تجنب الوثوق، وتحقق دومًا: نموذج أمان Zero Trust (الثقة المعدومة)

لا يزال نموذج Zero Trust (الثقة المعدومة) يلقى رواجًا بين المؤسسات خلال السنوات الأخيرة. ووفقًا لبيانات عام 2019، نسبة 78% من فِرق أمن المعلومات نفّذوا هذا النموذج أو كانوا يخططون على الأقل لاتخاذ هذه الخطوة. ونقسّم هنا مفهوم Zero Trust (الثقة المعدومة) لمعرفة سبب جاذبيته للأعمال التجارية.

وداعًا لمحيط الأمان

محيط الأمان، هو مصطلح شائع في حماية البنية الأساسية للشركات يتضمن استخدام عمليات فحص شاملة للتحقق من وجود أية محاولة وجميعها للاتصال بموارد الشركات من خارج هذه البنية الأساسية. ويضع في الأساس حدًا بين شبكة الشركات وبقية الشبكات في العالم. ولكن يصبح داخل محيط الأمان، أي داخل شبكة الشركات، منطقة موثوق بها يحظى فيها المستخدمون والأجهزة والتطبيقات بقدر معين من الحرية.

ظل محيط الأمان ناجحًا طالما أن المنطقة الموثوق بها مقتصرة على شبكة الوصول المحلي والأجهزة الثابتة المتصلة بها. ومع ذلك، فإن مفهوم “محيط الأمان” يصبح غير واضح مع تزايد عدد الأدوات الذكية في الأجهزة المحمولة والخدمات السحابية التي يستخدمها الموظفون. كما توجد حاليًا على الأقل نسبة من موارد الشركات خارج المكتب أو حتى خارج البلاد. وتُعد محاولة إخفائها وراء أطول الجدران أمرًا غير عملي في أحسن الأحوال. وأصبح اختراق المنطقة الموثوق بها والالتفاف حولها دون عوائق أسهل بكثير.

في عام 2010، طرح جون كيندرفاج، وهو المحلل الرئيسي في شركة Forrester Research للأبحاث، مفهوم Zero Trust (الثقة المعدومة) كبديل لمحيط الأمان. واقترح التخلي عن التمييز بين الخارجي والداخلي، والتركيز بدلاً من ذلك على الموارد. كما يشير مفهوم Zero Trust (الثقة المعدومة) في جوهره إلى غياب المناطق الموثوق بها من أي نوع. وفي هذا النموذج، يخضع المستخدمون والأجهزة والتطبيقات إلى عمليات فحص في كل مرة يطلبون خلالها وصولاً إلى أحد موارد الشركات.

تطبيق مفهوم Zero Trust (الثقة المعدومة) عمليًا

لا يوجد نهج واحد يتم اتباعه لنشر نظام أمان قائم على نموذج Zero Trust (الثقة المعدومة). وعلى الرغم من ذلك، يمكن لأي شخص تحديد عدة مبادئ رئيسية يمكنها المساعدة في إنشاء نظام كهذا.

استخدام سطح الحماية بدلاً من سطح الهجوم

ينطوي عادة مفهوم Zero Trust (الثقة المعدومة) على “سطح الحماية” الذي يتضمن كل شيء يتعين على المؤسسة حمايته من الوصول غير المصرَّح به مثل: البيانات السرية ومكونات البنية الأساسية وما إلى ذلك. ويكون سطح الحماية أصغر بكثير من سطح الهجوم الذي يتضمن جميع أصول البنية الأساسية وعملياتها وعناصرها الفاعلة التي قد تنطوي على تهديدات. ولذلك، يصبح ضمان أمان سطح الحماية أسهل من تقليل سطح الهجوم إلى صفر.

التجزئة الدقيقة

بخلاف النهج التقليدي الذي يوفر الحماية لمحيط الأمان الخارجي، يقسّم نموذج Zero Trust (الثقة المعدومة) البنية الأساسية للشركات وموارد الشركات الأخرى إلى عُقد صغيرة يمكن أن تتكون من جهاز واحد أو تطبيق واحد. وينتج عن ذلك التقسيم كميات هائلة من محيطات الأمان متناهية الصِغر ولكل منها سياسات الأمان وأذونات الوصول مما يتيح المرونة في إدارة الوصول وتمكين الشركات من حظر الانتشار الذي لا يمكن التحكم فيه للتهديد داخل الشبكة.

مبدأ بأقل امتيازات

يتم منح كل مستخدم الامتيازات المطلوبة لتنفيذ مهامه فقط. وبالتالي، سيؤدي اختراق حساب مستخدم فردي إلى خرق في جزء فقط من البنية الأساسية.

المصادقة

ينص مبدأ Zero Trust (الثقة المعدومة) على أنه يجب التعامل مع أية محاولة للحصول على إمكانية الوصول إلى معلومات الشركات كتهديد محتمل حتى يثبُت عكس ذلك. ولذلك وفي كل جلسة، يجب أن يجتاز كل مستخدم وجهاز وتطبيق إجراء المصادقة ويثبت أن لديه حق الوصول إلى البيانات المتاحة.

التحكم الكامل

بالنسبة لتنفيذ نموذج Zero Trust (الثقة المعدومة) من أجل تفعيله، يجب أن يتمتع فريق تكنولوجيا المعلومات بالقدرة على التحكم في كل جهاز وتطبيق خاص بالعمل. ويُعد تسجيل المعلومات المتعلقة بكل حدث بشأن نقاط النهاية ومكونات البنية الأساسية الأخرى، وتحليلها من الأمور الأساسية أيضًا.

مزايا نموذج Zero Trust (الثقة المعدومة)

بالإضافة إلى إزالة الحاجة لحماية محيط الأمان الذي يتزايد عدم وضوحه مع تزايد تنقل الأعمال التجارية، يقدم نموذج Zero Trust (الثقة المعدومة) حلولاً لبعض المشكلات الأخرى. وعند إجراء كل عملية تحديدًا يتم فيها فحص العنصر الفاعل وإعادة فحصه باستمرار، يمكن أن تتكيف الشركات بسهولة أكبر مع التغييرات، على سبيل المثال من خلال إزالة امتيازات وصول الموظفين الذين تركوا العمل بالشركة أو تعديل امتيازات الموظفين الذين خضعت مسؤولياتهم للتغيير.

التحديات المتمثلة في تنفيذ نموذج Zero Trust (الثقة المعدومة)

يمكن أن يثبت الانتقال إلى Zero Trust (الثقة المعدومة) إجراء عملية طويلة ومليئة بالصعوبات بالنسبة لبعض المؤسسات. وإذا كان الموظفون يستخدمون معدات المكتب والأجهزة الشخصية معًا للعمل، فيجب حصر جميع المعدات ويلزم وضع سياسات الشركات بشأن الأجهزة اللازمة للعمل ويتعين حظر وصول بعض الموظفين إلى موارد الشركة. وبالنسبة للشركات الكبيرة التي تنتشر فروعها في عدة مدن وبلدان، فستستغرق العملية بعض الوقت.

لا تتكيف جميع الأنظمة جيدًا وبشكل مماثل مع الانتقال إلى Zero Trust (الثقة المعدومة). وإذا كانت شركتك على سبيل المثال تتمتع ببنية أساسية معقدة، فقد تتضمن أجهزة أو برامج قديمة لا يمكنها دعم معايير الأمان الحالية. وسيستغرق استبدال هذه الأنظمة وقتًا ويتطلب مالاً.

قد لا يكون الموظفون لديك، ومنهم الأفراد العاملون في فِرق تكنولوجيا المعلومات وأمن المعلومات، مستعدين لتغيير إطار العمل. وفي النهاية، فإنهم سيتحملون مسؤولية التحكم في الوصول إلى البنية الأساسية وإدارتها.

يعني ذلك في حالات كثيرة أن الشركات قد تحتاج إلى وضع خطة انتقال تدريجي إلى نموذج Zero Trust (الثقة المعدومة). فعلى سبيل المثال، استغرقت شركة Google سبع سنوات لإنشاء إطار عمل BeyondCorp قائم على نموذج Zero Trust (الثقة المعدومة). وبالطبع، يمكن أن تستغرق الشركات التي لديها فروع أقل وقتًا أقل بكثير، ولكن يجب ألا تتوقع أنه يمكن تقليل الوقت اللازم لإجراء العملية بحيث يصل إلى أسبوعين أو حتى شهرين.

Zero Trust (الثقة المعدومة)، أمان المستقبل

بالتالي، فإن الانتقال من محيط الأمان التقليدي إلى ضمان سطح حماية في إطار عمل Zero Trust (الثقة المعدومة)، حتى مع افتراض استخدام التكنولوجيا المتاحة، قد لا يزال مشروعًا ليس بسيطًا أو سريعًا سواء من الناحية الهندسية أو من ناحية تغيير عقلية الموظف. ومع ذلك، سيضمن أن الشركة تحقق استفادة من خفض نفقات أمن المعلومات، وكذلك الحد من عدد الحوادث والأضرار المترتبة عليها.