การเข้าถึงเครือข่ายแบบซีโรทรัส (ZTNA)

Zero Trust Network Access (ZTNA) คือรูปแบบความปลอดภัยที่ยึดหลักการ "ไม่ไว้วางใจโดยค่าเริ่มต้น" (Never Trust, Always Verify) โดยจะทำการตรวจสอบอย่างต่อเนื่องทุกครั้งที่มีการเข้าถึง และควบคุมการเชื่อมต่อสู่ทรัพยากรเครือข่ายด้วยหลักการสิทธิ์ขั้นต่ำ (Least Privilege)

ความแตกต่างที่สำคัญจากรูปแบบเดิม

ในอดีต ความปลอดภัยของเครือข่ายตั้งอยู่บนแนวคิด "การป้องกันที่ขอบเขต" (Perimeter Defense) โดยมีสมมติฐานว่าหากอยู่ในเครือข่ายองค์กรแล้วจะมีความน่าเชื่อถือ ทำให้การใช้ VPN และไฟร์วอลล์เพื่อป้องกันขอบเขตจากภายนอกเป็นเรื่องปกติ อย่างไรก็ตาม ท่ามกลางการแพร่หลายของบริการคลาวด์ การทำงานทางไกลที่กลายเป็นเรื่องปกติ และการใช้เครื่องมือที่อยู่นอกเหนือการควบคุม เช่น Shadow AI ทำให้สมมติฐานที่ว่า "ภายในขอบเขตนั้นปลอดภัย" ไม่สามารถใช้ได้อีกต่อไป

ZTNA ได้เข้ามาลบล้างสมมติฐานนี้โดยสิ้นเชิง โดยจะถือว่าทุกคำขอเข้าถึงเป็น "สิ่งที่ยังไม่ได้ตรวจสอบ" ไม่ว่าจะมาจากภายในหรือภายนอกเครือข่าย และดำเนินการยืนยันตัวตนและให้สิทธิ์อย่างต่อเนื่องโดยใช้ปัจจัยต่างๆ ดังนี้:

• การยืนยันตัวตน (Identity Verification): ตรวจสอบว่าผู้ใช้เป็นบุคคลนั้นจริงๆ หรือไม่ ผ่านการยืนยันตัวตนแบบหลายปัจจัย (MFA) เป็นต้น
• การประเมินสถานะอุปกรณ์ (Device Posture Assessment): ตรวจสอบเวอร์ชัน OS ของอุปกรณ์ที่เชื่อมต่อ สถานะการอัปเดตแพตช์ และสถานะการทำงานของซอฟต์แวร์ความปลอดภัย
• การวิเคราะห์บริบท (Context Analysis): การประเมินความเสี่ยงโดยคำนึงถึงสถานที่ เวลา และรูปแบบพฤติกรรมในอดีตของผู้เข้าถึง
• การใช้สิทธิ์ขั้นต่ำ (Least Privilege): อนุญาตให้เข้าถึงเฉพาะทรัพยากรที่จำเป็นเท่านั้น เพื่อป้องกันการเคลื่อนที่ในแนวราบ (Lateral Movement) ไปยังส่วนอื่นๆ ของเครือข่าย

กลไกทางเทคนิค

การใช้งาน ZTNA มีสถาปัตยกรรมหลัก 2 รูปแบบ คือ "แบบใช้เอเจนต์" (Agent-based) และ "แบบใช้บริการ" (Service-based) ในแบบใช้เอเจนต์ จะต้องติดตั้งซอฟต์แวร์ไคลเอนต์ลงบนอุปกรณ์เพื่อเป็นตัวกลางในการเชื่อมต่อกับทรัพยากรผ่าน Access Broker ในขณะที่แบบใช้บริการไม่จำเป็นต้องใช้เอเจนต์ แต่จะใช้วิธี Reverse Proxy ในการควบคุมการเข้าถึง

ไม่ว่าจะเป็นสถาปัตยกรรมแบบใด การประเมินนโยบายการเข้าถึงจะเกิดขึ้นแบบเรียลไทม์ จุดที่แตกต่างจาก VPN แบบเดิมอย่างชัดเจนคือ หากคะแนนความเสี่ยงเปลี่ยนแปลงระหว่างเซสชัน ระบบสามารถตัดการเชื่อมต่อหรือร้องขอการยืนยันตัวตนใหม่ได้ทันที สำหรับการเข้ารหัส มักจะใช้มาตรฐานที่แข็งแกร่งอย่าง AES-256 ร่วมด้วย เพื่อรับประกันความปลอดภัยของเส้นทางการสื่อสาร

ในส่วนของกลไกการยืนยันตัวตน การบูรณาการเข้ากับการยืนยันตัวตนแบบสหพันธ์ (Federation Authentication) โดยใช้ OIDC Token ได้กลายเป็นมาตรฐานทั่วไป ซึ่งช่วยให้สามารถควบคุมการเข้าถึงได้อย่างยืดหยุ่นโดยทำงานร่วมกับ Identity Provider ที่มีอยู่เดิม

จุดเชื่อมโยงกับการพัฒนาความปลอดภัย

แม้ว่า ZTNA มักถูกกล่าวถึงในบริบทของความปลอดภัยโครงสร้างพื้นฐาน แต่ก็มีบทบาทสำคัญในการปฏิบัติงานด้าน DevSecOps เช่นกัน การจัดการการเข้าถึงสภาพแวดล้อมการพัฒนา สภาพแวดล้อมทดสอบ (Staging) และสภาพแวดล้อมจริง (Production) ตามหลักการ Zero Trust จะช่วยลดความเสียหายจากการทุจริตภายในหรือการรั่วไหลของข้อมูลยืนยันตัวตน นอกจากนี้ ท่ามกลางภัยคุกคามใหม่ๆ ที่มุ่งเป้าไปยังระบบ AI เช่น การโจมตีแบบ Prompt Injection แนวคิดของ ZTNA ก็กำลังถูกนำไปประยุกต์ใช้ในการควบคุมการเข้าถึง AI Agent และ API Endpoint อีกด้วย

ในมุมมองของ AI Governance นั้น ZTNA ซึ่งสามารถบันทึกและควบคุมได้ละเอียดว่าใครเข้าถึงทรัพยากร AI ใดและเมื่อใด จะทำหน้าที่เป็นรากฐานสำหรับการปฏิบัติตามกฎระเบียบ โดยเฉพาะอย่างยิ่งในการตอบสนองต่อกฎระเบียบอย่าง EU AI Act หรือ PDPA ที่ต้องการความสมบูรณ์ของบันทึกการเข้าถึงและการพิสูจน์การใช้สิทธิ์ขั้นต่ำ การนำ ZTNA มาใช้จึงให้ประโยชน์โดยตรง

ข้อควรระวังในการนำไปใช้

ZTNA ไม่ใช่ทางออกที่ครอบคลุมทุกอย่าง ในช่วงเริ่มต้นของการนำไปใช้จะมีต้นทุนในการบูรณาการเข้ากับโครงสร้างเครือข่ายและระบบยืนยันตัวตนเดิม นอกจากนี้ การตั้งค่านโยบายที่เข้มงวดเกินไปอาจเสี่ยงต่อการลดทอนประสิทธิภาพการทำงาน ดังนั้นแนวทางที่เน้นการปรับนโยบายแบบค่อยเป็นค่อยไปโดยใช้มุมมองแบบ HITL (Human-in-the-Loop) จึงเป็นแนวทางที่สมเหตุสมผลกว่า ยิ่งไปกว่านั้น ต้องไม่ลืมว่าการจัดการกับช่องโหว่ที่ทราบกันดีตามที่ OWASP กำหนด ยังคงจำเป็นต้องดำเนินการในเลเยอร์ที่แยกจาก ZTNA

Zero Trust ไม่ใช่สิ่งที่ "ซื้อผลิตภัณฑ์แล้วจบ" แต่เป็นกระบวนการต่อเนื่องที่เปลี่ยนวัฒนธรรมการจัดการการเข้าถึงขององค์กรไปโดยสิ้นเชิง