Zero Trust กับ Zero-Knowledge คืออะไร ? และแตกต่างกันอย่างไร ?

Zero Trust กับ Zero-Knowledge คืออะไร ? และแตกต่างกันอย่างไร ?

ในารกรักษาความปลอดภัยในโลกไซเบอร์ มีแนวคิดที่สำคัญอยู่ 2 รูปแบบที่ได้รับการยอมรับ และถูกใช้งานอย่างกว้างขวาง นั่นก็คือ "Zero Trust" และ "Zero-Knowledge"

สองคำนี้อ่านดู อาจจะรู้สึกคล้ายคลึงกัน แต่ในเชิงเทคนิคแล้ว Zero-Knowledge ถือว่านำหน้ากว่า Zero Trust อยู่ก้าวหนึ่ง ในด้านการสร้างระบบรักษาความปลอดภัยที่สามารถต่อต้านภัยอันตรายใหม่ ๆ ได้

โดยในความเป็นแล้ว แนวคิดการตรวจสอบด้วย Zero-Knowledge สามารถนำไปใช้พิสูจน์แนวคิดแบบ Zero Trust ได้ด้วย แต่ก่อนที่เราจะไปถึงประเด็นดังกล่าว เรามาทำความเข้าใจสองแนวคิดนี้กันก่อน

Zero Trust คืออะไร ?
(What is Zero Trust ?)

นิยามง่าย ๆ ของ Zero Trust ก็คือ "อย่าไว้ใจใคร จงตรวจสอบทุกคน" ดังนั้น ในตัว Framework ของ Zero Trust จะถูกกำหนดให้ไม่มีการเชื่อใจระหว่างเครือข่าย กับตัวผู้ใช้, ฮาร์ดแวร์ (Hardware) และ ซอฟต์แวร์ (Software) เลยแม้แต่จุดเดียว

ด้วยการสันนิษฐานเอาไว้ก่อนว่าทุกคน และทุกสิ่ง สามารถเป็นภัยต่อระบบได้จนกว่าจะได้ตรวจสอบมันก่อน ดังนั้นในระบบรักษาความปลอดภัยแบบ Zero Trust จึงมีการขออนุญาตยืนยันตัวตนด้วยวิธีการตรวจสอบรูปแบบใดรูปแบบหนึ่งเสมอ ก่อนที่จะอนุญาตให้เข้าถึงข้อมูลต่าง ๆ ในระบบได้

นอกจากนี้ Zero Trust ยังมีประโยชน์ที่ช่วยให้ทีมผู้ดูแลระบบสารสนเทศ (IT Administrator) ที่สามารถตรวจสอบผู้ใช้, อุปกรณ์ และตัวระบบได้อย่างสมบูรณ์ นี่ไม่ได้แค่ช่วยในเรื่องกฏการใช้งานระบบเท่านั้น แต่ยังช่วยหลีกเลี่ยงการโจมตีที่มาจากผู้ใช้ที่บุกรุกเข้ามาในระบบได้อีกด้วย

Zero-Knowledge คืออะไร ?
(What is Zero-Knowledge ?)

แนวคิดของ Zero-Knowledge คือการพยายามหาวิธีพิสูจน์ตัวตันของผู้ใช้ โดยที่ผู้ใช้ไม่จำเป็นต้องเปิดเผยข้อมูล หรือความลับใด ๆ ให้กับผู้อื่น เพื่อป้องกันการรั่วไหลของข้อมูลให้กับผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูลดังกล่าว

หลักการทำงานของมันจะอาศัยวิธีการเข้ารหัสข้อมูลของผู้ใช้ก่อนที่จะส่งต่อไปยังผู้ให้บริการ โดยข้อมูลที่ถูกเข้ารหัสแล้วจะถูกถอดรหัสได้ด้วยกุญแจเฉพาะตัว ซึ่งผู้ให้บริการจะไม่มีกุญแจดังกล่าว มีเพียงผู้ใช้งานเท่านั้นที่ครอบครองกุญแจถอดรหัสเอาไว้ ทำให้ตามหลักทฤษฎีแล้วจะไม่มีใครนอกเหนือจากผู้ใช้สามารถมองเห็นข้อมูลดังกล่าวได้เลย

ในแง่ของความปลอดภัยทางไซเบอร์ Zero-Knowledge สามารถถูกมองว่าเป็นส่วนหนึ่งของการทำงานแบบ Zero Trust ได้เช่นกัน อย่างการพิสูจน์ตัวตนด้วยวิธีที่ไม่เปิดเผยตัวตนของผู้ใช้

จุดที่เหมือนกัน และแตกต่างของ Zero Trust กับ Zero-Knowledge
(Same and different points of Zero Trust and Zero-Knowledge)

หาก Zero Trust คือการไม่ไว้ใจใครเลย และ Zero-Knowledge คือเราไม่รู้อะไรเลย แม้ทั้งคู่จะมีเป้าหมายเดียวกัน คือการเพิ่มความแข็งแกร่งให้กับระบบรักษาความปลอดภัย และการปกป้องข้อมูล แต่การทำงานก็มีรูปแบบที่แตกต่างกัน

อย่างที่เราได้อธิบายไปแล้วในหัวข้อที่แล้วว่า Zero-Knowledge สามารถมองว่าเป็นส่วนประกอบหนึ่งในการทำงานของ Zero Trust ได้ อย่างการยืนยันตัวตนโดยที่ไม่ต้องเปิดเผยข้อมูล

รูปแบบของ Zero-Knowledge สามารถปกป้องข้อมูลส่วนบุคคลที่สำคัญจากผู้ให้บริการได้ ในกรณีส่วนใหญ่แล้วก็จะเป็นข้อมูลอย่างรหัสผ่าน, ข้อมูลรับรองการเข้าสู่ระบบ (Login Credentials) และข้อมูลอื่น ๆ ที่มีความละเอียดอ่อน ตัวอย่างการใช้งานที่ง่ายที่สุดก็อย่างเช่น การยืนยันตัวตนแบบ 2 ชั้น (2FA) และรหัสผ่านแบบหลายชั้น (MFA) ต่างก็ใช้การทำงานของ Zero-Knowledge เช่นกัน

ทั้ง 2FA และ MFA ล้วนแต่เป็นองค์ประกอบสำคัญใน Framework ของระบบ Zero Trust ผู้ให้บริการจะใช้งานทั้ง Zero Trust กับ Zero-Knowledge เพื่อปกป้องระบบจากการถูกแฮกเกอร์ล้วงข้อมูล

สุดท้ายแล้ว Zero Trust กับ Zero-Knowledge แม้จะแตกต่างกัน แต่เราก็ไม่จำเป็นต้องเลือกใช้งาน เพราะไม่มีเหตุผลที่ต้องเลือก ในเมื่อมันทำงานร่วมกันได้ และควรจะทำแบบนั้นด้วยนั่นเอง