يشير مصطلح "الثقة المعدومة" الذي صاغته شركة Forrester لأول مرة في عام 2010، إلى نهج جديد للأمن يعتمد على التحقق المستمر من مصداقية كل جهاز ومستخدم وتطبيق في المؤسسة.
قبل مفهوم الثقة الصفرية هذا، اعتمدت معظم فرق الأمن على نهج "الثقة ولكن التحقق" الذي أكد على وجود محيط دفاعي قوي. ويفترض هذا النموذج أن أي شيء داخل محيط الشبكة (بما في ذلك مستخدمي المؤسسة ومواردها وتطبيقاتها) جدير بالثقة، لذلك منحت فرق الأمن الوصول والامتيازات لهؤلاء المستخدمين والموارد بشكل افتراضي. وعلى النقيض من ذلك، فإن أي شيء خارج المحيط يجب أن يتم مسحه قبل الوصول إليه.
حيث يقول الأمن التقليدي "ثق ولكن تحقق"، بينما يقول الأمن التقليدي "لا تثق أبدًا، تحقق دائمًا". لا "يمسح" أمن الثقة الصفرية أي شيء أبدًا. وبدلاً من ذلك، يعتبر انعدام الثقة أن جميع الموارد خارج شبكة المؤسسة، ويتحقق باستمرار من المستخدمين والموارد والأجهزة والتطبيقات قبل منح الحد الأدنى من الوصول المطلوب فقط. ينطوي إنشاء برنامج أمن الثقة المعدومة على التنسيق بين العديد من مكونات تكنولوجيا المعلومات ويتطلب نهجاً شاملاً.
كيف تغير مفهوم الثقة الصفرية بمرور الوقت؟
لقد تغيرت تطبيقات الثقة الصفرية بمرور الوقت. على الرغم من الاسم الجذاب، لا تحتاج المؤسسات إلى أن تكون عدم الثقة المطلقة في المطلقين - سيكون التحقق من كل شيء دائمًا غير عملي، إن لم يكن مستحيلًا.
بدلاً من ذلك، تطورت الثقة المعدومة من مفهوم ثنائي حيث لا يوجد شيء آمن بطبيعته وكل شيء يحتاج إلى التحقق منه إلى شيء أكثر دقة وديناميكية. واليوم، تتضمن الثقة المعدومة مجموعات بيانات أوسع نطاقاً ومبادئ مخاطر وسياسات ديناميكية قائمة على المخاطر لتوفير أساس راسخ لاتخاذ قرارات الوصول وإجراء المراقبة المستمرة. يستمد نظام الدفاع منعدم الثقة من مجموعة متنوعة من المصادر بما في ذلك معلومات التهديدات وسجلات الشبكة وبيانات نقطة النهاية وغيرها من المعلومات لتقييم طلبات الوصول وسلوك المستخدم. المعهد الوطني للمعايير والتكنولوجيا والابتكار نشر وثائق تدعو إلى انعدام الثقة والتوسع في هذا النهج الأوسع والأكثر ديناميكية.
في الآونة الأخيرة، ارتفع الاهتمام بالثقة الصفرية في الآونة الأخيرة، مدفوعًا باتجاهات السوق التي تسارعت نتيجة للجائحة العالمية، بما في ذلك:
- التحوّل الرقمي المتسارع (اعتماد التكنولوجيا والحلول الجديدة والناشئة لتحديث وتسريع تفاعلات الأعمال مع العملاء والموظفين والشركاء)
- الترحيل إلى السحابة / SaaS
- العمل عن بُعد
- تبخّر مناطق الثقة المحمية بالشبكات الافتراضية الخاصة (محيط الشبكة) وإدراك أن جدران الحماية أقل فائدة في اكتشاف الهجمات من الداخل وصدها ولا يمكنها حماية الأهداف خارج محيط المؤسسة
في السابق، في معظم بيئات تكنولوجيا المعلومات في الشركات، كانت الثقة في معظمها تعتمد على الموقع. حيث كان المستخدمون يصلون إلى موارد الشركة، من جهاز كمبيوتر مملوك للشركة، من داخل حرم الشركة. إن التواجد الفعلي في حرم الشركة يعني أن المستخدم قد استوفى متطلبات التدقيق والاعتماد للوصول إلى موارد تكنولوجيا المعلومات في الشركة، والتي عادةً ما تكون موجودة في مركز بيانات محلي. كانت "المنطقة الموثوق بها" محمية بتقنيات (وقائية) مسموح بها مثل جدران الحماية واكتشاف/حماية التسلل وغيرها من الموارد.
وبمرور الوقت، تم توسيع محيط تكنولوجيا المعلومات في الحرم الجامعي ليشمل المكاتب البعيدة والأقمار الصناعية، مما أدى إلى توسيع نطاق المنطقة الموثوقة بشكل فعال من خلال اتصالات آمنة وخاصة بين المواقع. في أوائل العقد الأول من القرن الحادي والعشرين، مع بدء ظهور طرق وصول جديدة مثل الشبكات الافتراضية الخاصة (VPN) وشبكة الواي فاي، أضافت تقنيات جديدة المصادقة ووثائق اعتماد الوصول للحفاظ على السلامة النسبية للمحيط. ومن بين هذه الإجراءات المصادقة ثنائية العامل (2FA) الرموز الرمزية ومعيار IEEE 802.1x للتحكم في الوصول إلى الشبكة المستند إلى المنفذ (NAC).
لقد غيرت التطورات اللاحقة للحوسبة السحابية وإحضار جهازك الخاص والتنقل المفرط كل شيء. تعتمد المؤسسات الآن على موارد تكنولوجيا المعلومات خارج حدود منطقة موثوقة واحدة. وعلاوة على ذلك، يحتاج الموظفون والشركاء والعملاء الآن إلى الوصول إلى الأنظمة من أي مكان ووقت وجهاز. وقد أدت الثغرات والثغرات الأمنية الناتجة عن ذلك إلى دخول عصر جديد من الاختراق، حيث أصبحت الاختراقات الأمنية أمراً شائعاً. المحيط الخارجي القديمة قد عفا عليها الزمن
مهد تآكل أمن المحيط الخارجي الطريق أمام انعدام الثقة. ومع ذلك، من الجدير بالملاحظة أن المفهوم لم يكن جديدًا تمامًا، حتى في عام 2010. في حين أن اسم "الثقة الصفرية" كان جديدًا وجذب الانتباه، إلا أن مهمة كيفية إنشاء الثقة في عالم الإنترنت غير الموثوق به بطبيعته كانت موضوعًا للبحث الأكاديمي لأكثر من أربعة عقود. في الواقع، يعود تأسيس RSA، منذ ما يقرب من أربعة عقود مضت، إلى العمل الأكاديمي الذي تم إجراؤه في أواخر السبعينيات من القرن الماضي والذي أسس اتصالات ومعاملات آمنة في فضاء غير موثوق به.
ومع تحول السنوات إلى عقود، وسيطرة التحول الرقمي على الأعمال التجارية والمجتمع، استمرت مناهج الثقة في التطور.
ازدادت شعبية الثقة الصفرية بشكل مطرد في السنوات الأخيرة. ومع ذلك، فإن الاضطرابات الناجمة عن جائحة كوفيد-19 قد سرّعت من الاهتمام بـ كيف يمكن للمؤسسات بناء المرونة بعد حدوث عطل كبير في العمل بعد حدوث اضطراب كبير.
كما هو الحال في معظم السنوات الأخرى، دخل قادة الأمن والمخاطر العقد الجديد بخطط متطورة إلى حد ما لإنضاج ممارسات إدارة المخاطر الرقمية. إلا أن تفشي جائحة كوفيد-19 حوّل تركيز فرق الأمن إلى احتياجات أكثر تكتيكية، مثل تمكين العاملين عن بُعد, وتأمين التغييرات في العمليات للحفاظ على وظائف الأعمال أو للاستفادة من الفرص الجديدة، وإعادة تقييم مخاطر الطرف الثالث وسلسلة التوريد، وتسريع عملية التأهيل وغيرها. تم تخفيض الميزانيات أو تجميدها، وتم تقليص القوائم الطويلة من المشاريع المعلقة في البداية، ولكن تم تسريعها بعد ذلك بسرعة. تواجه فرق العمل الآن تأمين مبادرات رقمية جديدة لا تتناسب بالضرورة مع أنظمة الأمن والمخاطر المعقدة والحالية.
توفر الثقة الصفرية أساسًا لنهج ملائم ومدروس للمؤسسات التي تكافح من أجل مواكبة وتيرة التحول الرقمي.
في أغسطس/آب 2020، نشر المعهد الوطني للمعايير والتقنية والابتكار والتكنولوجيا (NIST) منشور NIST الخاص رقم 800-207: بنية الثقة الصفرية, والذي يتضمن المكونات المنطقية لبنية الثقة المعدومة وسيناريوهات التصميم المحتملة والتهديدات المحتملة. كما يقدم خارطة طريق عامة للمؤسسات الراغبة في تطبيق مبادئ الثقة المعدومة.
فيما يلي وصف لعناصر البنية ويوجز بإيجاز المنتجات والوظائف في محفظة RSA التي تتماشى مع بنية الثقة الصفرية.
فيما يلي وصف لكل عنصر (كما هو محدد في NIST SP 800-207) مع إضافة إشارات إلى منتجات وخدمات RSA حيثما ينطبق ذلك.
محرك السياسة: هذا المكون مسؤول عن القرار النهائي لمنح حق الوصول إلى مورد ما لموضوع معين. يستخدم محرك السياسة سياسة المؤسسة بالإضافة إلى مدخلات من مصادر خارجية (على سبيل المثال، أنظمة آلية التنمية النظيفة وخدمات استخبارات التهديدات الموضحة أدناه) كمدخلات لخوارزمية ثقة لمنح أو رفض أو إبطال الوصول إلى المورد. يتم إقران محرك السياسة مع مكون مسؤول السياسة. يقوم محرك السياسة باتخاذ القرار وتسجيله، ويقوم مسؤول السياسة بتنفيذ القرار.
RSA الوصول المستند إلى الأدوار والسمات، والوصول المشروط، والتحليلات القائمة على المخاطر، كلها مكونات أساسية لإنشاء كل من نقطة قرار السياسة ومحرك السياسة.
مسؤول السياسة: يكون هذا المكون مسؤولاً عن إنشاء و/أو إغلاق مسار الاتصال بين الموضوع والمورد. يقوم بإنشاء أي رمز مصادقة وتوثيق أو بيانات اعتماد يستخدمها العميل للوصول إلى مورد المؤسسة. ويرتبط ارتباطاً وثيقاً بمحرك النهج ويعتمد على قراره للسماح بجلسة عمل أو رفضها في النهاية. قد تتعامل بعض التطبيقات مع محرك النهج ومسؤول النهج كخدمة واحدة. يتواصل مسؤول النهج مع نقطة تطبيق النهج عند إنشاء مسار الاتصال. ويتم هذا الاتصال عبر مستوى التحكم.
تقدم RSA مجموعة من طرق المصادقة وتجارب المستخدم (أي اختيار المصادقة و BYOA) لإدارة المصادقة وتحديد الوصول عند طلبها من قبل نقطة تنفيذ السياسة.
نقطة تنفيذ السياسة:
هذا النظام مسؤول عن تمكين الاتصالات ومراقبتها وإنهائها في نهاية المطاف بين الموضوع ومورد المؤسسة.
هذا هو مكون منطقي واحد في بنية الثقة الصفرية ولكن يمكن تقسيمه إلى مكونين مختلفين: العميل (على سبيل المثال، الوكيل على الكمبيوتر المحمول الخاص بالمستخدم) وجانب المورد (على سبيل المثال، مكون البوابة أمام المورد الذي يتحكم في الوصول) أو مكون بوابة واحد يعمل كحارس بوابة لمسارات الاتصال. ما وراء نقطة إنفاذ السياسة هو منطقة الثقة الضمنية التي تستضيف مورد المؤسسة.
يمكن لمنتجات RSA تحديد قرارات السياسة التي يتم فرضها من قبل نقاط فرض السياسة الشريكة (الشبكات الافتراضية الخاصة ومواقع الويب والتطبيقات وغيرها) وفرض السياسة مباشرةً على أجهزة نقطة النهاية.
تعمل المصادقة متعددة العوامل SecurID®، التي تعمل بصفتها مقررة للسياسة، مع عدد لا يحصى من الأجهزة الشريكة (أجهزة الكمبيوتر المكتبية والخوادم والأجهزة الافتراضية وخوادم الويب والبوابات وأجهزة الشبكة والتطبيقات وغيرها) لمصادقة المستخدمين وتحديد امتيازات الوصول.
سياسات الوصول إلى البيانات:
هذه هي السمات والقواعد والسياسات الخاصة بالوصول إلى موارد المؤسسة. ويمكن ترميز هذه المجموعة من القواعد في محرك النهج أو إنشاؤها ديناميكياً. هذه السياسات هي نقطة البداية لتخويل الوصول إلى مورد ما لأنها توفر امتيازات الوصول الأساسية للحسابات والتطبيقات في المؤسسة. يجب أن تستند هذه السياسات إلى أدوار المهام المحددة واحتياجات المؤسسة.
SecurID® Governance and Lifecycle هي نقطة انطلاق مثالية لتفويض الوصول إلى مورد ما مع التركيز الواضح على الحوكمة والرؤية عبر البيانات المهيكلة وغير المهيكلة والتحليلات والذكاء لضمان تطبيق مبادئ الامتيازات الأقل.
هذا هو المسؤول عن إنشاء وتخزين وإدارة حسابات المستخدمين وسجلات هوية المؤسسة (على سبيل المثال، خادم بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP)). يحتوي هذا النظام على معلومات المستخدم الضرورية (على سبيل المثال، الاسم وعنوان البريد الإلكتروني والشهادات) وخصائص المؤسسة الأخرى مثل الدور وسمات الوصول والأصول المخصصة. وغالباً ما يستخدم هذا النظام أنظمة أخرى (مثل PKI) للمحفوظات المرتبطة بحسابات المستخدمين. قد يكون هذا النظام جزءًا من مجتمع موحد أكبر وقد يتضمن موظفين من خارج المؤسسة أو روابط لأصول غير تابعة للمؤسسة من أجل التعاون.
RSA تتكامل حلول الهوية مع جميع أنظمة إدارة الهوية البارزة (مثل Microsoft AD / Azure AD / AWS AD) لدمج الهويات بسلاسة مع السياسات والإدارة والأساليب اللازمة لعمل بنية انعدام الثقة.
استخبارات التهديدات:
يوفر ذلك معلومات من مصادر داخلية أو خارجية تساعد محرك السياسة على اتخاذ قرارات الوصول. قد تكون هذه الخدمات متعددة تأخذ البيانات من مصادر داخلية و/أو خارجية متعددة وتوفر معلومات حول الهجمات أو الثغرات المكتشفة حديثاً. يتضمن ذلك أيضاً القوائم السوداء، والبرمجيات الخبيثة التي تم تحديدها حديثاً، والهجمات التي تم الإبلاغ عنها إلى أصول أخرى يرغب محرك السياسة في رفض الوصول إليها من أصول المؤسسة.
يستفيد RSA IAM من الإشارات - الداخلية والخارجية - لزيادة الضمان (الإشارات الإيجابية) وتحديد التهديدات (الإشارات السلبية). على سبيل المثال، يمكن أن تكون الإشارات الداخلية مثل سجل المستخدم والتحليلات السلوكية وعنوان IP والشبكة والموقع عوامل لتحديد المصادقة القائمة على المخاطر وقرارات الوصول.
###
جرّب العرض التوضيحي!
جرّب حل المصادقة السحابية متعددة العوامل (MFA) من ID Plus، وهو أحد أكثر المنتجات أماناً في السوق، وأكثر حلول المصادقة متعددة العوامل انتشاراً في العالم. اكتشف السبب: اشترك في الإصدار التجريبي المجاني لمدة 45 يوماً.
