जीरो ट्रस्ट आर्किटेक्चर कार्यान्वयन: व्यवसायों के लिए एक व्यावहारिक मार्गदर्शिका

पारंपरिक परिधि-आधारित सुरक्षा मॉडल --- "नेटवर्क के अंदर हर चीज पर भरोसा करें, बाहर की हर चीज को ब्लॉक करें" --- मौलिक रूप से टूट गया है। दूरस्थ कार्य, क्लाउड एप्लिकेशन और मोबाइल उपकरणों ने नेटवर्क परिधि को भंग कर दिया है। फॉरेस्टर के शोध से पता चलता है कि 80 प्रतिशत डेटा उल्लंघनों में नेटवर्क के अंदर उपयोग किए जाने वाले समझौता किए गए क्रेडेंशियल शामिल होते हैं, जहां परिधि सुरक्षा कोई सुरक्षा प्रदान नहीं करती है।

शून्य विश्वास, अंतर्निहित विश्वास को स्पष्ट सत्यापन से बदल देता है। सिद्धांत सरल है: कभी भरोसा न करें, हमेशा सत्यापित करें। प्रत्येक एक्सेस अनुरोध प्रमाणित, अधिकृत और एन्क्रिप्टेड होता है, भले ही वह कहीं से भी उत्पन्न हुआ हो। यह मार्गदर्शिका सभी आकार के व्यवसायों के लिए एक व्यावहारिक कार्यान्वयन रोडमैप प्रदान करती है।

---

शून्य विश्वास मूल सिद्धांत

सिद्धांत 1: स्पष्ट रूप से सत्यापित करें

प्रत्येक एक्सेस अनुरोध को सभी उपलब्ध डेटा बिंदुओं के आधार पर सत्यापित किया जाना चाहिए:

• उपयोगकर्ता की पहचान (कौन अनुरोध कर रहा है?)
• डिवाइस स्वास्थ्य (क्या डिवाइस अनुपालन योग्य है?)
• स्थान (क्या यह एक ज्ञात स्थान है?)
• सेवा/कार्यभार (वे किस तक पहुँचने का प्रयास कर रहे हैं?)
• डेटा वर्गीकरण (संसाधन कितना संवेदनशील है?)
• विसंगति का पता लगाना (क्या इस उपयोगकर्ता के लिए यह व्यवहार सामान्य है?)

सिद्धांत 2: कम से कम विशेषाधिकार पहुंच का उपयोग करें

कार्य के लिए आवश्यक न्यूनतम समय के लिए न्यूनतम अनुमतियाँ प्रदान करें।

सिद्धांत 3: उल्लंघन मान लें

सिस्टम को ऐसे डिज़ाइन करें जैसे कि हमलावर पहले से ही आपके नेटवर्क के अंदर हैं:

• पार्श्व गति को सीमित करने के लिए खंड नेटवर्क
• सभी ट्रैफ़िक को एन्क्रिप्ट करें, यहां तक कि आंतरिक ट्रैफ़िक को भी
• असंगत व्यवहार पर लगातार निगरानी रखें
• खतरे की प्रतिक्रिया स्वचालित करें
• विस्तृत ऑडिट लॉग बनाए रखें

---

शून्य विश्वास के पांच स्तंभ

स्तंभ 1: पहचान

पहचान नई परिधि है. प्रत्येक पहुंच संबंधी निर्णय पहचान की पुष्टि के साथ शुरू होता है।

कार्यान्वयन चेकलिस्ट:

• सभी उपयोगकर्ताओं के लिए बहु-कारक प्रमाणीकरण (एमएफए), कोई अपवाद नहीं
• सभी अनुप्रयोगों में एकल साइन-ऑन (एसएसओ)।
• पात्र अनुप्रयोगों के लिए पासवर्ड रहित प्रमाणीकरण (FIDO2, बायोमेट्रिक्स)
• सशर्त पहुंच नीतियां (नए स्थानों/उपकरणों से एमएफए की आवश्यकता है)
• व्यवस्थापक खातों के लिए विशेषाधिकार प्राप्त पहुंच प्रबंधन (पीएएम)।
• पहचान शासन (नियमित पहुंच समीक्षा, स्वचालित प्रावधानीकरण)
• असंभव यात्रा का पता लगाना (जब एक ही उपयोगकर्ता दो दूर के स्थानों से लॉग इन करता है तो अलर्ट)

स्तंभ 2: उपकरण

किसी छेड़छाड़ किए गए डिवाइस पर सत्यापित उपयोगकर्ता अभी भी खतरा है।

कार्यान्वयन चेकलिस्ट:

• डिवाइस इन्वेंट्री और प्रबंधन (एमडीएम/यूईएम)
• पहुंच प्रदान करने से पहले डिवाइस स्वास्थ्य मूल्यांकन
• सभी उपकरणों पर एन्क्रिप्शन आवश्यक है (पूर्ण डिस्क एन्क्रिप्शन)
• ऑपरेटिंग सिस्टम और सॉफ्टवेयर चालू होना चाहिए (पैच अनुपालन)
• एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) स्थापित और सक्रिय
• न्यूनतम सुरक्षा आवश्यकताओं के साथ व्यक्तिगत उपकरण नीति (BYOD)।
• केवल नामांकन ही नहीं, बल्कि प्रत्येक एक्सेस अनुरोध पर डिवाइस अनुपालन की जाँच की गई

स्तंभ 3: नेटवर्क

उल्लंघनों को रोकने और पार्श्व संचलन को सीमित करने के लिए नेटवर्क को खंडित करें।

कार्यान्वयन चेकलिस्ट:

• माइक्रो-सेगमेंटेशन (एप्लिकेशन-स्तरीय नेटवर्क नीतियां)
• एप्लिकेशन एक्सेस के लिए सॉफ़्टवेयर-परिभाषित परिधि (एसडीपी)।
• ज्ञात दुर्भावनापूर्ण डोमेन को ब्लॉक करने के लिए DNS फ़िल्टरिंग
• एन्क्रिप्टेड आंतरिक ट्रैफ़िक (सभी आंतरिक एपीआई और सेवाओं के लिए टीएलएस)
• भौतिक नेटवर्क कनेक्शन के लिए नेटवर्क एक्सेस कंट्रोल (एनएसी)।
• VPN replacement with zero trust network access (ZTNA) for remote users
• पूर्व-पश्चिम यातायात निगरानी (पार्श्व आंदोलन का पता लगाएं)

स्तंभ 4: अनुप्रयोग और कार्यभार

एप्लिकेशन को एक्सेस नियंत्रण लागू करना होगा और उपयोग में आने वाले डेटा की सुरक्षा करनी होगी।

कार्यान्वयन चेकलिस्ट:

• एप्लिकेशन-स्तरीय प्रमाणीकरण और प्राधिकरण
• एपीआई सुरक्षा (प्रमाणीकरण, दर सीमित करना, इनपुट सत्यापन)
• कंटेनर और सर्वर रहित सुरक्षा स्कैनिंग
• विसंगतियों के लिए अनुप्रयोग व्यवहार की निगरानी
• छाया आईटी खोज और शासन
• सास सुरक्षा मुद्रा प्रबंधन (एसएसपीएम)
• सार्वजनिक-सामना वाले अनुप्रयोगों के लिए वेब एप्लिकेशन फ़ायरवॉल (डब्ल्यूएएफ)।

स्तंभ 5: डेटा

डेटा अंतिम संपत्ति है. शून्य विश्वास को स्थान की परवाह किए बिना डेटा की सुरक्षा करनी चाहिए।

कार्यान्वयन चेकलिस्ट:

• डेटा वर्गीकरण योजना (सार्वजनिक, आंतरिक, गोपनीय, प्रतिबंधित)
• डेटा हानि रोकथाम (डीएलपी) नीतियां लागू की गईं
• संवेदनशील डेटा के लिए आराम और पारगमन के दौरान एन्क्रिप्शन
• सभी संवेदनशील डेटा परिचालनों के लिए एक्सेस लॉगिंग
• दस्तावेज़-स्तरीय सुरक्षा के लिए डेटा अधिकार प्रबंधन
• बैकअप एन्क्रिप्शन और एक्सेस नियंत्रण
• विनियमित डेटा के लिए डेटा रेजीडेंसी अनुपालन

---

कार्यान्वयन रोडमैप

चरण 1: फाउंडेशन (माह 1-3)

उच्च सुरक्षा प्रभाव के साथ त्वरित जीत:

1. सभी उपयोगकर्ताओं के लिए एमएफए सक्षम करें (चरणबद्ध होने पर व्यवस्थापक खातों से प्रारंभ करें)
2. सभी SaaS अनुप्रयोगों के लिए SSO लागू करें
3. सभी उपकरणों पर एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) तैनात करें
4. महत्वपूर्ण अनुप्रयोगों के लिए सशर्त पहुंच नीतियां सक्षम करें
5. सभी एप्लिकेशन और डेटा स्टोर की सूची

बजट अनुमान: SMB के लिए $5K-$30K, मध्य-बाज़ार के लिए $30K-$150K

चरण 2: दृश्यता (3-6 महीने)

1. पूर्व-पश्चिम यातायात के लिए नेटवर्क निगरानी तैनात करें
2. पहचान विश्लेषण लागू करें (असामान्य पहुंच पैटर्न का पता लगाएं)
3. डेटा वर्गीकरण अभ्यास का संचालन करें
4. क्लाउड सुरक्षा स्थिति प्रबंधन तैनात करें
5. सुरक्षा संचालन निगरानी स्थापित करें (एसआईईएम या समकक्ष)

बजट अनुमान: SMB के लिए $10K-$50K, मध्य-बाज़ार के लिए $50K-$250K

चरण 3: प्रवर्तन (माह 6-12)

1. महत्वपूर्ण अनुप्रयोगों के लिए सूक्ष्म-विभाजन लागू करें
2. वीपीएन को बदलने के लिए ZTNA तैनात करें
3. एप्लिकेशन एक्सेस के लिए डिवाइस अनुपालन आवश्यकताओं को लागू करें
4. वर्गीकृत डेटा के लिए डीएलपी नीतियां लागू करें
5. उपयोगकर्ता प्रावधान और प्रावधानीकरण को स्वचालित करें

बजट अनुमान: SMB के लिए $20K-$100K, मध्य-बाज़ार के लिए $100K-$500K

चरण 4: अनुकूलन (महीने 12-18)

1. जोखिम-आधारित अनुकूली प्रमाणीकरण लागू करें
2. स्वचालित खतरा प्रतिक्रिया (SOAR) तैनात करें
3. ओटी/आईओटी उपकरणों पर शून्य विश्वास बढ़ाएं (यदि लागू हो)
4. घटना और लेखापरीक्षा निष्कर्षों के आधार पर निरंतर सुधार
5. वार्षिक प्रवेश परीक्षण और रेड टीम अभ्यास

---

शून्य विश्वास परिपक्वता मॉडल

---

शून्य विश्वास प्रभावशीलता को मापना

---

संबंधित संसाधन

• एंटरप्राइज़ के लिए ज़ीरो ट्रस्ट आर्किटेक्चर --- उन्नत ज़ीरो ट्रस्ट अवधारणाएँ
• क्लाउड सुरक्षा सर्वोत्तम अभ्यास --- क्लाउड वातावरण में शून्य विश्वास
• घटना प्रतिक्रिया योजना टेम्पलेट --- जब शून्य विश्वास किसी उल्लंघन का पता लगाता है
• सुरक्षा अनुपालन फ्रेमवर्क गाइड --- अनुपालन संरेखण

---

शून्य विश्वास वह उत्पाद नहीं है जिसे आप खरीदते हैं --- यह एक वास्तुकला है जिसे आप समय के साथ बनाते हैं। पहचान से शुरू करें (सभी के लिए एमएफए), दृश्यता जोड़ें (जानें कि आपके नेटवर्क पर क्या है और यह कैसे व्यवहार करता है), फिर लागू करें (प्रत्येक एक्सेस अनुरोध को सत्यापित करें)। यात्रा में 12-18 महीने लगते हैं, लेकिन सुरक्षा स्थिति में सुधार तुरंत शुरू हो जाता है। शून्य विश्वास वास्तुकला मूल्यांकन और कार्यान्वयन योजना के लिए ECOSIRE से संपर्क करें।