← กลับ Vendor Index · 🏠 หน้าแรก · WSS Info
→ Cisco Duo & Zero Trust

🔐 Zero Trust

แนวคิด Zero Trust Architecture (ZTA) ความสัมพันธ์กับ WSS และผลิตภัณฑ์ Vendor ที่เกี่ยวข้อง

❓ Zero Trust คืออะไร?

Zero Trust (ความไว้ใจเป็นศูนย์) คือกรอบแนวคิดด้านความมั่นคงปลอดภัยไซเบอร์ที่ ไม่ไว้ใจ任何人หรือสิ่งใด ไม่ว่าจะอยู่ภายในหรือภายนอกเครือข่ายขององค์กร โดยต้องมีการ พิสูจน์ตัวตน (Verify) ทุกครั้ง ก่อนให้สิทธิ์เข้าถึงทรัพยากรใด ๆ

หัวใจของ Zero Trust คือแนวคิด "Never Trust, Always Verify" — ไม่ไว้ใจใคร พิสูจน์เสมอ

📌 หลักการสำคัญ: การเข้าถึงทุกรายการต้องผ่านการตรวจสอบสิทธิ์ การอนุญาต และการเข้ารหัส โดยไม่สนใจว่าผู้ใช้หรืออุปกรณ์นั้นอยู่ที่ใด (บนเครือข่ายองค์กรหรือนอกเครือข่าย)

🎯 หลักการสำคัญของ Zero Trust (NIST SP 800-207)

อ้างอิงตาม NIST Special Publication 800-207 — Zero Trust Architecture (2020) ประกอบด้วย 7 หลักการ:

1. ทรัพยากรทั้งหมดเป็นทรัพยากร

Enterprise Resource หมายถึงทุกระบบ ไม่ใช่เฉพาะเซิร์ฟเวอร์ รวมถึงอุปกรณ์ผู้ใช้ ข้อมูล เครื่องพิมพ์ ฯลฯ

2. สื่อสารอย่างปลอดภัย

ทุกการสื่อสารต้องเข้ารหัส ไม่ว่าจะอยู่ภายในเครือข่ายหรือข้ามเครือข่าย

3. ให้สิทธิ์แบบ Session-by-Session

สิทธิ์เข้าถึงเป็นแบบรายเซสชัน (ไม่ใช่ครั้งเดียวจบ) ต้องตรวจสอบทุกครั้งก่อนเข้าถึง

4. นโยบายแบบ Dynamic

นโยบายเข้าถึงขึ้นอยู่กับ Identity, Device, Location, Data Sensitivity และปัจจัยอื่น ๆ

5. ตรวจสอบและ Log ทุกอย่าง

เก็บ Log และตรวจสอบความสมบูรณ์ของ Asset และการเข้าถึงทั้งหมด

6. อนุมัติแบบ Explicit

องค์กรต้องอนุมัติการเข้าถึงทุกครั้งอย่างชัดเจน (ไม่มี "implied trust")

7. ประเมินความเสี่ยงอย่างต่อเนื่อง

ประเมินความเสี่ยงของ User, Device, Network แบบ Real-time ปรับนโยบายตามความเสี่ยง

🔗 Zero Trust กับ WSS Requirements

WSS มีข้อกำหนดที่สอดคล้องและรองรับแนวคิด Zero Trust โดยตรงหลายข้อ:

WSS ข้อหัวข้อความสัมพันธ์กับ Zero Trustระดับ
6.9Log ManagementZT หลักการข้อ 5 — ตรวจสอบทุกการเข้าถึง เก็บ Log ตาม พ.ร.บ.จะต้อง
8.3Secure ArchitectureZT Architecture — แบ่งเครือข่ายเป็นส่วน (segmentation, micro-segmentation)จะต้อง
8.4Access ControlZT หลักการข้อ 3,4,6 — ควบคุมการเข้าถึงแบบ Least Privilegeจะต้อง
8.4aRemote ConnectionZT หลักการข้อ 2,3 — ZTNA สำหรับ Remote Accessจะต้อง
8.4bSystem HardeningZT — Asset Integrity Monitoring, Hardening ตาม CISควรจะ
8.4eInformation SharingZT — Dynamic Policy ใช้ข้อมูลจาก Threat Intelควรจะ
8.4fSecurity AwarenessZT — User Education เป็นส่วนหนึ่งของ Identity Pillarควรจะ
8.5MFA 🔑ZT หัวใจสำคัญ — Verify ทุกครั้ง ต้อง MFA ทุกรายการจะต้อง
8.7TLS / EncryptionZT หลักการข้อ 2 — ทุกการสื่อสารต้องเข้ารหัสจะต้อง
8.8Firewall / WAFZT — Policy Enforcement Point (PEP) ที่ Gatewaysจะต้อง
9.1Threat DetectionZT หลักการข้อ 7 — ประเมินความเสี่ยงต่อเนื่อง ตรวจจับแบบ Real-timeจะต้อง
10.1Incident ResponseZT — Adaptive Policy, ตัดสิทธิ์อัตโนมัติเมื่อตรวจพบภัยจะต้อง

🏛️ เสาหลักของ Zero Trust (CISA Zero Trust Maturity Model)

ตาม CISA (Cybersecurity & Infrastructure Security Agency) แบ่ง Zero Trust ออกเป็น 5 เสาหลัก:

เสาหลักคำอธิบายCisco ProductRadwareSplunk
👤 Identity ยืนยันตัวตนผู้ใช้ + MFA + RBAC Duo, ISE AppWall (RADIUS)
📱 Device ตรวจสอบ Device Health + Compliance Duo (Device Trust), ISE UBA
🌐 Network Micro-segmentation + Encryption + FW Firepower, SD-Access DefensePro, Alteon
📦 Application & Workload Secure Access to Apps + WAF WSA, Umbrella AppWall, Cloud WAF
📊 Data Data Classification + DLP + Encryption Umbrella (CASB/DLP) Splunk ES (Data monitoring)
🔍 Visibility & Analytics SIEM, Log, Analytics, Threat Intel SecureX, XDR DefensePro (Event Log) ES, UBA, SOAR
⚡ Automation & Orchestration SOAR, Automated Response SecureX, XDR Cloud WAF Automation SOAR (Phantom)

⚖️ Zero Trust vs แบบเดิม (Castle-and-Moat)

ลักษณะแบบเดิม (Perimeter Security)Zero Trust
ความเชื่อมั่นทุกอย่างในเครือข่าย = ไว้ใจได้ไม่ไว้ใจ Anything (Verify เสมอ)
การเข้าถึงVPN → เข้าถึงเครือข่ายทั้งหมดZTNA → เข้าถึงเฉพาะ Resource ที่ได้รับสิทธิ์
AuthPassword + FirewallMFA + Device Posture + Risk-based
SegmentationNetwork VLAN (กว้าง)Micro-segmentation (แคบมาก)
นโยบายStatic (IP-based)Dynamic (Identity + Risk-based)
Visibilityจำกัดครบถ้วน ทุก Layer
การตอบสนองManualAutomated (SOAR)

🔄 Zero Trust Access Flow (ตัวอย่าง)

ตัวอย่าง: ผู้ใช้ Remote Access เข้าถึง Web App ตาม WSS

👤 User 🔐 Duo MFA 📱 Device Trust Check 🌐 Firepower FW 🛡️ AppWall WAF 📊 Web App
  • ขั้นตอน: ทุกขั้นตอนต้อง Verify Identity + Device Health + Authorization
  • Logging: ทุก Access ถูก Log ไป Splunk ES แบบ Real-time
  • Incident: ถ้าตรวจพบ异常 → Splunk SOAR ตัดสิทธิ์อัตโนมัติ + แจ้ง Incident
  • สอดคล้อง WSS: ข้อ 8.5 (MFA), 8.4a (Remote), 8.8 (FW/WAF), 6.9 (Log), 9.1 (Monitoring), 10.1 (IR)

🛡️ ผลิตภัณฑ์ Zero Trust ตาม Vendor

🔵 Cisco Zero Trust Solution

  • Duo Security — MFA + SSO + Device Trust + ZTNA Gateway
  • Cisco ISE — NAC, SGT-based Micro-segmentation
  • Cisco SD-Access — Network Segmentation, Policy-based
  • AnyConnect + Duo — Remote Access ZTNA
  • SecureX — Unified Policy + Visibility
  • Umbrella — SWG, DNS Security (SASE/SSE)
  • WSS 8.4-8.8, 9.1

🟠 Radware Zero Trust

  • AppWall WAF — Application-level PEP (Policy Enforcement Point)
  • Alteon ADC — Traffic Steering + SSL Offload
  • Cloud WAF + DDoS — Cloud-based PEP
  • DefensePro — Network-level Detection
  • WSS 8.8, 8.7, 6.5

🔵 Tenable Zero Trust

  • Tenable.io — Continuous Risk Assessment (Identity + Device Risk)
  • Tenable.asm — Attack Surface Discovery (รู้ทุก Asset ก่อนให้สิทธิ์)
  • Nessus CIS Audit — Device Hardening Compliance
  • WSS 7.1, 7.1a

🟠 Splunk Zero Trust

  • Splunk ES — Visibility, Correlation, Threat Detection
  • Splunk UBA — User/Entity Behavior Analytics
  • Splunk SOAR — Automated Response (เมื่อ trust เปลี่ยน)
  • WSS 9.1, 10.1, 6.9

📚 มาตรฐานและกรอบอ้างอิง Zero Trust

มาตรฐาน / กรอบหน่วยงานรายละเอียด
NIST SP 800-207NIST (USA)Zero Trust Architecture — กรอบหลักของ ZT
Zero Trust Maturity ModelCISA (USA)โมเดลวัดระดับความพร้อม ZT (Traditional → Advanced → Optimal)
Executive Order 14028ทำเนียบขาว (USA)คำสั่งประธานาธิบดีสหรัฐ — ทุกหน่วยงานรัฐต้องใช้ ZT
Zero Trust Guidelinesสกมช. (Thailand)ประมวลแนวทางปฏิบัติด้านไซเบอร์ — อ้างอิง ZT
NIST CSF 2.0NIST (USA)Govern + Protect Function — สอดคล้องกับ ZT