الثقة الصفرية هي عبارة عن استراتيجية أمان للشبكات السحابية المتعددة الحديثة. فبدلاً من التركيز على محيط الشبكة، يفرض نموذج أمان الثقة الصفرية سياسات الأمان لكل اتصال فردي بين المستخدمين والأجهزة والتطبيقات والبيانات.
تعتمد استراتيجية الثقة الصفرية على مبدأ "عدم الثقة مطلقًا، والتحقق دائمًا" بدلًا من منح الثقة الضمنية لجميع المستخدمين داخل الشبكة. ويساعد هذا النهج الأمني الدقيق على معالجة مخاطر الأمن الإلكتروني التي يشكِّلها العاملون عن بُعد، والخدمات السحابية الهجينة والأجهزة المملوكة شخصيًا، وغيرها من عناصر شبكات الشركات اليوم.
يتبنّى عدد متزايد من المؤسسات نماذج الثقة الصفرية لتحسين أوضاعها الأمنية مع نمو أسطح الهجمات. ووفقًا لتقرير TechTarget Enterprise Strategy Group لعام 2024، فإن أكثر من ثلثي المؤسسات الكبرى تقول إنها تطبّق سياسات الثقة الصفرية في مؤسساتها.1
كما أن المتطلبات القانونية والتنظيمية المتطورة تدفع أيضًا إلى اعتماد الثقة الصفرية. على سبيل المثال، وجّه أمر تنفيذي صادر عن الرئيس الأمريكي، جوزيف بايدن، عام 2021 جميع الوكالات الفيدرالية الأمريكية بتنفيذ بنية ثقة صفرية (ZTA).2
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
من المهم اتِّباع نهج الثقة الصفرية؛ لأن نموذج أمن الشبكات التقليدي لم يَعُد كافيًا. تم تصميم استراتيجيات الثقة الصفرية للشبكات الأكثر تعقيدًا والأكثر توزيعًا التي تستخدمها معظم المؤسسات اليوم.
ركَّزت المؤسسات لسنوات عديدة على حماية محيط شبكاتها باستخدام جدران الحماية وغيرها من الضوابط الأمنية. كان يتم اعتبار المستخدمين داخل محيط الشبكة جديرين بالثقة ويتم منحهم حرية الوصول إلى التطبيقات والبيانات والموارد.
قضى التحول الرقمي على المفهوم التقليدي لمحيط الشبكة. واليوم، تتوسع شبكات الشركات إلى ما هو أبعد من المواقع المحلية وشرائح الشبكة. يتضمن النظام البنائي للمؤسسات الحديثة البيئات السحابية، وخدمات الأجهزة المحمولة، ومراكز البيانات، وأجهزة إنترنت الأشياء (IOT)، والبرمجيات كخدمة (SaaS) والوصول عن بُعد للموظفين والبائعين وشركاء الأعمال.
مع سطح الهجوم الموسَّع، أصبحت المؤسسات أكثر عرضةً لاختراقات أمن البيانات وبرامج الفدية، والتهديدات الداخلية وأنواع أخرى من الهجمات الإلكترونية. لم يَعُد محيط الشبكة خطًا واضحًا ومتصلًا، ولا يمكن للدفاعات المعتمدة على المحيط سدّ كل الثغرات. علاوةً على ذلك، يمكن لعناصر التهديد التي تتمكن من الوصول إلى الشبكة استغلال الثقة الضمنية للقيام بحركات جانبية للعثور على الموارد الحيوية ومهاجمتها.
في عام 2010، قدّم John Kindervag المحلل الذي يعمل في Forrester Research مفهوم "الثقة الصفرية" كإطار عمل لحماية موارد المؤسسة من خلال التحكم الصارم في الوصول. إن الثقة الصفرية تبعد التركيز عن محيط الشبكة، وتضع ضوابط أمنية حول الموارد الفردية.
تُعَد كل نقطة نهاية وكل مستخدم وكل طلب اتصال تهديدًا محتملًا. فبدلًا من إطلاق العنان للمستخدمين عند مرورهم عبر المحيط، يجب أن تتم المصادقة على المستخدمين واعتمادهم كلما اتصلوا بمورد جديد. تساعد هذه المصادقة المستمرة على ضمان أن المستخدمين الشرعيين فقط هم من يمكنهم الوصول إلى أصول الشبكة القيّمة.
بالمعنى الأوسع، يعمل الوضع الأمني للثقة الصفرية من خلال التحقق من الاتصالات بين المستخدمين والتطبيقات والأجهزة والبيانات بشكل مستمر ومصادقتها.
أن تنفيذ استراتيجية الثقة الصفرية في مؤسسة يمكن أن يكون مهمة معقدة. لا يتعلق الأمر بتثبيت حل واحد من حلول الثقة الصفرية. تتطلب الثقة صفرية التخطيط والتنفيذ في مجموعة واسعة من المجالات الوظيفية، بما في ذلك سياسات الهوية والوصول، والحلول الأمنية، وسير العمل، والأتمتة، والبنية التحتية للشبكة.
تتبع العديد من المؤسسات أطر عمل محددة للثقة الصفرية لبناء هياكل محددة. وتشمل النماذج القائمة إطار عمل Forrester للثقة الصفرية، والمنشور الخاص للمعهد الوطني الأمريكي للمعايير والتقنية (NIST) (SP) 800-2073، ونموذج نضج الثقة الصفرية (ZTMM) الخاص بوكالة الأمن الإلكتروني وأمن البنية التحتية (CISA).4
في حين أن المؤسسات يمكنها أن تختار فيما بين عدة أطر عامة، إلا أن معظم استراتيجيات الثقة الصفرية تشارك هذه المفاهيم الرئيسية: المبادئ الثلاثة للثقة الصفرية، والركائز الخمس للثقة الصفرية، والوصول إلى الشبكة الصفرية (ZTNA).
قد تتنوع المواصفات الفنية لمختلف أطر العمل والنماذج، ولكنها جميعًا تتبع مجموعة أساسية من مبادئ الثقة الصفرية:
الثقة الصفرية تجعل الوصول إلى جميع أصول الشبكة غير ممكن افتراضيًا. يجب أن يجتاز المستخدمون والأجهزة وأعباء العمل المصادقة والتحقق من الصحة بشكل مستمر وسياقي للوصول إلى أي موارد، ويجب أن يجتازوا عمليات التحقق في كل مرة يطلبون فيها الاتصال.
تحدد سياسات التحكم الديناميكي في الوصول ما إذا كان سيتم الموافقة على الطلبات بناءً على نقاط البيانات مثل امتيازات المستخدم، وموقعه الفعلي، وحالة الجهاز، واستعلامات التهديدات، والسلوك غير المعتاد. تجري مراقبة الاتصالات بشكل مستمر، ويجب إعادة المصادقة عليها بشكل دوري من أجل استمرار الجلسة.
في بيئة الثقة الصفرية، يحصل المستخدمون والأجهزة على أقل امتيازات الوصول إلى الموارد. وهذا يعني أنهم يحصلون على الحد الأدنى من الإذن المطلوب لإكمال المهمة أو أداء دورهم. وتُلغى هذه الأذونات عند انتهاء الجلسة.
تحدّ إدارة الأذونات بهذه الطريقة من قدرة مصادر التهديدات على الوصول إلى مناطق أخرى من الشبكة.
تفترض فرق الأمن في مؤسسة تطبق الثقة الصفرية أن المخترقين قد اخترقوا بالفعل موارد الشبكة. والإجراءات التي غالباً ما تستخدمها فرق الأمن للتخفيف من حدة الهجمات الإلكترونية المستمرة تصبح إجراءات تشغيل قياسية. وتشمل هذه الإجراءات تجزئة الشبكة للحد من نطاق الهجوم، ومراقبة كل أصل ومستخدم وجهاز وعملية عبر الشبكة، والاستجابة لسلوكيات المستخدم أو الجهاز غير الاعتيادية في الوقت الفعلي.
يحدِّد نموذج أمن الثقة الصفرية من وكالة الأمن الإلكتروني وأمن البنية التحتية4 خمس ركائز يمكن أن تركِّز عليها المؤسسات أثناء تنفيذ الثقة الصفرية:
تعد مصادقة من هويات المستخدمين ومنح هؤلاء المستخدمين حق الوصول إلى موارد المؤسسة المعتمدة فقط قدرة أساسية لأمن الثقة الصفرية.
تشمل الأدوات الشائعة التي تستخدمها المؤسسات لهذا الغرض أنظمة إدارة الهوية والوصول (IAM) وحلول تسجيل الدخول الموحَّد (SSO) وحلول المصادقة متعددة العوامل (MFA).
يجب أن يكون كل جهاز يتصل بالشبكة متوافقًا تمامًا مع سياسات الثقة الصفرية وضوابط الأمان الخاصة بالمؤسسة. ويتضمن ذلك محطات العمل، والهواتف المحمولة، والخوادم، وأجهزة الكمبيوتر المحمولة، وأجهزة إنترنت الأشياء (IOT)، والطابعات، وغير ذلك.
تحتفظ المؤسسات التي تعمل بالثقة الصفرية بمخزونًا كاملاً وحديثًا لجميع أجهزة نقاط النهاية المعتمدة. ويتم رفض وصول الأجهزة غير المصرح لها إلى الشبكة.
تنتقل المؤسسات من التجزئة التقليدية للشبكة إلى التجزئة المصغرة في بيئة الثقة الصفرية. يتم تقسيم الموارد وأعباء العمل إلى مناطق أصغر وأكثر أمانًا، ما يساعد المؤسسات على احتواء الاختراقات بشكل أفضل ويمنع الحركة الجانبية. لا يمكن لعنصر التهديد حتى رؤية الموارد التي لا يُسمح له باستخدامها.
قد تطبِّق المؤسسات أيضًا طرقًا أخرى للوقاية من تهديدات الشبكة، مثل تشفير حركة مرور الشبكة ومراقبة سلوكيات المستخدمين والكيانات.
كما هو الحال مع كل عنصر آخر في نموذج أمن الثقة الصفرية، فإن التطبيقات وواجهات برمجة التطبيقات (APIs) لا تحتوي على ثقة ضمنية.
بدلاً من توفير وصول ثابت لمرة واحدة إلى التطبيقات، فإن المؤسسات تنتقل إلى المصادقة الديناميكية التي تتطلب إعادة التحقق المستمر للوصول المستمر. تراقب المؤسسات باستمرار التطبيقات التي تتحدث مع بعضها بعضًا بحثًا عن سلوك غير عادي.
في إطار نموذج الثقة الصفرية، تصنف المؤسسات بياناتها حتى تتمكن من تطبيق سياسات التحكم في الوصول المستهدف وأمن البيانات لحماية المعلومات.
تتم حماية البيانات أثناء النقل والاستخدام والتخزين بواسطة التشفير والتفويض الديناميكي. تراقب المؤسسات باستمرار معالجة البيانات بحثًا عن أي نشاط غير عادي قد يُشير إلى اختراق أمن البيانات أو تسريب بيانات حساسة.
إحدى التقنيات الأساسية لتنفيذ استراتيجية الثقة الصفرية هي الوصول إلى شبكة الثقة الصفرية أو ZTNA. مثل الشبكة الافتراضية الخاصة (VPN)، توفر ZTNA الوصول عن بُعد للتطبيقات والخدمات. على عكس الشبكة الافتراضية الخاصة، فإن ZTNA تربط المستخدمين فقط بالموارد التي لديهم الإذن بالوصول إليها بدلاً من ربطهم بالشبكة بأكملها.
تُعد ZTNA جزءًا أساسيًا من نموذج حافة خدمة الوصول الآمن (SASE)، والذي يمكّن الشركات من توفير اتصالات مباشرة وآمنة وذات زمن انتقال قصير بين المستخدمين والموارد.
نظرًا لأن هيكل الثقة الصفرية تفرض التحكم في الوصول استنادًا إلى الهوية، يمكنه توفير حماية قوية للبيئات الهجينة والسحابية المتعددة . يتم منح أحمال التشغيل السحابية التي تم التحقق منها حق الوصول إلى الموارد المهمة، بينما يتم رفض الخدمات والتطبيقات السحابية غير المصرح بها.
وبغض النظر عن المصدر أو الموقع أو التغييرات التي تطرأ على البنية التحتية لتقنية المعلومات، يمكن للثقة الصفرية حماية البيئات السحابية المزدحمة باستمرار.
تحتاج المؤسسات إلى منح حق الوصول إلى الشبكة للبائعين والمقاولين ومقدمي الخدمات والجهات الخارجية الأخرى. يستفيد المخترقون من هذا الوضع لتنفيذ هجمات سلسلة التوريدات التي يستخدمون فيها حسابات البائعين المخترقة وأحمال التشغيل لاختراق شبكة الشركة.
تطبق الثقة الصفرية المصادقة المستمرة والسياقية والوصول الأقل امتيازًا على كل كيان، حتى تلك الموجودة خارج الشبكة. حتى إذا اخترق المخترقون حساب بائع موثوق به، فلن يتمكنوا من الوصول إلى أكثر موارد الشركة حساسية.
تعتمد المؤسسات عادةً على الشبكات الخاصة الافتراضية (VPN) لربط الموظفين عن بُعد بموارد الشبكة. لكن شبكات VPN لا تتوسع بسهولة، ولا تمنع الحركة الجانبية.
يمكن للشركات استخدام حلول الوصول إلى شبكة الثقة الصفرية (ZTNA) في نموذج الثقة الصفرية بدلاً من ذلك. تتحقق ZTNA من هويات الموظفين، ثم تمنحهم حق الوصول إلى التطبيقات والبيانات والخدمات التي يحتاجون إليها فقط لأداء وظائفهم.
نظرًا لأن أجهزة إنترنت الأشياء (IOT) تتصل بالإنترنت، فإنها تشكل خطرًا على الأمن المؤسسي. يستهدف المخترقون في أغلب الأحيان أجهزة إنترنت الأشياء (IOT)؛ لأنهم يستطيعون استخدامها لإدخال برنامج ضار إلى أنظمة الشبكة الضعيفة.
تتتبع هياكل الثقة الصفرية باستمرار موقع كل جهاز من أجهزة إنترنت الأشياء (IOT) وحالته وسلامته عبر المؤسسة. يتم التعامل مع كل جهاز على أنه كيان خبيث محتمل. كما هو الحال مع العناصر الأخرى في بيئة الثقة الصفرية، تخضع أجهزة إنترنت الأشياء (IOT) لضوابط الوصول والمصادقة والاتصالات المشفرة مع موارد الشبكة الأخرى.
1 Trends in Zero Trust. Enterprise Strategy Group by TechTarget. مارس 2024.
2 Executive Order on Improving the Nation’s Cybersecurity. The White House. 12 May 2021.
3 NIST SP800-207: Zero Trust Architecture. NIST. أغسطس 2020.
4 نموذج نضج الثقة الصفرية CISA. CISA. أبريل 2023.