الشركات والمؤسسات
احم شركتك من مجرمي الإنترنت.
شغل النسخة المجانيةمبدأ انعدام الثقة هو إطار أمن حديث يستبعد الثقة الضمنية، ويطلب أن يتم التحقق من كل المستخدمين البشريين والأجهزة بشكل مستمر وواضح ويحد من الوصول لأنظمة وبيانات الشبكة بشكل صارم. عوضاً عن التركيز على مكان تسجيل دخول المستخدم، يركز مبدأ انعدام الثقة على من يقوم بتسجيل الدخول.
يقوم مبدأ انعدام الثقة على ثلاثة مبادئ محورية.
افتراض الاختراق. على الرغم من وجود أفضل دفاعات الأمن، ستحدث عمليات الاختراق في نهاية المطاف. حيث يمكن أن يتعرض أي مستخدم في شبكتك (بشري أو جهاز) إلى عملية اختراق الآن. اتخذ التدابير اللازمة للحد من "نصف قطر الانفجار" على سبيل المثال تقسيم الشبكات، والتأكد من التشفير الطرفي، واستخدام تحليلات ذكية للتعرف على التهديدات المحتملة.
التحقق بوضوح. يجب أن يثبت كل البشر والأجهزة هويتهم التي يزعمونها قبل أن يتمكنوا من الوصول لشبكة منظمتنا وكل الأنظمة والتطبيقات والبيانات المضمنة داخلها.
التأكد من الحد الأدنى من الامتياز. فور تسجيل الدخول إلى الشبكة، يجب أن يحصل المستخدمين على الحد الأدنى من الوصول للشبكة والذي يحتاجون إليه للقيام بوظائفهم، وليس أكثر من ذلك. ودائماً ما تتضمن عمليات النشر التي تستخدم مبدأ انعدام الثقة تحكماً في الوصول قائماً على الأدوار (RBAC) معوصول بالحد الأدنى من الامتيازات.
يعمل مبدأ انعدام الثقة عبر استبعاد الثقة الضمنية. جرت العادة على أن تثق شبكات الأمن ضمنياً في كل المستخدمين والأجهزة داخل محيط الشبكة. وقد كان هذا الأمر يعمل بصورة جيدة عندما كانت عناصر الشبكة والمستخدمين متمركزين داخل المقر بشكل حصري. ولكن بفضل الانتشار السريع لتبني الحوسبة السحابية والعمل عن بُعد المتزايد حديثاً، لم يعد هناك أي وجود "لمحيط الشبكة". وتستخدم الأغلبية العظمى من المنظمات في الوقت الحالي بيئات بيانات مختلطة تتألف من سحابات "خاصة" داخل المقر وعلى الأقل سحابة واحدة عامة، ويتصل المستخدمون بالموارد التنظيمية من أي مكان وكل مكان.
حتى بعد مصادقة المستخدمين والسماح لهم بدخول الشبكة، لن يتم منحهم سلطة حرة، حيث إنه يمكن أن يتم اختراق أي مستخدم. ويتم التحقق من الهوية والجهاز بينما يتحرك المستخدم داخل الشبكة، ويستطيع كل مستخدم الوصول فقط إلى الموارد التي يحتاج إليها للقيام بعمله.
في نموذج الأمن القائم على مبدأ انعدام الثقة، يكتمل الوصول بالحد الأدنى من الامتيازات والتحكم في الوصول القائم على الأدوار بتقسيم الشبكة، ويتضمن ذلك "التصنيف الدقيق" لأصول البيانات الحساسة بشكل خاص. وتكمن الفكرة وراء ذلك في أنه بينما لا يوجد للشبكة ككل محيط، إلا أنه يجب فصلها إلى شرائح أصغر من أجل أحمال العمل والبيانات، ويكون لدى كل شريحة أدوات التحكم في الدخول والخروج الخاصة بها. ومن أحد حالات الاستخدام الشائعة للتقسيم الدقيق بمبدأ انعدام الثقة هو فصل البيانات التنظيمية مثل بيانات ضرائب الموظف ومعلومات الصحة المحمية عن البيانات غير التنظيمية.
عبر الحد من مستويات الوصول للشبكة، والتجزئة التجزئة الدقيقة للشبكات، والتحكم بصرامة في عدد المستخدمين المميزين، يحد مبدأ انعدام الثقة من قدرة ممثلي التهديد على اختراق الأنظمة والبيانات الحساسة.
يضم مبدأ انعدام الثقة عالماً من المزايا، ولهذا تتبناه العديد من المنظمات.
تتمثل أحد أكبر تحديثات تنفيذ استراتيجية أمن قائمة على مبدأ انعدام الثقة في عدم وجود معايير تنفيذ عالمية. فتتحول العديد من المنظمات إلى العملية المكونة من سبع خطوات الموجودة في منشورات المعهد الوطني للمعايير والتقنية الخاصة رقم 800-207:
ويشمل هذا المستخدمين من الأشخاص والهويات غير البشرية، مثل حسابات الخدمة. ويذكر المعهد الوطني للمعايير والتقنية أن المستخدمين المتميزين، بما في ذلك مسؤولي تكنولوجيا المعلومات والمطورين، يحتاجون إلى أمن خاص، حيث إن هؤلاء المستخدمين لديهم وصول غير مقيد للموارد الرقمية. وفي إطار انعدام الثقة، يجب أن تكون حتى الحسابات المتميزة ذات حد أدنى من الامتيازات، ويجب مراقبة نشاط الحساب وتسجيله.
تحديد وإدارة كل الأصول المتصلة بالشبكة التنظيمية هو مفتاح النشر الناجح لمبدأ انعدام الثقة، ويشمل هذا:
يعترف المعهد الوطني للمعايير والتقنية أن مخزون الأصول الشامل قد لا يكون ممكناً، لذا يجب على المنظمات ضمان أنها تستطيع "التعرف بسرعة على الأصول المكتشفة حديثاً والموجودة في البنية التحتية المملوكة للمؤسسة وتصنيفها وتقييمها."
فضلاً عن فهرسة الأصول تتضمن هذه الخطوة إدارة ومراقبة للتهيئة، حيث إن القدرة على مراقبة الحالة الحالية للأصل هي جزء من عملية المصادقة القائمة على مبدأ انعدام الثقة.
تحديد وتصنيف وتقييم مخاطر عمليات الأعمال وتدفق البيانات بمنظمتك، بما في ذلك أهميتها لمهمة منظمتك. وسيساعد ذلك في تقديم معلومات عن العمليات التي تعتبر مرشحة أولية جيدة لنشر مبدأ انعدام الثقة. يوصي المعهد الوطني للمعايير والتقنية بالبدء بعمليات تستند إلى موارد قائمة على السحابة و/أو يستخدمها عاملون عن بُعد، حيث ستولد هذه العمليات التحسينات الأمنية الفورية على النحو الأكبر.
هذه تكملة للخطوة رقم 3. بعد التعرف على أصل أو مسار عمل للترحيل إلى مبدأ انعدام الثقة، لتحديد كل موارد المراحل التمهيدية والمراحل النهائية التي تستخدمها أو تؤثر عليها الأصول أو مسار العمل. ويساعد هذا في إنهاء ترحيل "مرشحي" مبدأ انعدام الثقة الأوليين ويضمن تطبيق الحد الأدنى من التميز والسياسات الأخرى لتحقيق أقصى مستوى من الأمن من دون إعاقة مسار العمل.
توجد العديد من الحلول التي تمتثل مع مبدأ انعدام الثقة في السوق، ولكن لن تكون كلها مناسبة لاحتياجات بيئة البيانات والأعمال الخاصة بك. يوصي المعهد الوطني للمعايير والتقنية بأخذ ما يلي في الاعتبار عند اختيار أدوات انعدام الثقة:
هل يتطلب الحل تثبيت العناصر على أصل العميل؟ قد يحد هذا من عمليات الأعمال.
هل يعمل الحل في الحالات التي تكون موارد عمليات الأعمال متاحة في أماكن العمل؟ تفترض بعض الحلول أن الموارد المطلوبة موجودة في السحابة (ما يُطلق عليه حركة المرور بين الشمال والجنوب) وليس بداخل محيط مؤسسة ما (مرور بين الشرق والغرب). ويشكل ذلك مشكلة في البيئات السحابية المختلطة، حيث قد يتم تشغيل تطبيقات سلسلة الأعمال القديمة التي تقوم بالوظائف الحيوية في أماكن العمل بسبب عدم إمكانية ترحيلها إلى السحابة.
هل يوفر الحل طرقاً لتسجيل المعاملات لأغراض التحليل؟ تستند قرارات الوصول في مبدأ انعدام الثقة بشكل أساسي إلى جمع واستخدام البيانات المتعلقة بمسار العمليات.
هل يوفر الحل دعماً واسعاً للتطبيقات والخدمات والبروتوكولات المختلفة؟ قد تدعم بعض الحلول نطاقاً واسعاً من البروتوكولات (SSH، ويب، وما إلى ذلك) وعمليات النقل (IPv4 وIPv6) ولكن قد تعمل الحلول الأخرى فقط مع الويب والبريد الإلكتروني.
هل يتطلب الحل تغييرات على مسارات العمل الحالية؟ قد تتطلب بعض الحلول خطوات إضافية لأداء مسار العمل المطلوب، وهو ما قد يتطلب إجراء المنظمة لتغييرات في مسار العمل.
يوصي المعهد الوطني للمعايير والتقنية أن تفكر المؤسسات في تنفيذ مبدأ انعدام الثقة بشكل مبدئي في "نمط المراقبة" لتتأكد فرق تكنولوجيا المعلومات والأمن من أن السياسات والعمليات فعالة وقابلة للتطبيق. فضلاً عن ذلك، فور إنشاء خط أساس نشاط المستخدم والشبكة، ستتمكن فرق الأمن من تحديد السلوك غير الطبيعي الموجود بشكل أفضل.
بعد الإطلاق الأولي لانعدام الثقة، يحين وقت ترحيل المجموعة التالية من المرشحين. وهذه خطوة مستمرة؛ أينما حدث تغييرات لبيئة بيانات أو مسارات عمل المنظمة، يجب إعادة تقييم بنية انعدام الثقة وتعديلها وفقاً لذلك.
يختلف مبدأ انعدام الثقة وأسلوب صفر المعرفة عن بعضهما البعض ولكنهما مفهومَان متكاملَان. فإذا كان شعار مبدأ انعدام الثقة هو "عدم الوثوق بأي شخص"، فإن شعار أسلوب صفر المعرفة هو "لا يوجد لدينا أي معرفة ببياناتك، حيث إنه لا يوجد لدينا أي طريقة للوصول إليها."
يضمن مبدأ انعدام الثقة أن المستخدمين الذين تم مصادقتهم فقط هم من يستطيعون الوصول إلى موارد وبيانات الشبكة عبر المراقبة والتحقق المستمرين لتمتع المستخدمين والأجهزة بالسمات والمميزات الصحيحة.
يستخدم مبدأ انعدام الثقة تشفيراً فريداً وإطار فصل بيانات يمنع مقدمي خدمات تكنولوجيا المعلومات من الحصول على أي معرفة بما هو مخزن على خوادمهم. إن Keeper مقدم أمن ببنية صفر المعرفة وتم تصميم كل منتجاتنا باستخدام بنية صفر المعرفة، ويعني ذلك:
يدعم أسلوب صفر المعرفة مبدأ انعدام الثقة عبر الحد من "نصف قطر الانفجار" في عمليات اختراق البيانات عن بُعد. وفي الحالة غير المحتمل حدوثها بأن يتم اختراق Keeper، لن تتمكن الجهات القائمة بالتهديد من الوصول إلى محتويات خزائن عملائنا تماماً – حيث إننا أنفسنا لا نستطيع الوصول إليها!