Original Title: SECURING THE FUTURE: INTRODUCTION TO ZERO TRUST IN CYBERSECURITY
Document Type: Textbook / Educational Material
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original material for complete content.

ការធានាអនាគត៖ សេចក្តីផ្តើមអំពី Zero Trust ក្នុងសន្តិសុខសាយប័រ

ចំណងជើងដើម៖ SECURING THE FUTURE: INTRODUCTION TO ZERO TRUST IN CYBERSECURITY

អ្នកនិពន្ធ៖ Gururaj H L, Spoorthi M, Vinaykumar Ravi, Shreyas J, Kumar Sekhar Roy

ឆ្នាំបោះពុម្ព៖ 2024

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេប (Overview)

ប្រធានបទ (Topic)៖ ប្រព័ន្ធការពារបណ្តាញបែបប្រពៃណី (Perimeter-based security) លែងមានប្រសិទ្ធភាពក្នុងការការពារទិន្នន័យពីការវាយប្រហារដ៏ស្មុគស្មាញ ជាពិសេសនៅក្នុងបរិបទនៃការធ្វើការពីចម្ងាយ និងការប្រើប្រាស់ប្រព័ន្ធក្លោដ (Cloud computing)។

រចនាសម្ព័ន្ធ (Structure)៖ ឯកសារនេះផ្តល់នូវសេចក្តីណែនាំយ៉ាងទូលំទូលាយអំពីគោលការណ៍ យុទ្ធសាស្ត្រ និងការអនុវត្តជាក់ស្តែងក្នុងការផ្លាស់ប្តូរទៅកាន់គំរូសន្តិសុខ Zero Trust ។

ចំណុចសំខាន់ៗ (Key Takeaways)៖

២. គោលបំណងសិក្សា (Learning Objectives)

បន្ទាប់ពីអានឯកសារនេះ អ្នកគួរអាច៖

  1. ស្វែងយល់ពីគោលការណ៍គ្រឹះនៃសន្តិសុខសាយប័រ និងការវិវត្តនៃការគំរាមកំហែង (Understand foundational cybersecurity and threat evolution)","កំណត់អត្តសញ្ញាណពីភាពខុសគ្នារវាងប្រព័ន្ធការពារបែបប្រពៃណី និងគំរូសន្តិសុខ Zero Trust (Identify differences between traditional security and Zero Trust model)","អនុវត្តយុទ្ធសាស្ត្រ និងគោលការណ៍ Zero Trust នៅក្នុងបណ្តាញស្ថាប័ន ក្លោដ និងបរិស្ថានឧស្សាហកម្ម (Apply Zero Trust strategies in enterprise networks, cloud, and industrial environments)","ស្វែងយល់ពីតួនាទីនៃការអប់រំអ្នកប្រើប្រាស់ ការគ្រប់គ្រង (Governance) និងការអនុលោមតាមច្បាប់ (Compliance) ក្នុងការទប់ស្កាត់ការវាយប្រហារ (Understand the role of user education, governance, and compliance in preventing attacks)

ឯកសារនេះផ្តល់នូវការយល់ដឹងស៊ីជម្រៅអំពីការផ្លាស់ប្តូរផ្នត់គំនិតពីការជឿទុកចិត្តលើប្រព័ន្ធការពារបណ្តាញបែបប្រពៃណី ទៅជាគោលការណ៍ "មិនត្រូវជឿទុកចិត្ត ត្រូវតែផ្ទៀងផ្ទាត់ជានិច្ច" (Never trust, always verify) នៃស្ថាបត្យកម្ម Zero Trust។ វាគ្របដណ្តប់លើគោលការណ៍សំខាន់ៗ ការអនុវត្តជាក់ស្តែងនៅក្នុងប្រព័ន្ធក្លោដ ការដោះស្រាយបញ្ហាប្រឈម និងករណីសិក្សាដែលបង្ហាញពីប្រសិទ្ធភាពរបស់វាក្នុងការការពារទិន្នន័យស្ថាប័នពីការគំរាមកំហែងសាយប័រទំនើប។

៣. គោលគំនិតសំខាន់ៗ (Key Concepts)

គោលគំនិត (Concept) ការពន្យល់ (Explanation) ឧទាហរណ៍ (Example)
Zero Trust Principle (Never trust, always verify)
គោលការណ៍ Zero Trust (មិនត្រូវជឿទុកចិត្ត ត្រូវតែផ្ទៀងផ្ទាត់ជានិច្ច)		 គឺជាទស្សនទានសន្តិសុខដែលសន្មតថាការគំរាមកំហែងអាចកើតមានទាំងខាងក្នុង និងខាងក្រៅបណ្តាញ។ ដូច្នេះ រាល់អ្នកប្រើប្រាស់ ឧបករណ៍ និងកម្មវិធីត្រូវតែត្រូវបានផ្ទៀងផ្ទាត់អត្តសញ្ញាណជានិច្ច មុនពេលអនុញ្ញាតឱ្យចូលប្រើប្រាស់ទិន្នន័យ។ ការតម្រូវឱ្យបុគ្គលិកប្រើប្រាស់ការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) គ្រប់ពេលដែលពួកគេចូលប្រើប្រាស់ប្រព័ន្ធការងារ ទោះបីជាពួកគេកំពុងអង្គុយធ្វើការនៅក្នុងការិយាល័យរបស់ក្រុមហ៊ុនផ្ទាល់ក៏ដោយ។
Least Privilege Access
ការផ្តល់សិទ្ធិចូលប្រើប្រាស់កម្រិតទាបបំផុត		 គោលការណ៍នេះតម្រូវឱ្យផ្តល់សិទ្ធិដល់អ្នកប្រើប្រាស់ ឬឧបករណ៍ត្រឹមតែកម្រិតអប្បបរមាដែលចាំបាច់បំផុតសម្រាប់ការបំពេញការងាររបស់ពួកគេប៉ុណ្ណោះ។ ការធ្វើបែបនេះជួយកាត់បន្ថយហានិភ័យនៃការលេចធ្លាយទិន្នន័យយ៉ាងធ្ងន់ធ្ងរនៅពេលគណនីណាមួយត្រូវបានវាយប្រហារ។ បុគ្គលិកផ្នែកទីផ្សារអាចមើលឃើញតែទិន្នន័យយុទ្ធនាការទីផ្សារប៉ុណ្ណោះ ប៉ុន្តែមិនមានសិទ្ធិចូលមើលទិន្នន័យហិរញ្ញវត្ថុ ឬប្រាក់ខែរបស់ក្រុមហ៊ុនឡើយ។
Micro-Segmentation
ការបែងចែកបណ្តាញជាផ្នែកតូចៗ		 ជាការបែងចែកបណ្តាញធំមួយទៅជាតំបន់តូចៗដាច់ដោយឡែកពីគ្នា ដែលអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យចរាចរណ៍ទិន្នន័យរវាងផ្នែកនីមួយៗបានយ៉ាងតឹងរ៉ឹង។ វាជួយទប់ស្កាត់មិនឱ្យអ្នកវាយប្រហារអាចផ្លាស់ទីដោយសេរី (Lateral movement) នៅក្នុងបណ្តាញប្រសិនបើពួកគេវាយលុកចូលផ្នែកណាមួយបាន។ ប្រព័ន្ធទិន្នន័យអតិថិជនសំខាន់ៗត្រូវបានបំបែកចេញពីប្រព័ន្ធអ៊ីមែលទូទៅដោយមានជញ្ជាំងភ្លើង (Firewall) រារាំងនៅចន្លោះនោះ ដើម្បីការពារពេលប្រព័ន្ធអ៊ីមែលឆ្លងមេរោគ។
Continuous Authentication
ការផ្ទៀងផ្ទាត់អត្តសញ្ញាណជាប្រចាំ		 ជំនួសឱ្យការផ្ទៀងផ្ទាត់តែម្តងនៅពេលចូលប្រព័ន្ធ (Login) ប្រព័ន្ធ Zero Trust ធ្វើការតាមដាន និងវាយតម្លៃហានិភ័យជាបន្តបន្ទាប់ពេញមួយវគ្គនៃការប្រើប្រាស់ ដោយផ្អែកលើទីតាំង សុខភាពឧបករណ៍ និងអាកប្បកិរិយារបស់អ្នកប្រើប្រាស់។ ប្រសិនបើបុគ្គលិកម្នាក់កំពុងប្រើប្រាស់ប្រព័ន្ធ ហើយស្រាប់តែផ្លាស់ប្តូរពីការប្រើប្រាស់ Wi-Fi សុវត្ថិភាពនៅផ្ទះ ទៅកាន់ Wi-Fi សាធារណៈនៅហាងកាហ្វេ ប្រព័ន្ធនឹងទាមទារឱ្យគាត់បញ្ជាក់អត្តសញ្ញាណម្តងទៀតភ្លាមៗ។
Data-centric Security
សន្តិសុខផ្ដោតលើទិន្នន័យ		 គឺជាការដាក់ទិន្នន័យជាចំណុចកណ្តាលនៃការការពារ ដោយប្រើប្រាស់វិធីសាស្ត្រដូចជា ការធ្វើចំណាត់ថ្នាក់ទិន្នន័យ (Data classification) និងការអ៊ិនគ្រីប (Encryption) ដើម្បីការពារទិន្នន័យទោះបីជាវាស្ថិតនៅទីណាក៏ដោយ។ ឯកសារសម្ងាត់ត្រូវបានអ៊ិនគ្រីប (Encrypted) ទាំងនៅពេលរក្សាទុកក្នុងម៉ាស៊ីនមេ (Data at rest) និងនៅពេលបញ្ជូនតាមអ៊ីនធឺណិត (Data in transit) ធ្វើឱ្យចោរមិនអាចអានបានទោះលួចបានក៏ដោយ។

៤. ភាពពាក់ព័ន្ធសម្រាប់កម្ពុជា (Cambodia Relevance)

ការអនុវត្តគោលការណ៍ Zero Trust គឺមានសារៈសំខាន់ខ្លាំងណាស់សម្រាប់ប្រទេសកម្ពុជា ស្របពេលដែលស្ថាប័នរដ្ឋ និងឯកជនកំពុងពន្លឿនការធ្វើបរិវត្តកម្មឌីជីថល (Digital Transformation) និងប្រឈមមុខនឹងការកើនឡើងនៃការវាយប្រហារសាយប័រប្រកបដោយភាពស្មុគស្មាញ។

ការអនុវត្ត (Applications)៖

ចំណេះដឹងអំពីស្ថាបត្យកម្ម Zero Trust នឹងជួយបំពាក់បំប៉ននិស្សិតកម្ពុជាឱ្យក្លាយជាអ្នកជំនាញសន្តិសុខសាយប័រដ៏មានសមត្ថភាព ដែលអាចរៀបចំយុទ្ធសាស្ត្រការពារប្រកបដោយភាពធន់សម្រាប់អនាគតឌីជីថលរបស់កម្ពុជា។

៥. មគ្គុទ្ទេសក៍សិក្សា (Study Guide)

លំហាត់ និងសកម្មភាពសិក្សាដើម្បីពង្រឹងការយល់ដឹង៖

  1. ការវាយតម្លៃហានិភ័យបណ្តាញ (Network Risk Assessment): ឱ្យនិស្សិតគូសផែនទីបណ្តាញ (Network Topology) នៃប្រព័ន្ធកុំព្យូទ័រនៅក្នុងមន្ទីរពិសោធន៍សាកលវិទ្យាល័យ ហើយកំណត់ចំណុចខ្សោយដោយប្រើប្រាស់គោលការណ៍ Zero Trust ដោយចោទសួរថា៖ តើអ្នកណាខ្លះមានសិទ្ធិចូលប្រើម៉ាស៊ីនមេ? តើឧបករណ៍អ្វីខ្លះត្រូវបានអនុញ្ញាត?
  2. ការអនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តា (Implementing MFA): សាកល្បងដំឡើង និងកំណត់រចនាសម្ព័ន្ធមុខងារ Multi-Factor Authentication (MFA) ដោយប្រើប្រាស់កម្មវិធីដូចជា Google Authenticator ឬ Microsoft Authenticator សម្រាប់គណនីអ៊ីមែលផ្ទាល់ខ្លួន ឬគណនីសាកលវិទ្យាល័យ។
  3. សិក្សាពីការបែងចែកបណ្តាញ (Micro-Segmentation Simulation): ប្រើប្រាស់កម្មវិធី Cisco Packet Tracer ឬ GNS3 ដើម្បីបង្កើតបណ្តាញនិម្មិតមួយ រួចសាកល្បងកំណត់រចនាសម្ព័ន្ធ VLANs និង Access Control Lists (ACLs) ដើម្បីអនុវត្តការបំបែកផ្នែកទិន្នន័យរវាងនាយកដ្ឋានខុសៗគ្នា។
  4. យុទ្ធនាការយល់ដឹងពីសន្តិសុខ (Security Awareness Campaign): តម្រូវឱ្យនិស្សិតបង្កើតសារអប់រំ ឬវីដេអូខ្លីៗជាភាសាខ្មែរ ដើម្បីបង្រៀនមិត្តភក្ដិអំពីរបៀបសម្គាល់អ៊ីមែលបោកបញ្ឆោត (Phishing emails) និងសារៈសំខាន់នៃការកុំទុកចិត្តលើតំណភ្ជាប់ចម្លែកៗ ដោយផ្អែកលើមេរៀនពីជំពូកទី ៧។
  5. ករណីសិក្សាវិភាគ (Case Study Analysis): ឱ្យនិស្សិតអានករណីសិក្សារបស់ Google BeyondCorp ឬ ធនាគារ DZ Bank (ក្នុងជំពូកទី ៦) រួចសរសេររបាយការណ៍សង្ខេបពីបញ្ហាប្រឈម និងដំណោះស្រាយដែលក្រុមហ៊ុនទាំងនោះបានអនុវត្តដើម្បីផ្លាស់ប្តូរទៅកាន់គំរូ Zero Trust។

៦. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស (English) ការពន្យល់ជាខេមរភាសា (Khmer Explanation) និយមន័យសាមញ្ញ (Simple Definition)
Zero Trust Architecture (ZTA) ជាទម្រង់នៃសន្តិសុខបណ្តាញដែលលុបបំបាត់ការជឿទុកចិត្តដោយស្វ័យប្រវត្តិ (Implicit Trust) ដោយតម្រូវឱ្យមានការផ្ទៀងផ្ទាត់ជានិច្ចចំពោះគ្រប់អ្នកប្រើប្រាស់ និងឧបករណ៍ទាំងអស់ ទោះបីជាពួកគេស្ថិតនៅក្នុង ឬក្រៅបណ្តាញក៏ដោយ។ វាផ្តោតលើគោលការណ៍ "មិនត្រូវជឿទុកចិត្ត ត្រូវតែផ្ទៀងផ្ទាត់ជានិច្ច"។ ដូចជាសន្តិសុខអគារដែលឆែកកាតបុគ្គលិកគ្រប់ច្រកទ្វារទាំងអស់ មិនមែនឆែកតែមាត់ទ្វារធំរួចអនុញ្ញាតឱ្យដើរដោយសេរីនោះទេ។
Micro-Segmentation គឺជាការបែងចែកបណ្តាញកុំព្យូទ័រជាផ្នែកតូចៗដាច់ដោយឡែកពីគ្នា ដើម្បីងាយស្រួលគ្រប់គ្រងការចូលប្រើប្រាស់ និងទប់ស្កាត់មិនឱ្យមេរោគ ឬអ្នកវាយប្រហារអាចរាលដាលពីផ្នែកមួយទៅផ្នែកមួយទៀតដោយសេរី។ វាជាស្នូលសំខាន់មួយនៃប្រព័ន្ធ Zero Trust។ ដូចជាការសាងសង់ជញ្ជាំងនិងទ្វារដែលអាចចាក់សោរបាននៅក្នុងបន្ទប់នីមួយៗនៃផ្ទះ ដើម្បីការពារកុំឱ្យចោរដែលចូលដល់ក្នុងផ្ទះអាចចូលទៅបន្ទប់ផ្សេងទៀតបាន។
Least Privilege ជាគោលការណ៍ផ្តល់សិទ្ធិចូលប្រើប្រាស់ប្រព័ន្ធ ឬទិន្នន័យក្នុងកម្រិតទាបបំផុត និងត្រឹមតែអ្វីដែលចាំបាច់សម្រាប់ការបំពេញការងាររបស់បុគ្គលិកម្នាក់ៗប៉ុណ្ណោះ។ វាជួយកាត់បន្ថយហានិភ័យនៅពេលគណនីណាមួយត្រូវបានជ្រៀតចូល ឬហេគ។ ដូចជាការផ្តល់សោរឱ្យអ្នកបោសសម្អាត ដែលអាចបើកបានតែបន្ទប់ដែលគាត់ត្រូវសម្អាត ប៉ុន្តែមិនអាចបើកទូដែក ឬបន្ទប់ឯកសារសម្ងាត់របស់ថៅកែបានឡើយ។
Advanced Persistent Threats (APTs) គឺជាប្រភេទនៃការវាយប្រហារសាយប័រដ៏ស្មុគស្មាញ ដែលក្រុមហេគឃ័រព្យាយាមលួចចូលក្នុងប្រព័ន្ធ និងសម្ងំលាក់ខ្លួនក្នុងរយៈពេលយូរដោយមិនឱ្យគេដឹងខ្លួន ដើម្បីប្រមូលព័ត៌មានសម្ងាត់ ឬបំផ្លាញប្រព័ន្ធជាបន្តបន្ទាប់។ ដូចជាចារកម្មដែលលួចចូលទៅបង្កប់ខ្លួនក្នុងទីបញ្ជាការសត្រូវអស់ជាច្រើនខែ ដើម្បីលួចស្តាប់ព័ត៌មានដោយស្ងាត់ៗ មិនមែនជាចោរដែលចូលលួចហើយរត់ចេញភ្លាមៗនោះទេ។
Continuous Authentication ជាដំណើរការនៃការផ្ទៀងផ្ទាត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ជាប្រចាំដោយស្វ័យប្រវត្តិពេញមួយវគ្គនៃការប្រើប្រាស់ ដោយផ្អែកលើទីតាំង សុខភាពឧបករណ៍ និងអាកប្បកិរិយា ជំនួសឱ្យការផ្ទៀងផ្ទាត់តែម្តងនៅពេល Log in ដំបូង។ ដូចជាអ្នកយាមដែលឈរមើលអ្នកធ្វើការរហូត បើឃើញអ្នកធ្វើសកម្មភាពប្លែកៗ ឬគួរឱ្យសង្ស័យ គេនឹងសួររកកាតសម្គាល់ខ្លួនម្តងទៀតភ្លាម។
Multi-factor Authentication (MFA) ជាយន្តការសន្តិសុខដែលតម្រូវឱ្យអ្នកប្រើប្រាស់ផ្តល់ភស្តុតាងបញ្ជាក់អត្តសញ្ញាណចាប់ពីពីរឡើងទៅ (ឧទាហរណ៍៖ លេខសម្ងាត់ដែលអ្នកដឹង និងលេខកូដផ្ញើចូលទូរស័ព្ទដែលអ្នកមាន) មុនពេលអនុញ្ញាតឱ្យចូលទៅក្នុងប្រព័ន្ធ ទោះបីជាលេខសម្ងាត់ត្រូវក៏ដោយ។ ដូចជាការបើកទូដែកធនាគារដែលតម្រូវឱ្យមានទាំងកូនសោរ (អ្វីដែលអ្នកមាន) និងលេខកូដសម្ងាត់ (អ្វីដែលអ្នកដឹង) ទើបអាចបើកវាបាន។
Data-centric Security ជាវិធីសាស្ត្រការពារដែលផ្តោតការយកចិត្តទុកដាក់ផ្ទាល់ទៅលើការការពារទិន្នន័យ (តាមរយៈការអ៊ិនគ្រីប និងការកំណត់ចំណាត់ថ្នាក់ទិន្នន័យ) ទោះបីជាទិន្នន័យនោះស្ថិតនៅទីណាក៏ដោយ ជាជាងការពឹងផ្អែកតែទៅលើការការពារបណ្តាញ (Network perimeter) ជុំវិញទិន្នន័យនោះ។ ដូចជាការដាក់គ្រឿងអលង្ការក្នុងប្រអប់ដែកចាក់សោរយ៉ាងរឹងមាំ ទោះបីជាចោរចូលដល់ក្នុងផ្ទះ ឬយកប្រអប់នោះបាន ក៏នៅតែមិនអាចយកវាទៅប្រើប្រាស់បាន។

៧. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖