف نے کہا کہ زیرو ٹرسٹ کا ایک ماڈل یہ فرض کرتا ہے کہ ہیکرز پہلے ہی کسی نیٹ ورک تک رسائی حاصل کر رہے ہیں۔ اسٹنکوف کے مطابق ، اس خطرے سے نمٹنے کی حکمت عملی پس منظر کی نقل و حرکت کو محدود کرنا اور ہر جگہ ایم ایف اے کا اطلاق کرنا ہے۔ "جب بھی کوئی مراعات یافتہ ماحول تک رسائی حاصل کرنے کی کوشش کر رہا ہے ، آپ کو فوری طور پر صحیح اسناد اور صحیح رسائی حاصل کرنے کی ضرورت ہے ،" اسٹینکوپ نے پی سی مئگ کو بتایا۔ "اس کو نافذ کرنے کا طریقہ شناختوں کو مستحکم کرنا ہے ، اور پھر آپ کو درخواست کے سیاق و سباق کی ضرورت ہوگی ، مطلب یہ ہے کہ کون ، کیا ، کب ، کیوں ، اور کہاں۔" اسٹنکوف نے کہا کہ اس کے بعد ، آپ اس تک رسائی کی صرف رقم فراہم کرتے ہیں۔

"آپ صارف کا سیاق و سباق لے رہے ہیں ، اس صورت میں یہ ڈاکٹر ہوسکتا ہے ، یہ نرس ہوسکتی ہے ، یا اعداد و شمار تک رسائی حاصل کرنے کی کوشش کرنے والا کوئی دوسرا شخص ہوسکتا ہے۔" "آپ جس آلہ سے وہ کام کر رہے ہیں اس کا سیاق و سباق لے لیتے ہیں ، آپ جس فائل تک رسائی حاصل کرنے کی کوشش کر رہے ہیں اس کا سیاق و سباق لے لیتے ہیں ، اور پھر آپ کو اسی بنیاد پر رسائی کا فیصلہ کرنے کی ضرورت ہے۔"

ایم ایف اے ، زیرو ٹرسٹ ، اور عمدہ عمل

زیرو ٹرسٹ ماڈل کا ایک اہم پہلو مضبوط تصدیق ہے ، اور تصدیق کے متعدد عوامل کی اجازت دینا اسی کا ایک حصہ ہے ، ایم ای ایف کے حل پیش کرنے والے ، سلورفورٹ کے سی ای او اور شریک بانی ، ہیڈ کوویٹز نے نوٹ کیا۔ بادل کے دور میں حدود کی کمی کے ساتھ ، پہلے سے کہیں زیادہ مستند ہونے کی ضرورت ہے۔ کویتز نے HIP2018 میں پی سی میگ کو بتایا ، "کسی بھی چیز کا ایم ایف اے کرنے کی صلاحیت صفر ٹرسٹ کی تقریبا a ایک بنیادی ضرورت ہے ، اور آج ایسا کرنا ناممکن ہے کیونکہ زیرو ٹرسٹ اس خیال سے آتا ہے جہاں اب کوئی حد تک نہیں ہے۔" "لہذا کوئی بھی چیز کسی بھی چیز سے منسلک ہے ، اور اس حقیقت میں ، آپ کے پاس ایسا گیٹ وے نہیں ہے جس پر آپ قابو پاسکتے ہو۔"

فورسٹر کے کننگھم نے زیرو ٹرسٹ ایکسٹینڈڈ (ایکس ٹی ایکس) کے نام سے ایک حکمت عملی کا خاکہ پیش کیا ہے جس میں جیرو ٹرسٹ کی حکمت عملی کے مطابق ٹکنالوجی کی خریداری کے فیصلوں کا نقشہ تیار کیا جاسکے۔ کننگھم نے کہا ، "ہم نے واقعی کنٹرول کے سات ٹکڑوں کو دیکھا جس کی آپ کو حقیقت میں ماحول کو محفوظ طور پر انتظام کرنے کی ضرورت ہے۔" سات ستون آٹومیشن اینڈ آرکیسٹریشن ، نمائش اور تجزیات ، ورک بوجھ ، لوگ ، ڈیٹا ، نیٹ ورکس اور آلات ہیں۔ زیڈ ٹی ایکس پلیٹ فارم بننے کے لئے ، کسی سسٹم یا ٹیکنالوجی میں ایپلیکیشن پروگرامنگ انٹرفیس (API) کی صلاحیتوں کے ساتھ ان میں سے تین ستون ہوں گے۔ سیکیورٹی حل پیش کرنے والے متعدد دکاندار فریم ورک کے مختلف ستونوں میں فٹ بیٹھتے ہیں۔ کنٹنگھم نے نوٹ کیا کہ سینٹرفی ایسی مصنوعات کی پیش کش کرتا ہے جو لوگوں اور آلات کی حفاظت کو پیش کرتے ہیں ، پالو الٹو نیٹ ورکس اور سسکو نیٹ ورکنگ کے حل پیش کرتے ہیں ، اور آئی بی ایم کے سیکیورٹی گارڈیم حل ڈیٹا کے تحفظ پر مرکوز ہیں۔

اسٹینکوف نے کہا کہ زیرو ٹرسٹ ماڈل میں خفیہ کردہ سرنگیں ، ٹریفک کلاؤڈ اور سرٹیفکیٹ پر مبنی خفیہ کاری بھی شامل ہونا چاہئے۔ اگر آپ انٹرنیٹ پر کسی آئی پیڈ سے ڈیٹا بھیج رہے ہیں تو آپ تصدیق کرنا چاہتے ہیں کہ وصول کنندہ تک رسائی کا حقدار ہے ، اس نے وضاحت کی۔ اسٹینکوپ کے مطابق ، ابھرتے ہوئے ٹکنالوجی رجحانات جیسے کنٹینرز اور ڈی او اوپس کو نافذ کرنا مراعات یافتہ سندوں سے متعلق زیادتیوں کا مقابلہ کرنے میں مدد کرسکتا ہے۔ انہوں نے کلاؤڈ کمپیوٹنگ کو بھی زیرو ٹرسٹ کی حکمت عملی میں سب سے آگے قرار دیا۔

لومینیٹ کا ڈوبنسکی اس سے اتفاق کرتا ہے۔ ایس ایم بی کے ل identity ، ایسی کلاؤڈ کمپنی کا رخ کرنا جو شناختی انتظام یا ایم ایف اے کو بطور سروس مہیا کرتی ہے ، ان سیکیورٹی ذمہ داریوں کو اس علاقے میں مہارت حاصل کرنے والی کمپنیوں کے سپرد کردیتی ہے۔ ڈوبنسکی نے کہا ، "آپ اپنی کمپنیوں اور لوگوں کے لئے زیادہ سے زیادہ آف لوڈ کرنا چاہتے ہیں جو ان کے دن کی نوکری کے لئے ذمہ دار ہیں۔"

زیرو ٹرسٹ فریم ورک کی صلاحیت

اگرچہ ماہرین نے اعتراف کیا کہ کمپنیاں زیرو ٹرسٹ ماڈل کی طرف رجوع کر رہی ہیں ، خاص کر شناختی انتظام میں ، کچھ کو زیرو ٹرسٹ کو اپنانے کے لئے سیکیورٹی کے بنیادی ڈھانچے میں بڑی تبدیلیوں کی ضرورت نہیں نظر آتی ہے۔ "مجھے یقین نہیں ہے کہ یہ ایک ایسی حکمت عملی ہے جسے میں آج کسی بھی سطح پر اپنانا چاہوں گا ،" آئی ڈی سی کے سیکیورٹی پروڈکٹ گروپ کے پروگرام کے نائب صدر شان پائیک نے کہا۔ "میں مثبت نہیں ہوں کہ آر اوآئ کیلکولس ایک ایسے ٹائم فریم میں موجود ہے جو معنی خیز ہے۔ یہاں متعدد تعمیراتی تبدیلیاں اور عملے کے معاملات ہیں جن کے بارے میں میں سمجھتا ہوں کہ لاگت کو حکمت عملی کے طور پر ممنوع بنا دیتا ہے۔"

تاہم ، پائیک ٹیلی مواصلات اور IDM میں زیرو ٹرسٹ کے امکانات دیکھتا ہے۔ پائیک نے کہا ، "میرے خیال میں آج ایسے اجزاء موجود ہیں جن کو آسانی سے اپنایا جاسکتا ہے جس کے لئے ہول سیل فن تعمیرات میں شناخت کی ضرورت نہیں ہے ، مثال کے طور پر ،" پائیک نے کہا۔ "جب تک وہ وابستہ ہیں ، میرا مضبوط احساس یہ ہے کہ اپنانا ضروری نہیں ہے کہ وہ صفر ٹرسٹ کی طرف کوئی اسٹریٹجک اقدام ہو بلکہ صارفین کے مربوط رابطوں اور پاس ورڈ پر مبنی سسٹمز سے دور جانے اور رسائ مینجمنٹ کو بہتر بنانے کی ضرورت کے نئے طریقوں کی نشاندہی کریں۔" وضاحت کی

اگرچہ زیرو ٹرسٹ کو مارکیٹنگ کے ایک تصور سے تھوڑا بہت سمجھا جاسکتا ہے جو سائبر سیکیورٹی کے کچھ معیاری اصولوں کو دہراتا ہے ، جیسے آپ کے نیٹ ورک میں آنے والوں پر بھروسہ نہ کرنا اور صارفین کی تصدیق کرنے کی ضرورت ہے ، ماہرین کے مطابق ، اس مقصد کو ایک گیم پلان کے طور پر انجام دیتا ہے۔ . فوریسٹر کننگھم نے کہا ، "میں زیرو ٹرسٹ کا ایک بہت بڑا حامی ہوں ، اس واحد اور اسٹریٹجک طرح کے منتر کی طرف بڑھ رہا ہوں اور تنظیم کے اندر اس کا مقابلہ کروں گا۔"

سیکیورٹی کی تربیت اور سند فراہم کرنے والی تنظیم ، ایس این ایس انسٹی ٹیوٹ میں ایمرجنگ سیکیورٹی ٹرینڈس کے ڈائریکٹر جان پیسکاٹور نے نوٹ کیا ، 2010 میں فوریسٹر کے ذریعہ زیرو ٹرسٹ کے نظریات سائبرسیکیوریٹی انڈسٹری کے لئے نئے نہیں ہیں۔ انہوں نے کہا ، "یہ سائبرسیکیوریٹی کی معیاری تعریف ہے۔ ہر چیز کو محفوظ بنانے ، اپنے نیٹ ورک کو قطع کرنے اور صارف کے مراعات کا انتظام کرنے کی کوشش کریں۔"

پیسکاٹور نے بتایا کہ 2004 کے آس پاس ، جیریو فورم نامی ایک ناکارہ سیکیورٹی تنظیم نے "پیرمیٹر سے کم سیکیورٹی" کے حوالے سے فوریسٹر کی طرح کے خیالات متعارف کروائے اور صرف قابل اعتماد رابطوں کی اجازت دینے کی سفارش کی۔ پیسکاٹور نے کہا ، "یہ اس طرح کی بات ہے کہ ، 'کسی ایسے مقام پر چلے جائیں جس کا کوئی مجرم اور بہترین موسم نہ ہو ، اور آپ کو اپنے گھر پر چھت یا دروازوں کی ضرورت نہیں ہے۔' "زیرو ٹرسٹ کم از کم حص seہ بندی کے عام فہم میں واپس لایا always آپ انٹرنیٹ سے ہمیشہ ہی ایک مدار کے ساتھ الگ ہوجاتے ہیں۔"

• پیرمیٹر سے پرے: پرتدار سیکیورٹی سے نمٹنے کے لئے کس طرح پیرامیٹر سے پرے: پرتوں کی حفاظت کو کیسے حل کریں
• NYC وینچر نے نوکریوں کی حوصلہ افزائی کی کوشش کی ، سائبرسیکیوریٹی میں بدعت NYC Venture نے نوکریوں کی حوصلہ افزائی کرنے کی کوشش کی ، سائبرسیکیوریٹی میں جدت
• اپنے اگلے حفاظتی خلاف ورزی کے لئے کس طرح تیاری کریں اپنے اگلے حفاظتی خلاف ورزی کے لئے کس طرح تیاری کریں

زیرو ٹرسٹ ماڈل کے متبادل کے طور پر ، پیسکاٹور نے سینٹر برائے انٹرنیٹ سیکیورٹی کے تنقیدی سلامتی کنٹرولز کی پیروی کرنے کی سفارش کی۔ آخر میں ، زیرو ٹرسٹ یقینی طور پر فوقیت کے ل bring فائدہ اٹھا سکتا ہے۔ لیکن ، جیسا کہ پیسکاٹور نے نوٹ کیا ، چاہے اسے زیرو ٹرسٹ کہا جائے یا کچھ اور ، اس نوعیت کی حکمت عملی میں ابھی بھی بنیادی کنٹرول کی ضرورت ہے۔

پیسکاٹور نے کہا ، "اس حقیقت سے کوئی فرق نہیں پڑتا کہ کاروبار کی حفاظت کے ل you ، آپ کو بنیادی حفاظتی حفظان صحت کے عمل اور کنٹرول تیار کرنے ہوں گے اور ساتھ ہی ہنر مند عملے کو ان کو موثر اور موثر انداز میں چلانے کے لئے رکھنا ہو گا۔" یہ زیادہ تر تنظیموں کے لئے مالی سرمایہ کاری سے زیادہ ہے ، اور اس میں ایک کمپنی کو کامیابی کے ل on توجہ دینے کی ضرورت ہوگی۔