هل يمكنك الوثوق بانعدام الثقة؟

الثقة هي نقطة ضعف. يتم استبدال حماية محيط الشبكة والثقة بالمستخدمين المصادق عليهم بنموذج جديد حيث لا تثق بأي شيء وتتحقق من كل شيء. مرحبًا بك في Zero Trust.

القلاع والخنادق

تم تشبيه نموذج الأمن السيبراني التقليدي بالقلعة والخندق. يمكنك إحضار جميع الأصول القيمة الخاصة بك داخل الجدران المحصنة ، ويمكنك تنظيم الوصول باستخدام Portcullis وجسر متحرك وخندق.

إذا أراد شخص ما دخول القلعة ، فعليه إجراء محادثة مع الحراس في البوابة. إذا تم التعرف على الفرد على أنه شخص يجب السماح له بالدخول ، فسيتم إنزال الجسر المتحرك ، ورفع البوابة ، ويسمح لهم بالدخول.إذا لم يتم التعرف عليهم ولكنهم يمتلكون قسيمة رمزية لهم ، مثل التمرير الذي يحمل التوقيع والختم الرسمي لأحد النبلاء الموثوق بهم ، فسيُسمح لهم بالدخول. ويُترك شخص مجهول ليس لديه وسيلة للتعريف عن نفسه بالخارج.

مع الشبكة ، لديك أصول الشبكة الثمينة داخل جدران الحماية والتحصينات الرقمية الأخرى. لا يُسمح بالاتصالات بالشبكة إلا بعد محادثة بين الجهاز الذي يريد الاتصال وخدمات المصادقة الخاصة بالشبكة. يجب أن يسافر زوج المعرف وكلمة المرور بينهما. إذا تم قبول بيانات الاعتماد ، يتم منح الوصول ويسمح لها داخل المحيط. من الواضح أن محيطك اليوم قد امتد ليشمل أصولك السحابية.

قد يكون لدى الشخص الذي اعترفت به للتو أوراق اعتماد حسنة النية ، ولكن ربما لا يزال لديه نية ضارة. وهم الآن يديرون القلعة. او الشبكة

مع Zero Trust ، لا تقوم بالمصادقة مرة واحدة ثم تثق طوال مدة الاتصال.مبدأ الثقة المعدومة المصقول هو "لا تثق أبدًا ، تحقق دائمًا". وتستمر في التحقق حتى عندما يُسمح للزائر - بغض النظر عن عدد مرات زيارته - داخل محيطك.

الثقة الصفرية

الثقة الصفرية تعتبر بشكل عام أنها قد ولدت في عام 2010 عندما ألقى جون كيندرفاغ محاضرة في مؤتمر وأصدر بعد ذلك سلسلة من الأوراق.

المفهوم الأساسي لـ Zero Trust هو أنه لا ينبغي للمؤسسات أبدًا أن تثق تلقائيًا في أي شيء داخل الشبكة أو خارجها. أي ، لا تثق تلقائيًا في شخص يحاول الدخول ، ولا تثق في أي شخص لمجرد وجوده بالداخل. Zero Trust مبني على التكنولوجيا والطوبولوجيا والحوكمة. العديد من التقنيات موجودة منذ فترة طويلة.

الاعتبار الأول هو تعريف المستخدم والمصادقة. إنها أعمق من معرف وكلمة مرور قوية. المصادقة متعددة العوامل (MFA) هي القاعدة. يمكن أيضًا استخدام المصادقة بدون كلمة مرور باستخدام معايير مثل FIDO2.ويتضمن التعريف أيضًا الجهاز الذي يصل المستخدم إلى الشبكة منه. هل هو جهاز الشركة المعتاد ، من داخل الشبكة؟ هل هو جهاز كمبيوتر محمول خاص بالشركات من خارج المحيط؟ أم أنه جهاز شخصي؟ هل عنوان IP الذي يتصل به من عنوان تمت رؤيته من قبل؟

تدخل حوكمة تكنولوجيا المعلومات هنا. أنت تحدد السلوك الذي ستسمح به. هل يمكن لشخص ما استخدام جهاز شخصي من خارج الشبكة ، أو من داخل الشبكة فقط ، أم لا؟ أو ربما يمكن للموظفين استخدامها داخل الشبكة لكنها مقصورة على الوصول للقراءة فقط.

معًا ، يتم منح المستخدم والجهاز قيمة ، مثل درجة الأمان. إنها تملي ما يمكن لجلسة المستخدم هذه ، وفقًا لدور وامتيازات المستخدم ومعرفة الشركة وخبرتها وثقتها في الجهاز. إذا كان الجهاز عبارة عن جهاز حوسبة مشهور مدرج في سجل أصول تكنولوجيا المعلومات وكان نظام التشغيل محدثًا وكانت حماية نقطة النهاية تحتوي على أحدث التوقيعات ، فسيتم التعامل معها بشكل مختلف تمامًا عن جهاز لوحي شخصي غير معروف متصل من عنوان IP غير مرئي حتى الآن.

الاعتبار الثاني هو تصميم الشبكة. تشبه طوبولوجيا الشبكة المسطحة مكتبًا مفتوحًا. يمكن لأي شخص أن يبتعد في أي مكان. من السهل جدًا اجتياز الشبكة المسطحة واستكشافها. سيوفر تجزئة الشبكة - حتى إلى نقطة التجزئة الدقيقة - باستخدام محولات الجيل التالي وجدران الحماية ضوابط وصول دقيقة لتقييد الوصول إلى البيانات أو الأصول الحساسة أو القيمة. فقط هؤلاء المستخدمون الذين لديهم حقوق وصول شرعية - وجهاز تم التحقق منه - سيكونون قادرين على الوصول إلى قطاعات الشبكة المختلفة.

الاعتبار الثالث هو التحكم على مستوى التطبيق. من يمكنه الوصول إلى البرامج والخدمات المختلفة الموجودة على شبكتك؟ استنادًا إلى شريحة الشبكة التي يتم استضافة التطبيق فيها ، ودرجة المستخدم والجهاز ، يمكنك منح أو إزالة الإذن للمستخدمين لتشغيل أو استخدام حزم برامج معينة.

مع Zero Trust ، فأنت توفر عناصر تحكم وحماية أقرب ما يكون إلى الأصل الذي تحميه قدر الإمكان. أنت تصمم شبكتك ومتطلبات التجزئة والحماية الخاصة بها من الداخل إلى الخارج وليس من الخارج إلى الداخل.

البرامج التجارية متاحة لتسهيل تحقيق هذا المستوى من التحكم الدقيق ومصادقة المستخدم والجهاز. توفر هذه التقارير والمراقبة والتنبيهات التي لا تقدر بثمن والتي يمكن تخصيصها للرد على الأحداث والمحفزات المختلفة مثل نوع جهاز الجهاز ومستوى البرنامج الثابت وإصدارات نظام التشغيل ومستويات التصحيح واكتشافات الحوادث الأمنية.

تنفيذ الثقة الصفرية

إن تطبيق Zero Trust Architecture (ZTA) على شبكة الشركة الحالية هو أفضل ما يمكن تحقيقه من خلال إدخالها على مراحل كجزء من إستراتيجية التحول الرقمي الشاملة الخاصة بك. لن تنتهي محاولة تعديل ZTA بالكامل على نمط ضخم لشبكة الشركة الحالية بشكل جيد.

الفرصة المثالية هي عندما تخطط للترحيل إلى السحابة. يمكنك عرض السحابة كموقع جديد وتنفيذ طبقات ZTA قبل نقل خط العمليات التجارية إلى السحابة.

فهم شبكتك وأصولك وتدفق البيانات

ضع خريطة لشبكتك بدقة. يتضمن الهيكل الحالي وجميع الأجهزة المتصلة بالشبكة. سيتطلب هذا مرحلة اكتشاف الأصول. هناك أدوات برمجية يمكن أن تساعدك في ذلك ، ولكنها عادة ما تتضمن بعض المشي على الأرض ، والتسلق في غرف الخوادم والخزائن ، والزحف أسفل المكاتب. لا تنس الأصول الموجودة في منازل الموظفين.

تحتاج أيضًا إلى فهم البيانات والتطبيقات والخدمات التي يصل إليها مستخدمو الأجهزة.

أنت الآن في وضع يمكنك من خلاله إجراء تحليل للمخاطر. إذا كان لا يمكن التخفيف من المخاطر باستخدام ZTA ، فقد تحتاج إلى الاحتفاظ ببعض عناصر التحكم في الأمان الموجودة لديك حتى تتمكن من إعادة تنظيم سير العمل أو الهيكل بطريقة تسمح لـ ZTA بتوفير حماية كافية عند تنفيذ المراحل اللاحقة من التحول الرقمي.

بناء من الهوية إلى الخارج

هناك مقولة مفادها أنه مع انعدام الثقة ، الهوية هي المحيط الجديد. لذلك يجب إدارة الهوية والتحكم فيها بشكل آمن. يجب اتباع مبادئ الحد الأدنى من الإذن حتى يحصل المستخدم على الأذونات التي يحتاجها لأداء دوره وليس أكثر. يجب على المستخدمين عدم مشاركة بيانات اعتماد الحساب مطلقًا.

سيوفر نظام إدارة الهوية والوصول (IAM) المتوافق مع الخدمات الداخلية والخارجية مصدرًا واحدًا مركزيًا وآمنًا للتحقق من الهوية. قد يكون نظام IAM الذي يمكنه الاتحاد مع الأنظمة الخارجية التي تستخدمها الجهات الخارجية التي قد تحتاج إلى الوصول إلى شبكتك بشكل دوري مفيدًا لك.

يجب تخصيص هويات التطبيقات والأجهزة - بما في ذلك أجهزة إنترنت الأشياء - مع الحد الأدنى من الامتيازات المطلوبة لتشغيلها. يمكن للتطبيقات والخدمات استخدام المصادقة القائمة على الشهادة للسماح بالاتصالات مع الأنظمة الأساسية للبرامج الأخرى ، على سبيل المثال.

الاستفادة من المعلومات الصحية

سيتم استخدام هوية الجهاز مع محادثات التحدي والاستجابة فيما يتعلق بالحالة الأمنية للجهاز - بما في ذلك حالة التصحيح للتطبيقات ونظام التشغيل ، ووجود وحالة حماية نقطة النهاية - وهوية المستخدم لتحديد ما يُسمح للجهاز بفعله. يمكن فرض تحديات أعمق على الجهاز ، والتحقق من عناصر مثل إصدار البرنامج الثابت وعملية تمهيد الجهاز.

يمكن أيضًا منح المستخدم المرتبط بالجهاز درجة صحية. هل يتصلون من عنوان IP غير معروف يشير إلى شذوذ جغرافي؟ هل يحاولون الاتصال في الثالثة صباحًا؟

ستحدد القواعد والسياسات التي تنشئها داخل منصة إدارة Zero Trust ما يمكن للمستخدم فعله.

الثقة هي ثغرة

في شبكات أمان الثقة المعدومة ، يعتبر كل شيء معاديًا ويجب مصادقة جميع الاتصالات التي تصل إلى البيانات أو الخدمات. يتم التحكم في وصول المستخدم باستخدام مصادقة متعددة العوامل أو أنظمة تعتمد على كلمة مرور بدون كلمة مرور ونظام إدارة الهوية والوصول.

سيتم طلب مصادقة إضافية عندما يريد المستخدم الوصول إلى بيانات حساسة أو قيمة أو أصول أخرى. لكن هذا لا يعني أن تجربة المستخدم يجب أن تكون سيئة. في الواقع ، مع وجود مفتاح مادي أو نظام قائم على fob ، يمكن أن يتحسن بالفعل.

يمكن للخدمات والتطبيقات المصادقة عبر مكالمات API أو باستخدام البنية التحتية للمفتاح العام.

حماية الأجهزة والمستخدمين والخدمات

الثقة الصفرية تعني عدم الثقة بأي شيء ، ولا حتى شبكتك الخاصة. تحتاج أجهزتك إلى الحماية من التهديدات التي قد تكون موجودة داخل شبكتك الخاصة. ستظل بحاجة إلى استخدام برنامج حماية نقطة النهاية للدفاع ضد الفيروسات والبرامج الضارة الأخرى ، ويجب استخدام البروتوكولات المصادق عليها والمشفرة مثل بروتوكول أمان طبقة النقل (TLS) للوصول إلى خدمات الشبكة الأساسية مثل خدمة اسم المجال (DNS)

يجب أن تستمر النظافة الإلكترونية الأساسية مثل مراقبة الشبكة للأجهزة غير المصرح بها أو السلوك الذي لا يمكن تفسيره ، ويجب الحفاظ على أنظمة التصحيح الأمني.

نظرًا لأنك استثمرت جهدًا لتعيين شبكتك وتحديد الأجهزة والتطبيقات والخدمات التي سيطلب المستخدمون الوصول إليها ، يمكن أن تستخدم مراقبة Zero Trust هذه المعلومات للكشف عن محاولات انتهاك القواعد التي وضعتها المكان.

استخدام العروض التجارية والمعايير

استخدم البرامج والخدمات والأنظمة الأساسية ومقدمي الخدمات الذين يدعمون Zero Trust بالفعل. يجب تجنب محاولة بناء البنية التحتية الداعمة الخاصة بك بسبب التكلفة والتعقيد واحتمال حدوث خطأ.

شعار الأمن السيبراني القياسي المتمثل في استخدام الأدوات والمنتجات والخدمات التي صممها وطورها متخصصون متخصصون صحيح.

كلما أمكن ، استخدم الحلول القائمة على المعايير. ستحصل على إمكانية تشغيل تفاعلي أسهل بين الأجهزة والخدمات ، كما أنه يبسط الاتحاد بين الأنظمة الخارجية التي قد ترغب في الاتصال والتفاعل معها ، مثل تلك التي يوفرها موفر الخدمات السحابية.