مستوى Oracle Cloud المجاني (Free Tier)

استمتع بإنشاء التطبيقات واختبارها ونشرها على Oracle Cloud مجانًا.

موضوعات الثقة الصفرية

نموذج أمان انعدام الثقة

لا تمثل الثقة أي نهج أمان تكنولوجيا معلومات نحو الحفاظ على أمان البيانات الحساسة مع المساعدة في الحفاظ على التوافق مع لوائح الخصوصية الجديدة. ومع توسّع استخدام الخدمات السحابية بشكل سريع، فإنه يخلق أيضًا إمكانيات جديدة للحصول على بيانات اعتماد مخيفة أو مسروقة لمسؤول أو تطبيق مميز. بالإضافة إلى ذلك، يمكن أن يفتح الباب أمام احتمال سرقة البيانات، وأن يقوم مجرمو الإنترنت بالاحتيال عبر الإنترنت، لأن الضوابط الأمنية الفعالة غالبًا ما تكون فكرة متأخرة. يتيح "انعدام الثقة" للمؤسسات تنظيم الوصول إلى الأنظمة والشبكات والبيانات دون التخلي عن التحكم. وبالتالي، يتزايد عدد المؤسسات التي تنتقل إلى نموذج أمني لا يحظى بالثقة (مما يعني عدم الثقة في أحد) حتى تتمكن الشركات من حماية البيانات من خلال عناصر التحكم الأمنية التي تقيد الوصول إلى البيانات وفقًا لسياسة محددة.

فيديو حول نموذج أمان انعدام الثقة


ما المقصود بنهج عدم الثقة؟

يركز وضع أمان الشبكة القياسي على إيقاف التهديدات الناتجة عن محيط الشبكة، ولكن يمكن أن تترك البيانات عرضة للسرقة داخل الشبكة. يستفيد هذا النهج من جدران الحماية وشبكات VPN وعناصر تحكم الوصول ونظام كشف التسلل ونظامي التسلل (IDS) ونظام الإدخال والإخراج (SIEM) وبوابات البريد الإلكتروني من خلال الأمان في النطاق الذي يعرفه مجرمو الإنترنت الآن كيفية الإخلال بالنظام. وهذا يعني أنه يمكن قبول شخص لديه الصلاحيات الصحيحة في أي مواقع أو تطبيقات أو أجهزة على الشبكة. ومن خلال انعدام الثقة في الأمان، لا يكون أحد موثوقًا به افتراضيًا من داخل الشبكة أو من خارجها. تعمل الثقة الصفرية من البداية من خلال طلب التحقق من كل مستخدم يحاول الوصول إلى الموارد، ومن ثم المصادقة على المستخدمين وتنظيم الوصول إلى الأنظمة والشبكات والبيانات. تتضمن هذه العملية التحقق من هويات المستخدمين، وحقوق الوصول المقترنة بنظام معين، كما تتيح للمؤسسات إمكانية إدارة الهويات الرقمية للمستخدمين مما يضمن الوصول المناسب. ولتعزيز المصادقة، لا تستخدم الثقة أي طبقات متعددة من التحكم المتقدم في الوصول للوصول إلى أجهزة الشبكة والخوادم التي تدعم الموارد. يتيح هذا النهج أيضًا إمكانية تتبع أنشطة المستخدم، وإنشاء تقارير عن تلك الأنشطة، وفرض السياسات لضمان الامتثال.

هيكل انعدام الثقة

 

وفيما يلي مبادئ هيكل عدم الثقة التي حددها المعهد الوطني للمعايير والتكنولوجيا:

  1. تعتبر جميع مصادر البيانات وخدمات الحوسبة موارد.
  2. جميع الاتصالات آمنة بغض النظر عن موقع الشبكة، لا يعني موقع الشبكة الاعتماد عليها.
  3. يتم منح صلاحية الوصول إلى موارد المؤسسة الفردية على أساس كل اتصال؛ ويتم تقييم الثقة في الطالب قبل منح صلاحية الوصول.
  4. ويتحدد الوصول إلى الموارد حسب السياسة، بما في ذلك حالة هوية المستخدم ونظام الطلب الذي يمكن رصده، وقد يتضمن سمات سلوكية أخرى.
  5. تضمن المؤسسة أن جميع الأنظمة المملوكة والمرتبطة بحالة أكثر الحالات أمانًا، كما تضمن مراقبة الأنظمة لضمان بقائها في أكثر الحالات أمانًا.
  6. تُعد مصادقة المستخدم ديناميكية ويتم فرضها بصرامة قبل السماح بالوصول؛ وهذه دورة مستمرة من الوصول، والمسح الضوئي، وتقييم التهديدات، والتكيف، والمصادقة باستمرار.

ما مزايا أمان انعدام الثقة؟

تقليل المخاطر
تقليل المخاطر من التهديدات المستمرة من خلال مبادئ التصميم الأولى للأمان. كما تساعد تقنيات الاستخدام مثل العزل المدمج للعملاء والوصول الأقل امتيازًا على التوافق ولوائح الخصوصية. فمع هويات مُدارة بشكل جيد، تتيح المؤسسات إمكانية التحكم بدرجة أكبر في وصول المستخدمين، مما يؤدي إلى تقليل مخاطر الانتهاكات الداخلية والخارجية.

الوصول إلى التحكم
يشتمل نهج الأمان دون ثقة على رصد معلومات المستخدم وإدارة هويات المستخدمين وتنسيق امتيازات الوصول للمساعدة في تنظيم الوصول إلى الأنظمة أو الشبكات للمستخدمين الفرديين داخل المؤسسة.

تحسين الوضع الأمني للمؤسسات

  • التعرض للبيانات الناتجة عن إساءة استخدام عناصر التحكم في الوصول/الإذن
  • فقدان البيانات بسبب استخدام الخدمات السحابية غير المخوّلة
  • عدم الوضوح في حركة البيانات بين محيط الشبكة والخدمات السحابية
  • المستخدمون الذين يقومون بمشاركة البيانات الحساسة مع مستخدم خارجي من جهة خارجية عبر خدمة سحابية
  • التعرض للبيانات من جانب المستخدمين البعيدين والأجهزة الشخصية
  • الأنشطة الضارة الداخلية، بما في ذلك الموظفون السابقون الذين لديهم حسابات/أذونات نشطة
  • فقدان البيانات بسبب الاستخدام غير الصحيح للخدمات السحابية المعتمدة
  • البيانات غير المشفرة
  • إخفاء المهاجم عن كونه موظفًا عبر بيانات الصلاحية المسروقة
  • حسابات تخزين الكائنات المكونة بشكل غير صحيح
نموذج الثقة الصفرية

 

رفع المهارات التنافسية

تستفيد المؤسسات التي تتكيف مع نهج الأمان المحيطي القياسي ونموذج انعدام الثقة من الأتمتة والأمان والحوكمة، والتي تعمل على تحسين ميزاتها التنافسية العامة ومرونة الأعمال.

ما أفضل ممارسات أمان انعدام الثقة؟

يجب على المؤسسات التي تتبع نموذج انعدام الثقة:

  • تقييم النظام الحالي لتحديد حالته الحالية وتطوير خطة إصلاح. يجب على المؤسسة تحديد بياناتها وتحديد أولوياتها أولاً لكي تفهم مكان تنظيم الوصول. يتطلب نهج الأمان دون ثقة حماية البيانات - والتي يمكن أن تكون ملكية فكرية، أو بيانات مالية، أو بيانات شخصية عن العملاء أو الموظفين، أو مجموعة من الثلاثة على الأرجح.
  • اكتشاف يحاول الوصول إلى البيانات خارج النظام، وتحديد أوجه الخلل في الوصول إلى البيانات. جميع الأنشطة المتكررة تقريبًا، ومن ثم تكون الحالات غير الطبيعية غالبًا مؤشرًا رائدًا لمحاولة سرقة البيانات. يتطلب التغيير إلى نموذج بدون ثقة رصد معلومات المستخدم وإدارة هويات المستخدمين وتنظيم امتيازات الوصول.
  • منع الوصول إلى البيانات من دون الرصد الآلي للموارد والنشاط، تصبح المنظمات عرضة للمستعملين المعرضين للخطر ولانتهاكات البيانات. لا يتيح انعدام الثقة رؤية أكبر لمستخدمي المؤسسة ونشاطها.

يوفر نموذج الأمان الفعال ذو الثقة الصفرية ما يلي:

  1. مبادئ تصميم الأمان أولاً مع الأمان المضمن لتقليل المخاطر.

        -  الشبكة الافتراضية المعزولة
        -  الفصل المتعدد للواجبات
        -  وصول الحد الأدنى من الامتيازات

  1. الأمان المؤتمت لتقليل التعقيد ومنع حدوث خطأ بشري.

        -  التخفيف الآلي من التهديدات ومعالجتها

  1. أمان مستمر ودائمًا ما يكون للحماية السلسة.

        -  تمكين افتراضي، التشفير في كل مكان
        -  المراقبة المستمرة لسلوكيات المستخدم
        -  المصادقة التكيفية واعية للسياق