Zero Trust (ความไว้ใจเป็นศูนย์) คือกรอบแนวคิดด้านความมั่นคงปลอดภัยไซเบอร์ที่ ไม่ไว้ใจ任何人หรือสิ่งใด ไม่ว่าจะอยู่ภายในหรือภายนอกเครือข่ายขององค์กร โดยต้องมีการ พิสูจน์ตัวตน (Verify) ทุกครั้ง ก่อนให้สิทธิ์เข้าถึงทรัพยากรใด ๆ
หัวใจของ Zero Trust คือแนวคิด "Never Trust, Always Verify" — ไม่ไว้ใจใคร พิสูจน์เสมอ
อ้างอิงตาม NIST Special Publication 800-207 — Zero Trust Architecture (2020) ประกอบด้วย 7 หลักการ:
WSS มีข้อกำหนดที่สอดคล้องและรองรับแนวคิด Zero Trust โดยตรงหลายข้อ:
| WSS ข้อ | หัวข้อ | ความสัมพันธ์กับ Zero Trust | ระดับ |
|---|---|---|---|
| 6.9 | Log Management | ZT หลักการข้อ 5 — ตรวจสอบทุกการเข้าถึง เก็บ Log ตาม พ.ร.บ. | จะต้อง |
| 8.3 | Secure Architecture | ZT Architecture — แบ่งเครือข่ายเป็นส่วน (segmentation, micro-segmentation) | จะต้อง |
| 8.4 | Access Control | ZT หลักการข้อ 3,4,6 — ควบคุมการเข้าถึงแบบ Least Privilege | จะต้อง |
| 8.4a | Remote Connection | ZT หลักการข้อ 2,3 — ZTNA สำหรับ Remote Access | จะต้อง |
| 8.4b | System Hardening | ZT — Asset Integrity Monitoring, Hardening ตาม CIS | ควรจะ |
| 8.4e | Information Sharing | ZT — Dynamic Policy ใช้ข้อมูลจาก Threat Intel | ควรจะ |
| 8.4f | Security Awareness | ZT — User Education เป็นส่วนหนึ่งของ Identity Pillar | ควรจะ |
| 8.5 | MFA 🔑 | ZT หัวใจสำคัญ — Verify ทุกครั้ง ต้อง MFA ทุกรายการ | จะต้อง |
| 8.7 | TLS / Encryption | ZT หลักการข้อ 2 — ทุกการสื่อสารต้องเข้ารหัส | จะต้อง |
| 8.8 | Firewall / WAF | ZT — Policy Enforcement Point (PEP) ที่ Gateways | จะต้อง |
| 9.1 | Threat Detection | ZT หลักการข้อ 7 — ประเมินความเสี่ยงต่อเนื่อง ตรวจจับแบบ Real-time | จะต้อง |
| 10.1 | Incident Response | ZT — Adaptive Policy, ตัดสิทธิ์อัตโนมัติเมื่อตรวจพบภัย | จะต้อง |
ตาม CISA (Cybersecurity & Infrastructure Security Agency) แบ่ง Zero Trust ออกเป็น 5 เสาหลัก:
| เสาหลัก | คำอธิบาย | Cisco Product | Radware | Splunk |
|---|---|---|---|---|
| 👤 Identity | ยืนยันตัวตนผู้ใช้ + MFA + RBAC | Duo, ISE | AppWall (RADIUS) | — |
| 📱 Device | ตรวจสอบ Device Health + Compliance | Duo (Device Trust), ISE | — | UBA |
| 🌐 Network | Micro-segmentation + Encryption + FW | Firepower, SD-Access | DefensePro, Alteon | — |
| 📦 Application & Workload | Secure Access to Apps + WAF | WSA, Umbrella | AppWall, Cloud WAF | — |
| 📊 Data | Data Classification + DLP + Encryption | Umbrella (CASB/DLP) | — | Splunk ES (Data monitoring) |
| 🔍 Visibility & Analytics | SIEM, Log, Analytics, Threat Intel | SecureX, XDR | DefensePro (Event Log) | ES, UBA, SOAR |
| ⚡ Automation & Orchestration | SOAR, Automated Response | SecureX, XDR | Cloud WAF Automation | SOAR (Phantom) |
| ลักษณะ | แบบเดิม (Perimeter Security) | Zero Trust |
|---|---|---|
| ความเชื่อมั่น | ทุกอย่างในเครือข่าย = ไว้ใจได้ | ไม่ไว้ใจ Anything (Verify เสมอ) |
| การเข้าถึง | VPN → เข้าถึงเครือข่ายทั้งหมด | ZTNA → เข้าถึงเฉพาะ Resource ที่ได้รับสิทธิ์ |
| Auth | Password + Firewall | MFA + Device Posture + Risk-based |
| Segmentation | Network VLAN (กว้าง) | Micro-segmentation (แคบมาก) |
| นโยบาย | Static (IP-based) | Dynamic (Identity + Risk-based) |
| Visibility | จำกัด | ครบถ้วน ทุก Layer |
| การตอบสนอง | Manual | Automated (SOAR) |
| มาตรฐาน / กรอบ | หน่วยงาน | รายละเอียด |
|---|---|---|
| NIST SP 800-207 | NIST (USA) | Zero Trust Architecture — กรอบหลักของ ZT |
| Zero Trust Maturity Model | CISA (USA) | โมเดลวัดระดับความพร้อม ZT (Traditional → Advanced → Optimal) |
| Executive Order 14028 | ทำเนียบขาว (USA) | คำสั่งประธานาธิบดีสหรัฐ — ทุกหน่วยงานรัฐต้องใช้ ZT |
| Zero Trust Guidelines | สกมช. (Thailand) | ประมวลแนวทางปฏิบัติด้านไซเบอร์ — อ้างอิง ZT |
| NIST CSF 2.0 | NIST (USA) | Govern + Protect Function — สอดคล้องกับ ZT |