عندما يتعلق الأمر بالثقة فإننا نتذكر ذلك الاقتباس الشهير “Love all, trust a few, do wrong to none.” المنسوب لويليام شكسبير. حيث المطلوب أن تحب الجميع و أن تثق بالبعض و لا تسيء لأحد. لكن يبدو أن اقتباس Shakespeare الذي تسيد المسرح لعصور لم يعد صالحاً في مسرح الأمن السيبراني.
في هذا المسرح ثقتك لن تضعها في قلة من الناس “trust a few” بل المطلوب ألا تثق بأحد مطلقاً. بطريقة ما، نعرف ذلك تحت مسمى “الثقة الصفرية”. يشارك معكم روبودين في هذا المقال ما يعتبره Andrew Froehlich الكيفية التي يمكن بها للركائز السبع لنموذج zero trust أن تساعد قادة تكنولوجيا المعلومات في تحديد أدوات الأمن السيبراني المطلوبة لتصميم و تنفيذ إطار العمل ztx.
يكتسب إطار عدم الثقة زخماً في المؤسسة نظراً لفوائده الأمنية. تتبنى المنظمات بشكل متزايد نموذج عدم الثقة في برامجها الأمنية. ويحل هذا النموذج محل نموذج الأمان التقليدي الذي يعتبر أن الخطر هو فقط في محيط المؤسسة لا في داخلها.
الثقة الصفرية بديل للـ perimeter-based security
لسنوات طويلة كان نموذج الـ perimeter-based security هو المعتمد في عالم الأمن السيبراني. الفكرة الأساسية لهذا النموذج أن أي شخص داخل شبكة الشركة موثوق ، وأي شخص بالخارج غير موثوق به. ومع ذلك ، فقد أظهرت التجربة العديد من العيوب في هذا النموذج.
يضاف لذلك أن perimeter-based security يستند إلى أمان متعدد الطبقات.حيث يضع مسؤولو تقنية المعلومات محيطاً للأمان يحمي الأصول الهامة. كانت الفرضية حين تصميم ذلك النموذج أن المهاجم سيحتاج إلى المرور عبر طبقات أمان متعددة للوصول لتلك الأصول. لكن من ناحية أخرى ، يمكن للمستخدمين من داخل المؤسسة تجاوز طبقات الأمان هذه لأنهم بالفعل في داخل المحيط و لديهم صلاحية الدخول إلى جهاز يمنحهم الوصول إلى تلك الموارد.
كان نهج هذا النموذج مقبولاً عندما كانت الشبكة بالكامل تقريباً داخل أسوار المؤسسة و تحت سيطرتها المباشرة. و كذلك في عالم مايكروسوفت ويندوز حيث تبدأ مستويات الأمن من الهوية و بعد ذلك الحماية من البرامج الضارة بينما ستركز الطبقة الثالثة على البيانات والتطبيقات في كثير من الأحيان. في حين تكون الطبقة الخارجية هي محيط الشبكة نفسها ، مع شبكات VPN وجدران الحماية واكتشاف التسلل وميزات الأمان الأخرى.
أهمية نموذج الثقة المعدومة zero trust:
هناك سببان ، لتفسير كيف أصبح نموذج الثقة المعدومة (Zero-Trust) هو النهج البديل المهيمن على الأمن السيبراني.
- الشبكات لم تعد محلية.
- لم تعد المؤسسات تعتمد على Windows فقط.
يضاف لذلك، أن العمل عن بعد و استخدام الأجهزة الشخصية للوصول لبيئة العمل ليس حالة من الماضي و لكنه نموذج وجد ليبقى على ما يبدو. لذلك فالافتراض الأساسي لـ Zero Trust هو أن الشبكة تم اختراقها و بالتالي يجب على كل مستخدم وجهاز إثبات أنه ليس من المهاجمين. يتطلب ذلك تحقق صارم من الهوية ، حتى إذا كان المستخدم أو الجهاز موجودًا بالفعل في الشبكة.
إن التحديات المتزايدة للتهديدات الداخلية و الاعتماد الواسع على انترنت الأشياء والأجهزة المتطورة أدى لتغييرات كبيرة في بنية الأمان والأدوات المطبقة على شبكات المؤسسات. من هنا برزت أهمية وجود الركائز السبع التالية لعدم الثقة. في نموذج عدم الثقة ، يعتبر كل شيء غير موثوق به ، بغض النظر عن مكان تواجد المستخدم أو المورد.
علماً أن التحول إلى نموذج عدم الثقة يتطلب اعتبارات لوجستية و تخطيطاً. و للمساعدة في الانتقال من بنية الأمان القائمة على المحيط إلى إطار عمل عدم الثقة ، اعتمدت العديد من المؤسسات نموذج Forrester Zero Trust eXtended (ZTX) للمساعدة في هذا المجال. أصبحت ZTX مرجعاً أساسياً حول أفضل طريقة لشراء وتنفيذ الأدوات والسياسات والمنهجيات الصحيحة.
ركائز نموذج الثقة الصفرية
يحدد إطار عمل Forrester لعدم الثقة سبع ركائز ضرورية لنشر أمان الثقة الصفرية بشكل صحيح عبر جميع التقنيات وثقافات الشركات. فيما يلي مقدمة لأركان ZTX السبعة:
1- أمن المستخدمين:
يحتاج المستخدمون مثل الموظفين والمقاولين والشركاء والبائعين إلى الوصول إلى تطبيقات وأنظمة العمل. تتطلب الثقة الصفرية أن يُمنح المستخدم حق الوصول فقط إلى التطبيقات التي يحتاجها حقاً للقيام بعمله – وليس أكثر من ذلك. و تتطلب أيضاً التحقق من هوية المستخدمين باستخدام طرق مثل المصادقة متعددة العوامل في كل مرة يحاولون فيها الاتصال بالشبكة إضافة لتطبيق سياسات التحكم بالوصول.
2- أمن الأجهزة في الثقة الصفرية
الأجهزة هي الأشياء التي يتم استخدامها للوصول إلى الموارد. يمكن أن تكون هذه الأجهزة مدارة من قبل الشركات. أو أجهزة شخصية (أجهزة كمبيوتر سطح المكتب / أجهزة الكمبيوتر المحمولة ، والأجهزة اللوحية ، والهواتف المحمولة). أو أجهزة مستقلة تماماً مثل أجهزة انترنت الأشياء. ضمن مفهوم انعدام الثقة ، يتم فحص الأجهزة عند كل طلب وصول للتأكد من أنها تفي بمعايير الأمان ولا تشكل أي مخاطر. يجب أيضاً مراقبة الأجهزة بمرور الوقت لاكتشاف التهديدات المحتملة أو السلوك الشاذ.
3- أمن الأعمال
يشير أمن الأعمال إلى التطبيقات والعمليات الرقمية وموارد تكنولوجيا المعلومات العامة والخاصة التي تستخدمها المنظمة للأغراض التشغيلية. يجب أن يكون الوصول إلى التطبيق محكوماً بسياسات الوصول، التي تم إنشاؤها بناءاً على حساسية البيانات الموجودة في التطبيق. و الهدف من ذلك منع جمع البيانات أو الوصول غير المصرح به أو التلاعب بالتطبيقات والخدمات الحساسة. و كذلك توفير الوصول فقط للمستخدمين الذين يحتاجون إليه ، من المواقع والأجهزة الموثوق بها.
4- الثقة الصفرية – أمن الشبكة
كما نرى، فإن بيئة العمل الحالية معقدة للغاية. و قد أصبحت مزيجاً هجيناً من الخدمات المحلية الموجودة ضمن مراكز بيانات المؤسسة، البنية التحتية السحابية المتعددة والبرامج المدارة (SaaS). حيث يمكن للمهاجمين الذين يتجاوزون نقطة تحقق واحدة (مثل جدار الحماية أو تسجيل دخول المستخدم) استغلال الثقة و التسلل لاستهداف البيانات الحساسة. ، لذلك يتم استخدام الثقة الصفرية في أمن الشبكة للمساعدة في تقسيم الموارد الحساسة وعزلها لمنع الوصول إليها من قبل أشخاص أو أشياء غير مصرح لها.
5- أمن البيانات
يهتم مفهوم الثقة الصفرية بتصنيف بيانات الشركة. بمجرد تصنيف البيانات ، يمكن عزلها عن الجميع باستثناء أولئك الذين يحتاجون إلى الوصول إليها. يتضمن ذلك أيضاً عملية تحديد مكان تخزين البيانات ، بالإضافة إلى استخدام آليات التشفير أثناء نقل البيانات وفي حالة الراحة rest.
6- رؤية المشهد والتحليلات
من المهم توفير مراقبة عن كثب لجميع عمليات الأمن المتعلقة بالتحكم في الوصول والتجزئة segmentation والتشفير والتطبيقات أو تنظيم البيانات. قد يتطلب ذلك استخدام الذكاء الاصطناعي لأتمتة بعض العمليات ، بما في ذلك اكتشاف العيوب والتحكم في الإعدادات وامتلاك رؤية لتدفق البيانات في كل مراحلها.
7- أتمتة العمليات
تغطي الركيزة الأخيرة لإطار عمل الثقة الصفرية الطرق الحديثة التي يمكن للمؤسسات من خلالها أتمتة نموذج الثقة الصفري بالكامل والتحكم فيه مركزياً على الشبكة المحلية LAN و WAN و WAN اللاسلكية ومراكز البيانات العامة أو الخاصة.
يمكن لقادة الأمن تنفيذ هذه الركائز السبع لنموذج ZTX لتطبيق أدوات الأمان المناسبة وتأمين تكنولوجيا المعلومات بشكل أفضل. تم تصميم دليل ZTX أو ركائز عدم الثقة المماثلة لمساعدة مسؤولي أمن تكنولوجيا المعلومات على تحديد وتنظيم وتنفيذ أدوات الأمان المناسبة التي تفي بالهدف العام لاستراتيجية عدم الثقة.
