नई उद्योग रिपोर्ट ज़ीरो ट्रस्ट आर्किटेक्चर में एज-आधारित ट्रस्ट निर्णयों की महत्वपूर्ण आवश्यकता पर प्रकाश डालती है
TL;DR
ज़ीरो ट्रस्ट को एज (Edge) के करीब लाने की आवश्यकता क्यों है
ज़ीरो ट्रस्ट आर्किटेक्चर (ZTA) की दुनिया में एक शांत तनाव बढ़ रहा है। एक तरफ, हमारे पास कठोर, केंद्रीकृत शासन है जो ZTA को इतना आकर्षक बनाता है। दूसरी तरफ, हमारे पास कम-विलंबता (low-latency), एज-आधारित निर्णय लेने की व्यावहारिक और जटिल आवश्यकता है।
ज़ीरो ट्रस्ट का मूल वादा सरल है: कभी भरोसा न करें, हमेशा सत्यापित करें। लेकिन जब आप उस सिद्धांत को एक भौतिक भवन में लागू करते हैं—जैसे डोर कंट्रोलर, बायोमेट्रिक स्कैनर, या औद्योगिक सेंसर—तो "हमेशा सत्यापित करें" वाला हिस्सा कमजोर पड़ने लगता है। यदि किसी डोर कंट्रोलर को हर बार आपके बैज स्वाइप करने पर क्रेडेंशियल्स की जांच करने के लिए एक केंद्रीय सर्वर को पिंग करना पड़े, तो आपको वहां काफी देर तक खड़ा रहना पड़ेगा।
यही घर्षण का बिंदु है। संगठन सुरक्षा या गति से समझौता किए बिना नीति निर्धारण को प्रवर्तन (enforcement) से अलग करने के लिए संघर्ष कर रहे हैं।
"ड्रिफ्टिंग पेरीमीटर" (Drifting Perimeter) का जाल
Hikvision में ग्लोबल इंफॉर्मेशन सिक्योरिटी के उपाध्यक्ष चक डेविस ने इसे कई बार होते देखा है। नेटवर्क में रुकावट के दौरान सिस्टम को चालू रखने के लिए, कंपनियां अक्सर अपनी पॉलिसी कैश (policy caches) की अवधि बढ़ा देती हैं। यह कनेक्टिविटी समस्याओं के लिए एक क्लासिक "त्वरित समाधान" है, लेकिन यह खतरनाक है।
जब आप किसी डिवाइस को पुराने ऑथराइजेशन डेटा पर काम करने देते हैं, तो आप वास्तव में ज़ीरो ट्रस्ट का पालन नहीं कर रहे होते हैं। आप अनिवार्य रूप से एक "ड्रिफ्टिंग पेरीमीटर" बना रहे हैं। आप मूल रूप से उस पुराने मॉडल पर वापस आ गए हैं जिससे आप बचने की कोशिश कर रहे थे, जहां किसी डिवाइस पर केवल इसलिए भरोसा किया जाता है क्योंकि उस पर कल भरोसा किया गया था। यह परिचालन संबंधी आवश्यकता के रूप में प्रच्छन्न एक सुरक्षा प्रतिगमन (security regression) है।
ZTA की ओर झुकाव निरंतर है। वैश्विक बाजार के 2026 तक 27.5% CAGR से बढ़ने का अनुमान है, और अमेरिकी रक्षा विभाग अकेले 2025 के बजट में लगभग एक बिलियन डॉलर के साथ इस बदलाव का समर्थन कर रहा है। हर कोई इसकी ओर बढ़ रहा है, लेकिन हर कोई इसे सही तरीके से नहीं कर रहा है।
वे फ्रेमवर्क जिनके अनुसार हम काम करते हैं
NIST 800-207 मानक यहाँ आधारशिला है। इसने हमें "कैसल-एंड-मॉट" (castle-and-moat) मानसिकता से दूर किया—जहां एक बार जब आप VPN के अंदर होते हैं, तो आप कहीं भी जा सकते हैं—और निरंतर, संदर्भ-जागरूक सत्यापन (context-aware verification) के मॉडल की ओर ले गया।
अधिकांश संगठन अब अपने प्रोजेक्ट्स को ट्रैक पर रखने के लिए CISA ज़ीरो ट्रस्ट मैच्योरिटी मॉडल पर निर्भर हैं। यह चुनौती को पांच प्रबंधनीय स्तंभों में विभाजित करता है: पहचान (Identity), उपकरण (Devices), नेटवर्क, एप्लिकेशन/वर्कलोड और डेटा। यह एक ठोस रोडमैप है, लेकिन इसके लिए मानसिकता में एक मौलिक बदलाव की आवश्यकता है। आपको "भरोसा करें लेकिन सत्यापित करें" के बारे में सोचना बंद करना होगा और "कभी भरोसा न करें, हमेशा सत्यापित करें" के अनुसार जीना शुरू करना होगा।
| मुख्य ZTA सिद्धांत | परिचालन प्रभाव |
|---|---|
| निरंतर प्रमाणीकरण | निरंतर ट्रस्ट सत्रों को समाप्त करता है। |
| संदर्भ-आधारित सत्यापन | सुनिश्चित करता है कि पहुंच वर्तमान जोखिम स्थिति से जुड़ी हो। |
| न्यूनतम विशेषाधिकार पहुंच | दुर्भावनापूर्ण अभिनेताओं द्वारा पार्श्व संचलन (lateral movement) को सीमित करता है। |
| जस्ट-इन-टाइम (JiT) एक्सेस | विशिष्ट कार्यों के लिए जोखिम की अवधि को कम करता है। |
एज प्रवर्तन की दुविधा
असली सिरदर्द तब शुरू होता है जब आप भौतिक बुनियादी ढांचे को सॉफ्टवेयर-परिभाषित बॉक्स में मजबूर करने की कोशिश करते हैं। एक आदर्श दुनिया में, पॉलिसी डिसीजन पॉइंट (PDP) और पॉलिसी एनफोर्समेंट पॉइंट (PEP) अलग-अलग होते हैं। लेकिन वास्तविक दुनिया में, यदि आपके PEP को हर एक लेनदेन के लिए केंद्रीय सर्वर तक जाने की आवश्यकता है, तो विलंबता (latency) एक बड़ी बाधा बन जाती है।
यदि आप 200ms से कम की विलंबता प्राप्त नहीं कर सकते हैं, तो आपके भौतिक सुरक्षा सिस्टम अनुपयोगी हो जाते हैं। लेकिन फिर से, इसका उत्तर केवल क्रेडेंशियल्स को अनिश्चित काल के लिए कैश करना नहीं है। इसी तरह सुरक्षा उल्लंघन होते हैं। इसके बजाय, सुरक्षा लीडर कुछ स्मार्ट विकल्पों पर विचार कर रहे हैं:
- क्रिप्टोग्राफिक रूप से हस्ताक्षरित नीतियां: एज डिवाइसों को उन नीतियों का उपयोग करके भारी काम करने दें जो केंद्रीय प्राधिकरण द्वारा क्रिप्टोग्राफिक रूप से हस्ताक्षरित हैं। यह 'मदरशिप' से निरंतर संपर्क की आवश्यकता के बिना अखंडता को बरकरार रखता है।
- अल्पकालिक क्रेडेंशियल्स: यदि आपको टोकन का उपयोग करना ही है, तो उन्हें जल्दी समाप्त होने वाला बनाएं। यदि कोई एज डिवाइस समझौता हो जाता है, तो आप विस्फोट के दायरे (blast radius) को सीमित करना चाहेंगे।
- स्पष्ट फेल-सेफ/फेल-सिक्योर लॉजिक: अपनी फेल-स्टेट को भाग्य पर न छोड़ें। जोखिम मूल्यांकन करें। क्या बिजली गुल होने पर दरवाजा बंद रहता है या खुल जाता है? सुरक्षा और संरक्षा अक्सर यहाँ टकराते हैं, और आपको एक प्रलेखित योजना की आवश्यकता होती है।
- कम किया गया अटैक सरफेस: ZTA पार्श्व संचलन के खिलाफ आपका सबसे अच्छा बचाव है। नेटवर्क को विभाजित करके, आप हैकर्स को एक समझौता किए गए प्रिंटर से आपके मुख्य डेटाबेस तक कूदने से रोकते हैं—यह लीगेसी रिमोट एक्सेस टूल्स में कमजोरियों में देखी जाने वाली एक सामान्य रणनीति है।
हम यहाँ से कहाँ जा रहे हैं
डेटा स्पष्ट है: पारंपरिक परिधि (perimeter) मर चुकी है। ZTNA 2021 और 2022 के बीच साल-दर-साल 87% बढ़ा, और लगभग आधे संगठन वर्तमान में ज़ीरो ट्रस्ट रोलआउट के बीच में हैं।
जो लोग इस क्षेत्र में काम कर रहे हैं, उनके लिए लक्ष्य ऐसे रणनीतिक कार्यान्वयन फ्रेमवर्क खोजना है जो डिजिटल और भौतिक संपत्तियों को अलग-अलग साइलो के रूप में न देखें। हम एक ऐसी दुनिया की ओर बढ़ रहे हैं जहां पहचान ही परिधि है। इससे कोई फर्क नहीं पड़ता कि आप किसी क्लाउड ऐप में लॉग इन कर रहे हैं या सर्वर रूम के दरवाजे से गुजर रहे हैं—सत्यापन प्रक्रिया उतनी ही कठोर होनी चाहिए।
ZTA का भविष्य प्रदर्शन की कीमत पर केंद्रीकृत नियंत्रण के बारे में नहीं है। यह उस बुद्धिमत्ता को एज तक ले जाने के बारे में है। जो संगठन जीतेंगे, वे वही होंगे जो यह पता लगाएंगे कि एज की गति पर सख्त, केंद्रीकृत नीति को कैसे लागू किया जाए। यह एक नाजुक संतुलन है, लेकिन एक वास्तव में लचीला, आधुनिक बुनियादी ढांचा बनाने का यही एकमात्र तरीका है।
