ज़ीरो ट्रस्ट क्या है? चर्चा का शब्द या नई सुरक्षा तकनीक? ज़ीरो ट्रस्ट की स्पष्ट व्याख्या।

प्रस्तावना

“ज़ीरो ट्रस्ट” शब्द की गूंज को काफी समय हो चुका है। SASE, ZTNA या IAM को मज़बूत करने जैसी बातें नई युग की जादुई छड़ी की तरह सुनाई जाती हैं। लेकिन मैदान में काम करने वाले कई इंजीनियर ठंडे मन से पूछते हैं, “आखिर हम तो बस प्रमाणीकरण को ही कठोर बना रहे हैं, है ना?”

तो क्या ज़ीरो ट्रस्ट सचमुच नया सुरक्षा प्रतिमान है, या फिर केवल एक चर्चा का शब्द? इस लेख में मैं उसके असली रूप की आलोचनात्मक समीक्षा करना चाहता हूँ।

परिधि-आधारित सुरक्षा का पूर्वानुमान

पहले पारंपरिक सुरक्षा मॉडल पर नज़र डालें। IPv4 के दौर में LAN निजी एड्रेस स्पेस और NAT की वजह से बाहरी पहुँच से लगभग सुरक्षित रहते थे। साथ ही फ़ायरवॉल “बाहर से अंदर” आने वाले ट्रैफ़िक को रोकता था, इसलिए सिर्फ़ परिधि को मज़बूत करो, अंदर अपने आप सुरक्षित है — यह मान्यता लंबे समय तक काम करती रही।

यह मॉडल बेहद मज़बूत था और 1990 के दशक से 2010 के दशक तक कॉर्पोरेट इंटरनेट उपयोग की सुरक्षा का सहारा बना रहा। “VPN से कंपनी नेटवर्क में घुसो और फिर मुक्त रूप से काम करो” — यही परिधि-आधारित सुरक्षा का क्लासिक उदाहरण था।

ज़ीरो ट्रस्ट पर ध्यान क्यों गया

लेकिन परिदृश्य बदल गया।

क्लाउड और मोबाइल का प्रसार

कर्मचारी घर, कैफ़े या चलते-फिरते SaaS का उपयोग करने लगे, जिससे परिधि धुँधली हो गई।

आंतरिक धोखाधड़ी और मैलवेयर का फैलाव

एक बार अंदर घुसपैठ हो जाए तो LAN के “विश्वास के द्वीप” में मैलवेयर तेज़ी से फैल जाता था।

Google BeyondCorp का प्रभाव

Google का BeyondCorp मॉडल “परिधि को तोड़ने वाली नई सुरक्षा” के रूप में सुर्खियों में आया।

इस तरह “ज़ीरो ट्रस्ट” नामक झंडा उभरा। शब्द का प्रभाव अपार था; “किसी पर भरोसा मत करो” जैसा नारा नेतृत्व और प्रबंधकों तक गहराई से पहुँचा।

ज़ीरो ट्रस्ट से जुड़ी गलतफहमियाँ

NIST या CISA जैसी संस्थाओं ने कभी यह नहीं कहा कि “परिधि को पूरी तरह छोड़ दो”। वे कहते हैं कि संक्रमण क्रमिक होगा और अधिकतर संगठनों में परिधि मॉडल और ज़ीरो ट्रस्ट का मिश्रण बनेगा।

फिर “सबकुछ हल करने वाले” जैसे आभास क्यों फैले?

• विक्रेताओं ने अपने उत्पादों को “ज़ीरो ट्रस्ट के लिए अनिवार्य” बताकर बेचना चाहा।
• Google के उदाहरण को “हर संगठन तुरंत लागू कर सकता है” मान लिया गया।
• किसी घटना के बाद “ज़ीरो ट्रस्ट होता तो बच जाते” जैसे बाद के तर्क के शब्द के रूप में इसका उपयोग हुआ।

अर्थात अवधारणा तो तार्किक है, लेकिन प्रचलित शब्द के रूप में इसे बढ़ा-चढ़ाकर बेचा गया है।

“परिधि की ज़रूरत नहीं” वाला भ्रम: रिच क्लाइंट रहेंगे तो परिधि भी रहेगी

यहाँ एक अहम बिंदु है। अगर हर कोई थिन क्लाइंट पर काम करता, जहाँ डिवाइस पर डेटा न रुके, तो ज़ीरो ट्रस्ट डिज़ाइन बेहद अनुकूल होता। लेकिन वास्तविक कंपनियाँ अब भी रिच क्लाइंट (पूर्ण कार्यक्षमता वाले पीसी) पर निर्भर हैं।

रिच क्लाइंट स्थानीय ऐप और डेटा रखते हैं, इसलिए यदि डिवाइस संक्रमित हुआ तो वह वैध प्रमाणीकरण पार करते हुए अंदर फैल सकता है। उस फैलाव को रोकने के लिए अंततः फ़ायरवॉल, नेटवर्क विभाजन जैसी परिधि-आधारित नियंत्रण ही काम आते हैं।

अर्थात “ज़ीरो ट्रस्ट = परिधि की पूर्ण समाप्ति” जैसी समझ ग़लत है; असली चुनौती है कि परिधि की मोटाई को कैसे अनुकूलित करें।

तो आखिर ज़ीरो ट्रस्ट क्या है?

इस तरह व्यवस्थित करने पर ज़ीरो ट्रस्ट का वास्तविक स्वरूप बहुत सरल है।

• ग़लतफ़हमियों से उपजा चित्र “जादुई नई तकनीक” “परिधि को पूरी तरह खत्म कर देने वाली क्रांति” “सर्वसमर्थ समाधान”

• असल में क्या है “LAN के अंदर होने भर से स्वतः सुरक्षित” जैसी मीठी धारणाओं को छोड़ना प्रमाणीकरण, प्राधिकरण, डिवाइस सत्यापन और लॉग निगरानी जैसी मौजूदा तकनीकों को जोड़कर परिधि के भीतर आरामदेह विश्वास की पूर्वधारणा हटाने वाली सुरक्षा संचालन डिज़ाइन लागू करना

इनमें शामिल तकनीकें नई नहीं हैं।

• MFA (उदा. दो-कारक प्रमाणीकरण)
• SAML या OAuth आधारित प्रमाणीकरण एकीकरण
• MDM (मोबाइल डिवाइस प्रबंधन)
• EDR (एंडपॉइंट डिटेक्शन और रिस्पॉन्स)
• CASB (क्लाउड एक्सेस सुरक्षा ब्रोकर)
• SASE (क्लाउड-आधारित नेटवर्क और सुरक्षा एकीकृत मंच)

ये सभी व्यवस्था पहले से मौजूद हैं। ज़ीरो ट्रस्ट ने बस इन्हें जोड़कर एक झंडे के रूप में पेश किया है।

निष्कर्ष: ज़ीरो ट्रस्ट का वास्तविक मूल्य

तो क्या ज़ीरो ट्रस्ट केवल चर्चा का शब्द है या तकनीक? उत्तर है: यह विचारधारा को समेटने वाला एक चर्चा शब्द है, लेकिन पूर्वधारणाओं को चुनौती देने के अर्थ में मूल्यवान है।

यदि कोई पूछे, “ज़ीरो ट्रस्ट क्या है?” तो मैं यूँ उत्तर दूँगा।

परिधि-आधारित सुरक्षा (जैसे LAN) में सिर्फ़ अंदर आ जाने से स्वतः सुरक्षित मान लेने की धारणा छोड़कर, मौजूदा तकनीकों को जोड़ते हुए ‘विश्वास की पूर्वधारणा हटाने’ वाला सुरक्षा संचालन डिज़ाइन लागू करना। वास्तविकता में यही करना पड़ता है, अन्यथा व्यवस्था टिकती नहीं।

यह कोई जादुई नई तकनीक या चमत्कारी उत्पाद श्रृंखला नहीं है। लेकिन बढ़ा-चढ़ाकर सुनाई गई कहानियों को हटाने के बाद “डिज़ाइन विचार” के रूप में इसका मूल्य बचता है।

FAQ (अक्सर पूछे जाने वाले प्रश्न)

Q: ज़ीरो ट्रस्ट और VPN में क्या अंतर है? A: VPN परिधि में प्रवेश की चाबी देता है और भीतर आने के बाद भरोसा मान लेता है। ज़ीरो ट्रस्ट में अंदर आने के बाद भी निरंतर प्रमाणीकरण और निगरानी चलती रहती है।

Q: क्या ज़ीरो ट्रस्ट से मौजूदा फ़ायरवॉल की ज़रूरत खत्म हो जाती है? A: नहीं। विशेषकर रिच क्लाइंट के संक्रमित होने या अंदर फैलने को रोकने के लिए परिधि-आधारित नियंत्रण अब भी अहम हैं।

Q: क्या छोटे और मध्यम उद्यम भी ज़ीरो ट्रस्ट अपना सकते हैं? A: धीरे-धीरे हाँ। MFA लागू करने या लॉग निगरानी मज़बूत करने जैसी आंशिक पहलों से शुरुआत की जा सकती है।

Q: क्या ज़ीरो ट्रस्ट नई तकनीक है? A: तकनीकें नई नहीं हैं। यह मौजूदा साधनों का संयोजन है जिसे विचारधारा के रूप में पुनर्परिभाषित किया गया है।

संबंधित लिंक

• NIST Zero Trust Architecture
• CISA Zero Trust Maturity Model
• Google BeyondCorp