GH GambleHub

जीरो ट्रस्ट आर्किटेक्चर

संक्षिप्त सारांश

जीरो ट्रस्ट (ZT) एक सुरक्षा मॉडल है जिसमें नेटवर्क परिधि को अब एक विश्वसनीय क्षेत्र नहीं माना जाता है। प्रत्येक अनुरोध (user→app, service→service, device→network) स्पष्ट रूप से प्रामाणिक, अधिकृत और एन्क्रिप्टेड है, प्रासंगिक संकेतों (पहचान, उपकरण राज्य, स्थान, जोखिम, व्यवहार) को ध्यान में रखते हुए। लक्ष्य विस्फोट त्रिज्या को कम करना, पार्श्व आंदोलन के जोखिम को कम करना और अनुपालन को सरल बनाना है।

जीरो ट्रस्ट फंडामेंटल्स

1. कोई स्पष्ट ट्रस्ट - विश्वास/वीपीएन/एएसएन नेटवर्क से विरासत में नहीं मिला है।

2. पहुंच न्यूनतम आवश्यक है: नीति "केवल वही प्रदान करने के लिए जो अब आवश्यक है।"

3. निरंतर सत्यापन: जोखिम और संदर्भ के लिए सत्र और टोकन नियमित रूप से आश्वस्त किए जाते हैं।

4. समझौता की धारणा: विभाजन, अवलोकन, तेजी से नियंत्रण और प्रमुख घुमाव।

5. हर जगह एन्क्रिप्शन: टीएलएस 1। 2+/1. 3 और mTLS डेटा योजनाओं के अंदर, संरक्षित DNS, KMS/HSM में रहस्य।

लक्ष्य परिदृश्य और नियंत्रण डोमेन

पहचान: मनुष्य (IdP: SSO, MFA, passkeys/FIDO2), मशीनें (SPIFFE/SVID, x509/mTLS)।

उपकरण: नीतियों का अनुपालन (एमडीएम/ईडीआर, डिस्क एन्क्रिप्टेड, पैच, जेलब्रेक/रूट - निषिद्ध)।

नेटवर्क: L3/L7 माइक्रोसेग्मेंटेशन, ZTNA/SDP गेटवे, सर्विस मेष (दूत/इस्तियो/लिंकर्ड)।

एप्लिकेशन/एपीआई: एमटीएलएस, ओआईडीसी/जेडब्ल्यूटी, अनुरोध हस्ताक्षर (एचएमएसी), दर सीमा, डीएलपी/मास्किंग।

डेटा: वर्गीकरण (सार्वजनिक/गोपनीय/प्रतिबंधित), क्षेत्र स्तर पर टोकन/एन्क्रिप्शन।

अवलोकन: केंद्रीकृत प्रमाणीकरण/प्राधिकरण लॉग, व्यवहार विश्लेषण, एसएलओ/एसएलए।

संदर्भ वास्तुकला (विमानों द्वारा टूट गया)

नियंत्रण विमान: आईडीपी/सीआईएएम, पीडीपी/पीईपी (ओपीए/दूत), नीति सूची, पीकेआई/सीए, उपकरण योग्यता।

डेटा प्लेन: प्रॉक्सी एक्सेस (ZTNA), mTLS और L7 पॉलिसी के लिए साइडकार प्रॉक्सी (एनवॉय), GW सर्विस गेटवे/एपीआई।

प्रबंधन विमान: सेवा कैटलॉग, सीएमडीबी, सीआई/सीडी, गुप्त प्रबंधन (वॉल्ट/केएमएस), केंद्रीकृत ऑडिट।

निवेदन प्रवाह (user→app):

1. पहचान (SSO + फ़िशिंग-प्रतिरोधी MFA) 2) उपकरण मूल्यांकन (MDM मुद्रा 3) ZTNA प्रॉक्सी आवेदन करने के लिए mTLS स्थापित करता है 4) पीडीपी (नीतियां) विशेषताओं (AAAABAAC/R/RBAAAAC C C C C C S S S S S S S S S S S) (समय, भू, विसंगतियाँ)।

पहचान और प्राधिकरण

IdP/SSO: OIDC/SAML, डिफ़ॉल्ट MFA, अधिमानतः FIDO2 (passkeys)।

RBAC/ABAC: भूमिकाएँ + संदर्भ विशेषताएं (उपकरण की स्थिति, विभाग, जोखिम प्रोफ़ाइल)।

जस्ट-इन-टाइम (JIT) एक्सेस: स्वचालित निरसन के साथ अस्थायी विशेषाधिकार; ब्रेक-ग्लास - सख्ती से विनियमित।

मशीनों के लिए mTLS: SPIFFE/SVID या अल्पकालिक प्रमाणपत्रों के साथ आंतरिक PKI; स्वचालित रोटरी रिलीज़।

उपकरण और संदर्भ

मुद्रा: OS/EDR संस्करण, जिसमें डिस्क-एन्क्रिप्शन, फ़ायरवॉल शामिल थे; गैर-आज्ञाकारी - न्यूनतम पहुंच या ब्लॉक।

अनुप्रमाणन: उपकरण पहचान + हस्ताक्षरित सत्यापन (एमडीएम/एंडपॉइंट)।

नेटवर्क प्रतिबंध: थर्ड-पार्टी टनल का ब्लॉक, कॉर्पोरेट डीएनएस, डीएनएस/वेबआरटीसी लीक के खिलाफ सुरक्षा के लिए मजबूर।

नेटवर्किंग और माइक्रोसेग्मेंटेशन

"फ्लैट" वीएलएएन को त्यागना: इसके बजाय, खंड/वीआरएफ और एल 7 पर नीति।

सेवा मेष: साइडकार प्रॉक्सी mTLS, नीति प्राधिकरण (OPA/EnvoyFilter), टेलीमेट्री प्रदान करते हैं।

ZTNA/SDP: एक विशिष्ट अनुप्रयोग तक पहुंच, नेटवर्क तक नहीं; kliyent↔broker↔app, पीडीपी में नीति।

रिमोट एक्सेस: ऐप प्रॉक्सी के साथ "मोटी" वीपीएन की जगह; फॉलबैक सुरंगें मार्गों/बंदरगाहों तक सीमित हैं।

नीतियाँ और समाधान इंजन

पीडीपी/पीईपी: नीति निर्णय बिंदु (ओपीए/स्टायरा, देवदार) + नीति प्रवर्तन बिंदु (दूत/इस्तियो/गेटवे)।

नीति मॉडल: घोषणात्मक नियम (रेगो/देवदार), स्थिर और प्रासंगिक विशेषताएं, जोखिम मूल्यांकन।

रेगो उदाहरण (सरलीकृत): 
rego package access. http

default allow = false

allow {
input. user. role == "support"
input. request. path == "/admin/tickets"
input. device. compliant == true time. now_hh >= 8 time. now_hh <= 20
}

ट्रेस समाधान: ऑडिट के लिए लॉग 'इनपुट '/' परिणाम '/' समझाएं'।

डिफ़ॉल्ट गोपन और विश्वास

टीएलएस 1। 2+/1. हर जगह 3, सख्त सिफर सुइट्स, HSTS, OCSP स्टेपलिंग।

mTLS अंदर: servis↔servis केवल आपसी प्रमाणपत्रों द्वारा; अल्पकालिक कुंजी (घंटे/दिन)।

रहस्य: KMS/HSM, गतिशील रहस्य (वॉल्ट), लघु TTL, अनुप्रयोगों के लिए कम से कम विशेषाधिकार।

अवलोकन, एसएलओ और प्रतिक्रिया

मेट्रिक्स (न्यूनतम सेट):
  • प्रमाणीकरण और प्राधिकरण सफलता (%), p95 पीडीपी निर्णय समय, p95 टीएलएस-हैंडशेक।
  • नीति (विसंगतियों/गलत) द्वारा अवरोधित अनुरोधों का प्रतिशत।
  • ZTNA दलालों और मेष नियंत्रक की उपलब्धता।
  • आज्ञाकारी उपकरणों और रुझानों का अनुपात।
एसएलओ (उदाहरण):
  • "ZTNA ≥ 99 उपलब्धता। 95 %/महीना; p95 authZ निर्णय ≤ 50 мс"।
  • "MTLS ≥ 99 के साथ अनुरोधों का प्रतिशत। 9%».
  • "0 से ज्यादा नहीं। 1% गलत पहुंच विफलता/दिन"

अलार्टिंग: इनकार के फटने, p95 हैंडशेक का क्षरण, अमान्य श्रृंखलाएं, अनुपालन उपकरणों के अनुपात में गिरावट, भूगोल विसंगतियां/एएसएन।

परिधि से जीरो ट्रस्ट की ओर बढ़ ना: एक रोड मैप

1. इन्वेंट्री: एप्लिकेशन, डेटा फ्लो, उपभोक्ता, संवेदनशीलता (पीआईआई/कार्ड/भुगतान)।

2. पहचान और एमएफए: एसएसओ और सभी के लिए फ़िशिंग-प्रतिरोधी एमएफए।

3. उपकरण संदर्भ: एमडीएम/ईडीआर, बुनियादी अनुपालन नीतियां, गैर-अनुपालन ब्लॉक।

4. प्राथमिकता पथ का माइक्रोसेग्मेंटेशन: भुगतान, बैक ऑफिस, व्यवस्थापक; एमटीएलएस भरें।

5. उपयोगकर्ता पहुंच के लिए ZTNA: एक प्रॉक्सी के माध्यम से अनुप्रयोग प्रकाशित करना, "विस्तृत वीपीएन" को हटाना।

6. ABAC नीतियां: केंद्रीकृत PDP, घोषणात्मक नियम, ऑडिट।

7. सेवा जाल विस्तार: S2S mTLS, L7 नीति, टेलीमेट्री।

8. स्वचालन और एसएलओ: अलर्ट, नीति परीक्षण (राजनीतिक सीआई), खेल के दिन "क्या होगा यदि आईडीपी उपलब्ध नहीं है? ».

IGaming/fintech के लिए विशिष्टता

कठोर डोमेन विभाजन: भुगतान/पीआईआई/विरोधी धोखाधड़ी/सामग्री - अलग परिधि और नीतियां; केवल ZTNA पर पहुँच।

PSP/बैंकों के साथ बातचीत: ASN/रेंज, mTLS से PSP-endpoints, टाइम-टू-वॉलेट मॉनिटरिंग और authZ विफलताओं द्वारा अनुमति-सूची।

सामग्री प्रदाता और भागीदार: अस्थायी JIT API एक्सेस, लघु TTL टोकन, एकीकरण ऑडिट।

अनुपालन: पीसीआई डीएसएस/जीडीपीआर - डेटा न्यूनतम करना, डीएलपी/छद्म नामकरण, संवेदनशील तालिकाओं तक पहुंच का प्रवेश।

आपूर्ति श्रृंखला सुरक्षा और सीआई/सीडी

Artifact हस्ताक्षर (SLSA/Provenance): कंटेनर हस्ताक्षर (cosign), K8s में प्रवेश नीति।

SBOM और कमजोरियां: SBOM पीढ़ी (CycloneDX), पाइपलाइन में नीति-द्वार।

सीआई में रहस्य: ओआईडीसी फेडरेशन टू क्लाउड केएमएस; स्थैतिक कुंजियों पर निषेध।

घूर्णन: अक्सर, स्वचालित; घटनाओं पर मजबूर होना।

आम कीड़े और एंटी-पैटर्न

"ZTNA = नया VPN": अनुप्रयोगों के बजाय एक नेटवर्क प्रकाशित करना शून्य ट्रस्ट नहीं है।

कोई उपकरण जांच नहीं: एमएफए है, लेकिन संक्रमित/जड़वाले उपकरण पहुंच प्राप्त करते हैं।

एकल सुपर उपयोगकर्ता: जेआईटी की कमी और अलग भूमिकाएं।

सेवा संहिता में नीतियां: केंद्रीय लेखा परीक्षा/अद्यतन संभव न

mTLS आंशिक: mTLS के बिना सेवाओं का हिस्सा - एक "लीकी" लूप।

शून्य UX: निरर्थक MFA अनुरोध, कोई SSO नहीं; परिणाम - आदेशों का प्रतिरोध।

प्रौद्योगिकियों को चुनने के लिए मिनी गाइड

उपयोगकर्ता पहुंच: ZTNA/SDP ब्रोकर + IdP (OIDC, FIDO2 MFA)।

इन-सर्विस सिक्योरिटी: सर्विस-मेश (इस्तियो/लिंकर्ड) + ओपीए/दूत औथजेड।

PKI: छोटे TTL के साथ SPIFFE/SVID या वॉल्ट PKI।

राजनेता: ओपीए/रेगो या देवदार; गिट में स्टोर करें, सीआई (नीति-परीक्षण) में जांचें।

लॉग और टेलीमेट्री: ओपनटेलीमेट्री - केंद्रीकृत विश्लेषण, विसंगति का पता लगाना।

नमूना विन्यास (टुकड़े)

दूत (सेवाओं के बीच आपसी-टीएलएस)

yaml static_resources:
listeners:
- name: listener_https filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager route_config: { name: local_route, virtual_hosts: [] }
transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params: { tls_minimum_protocol_version: TLSv1_2 }
tls_certificates:
- certificate_chain: { filename: /certs/tls. crt }
private_key: { filename: /certs/tls. key }
validation_context:
trusted_ca: { filename: /certs/ca. crt }
require_signed_certificate: true

OPA/Rego: काम के घंटों के दौरान, अनुपालन उपकरणों से केवल "वित्त" से रिपोर्ट तक पहुंच

rego package policy. reports

default allow = false

allow {
input. user. dept == "finance"
input. device. compliant == true input. resource == "reports/profit"
time. now_hh >= 8 time. now_hh <= 21
}

जीरो ट्रस्ट कार्यान्वयन जाँच सूची

1. सभी उपयोगकर्ताओं और प्रशासन के लिए SSO और FIDO2 MFA सक्षम करें।

2. गैर अनुपालन लॉक के साथ उपकरण आसन (एमडीएम/ईडीआर) भरें.

3. ZTNA (प्रति-ऐप) में उपयोगकर्ता का स्थानांतरण, VPN को केवल संकीर्ण S2S चैनलों के लिए छोड़ दें।

4. अंदर - mTLS डिफ़ॉल्ट + अल्पकालिक प्रमाणपत्र द्वारा।

5. Centralize नीतियां (PDP/OPA), Git में स्टोर करें, CI में परीक्षण करें।

6. खंड संवेदनशील डोमेन (भुगतान/पीआईआई/बैक ऑफिस) और पूर्व-पश्चिम को प्रतिबंधित करें।

7. टेलीमेट्री, एसएलओ और ऑथ/ऑथजेड, एमटीएलएस शेयर, आसन संकेतों पर अलर्ट सेट करें।

8. "गेम डेज़" (IdP विफलता, कुंजी रिसाव, ब्रोकर ड्रॉप) का संचालन करें और SOPs/रोलबैक को ठीक करें।

एफएक्यू

क्या जीरो ट्रस्ट पूरी तरह से वीपीएन की जगह ले रहा है?

उपयोगकर्ता पहुंच के लिए - हाँ, ZTNA के पक्ष में। S2S चड्डी के लिए, VPN/IPsec रह सकता है, लेकिन mTLS ओवर और सख्त नीतियों के साथ।

क्या ZT UX को बदतर बना सकता है?

अगर विचारहीन। SSO + FIDO2, अनुकूली MFA और प्रति-ऐप एक्सेस के साथ, UX आमतौर पर सुधार करता है।

क्या सेवा जाल शुरू करना आवश्यक है?

हमेशा नहीं। लेकिन एक बड़े माइक्रोसर्विस वातावरण के लिए, जाल मौलिक रूप से एमटीएलएस/नीति/टेलीमेट्री को सरल बनाता है।

कुल

जीरो ट्रस्ट एक उत्पाद नहीं है, बल्कि एक वास्तुशिल्प अनुशासन है: एक नई परिधि, उपकरण संदर्भ, एप्लिकेशन एक्सेस (ZTNA), माइक्रोसेग्मेंटेशन और mTLS के रूप में पहचान, केंद्रीकृत नीतियां और औसत दर्य विश्यता। रोडमैप और चेकलिस्ट का पालन करके, आप हमले की सतह को कम करेंगे, ऑडिटिंग को गति देंगे और "डिफ़ॉल्ट ट्रस्ट" के बिना स्थायी सुरक्षा प्राप्त करेंगे।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।