ما هو أمان الثقة المعدومة – Zero Trust
أمان الثقة المعدومة هو نموذج أمان لتكنولوجيا المعلومات يتطلب تحققًا صارمًا من الهوية لكل شخص وجهاز يحاول الوصول إلى الموارد على شبكة خاصة ، بغض النظر عما إذا كان الشخص داخل أو خارج محيط الشبكة.
بعبارة أبسط: يثق أمان شبكة تكنولوجيا المعلومات التقليدية في أي شخص وأي شيء داخل الشبكة ، لكن مبدأ الثقة المعدومة لا يثق بأحد ولا بأي شيء.
يعتمد أمن شبكات تكنولوجيا المعلومات التقليدية على مفهوم القلعة والخندق (castle-and-moat security)، في أمان القلاع والخندق ، يصعب الحصول على والصول من خارج الشبكة ، ولكن كل شخص داخل الشبكة يعتبر موثوق به افتراضيًا ، هنا تكمن المشكلة ففي هذا النهج بمجرد أن يتمكن المهاجم من الوصول إلى الشبكة ، فإنه قد يتمكن السيطرة على كل شيء بداخلها.
تتفاقم هذه الثغرة الأمنية في أنظمة حماية القلعة والخندق بسبب حقيقة أن الشركات لم تعد تمتلك بياناتها في مكان واحد فقط ، اليوم غالبًا ما تخزن الشركات بياناتها على السحابة، مما يجعل من الصعب الحصول على عنصر تحكم أمان واحد لشبكة كاملة.
أمان Zero Trust يعني أنه لا يوجد شخص موثوق به افتراضيًا من داخل الشبكة أو خارجها ، والتحقق مطلوب من كل شخص يحاول الوصول إلى الموارد الموجودة على الشبكة ، وتم عرض طبقة الأمان المضافة هذه لمنع خروقات البيانات بنسبة قد تصل إلى 0%.
إقرأ أيضاََ : مصطلح إدارة الهوية والوصول (IAM) في أمن البيانات
المهام الرئيسية لأمان Zero Trust
المراقبة والتحقق المستمر
تفترض الفلسفة الكامنة وراء شبكة Zero Trust أن هناك مهاجمين داخل الشبكة وخارجها ، لذلك لا ينبغي الوثوق تلقائيًا بأي مستخدمين أو أجهزة ، حيث يتحقق Zero Trust من هوية المستخدم وصلاحيته بالإضافة إلى هوية الجهاز وأمانه ، كما تنتهي مهلة عمليات تسجيل الدخول والاتصالات بشكل دوري بمجرد إنشائها ، مما يجبر المستخدمين والأجهزة على إعادة التحقق باستمرار.
رتبة أقل – Least privilege
مبدأ آخر لأمان الثقة الصفرية هو الوصول الأقل رتبة/صلاحية ، وهذا يعني منح المستخدمين قدر الوصول الذي يحتاجون إليه فقط
يتضمن تنفيذ نهج أقل رتبة /صلاحية إدارة دقيقة لأذونات المستخدم ، الشبكات الافتراضية الخاصة ليست مناسبة تمامًا لأساليب التفويض الأقل رتبة ، حيث يتيح تسجيل الدخول إلى VPN وصول المستخدم إلى الشبكة المتصلة بالكامل.
التحكم في الوصول إلى الجهاز – Device access control
بالإضافة إلى ضوابط وصول المستخدم ، تتطلب Zero Trust أيضًا ضوابط صارمة على وصول الجهاز،تقوم أنظمة Zero Trust إلى مراقبة عدد الأجهزة المختلفة التي تحاول الوصول إلى شبكتها ، والتأكد من أن كل جهاز مرخص له ، وتقييم جميع الأجهزة للتأكد من عدم تعرضها للاختراق.
التفتيت الدقيق – Microsegmentation
تستخدم شبكات Zero Trust أيضًا ميزة التجزئة المصغرة ، التجزئة المصغر /الدقيقة هي ممارسة تقسيم المحيطات الأمنية إلى مناطق صغيرة للحفاظ على وصول منفصل لأجزاء منفصلة من الشبكة.
على سبيل المثال ، قد تحتوي شبكة تحتوي على ملفات موجودة في مركز بيانات واحد يستخدم التجزئة المصغرة على عشرات المناطق الآمنة المنفصلة ، بهذه الطريقة لن يتمكن أي شخص أو برنامج يتمتع بإمكانية الوصول إلى إحدى تلك المناطق من الوصول إلى أي من المناطق الأخرى دون إذن منفصل.
منع الحركة الجانبية – Preventing lateral movement
في أمان الشبكة ، تحدث “الحركة الجانبية” عندما يتحرك المهاجم داخل شبكة بعد الوصول إلى تلك الشبكة ، قد يكون من الصعب اكتشاف الحركة الجانبية حتى إذا تم اكتشاف نقطة دخول المهاجم ، لأن المهاجم سوف يستمر في اختراق أجزاء أخرى من الشبكة.
تم تصميم Zero Trust لاحتواء المهاجمين حتى لا يتمكنوا من التحرك بشكل جانبي ، وذلك لأن الوصول إلى الثقة المعدومة مجزأ ويجب إعادة تأسيسه بشكل دوري ، لا يمكن للمهاجم الانتقال عبر الأجزاء المصغرة الأخرى داخل الشبكة ، فبمجرد اكتشاف وجود المهاجم ، يمكن عزل الجهاز أو حساب المستخدم المخترق ، وقطعه عن أي وصول إضافي.
(في نموذج القلعة والخندق ، إذا كانت الحركة الجانبية ممكنة للمهاجم ، فإن عزل الجهاز الأصلي المخترق أو المستخدم له تأثير ضئيل أو معدوم ، لأن المهاجم قد وصل بالفعل إلى أجزاء أخرى من الشبكة.)
مصادقة متعددة العوامل (MFA)
المصادقة متعددة العوامل – Multi-factor authentication (MFA) هي أيضًا قيمة أساسية لأمن Zero Trust ، فمجرد إدخال كلمة مرور لا يكفي للوصول.
أحد التطبيقات الشائعة لـ MFA هو الترخيص الثنائي (2FA) المستخدم على منصات الإنترنت مثل Facebook و Google. بالإضافة إلى إدخال كلمة مرور ، يجب على المستخدمين الذين يقومون بتمكين المصادقة الثنائية (2FA) لهذه الخدمات أيضًا إدخال رمز تم إرساله إلى جهاز آخر ، مثل الهاتف المحمول ، وبالتالي تقديم دليلين لإثبات هويتهم.
ما هي فوائد Zero Trust؟
تعتبر Zero Trust كفلسفة أكثر ملاءمة لبيئات تكنولوجيا المعلومات الحديثة من مناهج الأمان التقليدية ، فمع وجود مجموعة كبيرة من المستخدمين والأجهزة التي تصل إلى البيانات الداخلية ، ومع البيانات المخزنة داخل الشبكة وخارجها (في السحابة) ، يكون من الأكثر أمانًا افتراض عدم موثوقية أي مستخدم أو جهاز ، بدلاً من افتراض تدابير الأمان الوقائية تعتمد Zero Trust في مبدأها على سد جميع الثقوب.
الفائدة الأساسية لتطبيق مبادئ Zero Trust هي المساعدة في تقليل سطح هجوم المؤسسة ،بالإضافة إلى ذلك تقلل Zero Trust الضرر عند حدوث هجوم عن طريق احتواء الاختراق في منطقة صغيرة واحدة من خلال تقنية التجزئة المصغرة ، مما يقلل أيضًا من تكلفة الاسترداد.
يقلل Zero Trust من تأثير سرقة بيانات اعتماد المستخدم وهجمات التصيد الاحتيالي من خلال طلب عوامل مصادقة متعددة ، مما يساعد في القضاء على التهديدات التي تفوق الحماية التقليدية
ومن خلال التحقق من كل طلب ، يقلل أمان الثقة المعدومة من المخاطر التي تشكلها الأجهزة المعرضة للخطر ، بما في ذلك أجهزة إنترنت الأشياء ، والتي يصعب غالبًا تأمينها وتحديثها
ما هو الوصول إلى شبكة الثقة المعدومة (ZTNA)
Zero Trust Network Access (ZTNA) هي التقنية الرئيسية التي تمكن المؤسسات من تنفيذ أمان الثقة الصفرية ، تخفي ZTNA معظم البنية التحتية والخدمات ، وتقوم بإعداد اتصالات مشفرة بين الأجهزة والموارد التي تحتاجها.
بعبارة أخرى ZTNA هي التقنية الرئيسية المرتبطة بهندسة Zero Trust ؛ لكن الثقة المعدومة (Zero Trust) هي نهج شامل لأمن الشبكات يتضمن العديد من المبادئ والتقنيات المختلفة.
كيف تعمل شبكة الثقة المعدومة (ZTNA)
باستخدام ZTNA ، يتم إنشاء الوصول بعد مصادقة المستخدم على خدمة ZTNA. ثم توفر خدمة ZTNA الوصول إلى التطبيق نيابة عن المستخدم من خلال نفق آمن ومشفّر ، يوفر هذا طبقة إضافية من الحماية لتطبيقات الشركة وخدماتها عن طريق حماية عناوين IP المرئية.
تطبق ZTNA مفهوم السحابة المظلمة ، مما يمنع المستخدمين من رؤية أي تطبيقات وخدمات ليس لديهم إذن بالوصول إليها ، يقدم هذا الحماية ضد حركة المهاجم الجانبية ، حيث تستطيع اكتشاف نقطة النهاية أو بيانات الاعتماد المخترقة وعدم السماح للمهاجم التعمق أو الانتقال للبيانات الأخرى.
الاستخدامات العامة لتقنية Zero Trust؟
هنا بعض حالات الاستخدام الأكثر شيوعًا لـ Zero Trust تشمل:
استبدال VPN أو تطويره : تعتمد العديد من المؤسسات على شبكات VPN لحماية بياناتها ، ولكن كما هو موضح أعلاه ، غالبًا ما لا تكون الشبكات الافتراضية الخاصة مثالية للدفاع ضد مخاطر اليوم.
الدعم الآمن للعمل عن بُعد: بينما تخلق الشبكات التقليدية الخاصة اختناقات ويمكن أن تبطئ الإنتاجية للعاملين عن بُعد ، يمكن لـ Zero Trust توسيع التحكم في الوصول الآمن إلى الاتصالات من أي مكان.
التحكم في الوصول إلى السحابة والسحابة المتعددة: تتحقق شبكة Zero Trust من أي طلب ، بغض النظر عن مصدره أو وجهته، كما يمكن أن يساعد أيضًا في تقليل استخدام الخدمات المستندة إلى السحابة غير المصرح بها (وهي حالة تسمى “shadow IT”) من خلال التحكم في استخدام التطبيقات غير المصرح بها أو حظرها.
تعيين الموظفين الجدد بسرعة: يمكن لشبكات Zero Trust أيضًا أن تسهل تعيين مستخدمين داخليين جدد بسرعة ، مما يجعلها مناسبة للمؤسسات سريعة النمو، في المقابل قد تحتاج شبكات VPN إلى إضافة المزيد من السعة لاستيعاب أعداد كبيرة من المستخدمين الجدد.
مميزات تقنية Zero Trust الرئيسية
مراقبة حركة مرور الشبكة والأجهزة المتصلة: الرؤية أمر بالغ الأهمية حتى يتم التحقق من المستخدمين والآلات والمصادقة عليهم.
الحفاظ على تحديث الأجهزة باستمرار: يجب تصحيح الثغرات في أسرع وقت ممكن ، لذا يجب أن تكون شبكات Zero Trust قادرة على تقييد الوصول إلى الأجهزة المعرضة للخطر (سبب آخر يجعل المراقبة والتحقق من الصحة مفتاحًا).
تطبيق مبدأ الصلاحية الأقل للجميع في المؤسسة: من المديرين التنفيذيين إلى فرق تكنولوجيا المعلومات ، يجب أن يحصل الجميع على أقل قدر من الوصول يحتاجون إليه ، هذا يقلل من الضرر إذا تم اختراق حساب المستخدم النهائي.
تقسيم الشبكة / التقسيم الدقيق: يساعد تقسيم الشبكة إلى أجزاء أصغر على ضمان احتواء الخروقات مبكرًا قبل أن تنتشر.
استخدم المصادقة الثنائية لـ MFA: تعتبر رموز الأمان التي ترسل إلى الأجهزة أكثر أمانًا بشكل واضح من الرموز التي قد ترسل لمرة واحدة عبر الرسائل القصيرة أو البريد الإلكتروني.
تحديث معلومات التهديد: نظرًا لأن المهاجمين يقومون باستمرار بتحديث وتحسين تكتيكاتهم ، فإن الاشتراك في أحدث موجزات بيانات معلومات التهديد أمر بالغ الأهمية لتحديد التهديدات قبل انتشارها.
إقرأ أيضاََ : أشهر تطبيقات الحوسبة السحابية
الخاتمة
تحتاج التطبيقات والمستخدمين والأجهزة إلى وصول سريع وآمن إلى البيانات ، لدرجة أنه تم إنشاء صناعة كاملة من أدوات وبنى الأمان لحمايتها.
تقنية الثقة الصفرية – Zero Trust تلبي الاحتياجات الأمنية لبيئة السحابة المختلطة التي تعتمد على تخزين البيانات ، حيث توفر للمؤسسات حماية تكيفية ومستمرة للمستخدمين والبيانات والأصول ، بالإضافة إلى القدرة على إدارة التهديدات بشكل استباقي.
بعبارة أخرى ، تهدف ممارسة عدم الثقة والتحقق دائمًا إلى التفاف الأمان حول كل مستخدم وجهاز واتصال لكل معاملة على حدة. يمكن أن يساعد تطبيق إطار عمل عدم الثقة أيضًا المدافعين على اكتساب رؤى عبر أعمالهم الأمنية ما يمكنهم فرض سياسات الأمان باستمرار واكتشاف التهديدات والاستجابة لها بشكل أسرع وبطريقة دقيقة ومع ذلك ، فإنه ينتج أيضًا العديد من الفوائد الطبيعية ، مثل:
- أداء محسّن للشبكة بسبب انخفاض حركة المرور على الشبكات الفرعية
- تحسين القدرة على معالجة أخطاء الشبكة
- تسجيل أكثر بساطة ومراقبة
- أوقات اكتشاف الاختراق أسرع
في النهاية يجب أن يُنظر إلى Zero Trust على أنها طريقة تفكير تمكّن المؤسسات من الأداء بكفاءة وفعالية ، مع وضع علاوة عالية على الأمن السيبراني ، إن تلبية احتياجات العمل من خلال التكنولوجيا ذات الصلة والآمنة ، وفي نفس الوقت ضمان المشاركة التنظيمية ، يمثل تحديًا يمكن مواجهته على أفضل وجه من خلال رؤية واضحة واستراتيجية هادفة ومشاركة تشغيلية تتجاوز تكنولوجيا المعلومات ، و مع مثل هذه الظروف فإن الثقة المعدومة موجودة لتبقى.