الثقة الصفرية هي إطار عمل يفترض أن كل اتصال ونقطة نهاية تشكل تهديدات، سواء على المستوى الخارجي أو الداخلي ضمن أمن شبكة الشركة. فهي تمكّن الشركات من بناء استراتيجية شاملة لتكنولوجيا المعلومات لتلبية الاحتياجات الأمنية لبيئة السحابة الهجينة. تنفذ الثقة الصفرية الحماية التكيّفية والمستمرة، وتوفر القدرة على إدارة التهديدات بشكل استباقي.

بعبارة أخرى، لا يثق هذا النهج أبدًا في المستخدمين أو الأجهزة أو الاتصالات لأي معاملات وسيتحقق من كل ذلك لكل معاملة على حدة. يسمح ذلك للشركات بالحصول على الأمان والرؤية عبر أعمالها بالكامل وفرض سياسات أمنية متسقة، مما يؤدي إلى اكتشاف التهديدات والاستجابة لها بشكل أسرع.

بدأت الثقة الصفرية في مبادرة "BeyondCorp" التي طورتها Google في عام 2010. كان هدف المبادرة هو تأمين الوصول إلى الموارد استناداً إلى الهوية والسياق، والابتعاد عن النموذج الأمني التقليدي القائم على المحيط الخارجي. وقد سمحت هذه الاستراتيجية لشركة Google بتزويد الموظفين بإمكانية الوصول الآمن إلى تطبيقات الشركة وبياناتها من أي مكان، باستخدام أي جهاز، دون الحاجة إلى شبكة افتراضية خاصة (VPN).

في عام 2014، صاغ John Kindervag المحلل في Forrester Research مفهوم ”الثقة الصفرية“ لوصف هذا النموذج الأمني الجديد في تقرير بعنوان "نموذج الثقة الصفرية لأمن المعلومات". واقترح نموذجًا أمنيًا جديدًا يفترض أنه لا يمكن الوثوق بأي شخص—سواء كان داخل شبكة المؤسسة أو خارجها—دون التحقق من ذلك. حدد التقرير نموذج الثقة الصفرية بناءً على مبدأين أساسيين: "لا تثق أبدًا، تحقق دائمًا".

يُفترض أن جميع المستخدمين والأجهزة والتطبيقات غير موثوق بها ويجب التحقق منها قبل منحها حق الوصول إلى الموارد. يعني مبدأ الامتيازات الصغرى أن كل مستخدم أو جهاز يُمنح الحد الأدنى من مستوى الوصول المطلوب لأداء وظيفته، ولا يُمنح الوصول إلا على أساس الحاجة إلى المعرفة.

ومنذ ذلك الحين، استمر مفهوم الثقة الصفرية في اكتساب الزخم، حيث تبنت العديد من المؤسسات بنيته لحماية أصولها الرقمية بشكل أفضل من التهديدات الإلكترونية. وهو يشمل مختلف المبادئ والتقنيات الأمنية التي يتم نشرها لتعزيز الأمن وتقليل مخاطر الاختراقات الأمنية.

• الثقة الصفرية القائمة على الهوية: يستند هذا النموذج إلى مبدأ التحقق الصارم من الهوية، حيث تتم المصادقة على كل مستخدم أو جهاز وتخويله قبل الوصول إلى أي موارد. يعتمد على المصادقة متعددة العوامل وضوابط الوصول ومبادئ الامتيازات الأقل.
• الثقة الصفرية القائمة على الشبكة: يركز هذا على تأمين محيط الشبكة من خلال تجزئة الشبكة إلى شرائح أصغر. يهدف إلى تقليل سطح الهجوم من خلال تقييد نطاق الوصول إلى موارد محددة للمستخدمين المصرح لهم فقط. يستخدم هذا النموذج تقنيات مثل جدران الحماية وشبكات VPN وأنظمة كشف التسلل ومنعه.
• الثقة الصفرية القائمة على البيانات: يهدف هذا النموذج إلى حماية البيانات الحساسة من خلال تشفيرها وتقييد الوصول إلى المستخدمين المصرح لهم. وهو يستخدم تصنيف البيانات ووضع العلامات عليها ومنع فقدان البيانات وتقنيات التشفير لحماية البيانات في حالة السكون وأثناء النقل والاستخدام.
• الثقة الصفرية القائمة على التطبيقات: يركز على تأمين التطبيقات والبيانات المرتبطة بها. يفترض أن جميع التطبيقات غير موثوق بها ويجب التحقق منها قبل الوصول إلى البيانات الحساسة. يستخدم عناصر تحكم على مستوى التطبيق—مثل الحماية في وقت التشغيل والحاويات—للحماية من الهجمات مثل حقن التعليمات البرمجية والبرمجيات الخبيثة.
• الثقة الصفرية القائمة على الأجهزة: يؤمّن هذا النموذج الأجهزة نفسها (مثل الهواتف الذكية وأجهزة الكمبيوتر المحمولة وأجهزة إنترنت الأشياء). يفترض أنه يمكن اختراق الأجهزة ويجب التحقق منها قبل الوصول إلى البيانات الحساسة. وهو يستخدم عناصر تحكم أمنية على مستوى الجهاز، مثل حماية نقطة النهاية وتشفير الجهاز وقدرات المسح عن بُعد.

تم تصميم هذه النماذج لتعمل معًا لإنشاء بنية ثقة صفرية شاملة يمكن أن تساعد المؤسسات على تقليل سطح الهجوم، وتحسين وضعها الأمني وتقليل مخاطر الاختراقات الأمنية. ومع ذلك، من المهم ملاحظة أن الأنواع المحددة لنماذج أمن الثقة الصفرية وتطبيقها قد تختلف باختلاف حجم المؤسسة ومجال عملها واحتياجاتها الأمنية المحددة.

أصبحت الثقة الصفرية نهجًا شائعًا للأمن الإلكتروني الحديث. وقد تبنته العديد من المؤسسات لمواجهة التهديد المتزايد للهجمات الإلكترونية واختراقات البيانات في عالم اليوم المعقد والمترابط. ونتيجة لذلك، قام العديد من مورّدي التكنولوجيا بتطوير منتجات وخدمات مصممة خصيصاً لدعم البنى التي لا تعتمد على الثقة الصفرية.

هناك أيضًا العديد من أطر العمل والمعايير التي يمكن للمؤسسات استخدامها لتطبيق مبادئ أمن الثقة الصفرية في استراتيجيات الأمن الإلكتروني الخاصة بها بتوجيه من المعهد الوطني الأمريكي للمعايير والتقنية (NIST).

NIST هو وكالة حكومية غير تنظيمية في وزارة التجارة الأمريكية، تهدف إلى مساعدة الشركات على فهم مخاطر الأمن الإلكتروني وإدارتها والحد منها بشكل أفضل لحماية الشبكات والبيانات. لقد نشرت دليلين شاملين موصى بهما بشدة حول الثقة الصفرية:

NIST SP 800-207، بنية الثقة الصفرية

كان NIST SP 800-207، بنية الثقة الصفرية (الرابط موجود خارج ibm.com) أول منشور يؤسس لبنية الثقة الصفرية. وهو يقدم تعريفاً للثقة الصفرية كمجموعة من المبادئ التوجيهية (بدلاً من تقنيات وتطبيقات محددة) ويتضمن أمثلة على بنى الثقة الصفرية.

يؤكد NIST SP 800-207 على أهمية المراقبة المستمرة واتخاذ القرارات التكيّفية القائمة على المخاطر. يوصون بتنفيذ بنية الثقة الصفرية مع الركائز السبع للثقة الصفرية (المعروفة تقليديًا باسم المبادئ السبعة للثقة الصفرية)

الركائز السبع للثقة الصفرية

1. تعتبر جميع مصادر البيانات وخدمات الحوسبة موارد.
2. يتم تأمين جميع الاتصالات بغض النظر عن موقع الشبكة.
3. يتم منح الوصول إلى موارد المؤسسة الفردية على أساس كل جلسة.
4. يتم تحديد الوصول إلى الموارد من خلال سياسة ديناميكية—بما في ذلك الحالة التي يمكن ملاحظتها لهوية العميل والتطبيق/الخدمة والأصل الطالب—وقد تتضمن سمات سلوكية وبيئية أخرى.
5. تقوم المؤسسة بمراقبة وقياس السلامة والوضع الأمني لجميع الأصول المملوكة والمرتبطة بها.
6. جميع مصادقات الموارد وتخويلها ديناميكية ومطبقة بصرامة قبل السماح بالوصول.
7. تجمع المؤسسة أكبر قدر ممكن من المعلومات حول الوضع الحالي للأصول والبنية التحتية للشبكة والاتصالات وتستخدمها لتحسين وضعها الأمني.

بشكل عام، يشجع NIST SP 800-207 على اتباع نهج شامل للثقة الصفرية يستند إلى مبادئ الامتيازات الأقل والتجزئة الدقيقة والمراقبة المستمرة، مما يشجع المؤسسات على تنفيذ نهج أمني متعدد الطبقات يتضمن تقنيات وضوابط متعددة للحماية من التهديدات.

NIST SP 1800-35B، تنفيذ بنية الثقة الصفرية

NIST SP 1800-35B، تنفيذ بنية الثقة الصفرية (الرابط موجود خارج موقع ibm.com) هو المنشور الآخر الموصى به بشدة من NIST ويتألف من موضوعين رئيسيين:

1. تحديات أمن تكنولوجيا المعلومات للقطاعين الخاص والعام.
2. إرشادات "الكيفية" لتنفيذ بنية الثقة الصفرية في بيئات المؤسسات وسير العمل باستخدام أساليب قائمة على المعايير باستخدام التكنولوجيا المتاحة تجارياً.

يربط المنشور التحديات الأمنية لتكنولوجيا المعلومات (التي تنطبق على القطاعين العام والخاص) بمبادئ ومكونات بنية الثقة الصفرية بحيث يمكن للمؤسسات أولاً تشخيص احتياجاتها بشكل صحيح. يمكنهم بعد ذلك اعتماد مبادئ ومكونات بنية الثقة الصفرية لتلبية احتياجات مؤسستهم. ولذلك، فإن NIST SP 1800-35B لا يحدد أنواعًا معينة من نماذج الثقة الصفرية.

يستفيد NIST من التطوير التكراري للبنى الأربع للثقة الصفرية التي نفذوها، مما يتيح لهم السهولة والمرونة في إجراء تحسينات تدريجية والاستمرارية في إطار عمل الثقة الصفرية مع تطورها بمرور الوقت.

إن بنيات الثقة الصفرية الأربعة التي نفذتها NIST هي كما يلي:

1. النشر المستند إلى وكيل/بوابة الجهاز.
2. نشر قائم على النطاق الآمن.
3. النشر المستند إلى مدخل الموارد.
4. آلية تحديد الوصول لتطبيق الجهاز.

لدى NIST شراكات استراتيجية مع العديد من مؤسسات التكنولوجيا (مثل IBM) التي تتعاون للبقاء في صدارة هذه التغييرات والتهديدات الناشئة.

ويتيح هذا التعاون لشركة IBM تحديد أولويات التطوير لضمان توافق الحلول التقنية مع التعاليم والمبادئ السبعة للثقة الصفرية وتأمين وحماية أنظمة وبيانات عملاء IBM.

تعرف على المزيد عن أهمية الثقة الفرية في تقرير IBM لعام 2022 عن تكلفة اختراق أمن البيانات أو تواصل مباشرةً مع أحد خبراء الثقة الصفرية في IBM.

• تنفيذ استراتيجية الثقة الصفرية لنقل ملفاتك
• التدريب على مبادئ الثقة الصفرية من IBM Security
• NIST SP 800-207، بنية الثقة الصفرية (الرابط موجود خارج ibm.com)
• منشور NIST الخاص (SP) 1800-35B، تنفيذ بنية الثقة الصفرية (الرابط موجود خارج ibm.com)