الدرس الاول: المقدمة
الثقة المعدومة أو الصفرية هي طريقة بناء للأنظمة السيبرانية بحيث ان الثقة الموروثة في الشبكة المحلية (اعتبار كل شيء في الشبكة الداخلية موثوق) تم إزالتها وتم اعتبار الشبكة ككل عدائية بحيث أن كل طلب يجب أن يتم التحقق منه ويخضع لسياسة الوصول المقيدة بشكل كبير. المفاهيم التي سنشرحها هنا تستخدم لمراجعة معمارية الثقة المعدومة من أجل تحقيق متطلبات المؤسسة الخاصة حين تقرر تبني هذه المعمارية. العديد من الشركات ومزودي الخدمات والمصادر المفتوحة اليوم يوفرون حلول وخدمات تطبق مفاهيم الثقة الصفرية وما سنتطرق له هنا هدفه مساعدتكم على إختيار أفضل الحلول المتوفرة لتخدم متطلبات مؤسساتكم وشركاتكم في رحلتها نحو التحقيق الكامل لمعمارية الثقة الصفرية.
هذا الدليل موجه إلى الأشخاص المسؤولين عن تنفيذ سياسة الثقة المعدومة في مؤسساتهم في القطاع العام والخاص. يجدر الاشارة الى ان مفهوم الثقة المعدومة او الصفرية هو ليس جهاز او سوفتوير تقوم بشرائه وتنصيبه وينتهي الامر وانما هو ثقافة كاملة ويحتاج تغيير كامل سياسة المؤسسة وإجراءاتها وبالتأكيد يستعين بمجموعة انظمة برمجية ومعدات لتحقيق ذلك الغرض.
المفاهيم الثمانية الرئيسية الواجب توفيرها لبدء رحلة التحول نحو معمارية الثقة الصفرية:
1- اعرف معماريتك وما يرتبط بها من مستخدمين وأجهزة وخدمات وبيانات: فمن اجل الاستفادة من هذا النموذج لإدارة الأنظمة السيبرانية، يجب ان تعرف كل شيء عن كل مكونات معمارية منظومتك الالكترونية. وهذا سيسمح لك بتحديد أين تقع الموارد الرئيسية والمخاطر الكبرى التي تهدد معماريتك وتجنب تأخير ترقيع المنظومة وأجزائها القديمة التي لا تدعم هذه المعمارية.
2- اعرف هويات اجهزتك وخدماتك ومستخدميك: الهويات هنا يمكن أن تمثل مستخدم (انسان) أو خدمة (عملية برمجية) او جهاز. وكل منها يجب أن تعرف بمعرف فريد في المعمارية ذات الثقة المعدومة وهذا يعتبر احد اهم العوامل في تحديد فيما اذا كان شخص ما او شيء ما يجب ان يعطي قابلية الوصول إلى مورد ما او لا.
3- قيم سلوك مستخدميك وصحة اجهزتك وخدماتك: السلوك الطبيعي للمستخدمين وصحة الأجهزة والخدمات (تقديمها للخدمة بشكل صحيح) تعتبر معايير مهمة يجب ان تؤخذ بنظر الاعتبار عند تأسيس مستويات الثقة والامنية للنظام مما يجعلها اشارات مهمة لآليات وضع وفرض السياسات في المؤسسة. لذا تعتبر قابلية قياس سلامة سلوك المستخدمين وصحة الاجهزة والخدمات عامل رئيسي ومهم في معمارية الثقة الصفرية.
4- استخدم السياسات لمنح التصاريح للطلبات: كل طلب لبيانات او خدمات يجب أن يقيم بناءاً على سياسة محددة ومكتوبة. قوة معمارية الثقة الصفرية تأني من سياسات الوصول التي تقوم بتعريفها في البداية. السياسات يمكن ان تساعد في تسهيل عملية ادارة المخاطر عند مشاركة البيانات او الخدمات مع المستخدمين الزائرين (المؤقتين) او المؤسسات الشريكة. (ملاحظة: امن المعلومات بأختصار هو عملية ادارة المخاطر لتحقيق مفاهيم السرية والتكامل والتوافرية). يعتبر محرك السياسات (policy engine) هو العنصر الاساسي في معمارية الثقة الصفرية الذي يستخدم عدة اشارات (ادخالات) لتوفير الية تحكم بالوصول مرنة وامنة تتكيف مع الموارد التي يتم طلبها.
5- المصادقة والتفويض في كل مكان: يجب أن تأخذ قرارات المصادقة والتفويض بعين الاعتبار إشارات متعددة، مثل موقع الجهاز وصحة الجهاز وهوية المستخدم وحالته لتقييم المخاطر المرتبطة
بطلب الوصول. نقوم بذلك لأننا نفترض أن الشبكة معادية ونريد التأكد من مصادقة وترخيص جميع الاتصالات التي تصل إلى بياناتك أو خدماتك.
6- ركز مراقبتك على المستخدمين والأجهزة والخدمات: في معمارية عدم الثقة، من المحتمل جدًا أن تتغير إستراتيجية المراقبة الخاصة بك للتركيز على المستخدمين والأجهزة والخدمات. ستساعدك مراقبة هذه الأجهزة والخدمات وسلوكيات المستخدمين في إثبات صحتهم. يجب أن ترتبط المراقبة بالسياسات التي قمت بتعيينها للحصول على تأكيد في اعداداتها.
7- لا تثق في أي شبكة، بما في ذلك شبكتك الخاصة أو المحلية: لا تثق في أي شبكة بين الجهاز والخدمة التي يصل إليها، بما في ذلك الشبكة المحلية. يجب أن تستخدم الاتصالات عبر الشبكة، للوصول إلى البيانات أو الخدمات، بروتوكول نقل آمن للحصول على ضمان أن حركة المرور الخاصة بك محمية أثناء النقل وأقل عرضة للتهديدات. تعمل بنية عدم الثقة على تغيير الطريقة التي يتم بها تنفيذ إجراءات حماية المستخدم التقليدية مثل تصفية مواقع الويب الضارة والحماية من التصيد الاحتيالي، وقد تحتاج إلى توفيرها بواسطة حلول مختلفة في معمارية عدم الثقة لديك.
8- اختر الخدمات المصممة لمعمارية عدم الثقة: قد لا تدعم الخدمات عدم الثقة وبالتالي قد تتطلب موارد إضافية لدمج وزيادة الدعم الزائد. في هذه السيناريوهات، قد يكون من الحكمة التفكير في المنتجات والخدمات البديلة التي تم تصميمها بدون أي ثقة. يتيح استخدام المنتجات التي تستخدم التقنيات القائمة على المعايير سهولة التكامل والتشغيل البيني بين الخدمات ومقدمي الهوية.
المصدر
الثقة المعدومة أو الصفرية هي طريقة بناء للأنظمة السيبرانية بحيث ان الثقة الموروثة في الشبكة المحلية (اعتبار كل شيء في الشبكة الداخلية موثوق) تم إزالتها وتم اعتبار الشبكة ككل عدائية بحيث أن كل طلب يجب أن يتم التحقق منه ويخضع لسياسة الوصول المقيدة بشكل كبير. المفاهيم التي سنشرحها هنا تستخدم لمراجعة معمارية الثقة المعدومة من أجل تحقيق متطلبات المؤسسة الخاصة حين تقرر تبني هذه المعمارية. العديد من الشركات ومزودي الخدمات والمصادر المفتوحة اليوم يوفرون حلول وخدمات تطبق مفاهيم الثقة الصفرية وما سنتطرق له هنا هدفه مساعدتكم على إختيار أفضل الحلول المتوفرة لتخدم متطلبات مؤسساتكم وشركاتكم في رحلتها نحو التحقيق الكامل لمعمارية الثقة الصفرية.
هذا الدليل موجه إلى الأشخاص المسؤولين عن تنفيذ سياسة الثقة المعدومة في مؤسساتهم في القطاع العام والخاص. يجدر الاشارة الى ان مفهوم الثقة المعدومة او الصفرية هو ليس جهاز او سوفتوير تقوم بشرائه وتنصيبه وينتهي الامر وانما هو ثقافة كاملة ويحتاج تغيير كامل سياسة المؤسسة وإجراءاتها وبالتأكيد يستعين بمجموعة انظمة برمجية ومعدات لتحقيق ذلك الغرض.
المفاهيم الثمانية الرئيسية الواجب توفيرها لبدء رحلة التحول نحو معمارية الثقة الصفرية:
1- اعرف معماريتك وما يرتبط بها من مستخدمين وأجهزة وخدمات وبيانات: فمن اجل الاستفادة من هذا النموذج لإدارة الأنظمة السيبرانية، يجب ان تعرف كل شيء عن كل مكونات معمارية منظومتك الالكترونية. وهذا سيسمح لك بتحديد أين تقع الموارد الرئيسية والمخاطر الكبرى التي تهدد معماريتك وتجنب تأخير ترقيع المنظومة وأجزائها القديمة التي لا تدعم هذه المعمارية.
2- اعرف هويات اجهزتك وخدماتك ومستخدميك: الهويات هنا يمكن أن تمثل مستخدم (انسان) أو خدمة (عملية برمجية) او جهاز. وكل منها يجب أن تعرف بمعرف فريد في المعمارية ذات الثقة المعدومة وهذا يعتبر احد اهم العوامل في تحديد فيما اذا كان شخص ما او شيء ما يجب ان يعطي قابلية الوصول إلى مورد ما او لا.
3- قيم سلوك مستخدميك وصحة اجهزتك وخدماتك: السلوك الطبيعي للمستخدمين وصحة الأجهزة والخدمات (تقديمها للخدمة بشكل صحيح) تعتبر معايير مهمة يجب ان تؤخذ بنظر الاعتبار عند تأسيس مستويات الثقة والامنية للنظام مما يجعلها اشارات مهمة لآليات وضع وفرض السياسات في المؤسسة. لذا تعتبر قابلية قياس سلامة سلوك المستخدمين وصحة الاجهزة والخدمات عامل رئيسي ومهم في معمارية الثقة الصفرية.
4- استخدم السياسات لمنح التصاريح للطلبات: كل طلب لبيانات او خدمات يجب أن يقيم بناءاً على سياسة محددة ومكتوبة. قوة معمارية الثقة الصفرية تأني من سياسات الوصول التي تقوم بتعريفها في البداية. السياسات يمكن ان تساعد في تسهيل عملية ادارة المخاطر عند مشاركة البيانات او الخدمات مع المستخدمين الزائرين (المؤقتين) او المؤسسات الشريكة. (ملاحظة: امن المعلومات بأختصار هو عملية ادارة المخاطر لتحقيق مفاهيم السرية والتكامل والتوافرية). يعتبر محرك السياسات (policy engine) هو العنصر الاساسي في معمارية الثقة الصفرية الذي يستخدم عدة اشارات (ادخالات) لتوفير الية تحكم بالوصول مرنة وامنة تتكيف مع الموارد التي يتم طلبها.
5- المصادقة والتفويض في كل مكان: يجب أن تأخذ قرارات المصادقة والتفويض بعين الاعتبار إشارات متعددة، مثل موقع الجهاز وصحة الجهاز وهوية المستخدم وحالته لتقييم المخاطر المرتبطة
بطلب الوصول. نقوم بذلك لأننا نفترض أن الشبكة معادية ونريد التأكد من مصادقة وترخيص جميع الاتصالات التي تصل إلى بياناتك أو خدماتك.
6- ركز مراقبتك على المستخدمين والأجهزة والخدمات: في معمارية عدم الثقة، من المحتمل جدًا أن تتغير إستراتيجية المراقبة الخاصة بك للتركيز على المستخدمين والأجهزة والخدمات. ستساعدك مراقبة هذه الأجهزة والخدمات وسلوكيات المستخدمين في إثبات صحتهم. يجب أن ترتبط المراقبة بالسياسات التي قمت بتعيينها للحصول على تأكيد في اعداداتها.
7- لا تثق في أي شبكة، بما في ذلك شبكتك الخاصة أو المحلية: لا تثق في أي شبكة بين الجهاز والخدمة التي يصل إليها، بما في ذلك الشبكة المحلية. يجب أن تستخدم الاتصالات عبر الشبكة، للوصول إلى البيانات أو الخدمات، بروتوكول نقل آمن للحصول على ضمان أن حركة المرور الخاصة بك محمية أثناء النقل وأقل عرضة للتهديدات. تعمل بنية عدم الثقة على تغيير الطريقة التي يتم بها تنفيذ إجراءات حماية المستخدم التقليدية مثل تصفية مواقع الويب الضارة والحماية من التصيد الاحتيالي، وقد تحتاج إلى توفيرها بواسطة حلول مختلفة في معمارية عدم الثقة لديك.
8- اختر الخدمات المصممة لمعمارية عدم الثقة: قد لا تدعم الخدمات عدم الثقة وبالتالي قد تتطلب موارد إضافية لدمج وزيادة الدعم الزائد. في هذه السيناريوهات، قد يكون من الحكمة التفكير في المنتجات والخدمات البديلة التي تم تصميمها بدون أي ثقة. يتيح استخدام المنتجات التي تستخدم التقنيات القائمة على المعايير سهولة التكامل والتشغيل البيني بين الخدمات ومقدمي الهوية.
المصدر
مواضيع مشابهة
اخر المواضيع