مع اعتياد المزيد من الموظفين على بيئات العمل المختلطة في أعقاب جائحة Covid-19، تحولت الشركات إلى بنية الثقة الصفرية (zero-trust architecture) لمنع المستخدمين غير المصرح لهم. في الواقع، تُظهر الأبحاث أن 80% من المؤسسات لديها خطط لتبني استراتيجية أمان الثقة الصفرية في عام 2022.
ومع ذلك، فقد تم استخدام مصطلح الثقة الصفرية zero-trust كثيرًا من قبل موردي المنتجات لوصف الحلول الأمنية، وأصبح مصطلحًا رنانًا إلى حد ما، مع تعريف غامض.
"الثقة الصفرية ليست مجرد منتج أو خدمة- إنها عقلية، في أبسط أشكالها، لا تتعلق بالثقة في أي أجهزة- أو مستخدمين- افتراضيًا، حتى لو كانوا داخل شبكة الشركة"، كما تقول سونيا دوفين Sonya Duffin محلل فيريتاس تكنولوجيز .
توضح دوفين أن الكثير من الالتباس حول التعريف يأتي نتيجة قيام البائعين "بإنتاج المصطلح"، مما يجعل "الشركات تعتقد أن بياناتها آمنة لأنها نفذت منتج 'الثقة الصفرية'، في حين أنها في الواقع لا تزال ضعيف للغاية".
تثبيت الثقة الصفرية كمفهوم
يمكن تتبع الاستخدام الأول لمصطلح الثقة الصفرية منذ عام 1994 من قبل ستيفن بول مارش كجزء من أطروحة الدكتوراه، لكنه بدأ بالفعل في اكتساب القوة في عام 2010، عندما تحدى جون كيندفاغ المحلل في شركة Forrester Research مفهوم الثقة التلقائية داخل شبكة المحيط.
بدلاً من ذلك، جادل Kindervag بأنه لا ينبغي للمؤسسات أن تثق تلقائيًا في الاتصالات التي تجريها الأجهزة في الشبكة، ولكن يجب أن تتحقق بشكل استباقي من جميع الطلبات المقدمة من الأجهزة والمستخدمين قبل منحهم حق الوصول إلى الموارد المحمية.
كان الأساس المنطقي وراء ذلك هو منع الجهات الفاعلة في مجال التهديد الخبيث داخل الشبكة من إساءة استخدام الثقة التلقائية للوصول إلى المعلومات الحساسة من خلال خطوات تحقق إضافية.
ومن الجدير بالذكر أن هذا المفهوم قد تطور أكثر في عام 2014 عندما أصدرت Google تطبيقها الخاص لنموذج أمان الثقة الصفري المسمى BeyondCorp. صممت Google مبادرة BeyondCorp لتمكين الموظفين من العمل من شبكات غير موثوق بها دون استخدام VPN، باستخدام المصادقة المستندة إلى المستخدم والجهاز للتحقق من الوصول.
واليوم، لا يزال السوق الأمني الصفري العالمي في حالة نمو مستمر، حيث يتوقع الباحثون أن السوق سيزداد من تقييم قدره 19.6 مليار دولار في عام 2020 ليصل إلى تقييم 51.6 مليار دولار بحلول عام 2026.
لماذا تهتم ببنية الثقة الصفرية؟
أحد الأسباب الرئيسية التي تدفع المؤسسات إلى تطبيق بنية الثقة الصفرية هو تحسين الرؤية عبر بيئات السحابة المحلية والهجينة.
أبلغت المؤسسات الناضجة التي لا تمتلك ثقة كبيرة أنها تتمتع بإمكانية رؤية شاملة لحركة المرور عبر بيئتها بمقدار 4.3 مرات، ومن المرجح أن تتمتع برؤية شاملة لحركة المرور عبر جميع أنواع بنيات التطبيقات بخمس مرات.
تعتبر هذه الرؤية ذات قيمة كبيرة لأنها توفر للمنظمات الشفافية اللازمة لتحديد واحتواء الحوادث الأمنية في أقصر وقت ممكن
والنتيجة النهائية هي وقت تعطل أقل لفترات طويلة بسبب الضرر التشغيلي، وخصوم امتثال أقل بشكل عام.
الثقة الصفرية اليوم: عقلية "افتراض الانتهاك"
على مدى السنوات القليلة الماضية، بدأ مفهوم بنية الثقة الصفرية في التطور أيضًا حيث تحولت الشركات إلى عقلية "افتراض الانتهاك"، وتتوقع بشكل أساسي أن يجد المجرم الماهر نقطة دخول إلى البيئة حتى مع وجود تدابير المصادقة المعمول بها .
وفقًا لنموذج الثقة الصفري التقليدي، تفترض المؤسسات أن كل مستخدم أو جهاز ضار حتى يثبت العكس من خلال عملية المصادقة. يذهب تجزئة الثقة الصفرية خطوة إلى الأمام من خلال عزل أعباء العمل والأجهزة بحيث إذا نجح الفرد في تجاوز هذه العملية، فإن تأثير الانتهاك يكون محدودًا.
قال أندرو روبين الرئيس التنفيذي والشريك المؤسس من Illumio:
ومع ذلك، فقد تم استخدام مصطلح الثقة الصفرية zero-trust كثيرًا من قبل موردي المنتجات لوصف الحلول الأمنية، وأصبح مصطلحًا رنانًا إلى حد ما، مع تعريف غامض.
"الثقة الصفرية ليست مجرد منتج أو خدمة- إنها عقلية، في أبسط أشكالها، لا تتعلق بالثقة في أي أجهزة- أو مستخدمين- افتراضيًا، حتى لو كانوا داخل شبكة الشركة"، كما تقول سونيا دوفين Sonya Duffin محلل فيريتاس تكنولوجيز .
توضح دوفين أن الكثير من الالتباس حول التعريف يأتي نتيجة قيام البائعين "بإنتاج المصطلح"، مما يجعل "الشركات تعتقد أن بياناتها آمنة لأنها نفذت منتج 'الثقة الصفرية'، في حين أنها في الواقع لا تزال ضعيف للغاية".
تثبيت الثقة الصفرية كمفهوم
يمكن تتبع الاستخدام الأول لمصطلح الثقة الصفرية منذ عام 1994 من قبل ستيفن بول مارش كجزء من أطروحة الدكتوراه، لكنه بدأ بالفعل في اكتساب القوة في عام 2010، عندما تحدى جون كيندفاغ المحلل في شركة Forrester Research مفهوم الثقة التلقائية داخل شبكة المحيط.
بدلاً من ذلك، جادل Kindervag بأنه لا ينبغي للمؤسسات أن تثق تلقائيًا في الاتصالات التي تجريها الأجهزة في الشبكة، ولكن يجب أن تتحقق بشكل استباقي من جميع الطلبات المقدمة من الأجهزة والمستخدمين قبل منحهم حق الوصول إلى الموارد المحمية.
كان الأساس المنطقي وراء ذلك هو منع الجهات الفاعلة في مجال التهديد الخبيث داخل الشبكة من إساءة استخدام الثقة التلقائية للوصول إلى المعلومات الحساسة من خلال خطوات تحقق إضافية.
ومن الجدير بالذكر أن هذا المفهوم قد تطور أكثر في عام 2014 عندما أصدرت Google تطبيقها الخاص لنموذج أمان الثقة الصفري المسمى BeyondCorp. صممت Google مبادرة BeyondCorp لتمكين الموظفين من العمل من شبكات غير موثوق بها دون استخدام VPN، باستخدام المصادقة المستندة إلى المستخدم والجهاز للتحقق من الوصول.
واليوم، لا يزال السوق الأمني الصفري العالمي في حالة نمو مستمر، حيث يتوقع الباحثون أن السوق سيزداد من تقييم قدره 19.6 مليار دولار في عام 2020 ليصل إلى تقييم 51.6 مليار دولار بحلول عام 2026.
لماذا تهتم ببنية الثقة الصفرية؟
أحد الأسباب الرئيسية التي تدفع المؤسسات إلى تطبيق بنية الثقة الصفرية هو تحسين الرؤية عبر بيئات السحابة المحلية والهجينة.
أبلغت المؤسسات الناضجة التي لا تمتلك ثقة كبيرة أنها تتمتع بإمكانية رؤية شاملة لحركة المرور عبر بيئتها بمقدار 4.3 مرات، ومن المرجح أن تتمتع برؤية شاملة لحركة المرور عبر جميع أنواع بنيات التطبيقات بخمس مرات.
تعتبر هذه الرؤية ذات قيمة كبيرة لأنها توفر للمنظمات الشفافية اللازمة لتحديد واحتواء الحوادث الأمنية في أقصر وقت ممكن
والنتيجة النهائية هي وقت تعطل أقل لفترات طويلة بسبب الضرر التشغيلي، وخصوم امتثال أقل بشكل عام.
الثقة الصفرية اليوم: عقلية "افتراض الانتهاك"
على مدى السنوات القليلة الماضية، بدأ مفهوم بنية الثقة الصفرية في التطور أيضًا حيث تحولت الشركات إلى عقلية "افتراض الانتهاك"، وتتوقع بشكل أساسي أن يجد المجرم الماهر نقطة دخول إلى البيئة حتى مع وجود تدابير المصادقة المعمول بها .
وفقًا لنموذج الثقة الصفري التقليدي، تفترض المؤسسات أن كل مستخدم أو جهاز ضار حتى يثبت العكس من خلال عملية المصادقة. يذهب تجزئة الثقة الصفرية خطوة إلى الأمام من خلال عزل أعباء العمل والأجهزة بحيث إذا نجح الفرد في تجاوز هذه العملية، فإن تأثير الانتهاك يكون محدودًا.
قال أندرو روبين الرئيس التنفيذي والشريك المؤسس من Illumio:
"Zero Trust Segmentation (ZTS) هو نهج أمان حديث يوقف انتشار الاختراقات وبرامج الفدية والهجمات الأخرى عن طريق عزل أعباء العمل والأجهزة عبر سطح الهجوم المختلط بالكامل - من السحابة إلى مراكز البيانات إلى نقاط النهاية".
وهذا يعني أن "المؤسسات يمكنها بسهولة فهم أعباء العمل والأجهزة التي تتواصل مع بعضها البعض وإنشاء سياسات تقصر الاتصال على ما هو ضروري ومطلوب فقط"
ويشير روبن إلى أنه يمكن بعد ذلك فرض هذه السياسات تلقائيًا لعزل البيئة في حالة حدوث خرق.
تنفيذ تجزئة الثقة الصفرية
يعتمد تجزئة الثقة الصفرية على مفهوم تجزئة الشبكة التقليدية عن طريق إنشاء محيطات صغيرة داخل شبكة لعزل أصول البيانات الهامة.
يقول David Holmes المحلل في Forrester: "مع التقسيم، يتم تجميع أعباء العمل ونقاط النهاية التي يُسمح لها صراحة بالاتصال معًا إما في مقطع شبكة أو مجموعة منطقية يتم فرضها بواسطة ضوابط الشبكة أو الأمان".
قال هولمز: "في مستوى عالٍ من عدم الثقة في التجزئة، يعزل الموارد الهامة بحيث إذا تم اختراق الشبكة، فلن يتمكن المهاجم من الوصول. على سبيل المثال، إذا تمكن أحد المهاجمين من الحصول على وصول مبدئي إلى شبكة مؤسسة ونشر برامج الفدية، فيمكن أن يؤدي التقسيم الصفري للثقة إلى إيقاف انتشار الهجوم داخليًا، مما يقلل من مقدار وقت التوقف عن العمل وفقدان البيانات مع تقليل نفوذ المهاجم للحصول على فدية".
يوضح هولمز أنه يمكن للمؤسسات أن تبدأ في تنفيذ التجزئة بسياسات تنص على أن شبكة التطوير لا ينبغي أبدًا أن تكون قادرة على الوصول إلى قطاع الإنتاج مباشرة، أو أن التطبيق A يمكنه الاتصال بقاعدة البيانات X، ولكن ليس Y.
ستساعد سياسات التجزئة على ضمان أنه في حالة إصابة المضيف أو تعرضه للخطر، ستظل الحادثة محتواة داخل جزء صغير من الشبكة.
هذا هو السبب الرئيسي وراء قيام المؤسسات التي تبنت تجزئة الثقة الصفرية كجزء من إستراتيجيتها للثقة الصفرية في توفير ما متوسطه 20.1 مليون دولار في وقت تعطل التطبيق وتجنب 5 كوارث إلكترونية في السنة.
وهذا يعني أن "المؤسسات يمكنها بسهولة فهم أعباء العمل والأجهزة التي تتواصل مع بعضها البعض وإنشاء سياسات تقصر الاتصال على ما هو ضروري ومطلوب فقط"
ويشير روبن إلى أنه يمكن بعد ذلك فرض هذه السياسات تلقائيًا لعزل البيئة في حالة حدوث خرق.
تنفيذ تجزئة الثقة الصفرية
يعتمد تجزئة الثقة الصفرية على مفهوم تجزئة الشبكة التقليدية عن طريق إنشاء محيطات صغيرة داخل شبكة لعزل أصول البيانات الهامة.
يقول David Holmes المحلل في Forrester: "مع التقسيم، يتم تجميع أعباء العمل ونقاط النهاية التي يُسمح لها صراحة بالاتصال معًا إما في مقطع شبكة أو مجموعة منطقية يتم فرضها بواسطة ضوابط الشبكة أو الأمان".
قال هولمز: "في مستوى عالٍ من عدم الثقة في التجزئة، يعزل الموارد الهامة بحيث إذا تم اختراق الشبكة، فلن يتمكن المهاجم من الوصول. على سبيل المثال، إذا تمكن أحد المهاجمين من الحصول على وصول مبدئي إلى شبكة مؤسسة ونشر برامج الفدية، فيمكن أن يؤدي التقسيم الصفري للثقة إلى إيقاف انتشار الهجوم داخليًا، مما يقلل من مقدار وقت التوقف عن العمل وفقدان البيانات مع تقليل نفوذ المهاجم للحصول على فدية".
يوضح هولمز أنه يمكن للمؤسسات أن تبدأ في تنفيذ التجزئة بسياسات تنص على أن شبكة التطوير لا ينبغي أبدًا أن تكون قادرة على الوصول إلى قطاع الإنتاج مباشرة، أو أن التطبيق A يمكنه الاتصال بقاعدة البيانات X، ولكن ليس Y.
ستساعد سياسات التجزئة على ضمان أنه في حالة إصابة المضيف أو تعرضه للخطر، ستظل الحادثة محتواة داخل جزء صغير من الشبكة.
هذا هو السبب الرئيسي وراء قيام المؤسسات التي تبنت تجزئة الثقة الصفرية كجزء من إستراتيجيتها للثقة الصفرية في توفير ما متوسطه 20.1 مليون دولار في وقت تعطل التطبيق وتجنب 5 كوارث إلكترونية في السنة.
كيفية تنفيذ بنية الثقة الصفرية
بالنسبة للمؤسسات التي تتطلع إلى تنفيذ بنية ثقة صفرية حقيقية، هناك عدد من أطر العمل التي يمكن استخدامها من إطار عمل النظام البيئي لشركة Forrester's ZTX إلى NIST و BeyondCorp من Google.
بغض النظر عن تنفيذ الثقة الصفرية الذي تنشره المؤسسة، هناك خياران رئيسيان للتنفيذ؛ باليد أو عن طريق الحلول الآلية. يوصي هولمز بمجموعتين من الحلول الآلية للمؤسسات لتنفيذ الثقة الصفرية.
في المجموعة الأولى من الحلول المؤتمتة توجد حلول تعتمد على البنية التحتية الأساسية مثل النشر المتجانس لمفاتيح شبكة بائع واحد، مثل Cisco وأروبا (على الرغم من أنها لا تعمل بشكل جيد في الشبكات الحديثة المختلطة).
تعتمد المجموعة الثانية على البرامج المضيفة المثبتة على كل كمبيوتر في مشروع التجزئة، وهذه الحلول تجرد التجزئة بعيدًا عن طوبولوجيا الشبكة مع البائعين بما في ذلك Illumio و Guardicore.
على الرغم من أن هولمز يلاحظ أن تجاوز الثقة الصفرية لتنفيذ تنفيذ الثقة الصفرية يمكن أن يكون صعبًا للغاية. لهذا السبب، يحث الشركات على اختيار حل آلي والتخطيط لنشر انعدام الثقة بدقة، لدرجة الإفراط في التخطيط لتجنب أي اضطراب غير متوقع.
قبل كل شيء، يعتمد نجاح أو فشل تنفيذ الثقة الصفرية على ما إذا كان الوصول الآمن سهل الاستخدام للموظفين، أو يمثل عقبة أمام إنتاجيتهم.
