What is zero trust security?

A zero trust security model uses frequent user authentication and authorization to protect assets while continuously monitoring for signs of breaches. Segmentation is used to limit the data and assets that an entity can access without reauthenticating. Because zero trust presumes the network has been penetrated by a threat agent, security measures are implemented in depth, rather than simply at the perimeter—the “castle and moat” model.

Why is a zero trust model important?

A zero trust model is important because the traditional approach of giving free rein to users and devices within an implicit trust zone or when connected via a VPN is simply not working. These outdated perimeter defense models are failing to secure our data because organizational boundaries are no longer limited to on-premises systems. Remote workers and mobile devices are external to the network perimeter, and adoption of cloud technologies further expands the security boundary. Meanwhile, cyberattacks continue to become more complex and impactful. A successful ransomware attack can cripple an organization, resulting in the loss of critical functionality and exposing sensitive information. No organization is immune—attackers have successfully ransomed large companies, municipalities, and even hospitals.

How does zero trust work?

Zero trust works by simply never implicitly trusting a request for data, applications, or resources and assuming the requester could be a bad actor. When you look at security through that lens, the result is new levels of granularity in tools and policies. Developing a zero trust security architecture starts with identifying sensitive data and critical applications as well as authorized users and data flows. There is a control plane, consisting of a policy controller, and automation and orchestration are critical. There’s no way IT teams alone can achieve the needed level of vigilance. That takes an integrated approach as well as AI/ML.

What are the five pillars of zero trust?

The five pillars of zero trust, based on the Cybersecurity and Infrastructure Security Agency’s recently published Zero Trust Maturity Model Version 2, are identity, devices, networks, applications and workloads, and data. These five pillars work together to create a comprehensive security strategy predicated on continuously verifying all users, devices, applications, and access requests. This layered approach is meant to make it much harder for attackers to gain a foothold.

What are the four goals of zero trust?

The four main goals of zero trust security are to limit the attack surface; enhance an organization’s security posture via strong authentication, least privilege access control, and continuous monitoring; safely provide employees and partners with the tools they need, including cloud services, from any device; and improve compliance.

ما المقصود بأمان الثقة الصفرية؟

لورنا غاري | كاتب أول | 7 أكتوبر 2024

في هذه المقالة

ما المقصود بأمان الثقة الصفرية؟
شرح أمان الثقة الصفرية
لماذا يعد نموذج الثقة الصفرية هامًا؟
أطر عمل أمان الثقة الصفرية للحكومة الفيدرالية
كيف تعمل الثقة الصفرية؟
المبادئ الرئيسة للثقة الصفرية
مزايا الثقة الصفرية
حالات استخدام الثقة الصفرية
7 مراحل تنفيذ الثقة الصفرية
11 أفضل ممارسة للثقة الصفرية
استراتيجيات الانتقال الثقافي السلس
تاريخ أمان الثقة الصفرية
تبني الثقة الصفرية باستخدام البنية التحتية من Oracle Cloud
الأسئلة الشائعة حول أمان الثقة الصفرية

متخصصي الأمان الذين شاكوا في اللعبة لفترة من الوقت قد شهدت الكثير. كانت فترة العقد الأول من القرن العشرية حول كلمات المرور القوية وجدران الحماية ومكافحة الفيروسات، والحفاظ على تصحيح البرامج. ثم حولت متطلبات مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) ومعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) التركيز على تدابير الحماية الخاصة بالبيانات، بما في ذلك عناصر التحكم في الوصول القائمة على الهوية والتشفير. جلبت الأجهزة السحابية والأجهزة المحمولة المزيد من الأدوات والعمليات والتدريب الجديد.

بالطبع، طوَّر المهاجمون استراتيجياتهم أيضًا. ردًا على ذلك، تستخدم المؤسسات الاستباقية بشكل متزايد مبادئ الثقة الصفرية لتعزيز أوضاعها الأمنية وحماية الأصول من الوصول والتلاعب غير المصرح به—فهي تلتزم بوضع "عدم الثقة، والتحقق دائمًا" الذي يستخدم التجزئة الدقيقة للحد من سطح الهجوم ويفترض أن العدو موجود بالفعل داخل البوابة.

يتعلق الأمر الآن بخفض نطاق الضرر.

ما المقصود بأمان الثقة الصفرية؟

يستخدم نموذج أمان الثقة الصفرية مصادقة المستخدم المتكررة والترخيص لحماية الأصول مع المراقبة المستمرة لعلامات الانتهاكات. يتم استخدام التجزئة للحد من البيانات والأصول التي يمكن لأي كيان الوصول إليها دون إعادة التصديق. نظرًا إلى أن الثقة الصفرية تفترض أن الشبكة قد تم اختراقها من عامل تهديد، يتم تنفيذ التدابير الأمنية بشكل مُتعمق، بدلاً من مجرد المحيط—نموذج "خندق حول قلعة".

لا يفترض أمان الثقة الصفرية المعروف أيضًا باسم بنية الثقة الصفرية أو الأمان دون محيط، أن أي جهاز أو تطبيق موثوق به عالميًا، سواء داخل الشبكة أو خارجها. إن التحقق المستمر مطلوب. يتم منح ذلك الوصول على أساس سياق الطلب ومستوى الثقة وحساسية الأصل. تظهر بنية الثقة الصفرية فعَّالة بشكل خاص للمؤسسات التي تستخدم التطبيقات السحابية ولديها الكثير من العمال والمواقع عن بُعد.

النقاط الرئيسة

ينقل أمان الثقة الصفرية الدفاعات الإلكترونية من المحيطات الثابتة القائم على الشبكة إلى التركيز على المستخدمين والأصول والموارد.
تخضع معظم المؤسسات اليوم إلى لوائح خصوصية البيانات التي تؤكد على عناصر التحكم في الوصول الدقيقة، وهي مبدأ عدم الثقة.
لا تعني الثقة الصفرية سوى مجرد ذلك: يظهر التحقق المتكرر والقوي مطلوبًا لكل مستخدم وجهاز وتطبيق.
التقسيم الجزئي—تقسيم الشبكة إلى مناطق مُحتواة والتحكم في الحركة بينها—هو مفتاح النجاح مع أمان الثقة الصفرية.

شرح أمان الثقة الصفرية

تعرف NIST، المعهد الوطني للمعايير والتقنية الثقة الصفرية على أنها مجموعة مُتطورة من نماذج الأمن السيبراني التي تنقل الدفاعات من المحيطات الثابتة القائم على الشبكة إلى التركيز على المستخدمين والأصول والموارد. تفترض الثقة الصفرية أنه لا توجد ثقة ضمنية ممنوحة للأصول أو حسابات المستخدمين على أساس الموقع الفعلي أو الموقع الشبكي فحسب—شبكات المنطقة المحلية مقابل الإنترنت—أو على أساس إذا كان الأصل مؤسسة أو مملوكًا شخصيًا.

يزيل الأمان القائم على الثقة الصفرية الثقة الضمنية ويعتمد بدلاً من ذلك على ضوابط إدارة الهوية والوصول القوية (IAM) التي تتيح للمؤسسات السماح للأشخاص والأجهزة والتطبيقات المصرح لهم فحسب بالوصول إلى أنظمتهم وبياناتهم. يشتمل نهج أمان الثقة الصفرية على بعض المبادئ الأساسية التالية:

من المتوقع أن الجهات الفاعلة المعنية بالتهديدات تعمل بالفعل في الشبكة، لذلك؛ يجب على تكنولوجيا المعلومات افتراض حدوث انتهاكات.
ترفض بيئة الثقة الصفرية الوصول افتراضيًا؛ يتم الاستعلام عن جميع الموارد التقنية والبشرية لتوفير الترخيص/المصادقة على مستوى المعاملة.
يعتمد مستوى حماية الأصول على القيمة. لا يمكن الوصول إلى الموارد إلا بعد التصديق وبالترخيص المطلوب. علاوة على ذلك، ينبغي أن يتم التحقق المستمر من الأذونات، وينبغي إلغاء الوصول الذي لا داعي إليه.
يتم تقسيم الشبكة، ولا يوجد أصل أو مساحة لا تحتاج إلى أمان.
يُستخدم التحليل المتقدم الذي يستخدم الذكاء الاصطناعي غالبًا لتحديد السلوك غير الطبيعي والعمل على الفور لمنع المتسللين.

تتناول الثقة الصفرية أيضًا نهج الدفاع المُتعمق. يتضمن الدفاع المتعمق الذي يُطلق عليه أحيانًا الأمان متعدد الطبقات، تنفيذ ضوابط أمان مُختلفة في نقاط مختلفة داخل النظام لحماية شبكة المؤسسة وأنظمتها وبياناتها. إنها مماثلة لقلعة ذات تدابير دفاعية متعددة، إذ تخطي الخندق لا يعني الحصول على جواهر التاج الملكي. توجد أيضًا بوابات وأبواب مقفلة قوية ورماة في الأبراج.

يمكن أن تكون ضوابط الدفاع المُتعمق مادية أو تقنية أو إدارية. تتضمن إجراءات الأمان المادي الحدود وأنظمة التحكم في الوصول وحراس الأمان لحماية مراكز البيانات. تشمل الضوابط التقنية جدران الحماية، ونظم الكشف عن التسلل/الوقاية منه (IDS/IPS)، وتشفير البيانات، وبرامج مكافحة البرامج الضارة لتوفير الحواجز التقنية. تهدف التدابير الإدارية مثل السياسات والإجراءات والتدريب على التوعية الأمنية وضوابط الوصول إلى معالجة العنصر البشري للأمن.

لماذا يعد نموذج الثقة الصفرية هامًا؟

يعد نموذج الثقة الصفرية هامًا لأن النهج التقليدي المتمثل في منح المستخدمين والأجهزة مطلق الحرية داخل منطقة ثقة ضمنية أو عند الاتصال عبر VPN لا يعمل ببساطة. تفشل نماذج الدفاع المحيطة القديمة هذه في تأمين بياناتنا لأن الحدود التنظيمية لم تعد تقتصر على الأنظمة المحلية. يكون العاملون عن بُعد والأجهزة المحمولة خارج نطاق الشبكة، ويزيد اعتماد تقنيات السحابة من توسيع حدود الأمان. في الوقت ذاته، تستمر الهجمات الإلكترونية في زيادة تعقيدها وتأثيرها. قد يؤدي هجوم برامج الفدية الناجح إلى شل عمل المؤسسة، مما يؤدي إلى فقدان الوظائف الهامة وفضح المعلومات الحساسة. لا توجد مؤسسة محصنة—إذ نجح المهاجمون في هدم الشركات الكبيرة والبلديات وحتى المستشفيات.

من الضروري اعتماد نهج أكثر حزمًا لتأمين أنظمتنا وبياناتنا.

مع توسُّع استخدام الخدمات السحابية بسرعة، فإنه ينشئ أيضًا أهدافًا جديدة لمجرمي الإنترنت. تتمثل الثغرة الشائعة في سرقة بيانات اعتماد مسؤول أو تطبيق متميز أو تخمينها، ثم التنقل بحرية عبر الشبكة. يتيح تنفيذ الثقة الصفرية إمكانية التنظيم الدقيق للوصول إلى الأنظمة والشبكات والبيانات. لهذا السبب؛ ينتقل عدد متزايد من المؤسسات إلى نموذج أمان الثقة الصفرية لتقليل خطر اختراق البيانات وكشف حوادث الأمن السيبراني ومنع الضرر من الهجمات الإلكترونية.

أُطر عمل أمان الثقة الصفرية للحكومة الفيدرالية

يتمثل موضوع الثقة الصفرية في التركيز الرئيس لوزارة الدفاع الأمريكية (DoD)، والحكومة الأمريكية بشكل عام. في مايو 2021، أصدر البيت الأبيض الأمر التنفيذي رقم 14028، الذي يوجه الوكالات الفيدرالية لحماية وتأمين أنظمة الكمبيوتر الخاصة بها من خلال اعتماد أفضل الممارسات الأمنية والتقدم نحو بنية الثقة الصفرية، والتي يعتبرها المسؤولون أداة رئيسة لتحقيق هذه الاستراتيجية الأمنية.

توجد العديد من النماذج وأطر العمل المتاحة لمساعدة الفِرق على تطوير بنية الثقة الصفرية. ابتكرت NIST نموذجًا يستند إلى ستة مبادئ، ونُشر ذلك في المنشور الخاص 800-207. نشرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) مؤخرًا الإصدار 2.0 من نموذج نضج الثقة الصفرية، الذي يضم خمس ركائز.

أخيرًا، نشرت وكالة نظم المعلومات الدفاعية (DISA) بنية مرجعية لمواءمة تكنولوجيا المؤسسة مع سبع ركائز.

تهدف جميع هذه الوكالات إلى مساعدة المؤسسات على اعتماد استراتيجية الثقة الصفرية. يصحب هذه النماذج والهياكل المرتبطة بها البنية وتساعد على تحديد الميزانية والجهد اللازمين للنجاح.

كيف تعمل الثقة الصفرية؟

تعمل الثقة الصفرية ببساطة من خلال عدم الثقة ضمنيًا في طلب البيانات أو التطبيقات أو الموارد وافتراض أن الطالب قد يكون عنصر سيئًا. عند النظر إلى الأمان من خلال تلك العدسة، تكون النتيجة مستويات جديدة من الدقة في الأدوات والسياسات. يبدأ تطوير هيكل أمان الثقة الصفرية بتحديد البيانات الحساسة والتطبيقات المهمة بالإضافة إلى المستخدمين المعتمدين وتدفقات البيانات. يوجد مستوى من التحكم، وهو يتكون من وحدة تحكم في السياسة، وتعد الأتمتة والتنسيق أمرًا بالغ الأهمية. لا توجد طريقة تستطيع بها فِرق تكنولوجيا المعلومات وحدها تحقيق المستوى المطلوب من اليقظة. يتبع ذلك نهجًا متكاملاً بالإضافة إلى الذكاء الاصطناعي/التعلم الآلي.

يتبع هيكل الثقة الصفرية ستة مبادئ كما حددتها NIST.

تعد جميع مصادر البيانات وخدمات الحوسبة موارد تتطلب اعتبارات أمنية. لا شيء يجب تركه غير آمن.
ينبغي أن تكون جميع الاتصالات آمنة بغض النظر عن موقع الشبكة؛ لا يعني موقع الشبكة الاعتماد عليها.
يتم منح صلاحية الوصول إلى موارد المؤسسة الفردية على أساس كل اتصال؛ ويتم تقييم الثقة في الطالب قبل منح صلاحية الوصول.
يتحدد الوصول إلى الموارد حسب السياسة، بما في ذلك حالة هوية المستخدم ونظام الطلب الذي يمكن رصده. قد يتضمن التقييم سمات سلوكية أخرى.
تضمن المؤسسة أن جميع الأنظمة المملوكة والمرتبطة بحالة من أكثر الحالات أمانًا وتراقب الأنظمة لضمان بقائها بهذه الطريقة.
تظهر مصادقة المستخدم بأنها ديناميكية ويتم فرضها بصرامة قبل السماح بالوصول؛ وهذه دورة مستمرة من الوصول، والمسح الضوئي، وتقييم التهديدات، والتكيف، والمصادقة.

المبادئ الرئيسة للثقة الصفرية

يمكن رؤية المبادئ الرئيسة للثقة الصفرية من خلال عدسة مبادئ الثقة الصفرية الثمانية التي وضعها المركز الوطني للأمن السيبراني (NCSC) التابع لحكومة المملكة المتحدة. تشكل هذه المبادئ إطارًا مُفيدًا للمؤسسات للنظر فيه أثناء شروعها في الرحلة لبناء هيكل الثقة الصفرية.

بالإضافة إلى ذلك، فإن تنفيذ أمان الثقة الصفري يمكن أن ينطوي على تعديل ثقافي كبير للمؤسسات.

1. تعرف على هيكلك، بما في ذلك المستخدمين والأجهزة والخدمات والبيانات

يتطلب تصميم أي بنية أمان فهمًا جيدًا للأصول الحالية. تعمل معظم المؤسسات بشكل دوري لتوثيق وتقييم المستخدمين والأجهزة والخدمات والبيانات التي يحتاجون إلى حمايتها. أما بالنسبة إلى تنفيذ الأمان الصفري، فإن القيام بنشاط اكتشاف الأصول لن يكون على الأرجح عملية تقنية بحتة، بل يتضمن بدلاً من ذلك مهام مثل مراجعة وثائق المشروعات وسجلات المشتريات وإجراء محادثات مع الزملاء. في كثير من الحالات، تكون قد طبقت الإدارات ومجالات الأعمال أنظمتها الخاصة.

2. تعرَّف على هويات كل من المستخدم والخدمة والجهاز

يمكن ربط الهوية بإنسان أو بتطبيق أو بجهاز. يجب تحديد كل شيء لتحديد إذا كان يجب منح شخص ما أو شيء ما حق الوصول إلى البيانات أو الخدمات. كما نوقش، أدى الانتقال التدريجي إلى السحابة إلى تسريع تآكل محيط الشبكة التقليدي. مع ذلك، يتم اعتبار الهوية بوصفها المحيط الجديد. توفر منصات الهوية إمكانات لإدارة هويات المستخدم والسمات وامتيازات الوصول. على الرغم من أن منصة الهوية لديك يمكن أن تكون بمثابة مستودع هويات رئيس، إلا أن العديد من المؤسسات يكون لديها أنظمة إدارة هوية متعددة معمول بها. تحتاج جميع هذه الأنظمة إلى اكتشافها وإدارتها، إذ تهدف المؤسسة إلى بناء هيكل الثقة الصفرية.

3. تقييم سلوك المستخدم وسلامة الجهاز والخدمة

توصي NCSC بمراقبة "إشارات السلامة" باستمرار من المستخدمين والأجهزة. تمثل هذه الإشارات مؤشرات سلوكية ونظامية تسمح لمحرك السياسة بتقييم المصداقية والسلامة السيبرانية، حتى تتمكن من اتخاذ قرارات الوصول بدرجة من الثقة. على سبيل المثال، قد ترغب في معرفة الموقع الجغرافي الذي يحاول الكمبيوتر المحمول تسجيل الدخول منه. بالنسبة إلى مستخدم على الساحل الشرقي للولايات المتحدة، قد تلفت محاولة تسجيل الدخول عندما يكون الوقت 3 صباحًا في نيويورك الانتباه.

4. استخدام السياسات في اعتماد الطلبات

تتمثل أحد ميزات هيكل الثقة الصفرية أنك تحدد سياسات الوصول، والتي يتم تنفيذها بواسطة محرك السياسة. يجب أن تراعي قرارات السياسة إشارات السلامة هذه التي ذكرناها، بما في ذلك معلومات الاتصال السابقة وفي الوقت الفعلي لتوفير الثقة بأن الطالب حقيقي والجهاز في حالة إلكترونية جيدة. ينصح مركز NCSC بأن أي إجراء عالي التأثير، مثل إنشاء مستخدم جديد على مستوى الإدارة أو تنزيل قائمة عملاء، يتعين عليه تلبية متطلبات السياسة الصارمة مقابل إجراء منخفض التأثير نسبيًا، مثل التحقق من جدول العمل. عند اختيار تقنيات هيكل الثقة الصفرية، قيِّم طريقة قيام المورِّدين بجمع الإشارات وادمجها في التحكم في الوصول. ينبغي أن تشمل كحد أدنى، دور المستخدم وموقعه الفعلي، وعوامل المصادقة، وسلامة الجهاز، والوقت من اليوم، وقيمة الخدمة المطلوب الوصول إليها، ومخاطر الإجراء المطلوب.

5. المصادقة والاعتماد في كل مكان

إذا افترضنا أن الشبكة معادية وأن المهاجم موجود في النظام، فمن الواضح أننا بحاجة إلى أساليب مصادقة قوية وإنشاء تطبيقات لقبول قرارات الوصول من محرك السياسة. ترى قبولاً ثقافيًا أفضل عبر المؤسسة إذا لم تعوق المصادقة القوية إمكانية استخدام الخدمة. يقترح مركز NCSC المطالبة بعوامل مصادقة إضافية فحسب عندما يكون للطلبات تأثير أكبر، مثل البيانات الحساسة أو الإجراءات ذات الامتيازات، بما في ذلك إنشاء مستخدمين جدد. فكِّر في طرق تسجيل الدخول الموحد والمصادقة متعددة العوامل والمصادقة دون كلمة مرور للحصول على تجربة مستخدم قوية ومُتسقة وإيجابية عبر جميع خدماتك.

6. تركيز المراقبة على المستخدمين والأجهزة والخدمات

يجب تثبيت برامج المراقبة على الأجهزة، ويجب تصدير البيانات الناتجة عن هذه الأنظمة عبر آلية نقل آمنة، مثل VPN وإلى موقع مركزي للتحليل. إذا سمحت إلى الأجهزة الشخصية أو الضيف في بيئتك، فقد تقرر عدم الوثوق بهذه الأجهزة بنفس درجة الأجهزة التي يمكنك مراقبتها بالكامل.

7. لا تثق بأي شبكة، بما في ذلك شبكتك

ترى الثقة الصفرية أن الشبكة معادية، كما ذكر مركز NCSC، وينصح بعدم الثقة في أي اتصال بين الجهاز والخدمة التي يصل إليها—بما في ذلك شبكات LAN. يجب أن تستخدم الاتصالات للوصول إلى البيانات أو الخدمات نقلاً آمنًا، مثل بروتوكول أمان طبقة النقل (TLS) الذي يشفِّر البيانات. كما يوصي NCSC بمراقبة هجمات مثل انتحال DNS والوسيط، ورفض الاتصالات الواردة غير المرغوب فيها، واستخدام التشفير والتضمين.

8. اختيار الخدمات التي تم تصميمها للثقة الصفرية

في هيكل الثقة الصفرية، لا يمكنك الوثوق بالشبكة، لذلك؛ يجب تصميم الخدمات لحماية نفسها من مصادر الهجوم المحتملة. تحتاج بعض الأنظمة القديمة إلى إعادة تهيئةكبيرة ومُكلفة وقد لا تزال تواجه مشكلات في قابلية الاستخدام. ينصح مركز NCSC بعدم "إعادة اختراع العجلة"، لصالح المنتجات والخدمات التي تم تصميمها وإنشاؤها من أجل هيكل الثقة الصفرية. عند الإمكان، استخدم التقنيات المستندة إلى المعايير التي تسمح بالتشغيل البيني، مثل OpenID Connect أو OAuth 2.0 أو SAML، واطلب من مزودي الخدمات السحابية دعمهم للثقة الصفرية.

مزايا الثقة الصفرية

يركز وضع أمان الشبكة الشائع على إيقاف التهديدات الناتجة عن محيط الشبكة، لكن يمكن أن تترك البيانات عرضة للسرقة داخل الجدار. يعتمد أمان المحيط على جدران الحماية وشبكات VPN وأنظمة كشف التسلل وغيرها من التقنيات التي قد يعرف مجرمو الإنترنت طريقة اختراقها. وهذا يعني أنه يمكن قبول شخص لديه الصلاحيات الصحيحة في أي مواقع أو تطبيقات أو أجهزة على الشبكة. من خلال أمان الثقة الصفرية، لا يكون أحد موثوقًا به افتراضيًا من داخل الشبكة أو خارجها.

تشمل المزايا الرئيسة الأخرى ما يلي:

تقليل سطح الهجوم. نظرًا إلى أن الثقة الصفرية تفرض مبدأ الأقل امتيازًا، فإن لديك بالفعل سطح هجوم نشط أصغر. نعم، كل شخص وكل شيء مشبوه. مع ذلك، يتم منح المستخدمين والأجهزة الحد الأدنى من مستوى الوصول اللازم لأداء مهامهم. يحد هذا من الضرر المحتمل نتيجة الخرق. تخيل متجرًا يمنح العملاء إمكانية الوصول إلى منتج واحد فقط في كل مرة بدلاً من السماح لهم بالتصفح بحرية ثم مراقبتهم عن كثب—وذلك هو جوهر الأقل امتيازًا. نعم، كل أصل هو سطح هجوم، لكن يظهر الوصول مُقيدًا بشكل كبير.
تقليل تأثير الهجمات. من خلال تقسيم الشبكة بشكل استراتيجي إلى قطاعات صغيرة وبالتالي؛ قطع الحركة الجانبية، يقتصر الهجوم الناجح على مجموعة صغيرة من الأصول التي تم اختراقها. ونظرًا إلى أنك تطبق الآن متطلبات وصول أكثر صرامة على البيانات والأنظمة ذات القيمة الأعلى، فمن المتوقع أن ينتهي المهاجم بشيء ذي قيمة تافهة، ليس بقائمة عملائك.
تقليل وقت الاسترداد وتكلفته. يجب أن يؤدي هيكل الثقة الصفرية إلى هجمات أقل وأكثر احتواءً تتطلب وقتًا ومالاً أقل للتنظيف. يمنع الحد من الحركة الجانبية المهاجم من تحويل الوصول منخفض المستوى لمزيد من استكشاف شبكتك، وتشابك مبادئ الثقة الصفرية بشكل جيد مع حلول منع فقدان البيانات (DLP) لمنع إخراج البيانات الحساسة من الشبكة. كما تساعد الثقة الصفرية في تقليل الحاجة إلى جهود الإخطار عن انتهاك المكلفة.
التحكم في الوصول. مع الثقة الصفرية، لا يمكن سوى للمستخدمين والأجهزة المصرح لهم على أساس السياسة بدلاً من الموقع الفعلي حتى محاولة الوصول، مما يقلل من عدد نقاط الدخول المحتملة. يسهل هذا النهج تعيين عناصر التحكم وتقليل الضرر المحتمل إذا تمكن عنصر سيء من الوصول من خلال بيانات اعتماد مخترقة أو جهاز عرضة إلى مخاطر.
تحسين الامتثال. تؤكد العديد من لوائح الامتثال، مثل GDPR وHIPAA على أهمية آليات مراقبة الوصول القوية. نظرًا إلى أن الثقة الصفرية تفرض وصولاً أقل امتيازًا، مما يمنح المستخدمين الحد الأدنى فحسب من الأذونات اللازمة لمهامهم، ويتوافق الهيكل بشكل جيد مع متطلبات الامتثال لتقييد الوصول إلى البيانات الحساسة.
زيادة الرؤية والمراقبة. يقضي الثقة الصفرية على مفهوم الثقة المتأصلة في الفرد أو الجهاز داخل محيط الشبكة. يجب التحقق باستمرار من كل شخص وكل شيء يطلب الوصول، بغض النظر عن الموقع. من خلال تسجيل هذه التفاعلات، يمكنك زيادة الرؤية إلى أقصى حد ومنح أنظمة المراقبة البيانات اللازمة لإخطار قسم تكنولوجيا المعلومات بسرعة بالحالات غير الطبيعية التي قد تشير إلى حدوث خرق.

حالات استخدام الثقة الصفرية

اكتسب مفهوم أمان الثقة الصفرية قوة جذب كبيرة في السنوات الأخيرة، خاصةً بين المؤسسات التي تعد أهدافًا رئيسة للهجمات الإلكترونية، مثل البنوك وشركات الاستثمار والمؤسسات المالية الأخرى التي تتعامل مع البيانات المالية الحساسة ومؤسسات الرعاية الصحية، التي تحتفظ بكمية من بيانات المرضى الخاضعة إلى لوائح الخصوصية. كما ذكرنا، تستخدم الوكالات الحكومية الثقة الصفرية لحماية البيانات والبنية التحتية الحيوية. إن المؤسسات التي تتمتع ببيئات تكنولوجيا معلومات حديثة—أي، تلك التي تعتمد بشكل كبير على التطبيقات والخدمات السحابية، لديها قوى عاملة عن بُعد، و/أو تحتفظ بالبنى التحتية الرقمية الكبيرة والمعقدة—هي أيضًا مشجعة على ذلك.

على المستوى الدقيق، توجد بعض المجالات التي يأتي فيها دور الثقة الصفرية.

الوصول إلى التطبيق. في وقت ما، كانت التطبيقات موجودة بشكل عام داخل محيط شبكة محدد، مثل خادم في مكتب محلي. تمكَّن الموظفون من الوصول بناءً على موقعهم، مثل شبكة Wi-Fi المحلية للشركة. اليوم، يمكن للأشخاص العمل عن بُعد ويمكن للتطبيقات العمل في أي مكان. لإدارة الوصول بسهولة أكبر، قد ينشر قسم تكنولوجيا المعلومات نظام تحكم مركزي، ويسمى غالبًا وسيط الثقة، لمصادقة المستخدم الذي يطلب الوصول إلى تطبيق، والتحقق من أمان الجهاز، ومنح الوصول إلى الموارد المحددة التي يحتاجها المستخدم فحسب وفقًا إلى مبدأ الأقل امتيازًا.
أمان السحابة. تُعد الثقة الصفرية استراتيجية ممتازة لأي مؤسسة تستخدم موارد السحابة. يمكن للموظفين الوصول بغض النظر عن مكان وجودهم من خلال عملية مصادقة قوية، ويستخدمون غالبًا مصادقة متعددة العوامل. ثم يأخذ النظام في الاعتبار عوامل مثل دور المستخدم والجهاز والموقع ومورد السحابة المحدد لتحديد إذا كان يجب منح الوصول أم لا. يقلل هذا من الضرر المحتمل إذا تم اختراق بيانات اعتماد السحابة.
حماية البيانات. تكون البيانات ضعيفة في نموذج أمان يركز على الشبكة ولا يستخدم سوى وسائل الحماية الأساسية، مثل اسم المستخدم وكلمة المرور. أظهر المهاجمون أنهم يستطيعون التحايل على هذه التدابير. يضيف إطار الثقة الصفرية مع التركيز على السياسات وطُرق الحماية التي ترتكز على البيانات، على سبيل المثال طبقات إضافية من التشفير للبيانات قيد النقل. يمكن لقسم تكنولوجيا المعلومات أيضًا تعيين سياسات ديناميكية باستخدام التحكم في الوصول القائم على السمات (ABAC). في حين يعتمد التحكم في الوصول التقليدي غالبًا على أدوار محددة مسبقًا، مثل المسؤول أو المحرر، يركز ABAC بدلاً من ذلك على السمات، مثل القسم والموقع والمسمى الوظيفي والتصريح الأمني ونوع البيانات ومالك المستند وطريقة الوصول والموقع الفعلي للجهاز ونوعه. يتيح ذلك تعريفات دقيقة للغاية لأذونات الوصول استنادًا إلى السمات التي تحددها المؤسسة. من المحتمل أن تكون حماية دقيقة للغاية وتتطلب غالبًا تغييرات في التعليمات البرمجية التطبيق.
أمان نقطة الانتهاء. تساعد منصة الثقة الصفرية على حماية الأصول من خلال التواصل بشكل استباقي مع برامج أمان نقطة النهاية على جهاز المستخدم لتقييم وضعه الأمني. هل نظام التشغيل مُحدَّث؟ هل تم اكتشاف أي برامج ضارة؟ هل هي شخصية أم مملوكة للشركة؟ استنادًا إلى البيانات التي تم جمعها، تمنح منصة الثقة الصفرية الوصول أو ترفضه. تتم مراقبة نشاط المستخدم وسلامة الجهاز باستمرار من خلال منصة الثقة الصفرية لأي سلوك مشبوه.
إدارة الوصول والهوية. IAM هي ركيزة لنموذج الثقة الصفرية في CISA—فهي تضع الأساس للهيكل من خلال تحديد من يمكنه الوصول إلى الموارد. تتضمن IAM أساليب مصادقة قوية، بما في ذلك المصادقة متعددة العوامل، بالإضافة إلى إعداد المستخدم وآليات التحكم في الوصول، مثل التحكم في الوصول المستند إلى الأدوار (RBAC) وإدارة الوصول ذات الامتيازات لحماية البيانات الحساسة.
أمان إنترنت الأشياء (IoT). تجد الشركات التي لديها برامج IoT غالبًا أمان الثقة الصفرية لا يقدر بثمن لحماية عدد كبير من الأجهزة، وغالبًا في المواقع البعيدة وفي جمع البيانات الحساسة. تظهر تقنيات الأمان التقليدية القائمة على المحيط غير فعَّالة ببساطة لأجهزة IoT، والتي قد لديها واجهات مستخدم محدودة وتعتمد على العمليات الآلية، مما يجعل أساليب المصادقة القديمة صعبة. نظرًا إلى أن الثقة الصفرية تتحقق باستمرار من جميع الكيانات التي تطلب الوصول، فإنها تضمن أن أجهزة IoT المعتمدة فحسب هي التي يمكنها الاتصال بالشبكة. ويعني مبدأ الأقل امتيازًا، أن أجهزة IoT تحصل على الحد الأدنى من الوصول اللازم للعمل. يقلل هذا من الأضرار المحتملة في حالة اختراق الجهاز. ويمكن لنهج الثقة الصفرية التوسع لاستيعاب بيئات IoT واسعة النطاق.
تجزئة الشبكة. في حين أن أمان الشبكة التقليدي يركز على تأمين محيط الشبكة، تأخذ الثقة الصفرية نهجًا أدق، وتجزئ الشبكة إلى مناطق صغيرة وتتحكم في تدفق حركة المرور بينها. تستخدم استراتيجيات الثقة الصفرية الأحدث تقنيات التجزئة الدقيقة التي تقلل من حجم المنطقة أكثر من ذلك. يتم هذا باستخدام جدران الحماية بدلاً من أجهزة التوجيه بين القطاعات. في حين يتم تحسين الأمن، قد يعاني الأداء من ذلك. تمثل طريقية تحول القطاعات الصغيرة وظيفة لكل من احتياجات الأمان وأداء جدار الحماية.
إدارة الوصول المتميز (PAM). تعد الثقة الصفرية وPAM مفاهيم أمان متميزة وتعمل معًا بشكل جيد. تركز أنظمة PAM بشكل خاص على تأمين الحسابات المتميزة—أي حسابات المستخدمين ذات الأذونات المرتفعة التي تمنح الوصول إلى الأنظمة والبيانات الهامة. تكون هذه الحسابات أهداف رئيسة للمهاجمين. فكِّر في مدير مالي يتمتع بإمكانية الوصول إلى جميع السجلات المالية والمصرفية أو مسؤول نظام رفيع المستوى. تعتمد PAM على ثلاث ركائز: المصادقة متعددة العوامل؛ الأدوات في الوقت المناسب التي تمنح الوصول المتميز فحسب في الوقت الذي توجد فيه حاجة ماسة إليه؛ ومراقبة الجلسات ودفاتر اليومية لتسجيل ما يفعله المستخدمون المتميزون بالضبط في أي لحظة، على أمل اكتشاف السلوك المشبوه.
الوصول البعيد. يعد تصاعد العمل من أي مكان حجة لصالح الثقة الصفرية، إذ لم يعد يوجد محيط شبكة، وتصحب شبكات VPN مجموعة من المشكلات الخاصة بها. تجعل استراتيجية الثقة الصفرية منح الوصول عن بُعد أكثر أمانًا لأنه يتحقق باستمرار من المستخدمين دون تدخلهم من خلال أساليب مصادقة قوية، ثم يمنح المستخدمين عن بُعد الحد الأدنى من الوصول اللازم لأداء مهامهم فحسب. يمكن للمؤسسات تدوين سياسات تحدد شكل الحد الأدنى من الوصول. كما أن الثقة الصفرية على دراية بالسياق؛ أي أنها تأخذ في الاعتبار العوامل بما في ذلك هوية المستخدم ووضع أمان الجهاز والموقع والمورد المحدد الذي يتم الوصول إليه عند تحديد أذونات الوصول.
وصول جهة خارجية. يتطلب منح الوصول إلى جهة خارجية في بيئة الثقة الصفرية التحول من النهج التقليدي إلى "عدم الثقة، والتحقق دائمًا". إلى جانب مبادئ الوصول عن بُعد الموضحة أعلاه، قد ترغب الشركات في إعداد أنظمة IAM الخاصة بها لإدارة هويات المستخدمين من جهات خارجية والوصول إليها. تطوير سياسة لإنشاء الحسابات وتوفيرها وإنهائها استنادًا إلى الشريك الفردي. ضع في اعتبارك نظام الوصول إلى شبكة الثقة الصفرية (ZTNA) لإعداد أنفاق آمنة لموارد محددة دون منح الوصول إلى الشبكة بأكملها. كما أن الأدوات المستخدمة لمراقبة الجلسات في الوقت المناسب للمستخدمين الداخليين المتميزين مُفيدة للشركاء.

7 مراحل لتنفيذ الثقة الصفرية

يمثل تحقيق الثقة الصفرية رحلة مستمرة، وليس مشروعًا لمرة واحدة. ليس عليك إعادة اختراع العجلة، أو—تفكر في استخدام أحد النماذج من NIST أو CISA أو DISA أو NCSC بصفتها خريطة طريق فنية. على مستوى المشروع، خطط لتنفيذ الثقة الصفرية على مراحل لتقليل التعطل والسماح للموظفين والشركاء وموظفي تكنولوجيا المعلومات بالتكيف. أبلغ أصحاب المصلحة بوضوح حول الأساس المنطقي للجهود، ومعالجة أي مشكلات بشفافية. واختر بعناية منتجات الأمان التي يمكنها التوسع لاستيعاب النمو والتكيف مع الحقائق الأمنية المُتغيرة.

فيما يلي المزيد من الخطوات للنجاح:

1. حدد أصولك وقم بترتيبها حسب الأولوية. يتمثل نهج أمان الثقة الصفرية في حماية البيانات الحساسة والقيِّمة. للقيام بذلك، تحتاج إلى معرفة ما لديك. تمثل هذه الخريطة الأساس لخطة الثقة الصفرية لديك.

2. حدد المستخدمين ومتطلباتهم. يتطلب نموذج الثقة الصفرية تسجيل معلومات المستخدم وإدارة هويات المستخدمين وتنظيم امتيازات الوصول. تعيين جميع الأشخاص والأنظمة التي تصل إلى أصولك، والبحث في الامتيازات غير الضرورية.

3. حدد استراتيجية الثقة الصفرية. خطط لطريقة تصميم خطة لتخفيف المخاطر بناءً على أصولك ومستخدميك. مراعاة الموازنة وموارد تكنولوجيا المعلومات وتعقيد البنية التحتية عند تحديد الجدول الزمني لكل مرحلة.

4. التعمُّق في جولة حول البيانات. عندما تحدد الأنظمة الحالات غير الطبيعية في الوصول إلى البيانات وتكتشف محاولات الوصول إلى الأنظمة خارج السياسة، يمكنك إلقاء نظرة فاحصة على تلك البيانات. جميع الأنشطة متكررة تقريبًا، ومن ثم؛ تكون الحالات غير الطبيعية غالبًا مؤشرًا أوليًا لمحاولة سرقة البيانات. اجعل هذه المعلومات تعمل لجهود التخفيف لديك.

5. تعيين تدفقات حركة المرور. صفر في التبعيات هنا. هل يحتاج كل شخص ونظام قادران على الوصول إلى قاعدة بيانات تحتوي على بيانات حساسة إلى تلك المعلومات؟

6. الأتمتة إن أمكن الأمر. ملء الفجوات مع تحسينات العمليات والأدوات. بدون المراقبة الآلية للموارد والنشاط على سبيل المثال، من غير المرجح أن تنجح المؤسسات بالثقة الصفرية. يتطلب القيام بالوظيفة بطريقة مناسبة أدوات أمان حديثة، بما في ذلك نظام IAM قوي لإدارة هويات المستخدم وحقوق الوصول مركزيًا والمصادقة متعددة العوامل (MFA) لفحص جميع محاولات الوصول. يعد تشفير البيانات أثناء وجودها على القرص وأثناء نقلها أمرًا أساسًا لحماية البيانات الحساسة من الوصول غير المصرح به.

7. وضع القياسات في موضعها. حدد طريقة قياس نجاح تنفيذ الثقة الصفرية. يمكن أن تشمل مؤشرات الأداء الرئيسة خفض امتيازات الوصول، وزيادة استخدام المصادقة متعددة العوامل، وتوافق المديرين التنفيذيين وقادة مجال العمل.

11 أفضل ممارسة للثقة الصفرية

تشير CISA في نموذج الثقة الصفرية إلى أن معظم الشركات الكبيرة—بما في ذلك الحكومة الفيدرالية—تواجه تحديات مشتركة. تعتمد الأنظمة القديمة غالبًا على "الثقة الضمنية"، إذ يتم تقييم الوصول والترخيص بشكل نادر استنادًا إلى خواص ثابتة. التغيير الذي قد يتطلب استثمارات كبيرة إلى جانب توافق مجموعة واسعة من أصحاب المصلحة، بما في ذلك المديرون التنفيذيون والشركاء والمورِّدين. تشمل أفضل الممارسات ما يلي:

1. التحقق والمصادقة. يتطلب أساس الثقة الصفرية مصادقة مؤكدة لكل مستخدم وجهاز، في كل مرة يطلب فيها الوصول إلى الأنظمة والشبكات والبيانات. تتضمن هذه العملية التحقق من الهويات وحقوق الوصول المرتبطة بنظام معين. على سبيل المثال، قد يقوم الموظف بالتصديق في الصباح لفترة زمنية محددة باستخدام خدمة اعتماد، مثل OAuth، التي تصدر رموز مميزة صالحة لفترة زمنية محدودة. عندما يحتاج إلى الوصول إلى قاعدة بيانات، يتم تأكيد صلاحياته لهذا النظام بواسطة الرمز المميز. تنصح الثقة الصفرية أيضًا بضوابط متقدمة، مثل تحليلات السلوك للأجهزة. يساعد هذا بالإضافة إلى السجلات واليوميات قسم تكنولوجيا المعلومات على تتبع الأنشطة وإنشاء التقارير وفرض السياسات.

2. استخدم التجزئة الدقيقة. كلما كان بإمكانك الحد من الحركة الجانبية بشكل أدق دون تراجع الأداء، كان ذلك أفضل. توصي CISA بالمحيطات الدقيقة للدخول/للخروج الموزَّعة والتجزئة الدقيقة الواسعة استنادًا إلى هياكل التطبيقات، مع اتصال ديناميكي في الوقت المناسب وما يكفي فحسب. لا يعني هذا وجود جدران الحماية في كل مكان. تشمل تقنيات التجزئة الدقيقة الأجهزة الافتراضية لكل تطبيق، وتشفير حركة المرور في الشرق/الغرب، وإنشاء شبكات محددة بواسطة البرامج داخل الشبكة المادية لعزل القطاعات الفردية بشكل فعَّال وتأمينها. يمكن أن تساعد خوارزميات التوجيه الذكية في تحسين تدفقات حركة المرور وتقليل زمن الوصول. كما تمثل المراقبة المنتظمة لاستراتيجية التجزئة والضبط الدقيق لها أمر بالغ الأهمية لتحقيق التوازن بين أداء الشبكة وأمانها.

3. الرصد المتواصل. تنطوي الثقة الصفرية على تنفيذ الأنظمة التي تراقب وتسجِّل نشاط المستخدم وسلامة النظام. أسس مراقبة الشبكة على مؤشرات الاختراق المعروفة وافهم أنه ينبغي أن تحسن عملياتك بمرور الوقت لمعالجة الثغرات في الرؤية. يتعرف النظام الذي يستخدم الذكاء الاصطناعي على شكل السلوك الطبيعي ثم يراقب الحالات غير الطبيعية وينبه إليها.

4. التسجيل المراعي للسياق. تحتوي إدخالات السجل على محاولات الوصول والمعلومات السياقية، مثل هوية المستخدم وتفاصيل الجهاز والمورد المحدد الذي يتم الوصول إليه. تتيح هذه البيانات إجراء تحليل شامل وتساعد في تحديد الحوادث الأمنية المحتملة أو الأنشطة المشبوهة. تنشئ أنظمة المراقبة سجل تدقيق مُفصَّل يمكن أن يكون مُفيدًا لإظهار الامتثال إلى الوائح التي تتطلب تتبع الوصول إلى البيانات. مرة أخرى، يمكن للأدوات التي تدعم الذكاء الاصطناعي تحسين الاكتشاف.

5. التشفير واسع الانتشار. تعد البيانات أهم الأصول بالنسبة إلى معظم المؤسسات، وتتطلب حماية البيانات أثناء وجودها على القرص وأثناء نقلها وخلال الاستخدام تشفيرًا واسع النطاق ومراقبة للنشاط لاكتشاف محاولات الوصول غير المصرح بها.

6. وصول أقل امتيازًا. في سياق الثقة الصفرية، يعد الوصول الأقل امتيازًا مبدأً أساسًا—ولا يحتاج إلى شرح. يتطلب منح المستخدمين والتطبيقات والأجهزة الحد الأدنى فحسب من الوصول اللازم لأداء مهامهم. لا يشير هذا إلى انخفاض الثقة في الموظفين، بل إلى تقليل الضرر المحتمل إذا حصل عنصر سيء على حق الوصول من خلال بيانات الاعتماد المسروقة أو جهاز مخترق أو نقطة ضعف أمنية.

7. التركيز على مصداقية الجهاز. لا تثق الشبكة المستندة إلى مبادئ الثقة الصفرية بطبيعتها بأي جهاز، بغض النظر عما إذا كان داخل النطاق أو مملوك للشركة أو تم منحه حق الوصول مُسبقًا. يهدف هذا إلى ضمان عدم السماح بالوصول إلا إلى الأجهزة المصرح بها والمتوافقة. في هذه الحالة، قد يتضمن الامتثال تلبية متطلبات الوضع الأمني مثل وجود برامج مُحدَّثة، وحماية من الفيروسات، وبرامج مراقبة أخرى عاملة.

8. عناصر التحكم في الوصول الآمن. تمتد الثقة الصفرية إلى التطبيقات ومساحات العمل المستندة إلى السحابة التي تستخدمها العديد من المؤسسات اليوم. يتطلب الهيكل أن يكون لهذه التطبيقات وضع أمان معروف ومعتمد وأن يتم التحكم في الوصول إليها.

9. الوصول إلى شبكة الثقة الصفرية. يمثل ZTNA، المعروف أيضًا باسم المحيط المحدد بالبرامج نهج أمني يتحكم في الوصول إلى التطبيقات والموارد الداخلية بطريقة أدق من VPN التقليدي، الذي يمنح الوصول إلى شبكة كاملة بمجرد التحقق من المستخدم. يقيِّم ZTNA بيانات اعتماد الأمان في كل مرة يتم فيها طلب الوصول إلى مورد. ينظر النظام في السياق ويمكن أن يمنح الوصول الجزئي فحسب. في حالة منح الوصول، يتم ذلك من خلال جلسة آمنة بين الكيان الطالب والأصل المحدد. بعد ذلك، تتم مراقبة النشاط وسلامة الجهاز باستمرار بحثًا عن سلوك غير طبيعي قد يشير إلى تهديد.

10. أمان نقطة الانتهاء. هل لديك مستخدمون يميلون إلى التأخر عن عمل نسخة البرنامج أو تحديثات توقيع البرامج الضارة أو يقاومون تثبيت برامج الأمان في أجهزتهم الشخصية؟ تفرض الثقة الصفرية ذلك عليهم لأن نقطة النهاية دون ملف تعريف أمان محدد بواسطة سياستك لن يتم منحها حق الوصول ببساطة. يجب على قسم تكنولوجيا المعلومات إدارة أمان نقطة النهاية على الأجهزة المملوكة للشركة، ويجب التحقق من الامتثال عند بدء جلسات جديدة.

11. تثقيف المستخدم وتوعيته. من الطبيعي أن يتأكد الموظفون من مبادئ الثقة الصفرية، على الأقل في البداية. قد تساعد على تقديم جلسات تثقيفية وإعطاء أمثلة ملموسة حول طريقة توفير الهيكل لأموال الشركة وأضرار تمس السمعة.

استراتيجيات الانتقال الثقافي السلس

تفترض نماذج أمان الشبكة التقليدية غالبًا مستوى معين من الثقة بمجرد وجود المستخدمين داخل محيط الشبكة. تواجه الثقة الصفرية هذا، ويمكن أن يكون هذا تحولاً كبيرًا في العقلية لكل من موظفي تكنولوجيا المعلومات والأشخاص الذين اعتادوا على الوصول غير المقيد داخل الشبكة.

بالإضافة إلى ذلك، تؤكد الثقة الصفرية على ممارسات إدارة الهوية والوصول القوية—فكِّر في سياسات كلمات مرور أكثر صرامة ومصادقة متعددة العوامل ونهج أكثر مركزية لإدارة هويات المستخدمين وامتيازات الوصول. مرة أخرى، قد يجد الأشخاص الذين اعتادوا على ضوابط وصول أقل صرامة هذه التغييرات غير مريحة. تنطوي الثقة الصفرية على مزيد من التدقيق في نشاط المستخدم وسلامة الجهاز، مما قد يثير مخاوف الخصوصية بين بعض الموظفين الذين يشعرون أن أفعالهم تخضع إلى المراقبة عن كثب. يرفض بعض الموظفين تثبيت البرامج المفوضة على أجهزتهم الشخصية. ما هو ردك؟ كما أن مزايا الأمان وعمليات الشبكة وتطوير التطبيقات ليست محصنة ضد الاستياء.

تفهم الفكرة الآن. إنه تحول ثقافي، ويتوقف النجاح على موافقة المستخدم. تشمل استراتيجيات الانتقال السلس ما يلي:

الإبلاغ الواضح عن الأسباب الكامنة وراء اعتماد الثقة الصفرية، مع التأكيد على مزايا تحسين الأمان والامتثال. تعالج الصراحة مخاوف الخصوصية التي قد تكون لدى الموظفين وتشرح كيف أن الثقة الصفرية تحمي بياناتهم بالفعل.

البدء التدريجي، مما يتيح للموظفين والشركاء وموظفي تكنولوجيا المعلومات الوقت للتكيف التدريجي مع تدابير الأمان الجديدة. إعطاء الأولوية لتنفيذ الثقة الصفرية بطريقة تقلل من تعطل مهام سير العمل وتحافظ على تجربة مستخدم إيجابية. يمكن أن تساعد التقنيات المستندة إلى السحابة كثيرًا في هذه المرحلة.

التدريب الشامل على مبادئ الثقة الصفرية وإجراءات التحكم في الوصول وأفضل الممارسات لاستخدام الموارد بأمان في البيئة الجديدة.

إن الاعتراف بالتحول الثقافي الذي ينطوي عليه الأمر وشُكر الأشخاص على جهودهم يمكن أن يقطع شوطًا طويلاً نحو اعتماد الثقة الصفرية بنجاح وصنع بيئة تكنولوجيا معلومات أكثر أمانًا ومرونة.

تاريخ أمان الثقة الصفرية

في عام 2004، نشأ مفهوم الثقة الصفرية من عرض تقديمي في حدث منتدى Jericho قدمه بول سيموندز. صاغ سيموندز مصطلح (deperimeterization) "إلغاء المحيط بين المؤسسة والعالم الخارجي" واقترح نموذجًا جديدًا يقبل بشكل أساس أن معظم عمليات الاستغلال تعبر بسهولة أمن المحيط. علاوة على ذلك، أضاف أن تقنيات الكشف عن التسلل لها ميزة ضئيلة أو معدومة في المحيط، ومن الأسهل حماية البيانات كلما اقتربنا منها، واستراتيجية محيط صارمة غير قابلة للاستمرار.

في عام 2011، قامت شركة Google بإنشاء BeyondCorp، في محاولة الشركة لتنفيذ الثقة الصفرية. تم تطويره في البداية لتمكين العمل عن بُعد والقضاء على استخدام VPN، كما أن BeyondCorp لا يُعد منتجًا واحدًا، بل مجموعة من الأدوات وأفضل الممارسات. تقدم Google Cloud خدمات مُختلفة يمكن تنفيذها لتحقيق وضع أمني من BeyondCorp.

بعد ذلك، في أغسطس 2020، نشرت NIST مستند "هيكل الثقة الصفرية" الذي يحتوي على تعريف مجرّد لهيكل الثقة الصفرية، أو ZTA، وقدمت نماذج النشر وحالات الاستخدام الذي يمكن للثقة الصفرية بها تحسين وضع أمان تكنولوجيا المعلومات. في مايو من عام 2021، أصدر البيت الأبيض أمرًا تنفيذيًا بشأن تحسين الأمن السيبراني للبلاد الذي يقنن الثقة الصفرية، وأن تلك النسخة 1.0 من نموذج استحقاق الثقة الصفرية من CISA في سبتمبر تم نشرها لاستكمال استراتيجية الثقة الصفرية الفيدرالية لمكتب الإدارة والميزانية. يوفر نموذج CISA للوكالات الفيدرالية الأمريكية خارطة طريق وموارد لبناء بيئة ثقة صفرية ومُتاحة للشركات أيضًا.

في يناير 2022 أصدر مكتب الإدارة والميزانية مذكرة M-22-09 إلى الوكالات الفيدرالية مع سطر الموضوع، "تحول حكومة الولايات المتحدة نحو مبادئ الأمن السيبراني في الثقة الصفرية". بحلول يوليو، نشرت وزارة الدفاع (DoD) "الهيكل المرجعي للثقة الصفرية" كما أعدها DISA وفريق هندسة الثقة الصفرية التابع إلى وكالة الأمن القومي (NSA). وفر الهيكل رؤية واستراتيجية وإطار عمل للحالة النهائية لتعزيز الأمن السيبراني وتوجيه تطور الإمكانات الحالية للتركيز على استراتيجية مرتكزة على البيانات. يُعد هيكل DISA نموذجًا ممتازًا للمؤسسات التي تنتقل إلى السحابة لتتبعها.

تبني الثقة الصفرية باستخدام البنية التحتية من Oracle Cloud

للمساعدة في تنفيذ مبادئ الثقة الصفرية، يتطلب نهج الأمان أولاً من Oracle سياسات واضحة للسماح بالوصول إلى البنية التحتية من Oracle Cloud (OCI). يعني هذا أن كل مكون يعتبر موردًا داخل OCI، ويجب منحه الوصول صراحةً. يتم تشفير جميع الاتصالات داخل OCI، ويتم التحقق من حقوق الوصول مقابل السياسات الموجودة. يمكن هيكلة هذه السياسات لمنح التحكم في الوصول الدقيق للغاية لكل مورد، بما في ذلك تنفيذ الوصول الديناميكي.

تنفذ OCI المراقبة والتدقيق على موارد السحابة، مما يسمح لك باستخدام مخزن الكائنات الحالي لإجراء التحليل، أو يمكنك استخدام معلومات الأمان وأداة إدارة الأحداث (SIEM) التي تختارها. يوفر أمان المثيل من Oracle Cloud Guard استجابات مؤتمتة للأحداث التي تم تشغيلها، مما يساعد في تسريع وقت التفاعل مع التهديدات المحتملة.

تنفذ المؤسسات الثقة الصفرية لأنها تدرك أن استراتيجيات الأمان التقليدية لا تتماشى مع تهديدات اليوم. عندما يتم تثقيف جميع أصحاب المصلحة لفهم أن المهاجمين قد يكونون بالفعل داخل الشبكة، فإنهم يميلون إلى قبول ضوابط أكثر صرامة يمكن أن تُقلل من خطر الهجوم الناجح، وحماية المعلومات الحساسة بشكل أفضل، وبناء الثقة مع الشركاء والعملاء.

يجب أن يلعب مركز تميّز الذكاء الاصطناعي لديك دورًا محوريًا في الإشراف على طرح وكلاء الذكاء الاصطناعي وإدارته. أليس لديك واحدًا؟ إليك طريقة الحصول على واحد وتشغيله الآن.

احصل على الكتاب الإلكتروني

الأسئلة الشائعة حول أمان الثقة الصفرية

ما هي الركائز الخمس للثقة الصفرية؟

الركائز الخمس للثقة الصفرية، والقائمة على الأمن السيبراني وأمن البنية التحتية التي نشرتها الوكالة لـ "نموذج استحقاق الثقة الصفرية الإصدار 2" مؤخرًا هي؛ الهوية والأجهزة والشبكات والتطبيقات وأحمال العمل والبيانات. تعمل هذه الركائز الخمس معًا لإنشاء استراتيجية أمان شاملة تستند إلى التحقق المستمر من جميع المستخدمين والأجهزة والتطبيقات وطلبات الوصول. يهدف هذا النهج المُقسَّم إلى جعل من الصعب على المهاجمين أن يجدو موطئ قدم.

ما هي الأهداف الأربعة للثقة الصفرية؟

تتمثل الأهداف الرئيسة الأربعة أمان الثقة الصفرية في الحد من سطح الهجوم؛ وتعزيز الوضع الأمني للمؤسسة من خلال المصادقة القوية، والتحكم في الوصول الأقل امتيازًا، والمراقبة المستمرة؛ وتزويد الموظفين والشركاء بأمان بالأدوات التي يحتاجون إليها، بما في ذلك الخدمات السحابية، من أي جهاز؛ وتحسين الامتثال.