نموذج أمان الثقة الصفرية (Zero Trust)

 

ما معنى نموذج أمان الثقة الصفرية (Zero Trust)؟

نموذج أمان الثقة الصفرية (Zero Trust-ZT) هي إستراتيجية أمنٍ سيبراني تتمحور حول البيانات وهي مخصّصةٌ للحوسبة المؤسساتية التي ترفض الثقة بالمُستخدمين النهائيين وأجهزة الحاسوب وخدمات الشبكة واتصالاتها حتى لو كان طلب الولوج صادراً من داخل حدود شبكة المنظمة ذاتها، وقد تطوّر نموذج أمان الثقة الصفرية ليأخذ بعين الاعتبار الحوسبة المُوزّعة واستمرار نموّ المساحة المُعرّضة للهجمات.  

وعلى عكس إستراتيجيات تسجيل الدخول الواحد (SSO) التي تسمح للمستخدمين بتسجيل الدخول واستخدام العديد من خدمات الشبكة دون إعادة إدخال عوامل المصادقة؛ تتطلب إستراتيجية الثقة الصفرية التحقق من عوامل المصادقة وإعادة التحقق منها في كلّ مرةٍ يتم فيها إرسال طلب للوصول إلى محتويات الشبكة.

تلتزم الثقة الصفرية بالمبادئ التالية لوجود العديد من التهديدات داخل وخارج الشبكة:

  • عدم الثقة.
  • التحقق بشكلٍ دائم. 
  • تطبيق الامتيازات الأقل. 

ويهدف نموذج أمان الثقة الصفرية لمنع الجهات المُغرضة من استخدام الحسابات التي تم اختراقها للتنقل ضمن الشبكة المُستهدفة.

منصة Techopedia تشرح مفهوم الثقة الصفرية (Zero Trust)

ركّزت مساعي الأمن السيبراني في الماضي على حماية حدود الشبكة، لكنْ بعد تطوّر مجالات السحابة الموزّعة والحوسبة الطرفية (Edge Computing)، ازدادت أهمية بعض عناصر الشبكة التي لم تكن في السابق جزءاً من قرارات ضبط الدخول، ويجب الآن حمايتها مثل أيّ مساحةٍ مُعرّضةٍ للهجمات. 

آلية عمل نموذج أمان الثقة الصفرية (Zero Trust)

تحمي الثقة الصفرية البيانات الحسّاسة والموارد داخل وخارج حدود الشبكة التقليدية عن طريق استخدام المعلومات الآنية التي تم جمعها من عدة مصادر، ويحتاج هذا الإجراء تعاون فرق عمليات التطوير والمهندسين الأمنيين لتصميم مجموعةٍ متكاملةٍ من الإجراءات الأمنية القادرة على تفحّص وتسجيل كلّ أنواع النشاط على الشبكة.

ويوظّف بروتوكول “دخول الشبكة صفرية الثقة” (ZTNA) مبدأ الامتياز الأقل (POLP) للحدّ من استخدام موارد الشبكة، وتعتمد عمليات الهوية صفرية الثقة وإدارة الدخول (IAM) على عدة عوامل مرتبطةٍ بالسياق -مثل السؤال عن اسم المستخدم وكلمة المرور ونوع الجهاز وعنوان IP والموقع الجغرافيّ- والتي تساعد على اتخاذ قرار منح أذن الدخول أو رفضه.

كذلك تلعب التجزئة الدقيقة دوراً مهماً في مجال الثقة الصفرية بسبب قيامها بتقسيم الشبكات الكبيرة لأجزاء أصغر حجماً وأسهل إدارة، ما يساعد المهندسين الأمنيين على كشف واحتواء الخروقات بسرعةٍ أكبر وكفاءة أعلى من النظام التقليدي وهيكليات الأمن السيبراني الموحّدة المُصمّمة فقط لحماية حدود الشبكة.

وتحتاج هيكلية نموذج أمان الثقة الصفرية إلى بنيةٍ تحتيةٍ أمنيةٍ قادرة على اتخاذ قرارات الدخول وتدوينها وتطبيقها لأغراضٍ أمنيةٍ ذات صلة، وسيحتاج المهندسون وأعضاء الشبكة كذلك إلى معرفة طريقة استخدام خوارزميات الشبكة المُعرّفة برمجياً (SDN) وتعلّم الآلة (ML) للبحث عن أنماطٍ بيانيةٍ يُمكنها كشف الأنشطة الخبيثة بشكلٍ لحظيّ. 

كما سيحتاج المهندسون الأمنيون إلى دراسة التعامل مع الذكاء الاصطناعي (AI) وبرمجة أتمتة العمليات الروبوتية (RPA) التي ستمنح أو ترفض طلبات الدخول لضمان دقة تنفيذ تعليمات الوصول، مع تزايد الاعتماد على العمليات المؤتمتة وأنظمتها لتطبيق السياسات الأمنية في ظلّ توجّه فرق تقنية المعلومات نحو التطبيق الأمثل للثقة الصفرية.

تحدّيات الثقة الصفرية وميزاتها

لا يُعدّ تطبيق الثقة الصفرية مهمّةً سهلةً، حيث تتطلب النقلة إلى نموذجٍ أمنيٍّ صفريّ الثقة فهم جميع أعضاء المنظمة والتزامهم بضرورة طلبات التحقق وإعادة التحقق، وتساعد إستراتيجية الثقة الصفرية الناجحة على الاحتواء السريع للأضرار وإصلاحها عندما يتم اختراق بيانات أحد المستخدمين أو حاسوبه أو خدمات الشبكة الخاصّة به، فيما يمكن أن تقود الثقة الصفرية إلى تأخير زمن الاستجابة وتجربة استخدامٍ سيئةٍ (UX) عند تطبيقها بشكلٍ رديء.

نموذج أمان الثقة الصفرية والمصادقة القائمة على المخاطرة

يمكن استخدام نظام “المصادقة القائمة على المخاطرة” بطريقةٍ متكاملةٍ مع نموذج أمان الثقة الصفرية لتسريع زمن الاستجابة، حيث تسمح المصادقة القائمة على المخاطرة للمهندسين الأمنيين بترتيب الموارد المرغوب حمايتها بناءً على معاييرَ متنوعةٍ مثل مستوى الخطورة المرتبط بعنوان IP الخاص بأحد المستخدمين. وبدلاً من التحقق الدائم وعدم الثقة المستمر، يمكن لهذا النهج إزالة ضوابط الاستخدام على التفاعلات منخفضة الخطورة إلى جانب تطبيق نموذج أمان الثقة الصفرية على التعاملات ذات الخطورة الأعلى؛ ويمكن وصف هذا النموذج الهجين من الثقة الصفرية “بالمُصادقة القابلة للتكيّف”.

نموذج النضج صفريّ الثقة

يوفر نموذج النضج صفري الثقة إطار عملٍ يساعد الشركات في فهم موقعها من تنفيذ وتطوير هيكلية نموذج أمان الثقة الصفرية، ويُعتبر هذا النموذج نوعاً من الأدوات التحليلية التي توفر إطار عملٍ لتقييم مدى اقتراب الشركة من تحقيق مجموعةٍ من المبادئ والمعايير الأساسية، ويمكن استخدام هذا النموذج لتقييم مدى الاقتراب من تحقيق 5 معايير تعرف باسم الأعمدة؛ وهي:

  • الهوية: كيف تقوم الثقة الصفرية باستخدام العديد من العوامل لإثبات الهوية والتحقق المستمر منها خلال فترة تفاعل الهوية مع الخدمات والبيانات؟
  • الجهاز: ما مدى فاعلية نموذج أمان الثقة الصفرية في تقييم نزاهة أجهزة الحوسبة الشبكية من خلال توفير الحماية الأمنية وإمكانية وصولها إلى محتوى الأجهزة؟
  • عبء العمل لتطوير التطبيقات: ما مدى فاعلية نموذج أمان الثقة الصفرية في تطبيق مبادئها على عملية تطوير واستخدام التطبيقات البرمجية عن طريق الاستمرار بإدخال هذه التطبيقات واستخدامها بهدف تضمين الاختبار الأمني والتحقق بكلّ خطوةٍ من عملية التطوير؟
  • البيانات: إلى أيّ حد يستخدم نموذج أمان الثقة الصفرية نهج الأمن السيبراني المختص بالبيانات والذي يتطلب قيام مهندسي تقنية المعلومات بالتعرّف على أصول البيانات وتصنيفها وجردِها بهدف إعطاء أولوية الحماية لأكثر البيانات حساسية؟

الأعمدة الخمسة لتطبيق نموذج أمان الثقة الصفرية

تاريخ نموذج أمان الثقة الصفرية

يُنسَبُ مصطلح الثقة الصفرية غالباً إلى جون كيندرفاج (John Kindervag) فيما ينسبه بعض الخبراء الأمنيين إلى ستيفين بول مارش (Stephen Paul Marsh). وقد قام الدكتور تشيس كانينغهام (Dr. Chase Cunningham) محلل الأبحاث في شركة Forrester بنشر تقريرٍ تحت عنوان “The Zero Trust eXtended (ZTX) Ecosystem Report” يتحدّث فيه بالتفصيل عن طريقة دعم إطار عمل eXtended Zero Trust للشبكات والبيانات وأعباء العمل والأجهزة والأفراد.

 

المنهجية التحريرية في Techopedia

نعمل في Techopedia على تقديم محتوى دقيق وموضوعي بناءً على سياسة تحريرية تعتمد عملية بحث احترافية تلتزم بأعلى المعايير للمصادر المستخدمة، وتخضع كل صفحة لعملية تدقيق ومراجعة شاملة من فريقنا الذي يضمّ مجموعةً من أفضل الخبراء التقنيين واللغويين. يضمن التزامنا بتطبيق هذه المنهجية الدقيقة تقديم محتوى مفيدٍ وذي مصداقية وقيمة عالية لقرائنا.

 

Margaret Rouse
خبيرة تقنيّة

مارغريت هي كاتبة ومعلمة تقنية حائزة على جوائز ومعروفة بقدرتها على شرح الموضوعات التقنية المعقدة لجمهور الأعمال غير التقني. على مدار العشرين عامًا الماضية، نُشرت تعريفاتها في مجال تكنولوجيا المعلومات من قبل كيو في موسوعة المصطلحات التقنية واستشهدت بها في مقالات في نيويورك تايمز ومجلة تايم ومجلة يو إس إيه توداي ومجلة زد دي نت ومجلة الكمبيوتر الشخصي ومجلة ديسكفري. انضمت إلى Techopedia في عام 2011. وتتمثل فكرة مارغريت عن اليوم الممتع في مساعدة المتخصصين في مجال تكنولوجيا المعلومات والأعمال على تعلم التحدث بلغات بعضهم البعض المتخصصة للغاية.