تخطي إلى المحتوى

صاغ شركة ‘فورستر’ مصطلح «صفر ثقة» لأول مرة في عام 2010، ويشير هذا المصطلح إلى نهج جديد في مجال الأمن يعتمد على التحقق المستمر من موثوقية كل جهاز ومستخدم وتطبيق داخل المؤسسة.

قبل ظهور مفهوم “الثقة الصفرية”، كانت معظم فرق الأمن تعتمد على نهج «الثقة مع التحقق» الذي كان يركز على إنشاء محيط دفاعي قوي. يفترض هذا النموذج أن كل ما يقع داخل محيط الشبكة (بما في ذلك مستخدمو المؤسسة ومواردها وتطبيقاتها) جدير بالثقة، لذا كانت فرق الأمن تمنح حق الوصول والامتيازات لهؤلاء المستخدمين والموارد بشكل افتراضي. في المقابل، كان يتعين التحقق من أي شيء خارج هذا النطاق قبل السماح له بالوصول.

في حين أن نهج الأمن التقليدي يقول: “ثق ولكن تحقق”، فإن نهج “صفر الثقة” يقول: ‘لا تثق أبدًا، وتحقق دائمًا’. ولا يقوم نهج «صفر الثقة» أبدًا بـ«إجازة» أي شيء فعليًّا. بدلاً من ذلك، تعتبر «صفر الثقة» جميع الموارد خارجية بالنسبة لشبكة المؤسسة، وتقوم بالتحقق المستمر من المستخدمين والموارد والأجهزة والتطبيقات قبل منح الحد الأدنى المطلوب من مستوى الوصول فقط. يتطلب إنشاء برنامج أمان «صفر الثقة» التنسيق بين عدة مكونات تكنولوجيا المعلومات ويتطلب اتباع نهج شامل.

كيف تطور مفهوم «الثقة الصفرية» بمرور الوقت؟

لقد تطورت تطبيقات نموذج «الثقة الصفرية» بمرور الوقت. وعلى الرغم من الاسم الجذاب، فإن المؤسسات ليست بحاجة إلى أن تكون المتشددون في نهج «الثقة الصفرية» - سيكون التحقق من كل شيء دائمًا غير عملي، إن لم يكن مستحيلًا.

بدلاً من ذلك، تطورت نموذج «الثقة الصفرية» من مفهوم ثنائي — حيث لا يوجد شيء آمن بطبيعته ويجب التحقق من كل شيء — إلى نموذج أكثر دقة وديناميكية. واليوم، يشتمل نهج «الثقة الصفرية» على مجموعات بيانات أوسع نطاقًا، ومبادئ إدارة المخاطر، وسياسات ديناميكية قائمة على المخاطر، لتوفير أساس متين لاتخاذ قرارات الوصول وإجراء المراقبة المستمرة. ويستمد نظام الدفاع القائم على نهج «الثقة الصفرية» معلوماته من مصادر متنوعة، بما في ذلك معلومات استخباراتية عن التهديدات، وسجلات الشبكة، وبيانات نقاط النهاية، ومعلومات أخرى لتقييم طلبات الوصول وسلوك المستخدمين. المعهد الوطني للمعايير والتكنولوجيا والابتكار وقد نشرت وثائق تدعو إلى تطبيق نهج «الثقة الصفرية» وتستفيض في شرح هذا النهج الأوسع نطاقاً والأكثر ديناميكية.

في الآونة الأخيرة، ارتفع الاهتمام بنموذج «الثقة الصفرية» بشكل كبير، مدفوعًا باتجاهات السوق التي تسارعت نتيجة الجائحة العالمية، ومن بينها:

  • التحوّل الرقمي المتسارع (اعتماد التكنولوجيا والحلول الجديدة والناشئة لتحديث وتسريع تفاعلات الأعمال مع العملاء والموظفين والشركاء)
  • الترحيل إلى السحابة / SaaS
  • العمل عن بُعد
  • تبخّر مناطق الثقة المحمية بالشبكات الافتراضية الخاصة (محيط الشبكة) وإدراك أن جدران الحماية أقل فائدة في اكتشاف الهجمات من الداخل وصدها ولا يمكنها حماية الأهداف خارج محيط المؤسسة
كيف تختلف الثقة المعدومة عن النهج السابقة لأمن تكنولوجيا المعلومات؟

في السابق، في معظم بيئات تكنولوجيا المعلومات في الشركات، كانت الثقة في معظمها تعتمد على الموقع. حيث كان المستخدمون يصلون إلى موارد الشركة، من جهاز كمبيوتر مملوك للشركة، من داخل حرم الشركة. إن التواجد الفعلي في حرم الشركة يعني أن المستخدم قد استوفى متطلبات التدقيق والاعتماد للوصول إلى موارد تكنولوجيا المعلومات في الشركة، والتي عادةً ما تكون موجودة في مركز بيانات محلي. كانت "المنطقة الموثوق بها" محمية بتقنيات (وقائية) مسموح بها مثل جدران الحماية واكتشاف/حماية التسلل وغيرها من الموارد.

وبمرور الوقت، تم توسيع محيط تكنولوجيا المعلومات في الحرم الجامعي ليشمل المكاتب البعيدة والأقمار الصناعية، مما أدى إلى توسيع نطاق المنطقة الموثوقة بشكل فعال من خلال اتصالات آمنة وخاصة بين المواقع. في أوائل العقد الأول من القرن الحادي والعشرين، مع بدء ظهور طرق وصول جديدة مثل الشبكات الافتراضية الخاصة (VPN) وشبكة الواي فاي، أضافت تقنيات جديدة المصادقة ووثائق اعتماد الوصول للحفاظ على السلامة النسبية للمحيط. ومن بين هذه الإجراءات المصادقة ثنائية العامل (2FA) الرموز الرمزية ومعيار IEEE 802.1x للتحكم في الوصول إلى الشبكة المستند إلى المنفذ (NAC).

لقد غيرت التطورات اللاحقة للحوسبة السحابية وإحضار جهازك الخاص والتنقل المفرط كل شيء. تعتمد المؤسسات الآن على موارد تكنولوجيا المعلومات خارج حدود منطقة موثوقة واحدة. وعلاوة على ذلك، يحتاج الموظفون والشركاء والعملاء الآن إلى الوصول إلى الأنظمة من أي مكان ووقت وجهاز. وقد أدت الثغرات والثغرات الأمنية الناتجة عن ذلك إلى دخول عصر جديد من الاختراق، حيث أصبحت الاختراقات الأمنية أمراً شائعاً. المحيط الخارجي القديمة قد عفا عليها الزمن

أدى تآكل أمن المحيط الخارجي إلى تمهيد الطريق لنموذج “الثقة الصفرية”. ومع ذلك، تجدر الإشارة إلى أن هذا المفهوم لم يكن جديدًا تمامًا، حتى في عام 2010. ففي حين أن مصطلح «الثقة الصفرية» كان جديدًا وجذب الانتباه، فإن مسألة كيفية إرساء الثقة في عالم الإنترنت الذي يتسم بطبيعته بعدم الموثوقية كانت موضوعًا للبحوث الأكاديمية لأكثر من أربعة عقود. في الواقع، تعود جذور تأسيس شركة RSA، منذ ما يقرب من أربعة عقود، إلى الأبحاث الأكاديمية التي أُجريت في أواخر السبعينيات، والتي أسست لإنشاء اتصالات ومعاملات آمنة في بيئة غير موثوقة.

ومع تحول السنوات إلى عقود، وسيطرة التحول الرقمي على الأعمال التجارية والمجتمع، استمرت مناهج الثقة في التطور.

لماذا تحتاج فرق الأمن إلى التفكير في الثقة الصفرية الآن؟

ازدادت شعبية نموذج «الثقة الصفرية» بشكل مطرد في السنوات الأخيرة. ومع ذلك، أدت الاضطرابات الناجمة عن جائحة كوفيد-19 إلى تسريع الاهتمام بـ كيف يمكن للمؤسسات بناء المرونة بعد حدوث عطل كبير في العمل بعد حدوث اضطراب كبير.

كما هو الحال في معظم السنوات الأخرى، دخل قادة الأمن والمخاطر العقد الجديد بخطط متطورة إلى حد ما لإنضاج ممارسات إدارة المخاطر الرقمية. إلا أن تفشي جائحة كوفيد-19 حوّل تركيز فرق الأمن إلى احتياجات أكثر تكتيكية، مثل تمكين العاملين عن بُعد, وتأمين التغييرات في العمليات للحفاظ على وظائف الأعمال أو للاستفادة من الفرص الجديدة، وإعادة تقييم مخاطر الطرف الثالث وسلسلة التوريد، وتسريع عملية التأهيل وغيرها. تم تخفيض الميزانيات أو تجميدها، وتم تقليص القوائم الطويلة من المشاريع المعلقة في البداية، ولكن تم تسريعها بعد ذلك بسرعة. تواجه فرق العمل الآن تأمين مبادرات رقمية جديدة لا تتناسب بالضرورة مع أنظمة الأمن والمخاطر المعقدة والحالية.

توفر نموذج «الثقة الصفرية» أساسًا لنهج سريع ومدقق للمؤسسات التي تواجه صعوبات في مواكبة وتيرة التحول الرقمي.

ما هي التقنيات والبنية التحتية التي يجب أن تمتلكها المؤسسات لدعم انعدام الثقة؟

في أغسطس/آب 2020، نشر المعهد الوطني للمعايير والتقنية والابتكار والتكنولوجيا (NIST) منشور NIST الخاص رقم 800-207: بنية الثقة الصفرية, ، والذي يتضمن المكونات المنطقية لبنية «الثقة الصفرية»، وسيناريوهات التصميم المحتملة، والتهديدات. كما يقدم خارطة طريق عامة للمؤسسات التي ترغب في تطبيق مبادئ «الثقة الصفرية».

فيما يلي وصف لعناصر البنية، مع عرض موجز للمنتجات والوظائف المتوفرة في محفظة RSA والتي تتوافق مع بنية «صفر ثقة».

فيما يلي وصف لكل عنصر (كما هو محدد في NIST SP 800-207) مع إضافة إشارات إلى منتجات وخدمات RSA حيثما ينطبق ذلك.

محرك السياسة: هذا المكون مسؤول عن القرار النهائي لمنح حق الوصول إلى مورد ما لموضوع معين. يستخدم محرك السياسة سياسة المؤسسة بالإضافة إلى مدخلات من مصادر خارجية (على سبيل المثال، أنظمة آلية التنمية النظيفة وخدمات استخبارات التهديدات الموضحة أدناه) كمدخلات لخوارزمية ثقة لمنح أو رفض أو إبطال الوصول إلى المورد. يتم إقران محرك السياسة مع مكون مسؤول السياسة. يقوم محرك السياسة باتخاذ القرار وتسجيله، ويقوم مسؤول السياسة بتنفيذ القرار.

RSA الوصول المستند إلى الأدوار والسمات، والوصول المشروط، والتحليلات القائمة على المخاطر، كلها مكونات أساسية لإنشاء كل من نقطة قرار السياسة ومحرك السياسة.

مسؤول السياسة: يكون هذا المكون مسؤولاً عن إنشاء و/أو إغلاق مسار الاتصال بين الموضوع والمورد. يقوم بإنشاء أي رمز مصادقة وتوثيق أو بيانات اعتماد يستخدمها العميل للوصول إلى مورد المؤسسة. ويرتبط ارتباطاً وثيقاً بمحرك النهج ويعتمد على قراره للسماح بجلسة عمل أو رفضها في النهاية. قد تتعامل بعض التطبيقات مع محرك النهج ومسؤول النهج كخدمة واحدة. يتواصل مسؤول النهج مع نقطة تطبيق النهج عند إنشاء مسار الاتصال. ويتم هذا الاتصال عبر مستوى التحكم.

تقدم RSA مجموعة من طرق المصادقة وتجارب المستخدم (أي اختيار المصادقة و BYOA) لإدارة المصادقة وتحديد الوصول عند طلبها من قبل نقطة تنفيذ السياسة.

نقطة تنفيذ السياسة:

هذا النظام مسؤول عن تمكين الاتصالات ومراقبتها وإنهائها في نهاية المطاف بين الموضوع ومورد المؤسسة.

هذا مكون منطقي واحد في بنية «الصفر ثقة» (Zero Trust)، لكن يمكن تقسيمه إلى مكونين مختلفين: جانب العميل (مثل الوكيل المثبت على الكمبيوتر المحمول الخاص بالمستخدم) وجانب المورد (مثل مكون البوابة الموجود أمام المورد والذي يتحكم في الوصول)، أو مكون بوابة واحد يعمل كحارس لمسارات الاتصال. وراء نقطة تطبيق السياسة توجد منطقة الثقة الضمنية التي تستضيف موارد المؤسسة.

يمكن لمنتجات RSA تحديد قرارات السياسة التي يتم فرضها من قبل نقاط فرض السياسة الشريكة (الشبكات الافتراضية الخاصة ومواقع الويب والتطبيقات وغيرها) وفرض السياسة مباشرةً على أجهزة نقطة النهاية.

تعمل المصادقة متعددة العوامل SecurID®، التي تعمل بصفتها مقررة للسياسة، مع عدد لا يحصى من الأجهزة الشريكة (أجهزة الكمبيوتر المكتبية والخوادم والأجهزة الافتراضية وخوادم الويب والبوابات وأجهزة الشبكة والتطبيقات وغيرها) لمصادقة المستخدمين وتحديد امتيازات الوصول.

سياسات الوصول إلى البيانات:

هذه هي السمات والقواعد والسياسات الخاصة بالوصول إلى موارد المؤسسة. ويمكن ترميز هذه المجموعة من القواعد في محرك النهج أو إنشاؤها ديناميكياً. هذه السياسات هي نقطة البداية لتخويل الوصول إلى مورد ما لأنها توفر امتيازات الوصول الأساسية للحسابات والتطبيقات في المؤسسة. يجب أن تستند هذه السياسات إلى أدوار المهام المحددة واحتياجات المؤسسة.

SecurID® Governance and Lifecycle هي نقطة انطلاق مثالية لتفويض الوصول إلى مورد ما مع التركيز الواضح على الحوكمة والرؤية عبر البيانات المهيكلة وغير المهيكلة والتحليلات والذكاء لضمان تطبيق مبادئ الامتيازات الأقل.

نظام إدارة الهوية:

هذا هو المسؤول عن إنشاء وتخزين وإدارة حسابات المستخدمين وسجلات هوية المؤسسة (على سبيل المثال، خادم بروتوكول الوصول إلى الدليل خفيف الوزن (LDAP)). يحتوي هذا النظام على معلومات المستخدم الضرورية (على سبيل المثال، الاسم وعنوان البريد الإلكتروني والشهادات) وخصائص المؤسسة الأخرى مثل الدور وسمات الوصول والأصول المخصصة. وغالباً ما يستخدم هذا النظام أنظمة أخرى (مثل PKI) للمحفوظات المرتبطة بحسابات المستخدمين. قد يكون هذا النظام جزءًا من مجتمع موحد أكبر وقد يتضمن موظفين من خارج المؤسسة أو روابط لأصول غير تابعة للمؤسسة من أجل التعاون.

RSA تتكامل حلول الهوية مع جميع أنظمة إدارة الهوية البارزة (مثل Microsoft AD / Azure AD / AWS AD) من أجل دمج الهويات بسلاسة مع السياسات والإجراءات الإدارية والأساليب اللازمة لتشغيل بنية «صفر ثقة».

استخبارات التهديدات:

يوفر ذلك معلومات من مصادر داخلية أو خارجية تساعد محرك السياسة على اتخاذ قرارات الوصول. قد تكون هذه الخدمات متعددة تأخذ البيانات من مصادر داخلية و/أو خارجية متعددة وتوفر معلومات حول الهجمات أو الثغرات المكتشفة حديثاً. يتضمن ذلك أيضاً القوائم السوداء، والبرمجيات الخبيثة التي تم تحديدها حديثاً، والهجمات التي تم الإبلاغ عنها إلى أصول أخرى يرغب محرك السياسة في رفض الوصول إليها من أصول المؤسسة.

يستفيد RSA IAM من الإشارات - الداخلية والخارجية - لزيادة الضمان (الإشارات الإيجابية) وتحديد التهديدات (الإشارات السلبية). على سبيل المثال، يمكن أن تكون الإشارات الداخلية مثل سجل المستخدم والتحليلات السلوكية وعنوان IP والشبكة والموقع عوامل لتحديد المصادقة القائمة على المخاطر وقرارات الوصول.

###

جرّب العرض التوضيحي!

جرّب حل المصادقة السحابية متعددة العوامل (MFA) من ID Plus، وهو أحد أكثر المنتجات أماناً في السوق، وأكثر حلول المصادقة متعددة العوامل انتشاراً في العالم. اكتشف السبب: اشترك في الإصدار التجريبي المجاني لمدة 45 يوماً.

تجربة مجانية

طلب عرض توضيحي

احصل على عرض توضيحي