نموذج أمان الثقة الصفرية
يصف نموذج أمان الثقة الصفرية أو نموذج أمان انعدام الثقة (بالإنجليزية: zero trust security model) المعروف أيضًا بهندسة الثقة الصفرية، وكذلك بهندسة شبكة الثقة الصفرية، (بالإنجليزية: zero trust architecture ، zero trust network architecture، ZTA, ZTNA) والمعروف أحيانًا باسم أمان بلا حدود ، يصف هذا النموذج نهجًا لتصميم وتنفيذ أنظمة المعلومات.
المفهوم الرئيسي وراء أمان الثقة الصفرية هو أنه لا ينبغي الوثوق افتراضيًا بأي شخص أو جهاز أو نظام داخل الشبكة أو خارجها ، حتى لو كانت الأجهزة متصلة بشبكة شركة مُدارة مثل الشبكة المحلية الخاصة بالشركة وحتى إذا تم التحقق منها مسبقًا. في معظم بيئات المؤسسات الحديثة، تتكون شبكات الشركات من العديد من القطاعات المترابطة، والخدمات المستندة إلى الحوسبة السحابية والبنية التحتية، والاتصالات ببيئات الحوسبة البعيدة والمتنقلة، والوصلات المتزايدة بتكنولوجيا المعلومات غير التقليدية، مثل أجهزة إنترنت الأشياء.
النهج التقليدي للثقة في الأجهزة داخل محيط الشركة الافتراضي، أو الأجهزة المتصلة بها عبر شبكة خاصة افتراضية، يكون أقل منطقية في مثل هذه البيئات كثيرة التنوع والموزعة. بدلاً من ذلك ، يدعو نهج انعدام الثقة إلى المصادقة المتبادلة ، بما في ذلك التحقق من هوية وسلامة الأجهزة بغض النظر عن الموقع، وتوفير الوصول إلى التطبيقات والخدمات بناءً على الثقة في هوية الجهاز وصحة الجهاز بالإضافة إلى مصادقة المستخدم.[1]
أصولها
[عدل]العديد من المفاهيم التي تدعم الثقة الصفرية ليست جديدة. جون كيندرفاج ، محلل صناعي لدى شركة فوريستر(Forrester) عمم أو أشاع مصطلح «الثقة الصفرية» ولكن تمت صياغته قبل أبريل 1994 من قبل ستيفن بول مارش من خلال أطروحة الدكتوراه الخاصة به حول الأمن الحاسوبي في جامعة ستيرلنغ. كان عمل مارش دراسة شاملة للثقة كشيء محدود يمكن وصفه في بناء رياضي بدلاً من مجرد مواجهة أو ظاهرة إنسانية بحتة. علاوة على ذلك، أكد مارش أن مفهوم الثقة يتجاوز العوامل البشرية مثل الأخلاق والقيم والشرعية والعدالة والحكم. توقع مارش أن الثقة الصفرية فاقت عدم الثقة عندما يتعلق الأمر بتأمين أنظمة الحوسبة والتطبيقات والشبكات.[2]
تم تسليط الضوء على تحديات تحديد المحيط لأنظمة تكنولوجيا المعلومات الخاصة بالمؤسسة من خلال منتدى أريحا في عام 2003 ، حيث ناقش اتجاه ما تم صياغته بعد ذلك في إلغاء تحديد المحيط. في عام 2009، ثبتت شركة جوجل بنية ذات ثقة صفرية عُرفت باسم بيوند كورب[3] (BeyondCorp) ، وهي جزء مستلهم من مشروع مفتوح المصدر للتحكم في الوصول. ساعدت تقارير كيندرفاج وتحليلها في بلورة مفاهيم الثقة الصفرية عبر مجتمعات تكنولوجيا المعلومات. ومع ذلك ، سيستغرق الأمر ما يقرب من عقد من الزمان حتى تصبح هياكل الثقة الصفرية سائدة ، وذلك راجع جزئيا إلى اعتماد متزايد لخدمات الجوال والحوسبة السحابية.
بحلول منتصف عام 2014 ، صمم جينكلاوديو موريسي، وهو مهندس أمني سويسري، أول نظام يستخدم مبدأ سلسلة من جدران الحماية من أجل حماية أي عميل من فيروسات خطيرة جديدة (هجوم دون انتظار مع شبكة ذات ثقة صفرية). نُشر التصميم الجديد المستند إلى شبكة غير موثوق - غير موثوق في المعهد الفدرالي السويسري للملكية الفكرية في 20 فبراير 2015.
مع حلول عام 2019 ، أوصت الهيئة التقنية الوطنية في المملكة المتحدة، والمركز الوطني للأمن السيبراني ، بأن يأخذ مهندسو الشبكات في الاعتبار نهج الثقة الصفرية في عمليات نشر تكنولوجيا المعلومات الجديدة ، لا سيما عند التخطيط لاستخدام كبير للخدمات السحابية. ومع حلول عام 2020 ، كان لدى غالبية بائعي منصات تكنولوجيا المعلومات الرائدين ، فضلاً عن موفري الأمن السيبراني ، أمثلة موثقة جيدًا للهياكل أو الحلول ذات الثقة الصفرية. أدى هذا التعميم المتزايد بدوره إلى إنشاء مجموعة من تعريفات الثقة الصفرية ، والتي تتطلب مستوى من التوحيد القياسي من قبل السلطات المعترف بها مثل المركز الوطني للأمن السيبراني و المعهد الوطني للمعايير والتكنولوجيا الأمريكي.
تعريفات المبادئ
[عدل]منذ أواخر عام 2018 ، أدى العمل الذي قام به المعهد الوطني للمعايير والتكنولوجيا (NIST) والمركز الوطني للتميز في الأمن السيبراني (NCCoE) في الولايات المتحدة إلى إصدار خاص للمعهد الوطني للمعايير والتكنولوجيا[4][5] يُعرّف المنشور الثقة الصفرية على أنها مجموعة من المفاهيم والأفكار المصممة لتقليل الارتياب في تطبيق قرارات الوصول الدقيقة حسب الطلب في أنظمة وخدمات المعلومات عند مواجهة شبكة تعتبر معرضة للخطر.
بنية الثقة الصفرية هي خطة أمان إلكتروني للمؤسسة تستخدم مفاهيم انعدام الثقة وتشمل علاقات المكونات وتخطيط سير العمل وسياسات الوصول. لذلك، فإن المؤسسة الخالية من الثقة هي البنية التحتية للشبكة (المادية والافتراضية) والسياسات التشغيلية المطبقة لمؤسسة كمنتج لخطة بنية خالية من الثقة.
يتم اتباع نهج بديل ولكنه متسق بواسطة المركز الوطني للأمن السيبراني[6]، في تحديد المبادئ الأساسية وراء هياكل الثقة الصفرية:
اعتماد مصدر واحد قوي لهوية المستخدم
مصادقة المستخدم
مصادقة الجهاز
سياق إضافي، مثل الامتثال للسياسة وصحة الجهاز
سياسات التفويض للوصول إلى التطبيق
سياسات التحكم في الوصول داخل التطبيق
المراجع
[عدل]- ^ "Mutual TLS: Securing Microservices in Service Mesh". The New Stack (بالإنجليزية الأمريكية). 1 Feb 2021. Archived from the original on 2021-03-13. Retrieved 2021-04-22.
- ^ "Stephen Marsh". scholar.google.co.uk. مؤرشف من الأصل في 2018-12-01. اطلع عليه بتاريخ 2021-04-22.
- ^ "BeyondCorp: A New Approach to Enterprise Security | USENIX". www.usenix.org. مؤرشف من الأصل في 2020-12-02. اطلع عليه بتاريخ 2021-04-22.
- ^ "Zero Trust Architecture | NCCoE". www.nccoe.nist.gov. مؤرشف من الأصل في 2021-04-22. اطلع عليه بتاريخ 2021-04-22.
- ^ https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf نسخة محفوظة 2021-04-21 على موقع واي باك مشين.
- ^ "Network architectures". www.ncsc.gov.uk (بالإنجليزية). Archived from the original on 2021-01-21. Retrieved 2021-04-22.