تم التحديث: 20 يونيو 2024
المساهمون: Gregg Lindemulder, Matthew Kosinski
الثقة الصفرية هي عبارة عن استراتيجية أمان للشبكات السحابية المتعددة الحديثة. فبدلاً من التركيز على محيط الشبكة، يفرض نموذج أمان الثقة الصفرية سياسات الأمان لكل اتصال فردي بين المستخدمين والأجهزة والتطبيقات والبيانات.
تعمل الثقة صفرية على مبدأ "لا تثق أبدًا، وتحقق دائمًا" بدلاً من منح الثقة الضمنية لجميع المستخدمين داخل الشبكة. ويساعد هذا النهج الأمني الدقيق في معالجة مخاطر الأمن الإلكتروني التي يشكلها العاملون عن بُعد، والخدمات السحابية الهجينة والأجهزة المملوكة شخصيًا، وغيرها من عناصر شبكات الشركات اليوم.
يتبنى عدد متزايد من المؤسسات نماذج الثقة الصفرية لتحسين أوضاعها الأمنية مع نمو أسطح الهجمات. ووفقًا لتقرير TechTarget Enterprise Strategy Group لعام 2024، فإن أكثر من ثلثي المؤسسات الكبرى تقول إنها تطبق سياسات الثقة الصفرية في مؤسساتها.1
كما أن المتطلبات القانونية والتنظيمية المتطورة تدفع أيضًا إلى اعتماد الثقة الصفرية. على سبيل المثال، وجّه أمر تنفيذي صادر عن الرئيس الأمريكي، جوزيف بايدن، عام 2021 جميع الوكالات الفيدرالية الأمريكية بتنفيذ بنية ثقة صفرية (ZTA).2
احصل على معارف لإدارة مخاطر اختراق أمن البيانات بشكل أفضل من خلال أحدث تقرير عن تكلفة اختراق أمن البيانات.
من المهم اتباع نهج الثقة الصفرية؛ لأن نموذج أمن الشبكات التقليدي لم يعد كافيًا. صُممت استراتيجيات الثقة الصفرية للشبكات الأكثر تعقيدًا والأكثر توزيعًا التي تستخدمها معظم المؤسسات اليوم.
ركزت المؤسسات لسنوات عديدة على حماية محيط شبكاتها باستخدام جدران الحماية وغيرها من الضوابط الأمنية. اعتُبر المستخدمون داخل محيط الشبكة جديرين بالثقة ومُنحوا حرية الوصول إلى التطبيقات والبيانات والموارد.
قضى التحول الرقمي على المفهوم التقليدي لمحيط الشبكة. واليوم، تتوسع شبكات الشركات إلى ما هو أبعد من المواقع المحلية وشرائح الشبكة. يتضمن النظام البنائي للمؤسسات الحديثة البيئات السحابية، وخدمات الأجهزة المحمولة، ومراكز البيانات، وأجهزة إنترنت الأشياء (IOT)، والبرمجيات كخدمة (SaaS) والوصول عن بُعد للموظفين والبائعين وشركاء الأعمال.
مع سطح الهجوم الموسع، أصبحت الشركات أكثر عرضة لاختراق أمن البيانات، وبرامج الفدية، والتهديدات الداخلية وأنواع أخرى من الهجمات الإلكترونية. لم يعد محيط الشبكة خطًا واضحًا متصلاً، ولا يمكن للدفاعات القائمة على المحيط أن تسد كل الثغرات. علاوة على ذلك، يمكن لمصادر التهديد التي تتمكن من الوصول إلى الشبكة أن تستفيد من الثقة الضمنية في القيام بحركات جانبية لتحديد موقع الموارد المهمة ومهاجمتها.
في عام 2010، قدّم John Kindervag المحلل الذي يعمل في Forrester Research مفهوم "الثقة الصفرية" كإطار عمل لحماية موارد المؤسسة من خلال التحكم الصارم في الوصول. إن الثقة الصفرية تبعد التركيز عن محيط الشبكة، وتضع ضوابط أمنية حول الموارد الفردية.
تعتبر كل نقطة نهاية ومستخدم وطلب اتصال تهديدًا محتملاً. فبدلاً من إطلاق العنان للمستخدمين عند مرورهم عبر المحيط، يجب أن تتم المصادقة على المستخدمين واعتمادهم كلما اتصلوا بمورد جديد. تساعد هذه المصادقة المستمرة على ضمان أن المستخدمين الشرعيين فقط هم من يمكنهم الوصول إلى أصول الشبكة القيمة.
بالمعنى الأوسع، يعمل الوضع الأمني للثقة الصفرية من خلال التحقق من الاتصالات بين المستخدمين والتطبيقات والأجهزة والبيانات بشكل مستمر ومصادقتها.
أن تنفيذ استراتيجية الثقة الصفرية في مؤسسة يمكن أن يكون مهمة معقدة. لا يتعلق الأمر بتثبيت حل واحد من حلول الثقة الصفرية. تتطلب الثقة صفرية التخطيط والتنفيذ في مجموعة واسعة من المجالات الوظيفية، بما في ذلك سياسات الهوية والوصول، والحلول الأمنية، وسير العمل، والأتمتة، والبنية التحتية للشبكة.
تتبع العديد من المؤسسات أطر عمل محددة للثقة الصفرية لبناء هياكل محددة. وتشمل النماذج القائمة إطار عمل Forrester للثقة الصفرية، والمنشور الخاص للمعهد الوطني الأمريكي للمعايير والتقنية (NIST) (SP) 800-2073، ونموذج نضج الثقة الصفرية (ZTMM) الخاص بوكالة الأمن الإلكتروني وأمن البنية التحتية (CISA).4
في حين أن المؤسسات يمكنها أن تختار فيما بين عدة أطر عامة، إلا أن معظم استراتيجيات الثقة الصفرية تشارك هذه المفاهيم الرئيسية: المبادئ الثلاثة للثقة الصفرية، والركائز الخمس للثقة الصفرية، والوصول إلى الشبكة الصفرية (ZTNA).
قد تتنوع المواصفات الفنية لمختلف أطر العمل والنماذج، ولكنها جميعًا تتبع مجموعة أساسية من مبادئ الثقة الصفرية:
- المراقبة المستمرة والتحقق المستمر
- مبدأ الامتيازات الأقل
- افترض حدوث خرق
الثقة الصفرية تجعل الوصول إلى جميع أصول الشبكة غير ممكن افتراضيًا. يجب أن يجتاز المستخدمون والأجهزة وأحمال التشغيل المصادقة والتحقق من الصحة بشكل مستمر وسياقي للوصول إلى أي موارد، ويجب أن يجتازوا عمليات التحقق في كل مرة يطلبون فيها الاتصال.
تحدد سياسات التحكم الديناميكي في الوصول ما إذا كان سيتم الموافقة على الطلبات بناءً على نقاط البيانات مثل امتيازات المستخدم، وموقعه الفعلي، وحالة الجهاز، واستعلامات التهديدات، والسلوك غير المعتاد. تجري مراقبة الاتصالات بشكل مستمر، ويجب إعادة المصادقة عليها بشكل دوري من أجل استمرار الجلسة.
في بيئة الثقة الصفرية، يحصل المستخدمون والأجهزة على أقل امتيازات الوصول إلى الموارد. وهذا يعني أنهم يحصلون على الحد الأدنى من الإذن المطلوب لإكمال المهمة أو أداء دورهم. وتُلغى هذه الأذونات عند انتهاء الجلسة.
تحدّ إدارة الأذونات بهذه الطريقة من قدرة مصادر التهديدات على الوصول إلى مناطق أخرى من الشبكة.
تفترض فرق الأمن في مؤسسة تطبق الثقة الصفرية أن المخترقين قد اخترقوا بالفعل موارد الشبكة. والإجراءات التي غالباً ما تستخدمها فرق الأمن للتخفيف من حدة الهجمات الإلكترونية المستمرة تصبح إجراءات تشغيل قياسية. وتشمل هذه الإجراءات تجزئة الشبكة للحد من نطاق الهجوم، ومراقبة كل أصل ومستخدم وجهاز وعملية عبر الشبكة، والاستجابة لسلوكيات المستخدم أو الجهاز غير الاعتيادية في الوقت الفعلي.
ويحدد نموذج أمان الثقة الصفرية من وكالة الأمن الإلكتروني وأمن البنية التحتية4 خمسة ركائز يمكن أن تركز عليها المؤسسات أثناء تنفيذ الثقة الصفرية:
- الهوية
- الأجهزة
- الشبكات
- التطبيقات وأحمال التشغيل
- بيانات
تعد مصادقة من هويات المستخدمين ومنح هؤلاء المستخدمين حق الوصول إلى موارد المؤسسة المعتمدة فقط قدرة أساسية لأمن الثقة الصفرية.
تشمل الأدوات الشائعة التي تستخدمها المؤسسات لهذا الغرض أنظمة إدارة الهوية والوصول (IAM) وحلول تسجيل الدخول الموحد (SSO) وحلول المصادقة متعددة العوامل (MFA).
يجب أن يكون كل جهاز يتصل بالشبكة متوافقًا تمامًا مع سياسات الثقة الصفرية وضوابط الأمان الخاصة بالمؤسسة. ويتضمن ذلك محطات العمل، والهواتف المحمولة، والخوادم، وأجهزة الكمبيوتر المحمولة، وأجهزة إنترنت الأشياء (IOT)، والطابعات، وغير ذلك.
تحتفظ المؤسسات التي تعمل بالثقة الصفرية بمخزونًا كاملاً وحديثًا لجميع أجهزة نقاط النهاية المعتمدة. ويتم رفض وصول الأجهزة غير المصرح لها إلى الشبكة.
تنتقل المؤسسات من التجزئة التقليدية للشبكة إلى التجزئة المصغرة في بيئة الثقة الصفرية. يتم تقسيم الموارد وأحمال التشغيل إلى مناطق أصغر وأكثر أمانًا، ما يساعد المؤسسات على احتواء الاختراقات بشكل أفضل ويمنع الحركة الجانبية. لا يمكن لمصادر التهديد حتى رؤية الموارد غير المصرح لها باستخدامها.
قد تنشر أيضًا المؤسسات طرقًا أخرى للوقاية من تهديدات الشبكة، مثل تشفير حركة مرور الشبكة ومراقبة سلوكيات المستخدمين والكيانات.
كما هو الحال مع كل عنصر آخر في نموذج أمان الثقة الصفرية، فإن التطبيقات، وواجهة برمجة التطبيقات (APIs) لا تحتوي على ثقة ضمنية.
بدلاً من توفير وصول ثابت لمرة واحدة إلى التطبيقات، فإن المؤسسات تنتقل إلى المصادقة الديناميكية التي تتطلب إعادة التحقق المستمر للوصول المستمر. تراقب المؤسسات باستمرار التطبيقات التي تتحدث مع بعضها بعضًا بحثًا عن سلوك غير عادي.
في إطار نموذج الثقة الصفرية، تصنف المؤسسات بياناتها حتى تتمكن من تطبيق سياسات التحكم في الوصول المستهدف وأمن البيانات لحماية المعلومات.
البيانات أثناء النقل والاستخدام والسكون محمية بالتشفير والمصادقة الديناميكية. تراقب المؤسسات باستمرار معالجة البيانات بحثًا عن أي نشاط غير عادي قد يشير إلى اختراق أمن البيانات أو تسريب بيانات حساسة.
إحدى التقنيات الأساسية لتنفيذ استراتيجية الثقة الصفرية هي الوصول إلى شبكة الثقة الصفرية أو ZTNA. مثل الشبكة الافتراضية الخاصة (VPN)، توفر ZTNA الوصول عن بُعد للتطبيقات والخدمات. على عكس الشبكة الافتراضية الخاصة، فإن ZTNA تربط المستخدمين فقط بالموارد التي لديهم الإذن بالوصول إليها بدلاً من ربطهم بالشبكة بأكملها.
تُعد ZTNA جزءًا أساسيًا من نموذج حافة خدمة الوصول الآمن (SASE)، والذي يمكّن الشركات من توفير اتصالات مباشرة وآمنة وذات زمن انتقال قصير بين المستخدمين والموارد.
نظرًا لأن هيكل الثقة الصفرية تفرض التحكم في الوصول استنادًا إلى الهوية، يمكنه توفير حماية قوية للبيئات الهجينة والسحابية المتعددة . يتم منح أحمال التشغيل السحابية التي تم التحقق منها حق الوصول إلى الموارد المهمة، بينما يتم رفض الخدمات والتطبيقات السحابية غير المصرح بها.
وبغض النظر عن المصدر أو الموقع أو التغييرات التي تطرأ على البنية التحتية لتقنية المعلومات، يمكن للثقة الصفرية حماية البيئات السحابية المزدحمة باستمرار.
تحتاج المؤسسات إلى منح حق الوصول إلى الشبكة للبائعين والمقاولين ومقدمي الخدمات والجهات الخارجية الأخرى. يستفيد المخترقون من هذا الوضع لتنفيذ هجمات سلسلة التوريدات التي يستخدمون فيها حسابات البائعين المخترقة وأحمال التشغيل لاختراق شبكة الشركة.
تطبق الثقة الصفرية المصادقة المستمرة والسياقية والوصول الأقل امتيازًا على كل كيان، حتى تلك الموجودة خارج الشبكة. حتى إذا اخترق المخترقون حساب بائع موثوق به، فلن يتمكنوا من الوصول إلى أكثر موارد الشركة حساسية.
تعتمد المؤسسات عادةً على الشبكات الخاصة الافتراضية (VPN) لربط الموظفين عن بُعد بموارد الشبكة. لكن شبكات VPN لا تتوسع بسهولة، ولا تمنع الحركة الجانبية.
يمكن للشركات استخدام حلول الوصول إلى شبكة الثقة الصفرية (ZTNA) في نموذج الثقة الصفرية بدلاً من ذلك. تتحقق ZTNA من هويات الموظفين، ثم تمنحهم حق الوصول إلى التطبيقات والبيانات والخدمات التي يحتاجون إليها فقط لأداء وظائفهم.
نظرًا لأن أجهزة إنترنت الأشياء (IOT) تتصل بالإنترنت، فإنها تشكل خطرًا على الأمن المؤسسي. يستهدف المخترقون في أغلب الأحيان أجهزة إنترنت الأشياء (IOT)؛ لأنهم يستطيعون استخدامها لإدخال برنامج ضار إلى أنظمة الشبكة الضعيفة.
تتتبع هياكل الثقة الصفرية باستمرار موقع كل جهاز من أجهزة إنترنت الأشياء (IOT) وحالته وسلامته عبر المؤسسة. يتم التعامل مع كل جهاز على أنه كيان خبيث محتمل. كما هو الحال مع العناصر الأخرى في بيئة الثقة الصفرية، تخضع أجهزة إنترنت الأشياء (IOT) لضوابط الوصول والمصادقة والاتصالات المشفرة مع موارد الشبكة الأخرى.
يمكنك حماية هويات العملاء والقوى العاملة والهويات المميزة وإدارتها عبر السحابة الهجينة بدعم من الذكاء الاصطناعي.
يمكنك حماية بنيتك التحتية وشبكتك من تهديدات الأمن الإلكتروني المعقدة باستخدام مهارات أمنية مجرَّبة وأحدث الخبرات والحلول.
حماية البيانات عبر السحابات الهجينة وتبسيط متطلبات الامتثال.
تساعدك هذه الجلسة الافتراضية أو الشخصية المجانية، والتي تستغرق 3 ساعات مع كبار مهندسي ومستشاري IBM Security على فهم مشهد الأمن الإلكتروني وتحديد أولويات مبادراتك.
تحوُّل مكتب المدير التنفيذي للمعلومات (CIO) في شركة IBM إلى IBM Security® Verify للجيل القادم من المصادقة الرقمية عبر القوى العاملة والعملاء.
تعرَّف على كيفية تحسين وضع أمن البيانات والامتثال حتى مع تزايد لامركزية مشهد تقنية المعلومات وتعقيده.
الحواشي
تؤدي كل الروابط إلى صفحات خارج ibm.com.
1 Trends in Zero Trust. Enterprise Strategy Group by TechTarget. March 2024.
2 Executive Order on Improving the Nation’s Cybersecurity. The White House. 12 May 2021.
3 NIST SP800-207: Zero Trust Architecture. NIST. August 2020.
4 CISA Zero Trust Maturity Model. CISA. April 2023.