في الماضي، اعتمدت معظم المؤسسات على نموذج أمن سيبراني يُعرف باسم «القلعة والخندق». الفكرة كانت بسيطة: أنشئ محيطاً أمنياً قوياً، وكل من يوجد داخله يُعتبر موثوقاً. قد يتم ذلك اعتماداً على جدران نارية، شبكات داخلية، VPN، وإذا نجح المستخدم في الدخول، فغالباً ما يحصل على مستوى واسع من الثقة والصلاحيات. لكن نموذج الثقة الصفرية (Zero Trust) هو البديل المعاصر لما سبق. في عالم اليوم، يعمل الموظفون عن بُعد، والتطبيقات موزعة على السحابة، والمورّدون يملكون وصولاً مباشراً لموارد المؤسسات، والأجهزة الرقمية تتنقل بين شبكات عامة وخاصة. لم يعد هناك «داخل-Inside» واضح للشبكة.
ما هي الثقة الصفرية (Zero Trust)؟
الثقة الصفرية هي نموذج أمني يقوم على مبدأ واحد واضح: لا تثق بأي شيء افتراضياً. تحقّق دائماً. وبالتالي، لا يتم منح الثقة بناءاً على موقع المستخدم أو كونه داخل الشبكة، بل وفق ما يلي:
- الهوية
- حالة الجهاز
- السياق
- السياسات الأمنية
ويتم هذا التحقق بشكل مستمر، وليس مرة واحدة فقط عند تسجيل الدخول.
كيف نشأ مفهوم Zero Trust؟
تم طرح مفهوم Zero Trust عام 2010 على يد John Kindervag أثناء عمله في Forrester Research، كان استنتاجه أن المشكلة الأساسية في أمن المؤسسات ليست في الأدوات، بل في الثقة التي تمنح ضمناً داخل الشبكة. لاحقًا، طبقت Google الفكرة عملياً عبر مبادرة BeyondCorp، حيث ألغت فكرة الشبكة الداخلية الموثوقة، واعتبرت أن كل الأجهزة غير موثوقة افتراضياً. وفي عام 2020، أصدرت NIST المعيار الرسمي NIST SP 800-207، الذي حوّل Zero Trust إلى إطار عملي معتمد عالمياً.
المبادئ الثلاثة الأساسية لـ Zero Trust
1. لا تثق أبداً – تحقّق دائماً : لا يُمنح الوصول بناءاً على LAN أو VPN. كل طلب وصول يُقيَّم بناءاً على الهوية، والجهاز، والسلوك، والسياسات. والتحقق عملية مستمرة طوال الجلسة.
2. مبدأ أقل صلاحية (Least Privilege): كل مستخدم أو نظام يحصل فقط على الصلاحيات الضرورية لإنجاز مهامه، ولمدة محدودة. يقلل ذلك نطاق الضرر في حال اختراق حساب أو جهاز.
3. افترض حدوث اختراق: Zero Trust يفترض أن المهاجم قد يكون موجوداً بالفعل داخل البيئة. لذلك، بدل الاعتماد فقط على المنع فإنه يتم التركيز على:
- تجزئة الشبكة
- الرصد
- الاكتشاف السريع
- الاستجابة الفعالة
كيف تشتري الثقة الصفرية (Zero Trust)؟
الثقة الصفرية (Zero Trust) هو نهج معماري وفلسفة تشغيلية تُطبق تدريجياً. وبالتالي فإنه:
- ليس منتجاً يمكنك شراؤه
- ليس مشروعاً له تاريخ نهاية
- ليس مجرد MFA أو تسجيل دخول قوي
- وليس حكراً على الشركات الكبرى
الأعمدة السبعة لنموذج Zero Trust
وفق إطار NIST، يتكون الثقة الصفرية (Zero Trust) من سبعة مجالات رئيسة:
- الهوية: التحقق القوي وإدارة الصلاحيات
- الأجهزة: التأكد من سلامة الجهاز قبل منحه الوصول
- الشبكة: التقسيم الدقيق والتشفير والمراقبة
- التطبيقات وأحمال العمل: التحقق من كل طلب
- البيانات: تصنيف البيانات والتحكم بالوصول
- الرؤية والتحليلات: التسجيل والتحليل السلوكي
- الأتمتة والاستجابة: تنفيذ السياسات تلقائياً على نطاق واسع
مثال عملي: كيف يعمل Zero Trust؟
موظف يحاول الوصول إلى نظام داخلي من شبكة عامة. وبدل الاكتفاء بالسؤال: هل هو متصل بـ VPN؟ فإنه يتم التحقق من:
- هوية المستخدم
- حالة الجهاز
- نمط السلوك
- الصلاحيات المطلوبة
- توافق الجهاز مع السياسات الحالية
يُمنح الوصول للمورد المطلوب فقط، مع إعادة تقييم مستمرة أثناء الجلسة.
ما أهمية هذا النموذج؟
أصبحت البيئة التقنية أكثر تعقيداً:
- بيئات سحابية متعددة
- SaaS
- APIs
- أطراف خارجية
- عمل عن بُعد
في المقابل، تطورت الهجمات بشكل كبير. على سبيل المثال، أثبت اختراق SolarWinds أن الثقة -الافتراضية- في «الداخل» قد تكون مقدمة للانهيار الشامل في منظومة الأمن السيبراني. وبهذا المعنى، فإن نموذج الثقة الصفرية (Zero Trust) لا يمنع كل هجوم، لكنه:
- يقلل الأضرار
- يسرّع الاكتشاف
- يحد من الحركة الجانبية
- يزيل الثقة الافتراضية
من أين تبدأ بتطبيق Zero Trust؟
أفضل نقطة بداية هي إدارة الهوية والوصول (IAM):
- جرد جميع الحسابات
- فرض المصادقة متعددة العوامل (MFA)
- تطبيق أقل صلاحية
- مراجعة الصلاحيات دورياً
تؤسس هذه الخطوات قيمة أمنية عالية، وتشكل الأساس لبقية عناصر Zero Trust.
كلمة أخيرة
يعتبر الثقة الصفرية (Zero Trust) النموذج الأمني الأنسب في عالم رقمي، موزّع، سحابي يعتمد على العمل عن بُعد ويواجه تهديدات متطورة باستمرار وليس حلاً سحرياً بل قدرة تُبنى تدريجياً. والمبدأ الجوهري هو: الثقة لا تُمنح… بل تُتحقق باستمرار.
