شرح قسم تكنولوجيا المعلومات: ما هو نموذج أمان الثقة المعدومة؟

-

يحتوي على روابط تابعة المزيد من المعلومات

هل سمعت يومًا عن نماذج Zero Trust في الأمن السيبراني و InfoSec؟ إن تقدم التقنيات والتغييرات في طريقة عملنا يعني أن تهديدات الأمن السيبراني تتقدم أيضًا ، ونحن نواجه تهديدات جديدة كل يوم. يمكن أن يأتوا من خارج المنظمة ، وكذلك من الداخل - على سبيل المثال ، إذا فتح أحد الموظفين بريدًا إلكترونيًا للتصيد الاحتيالي أو ترك الكمبيوتر المحمول مفتوحًا دون قفل ووصل إليه شخص بدون تصريح. لمكافحة الثغرات الأمنية التي يمكن أن تأتي من داخل وخارج المنظمة على حد سواء ، تتبنى الشركات نموذج أمان Zero Trust.

لا تثق في أحد

جوهر نهج Zero Trust (ZT) هو ذلك - لا تثق بأحد ، حتى لو كان موظفًا. في كل مرة يحاول شخص ما الوصول إلى شبكتك ، يجب عليك التحقق من أنه جدير بالثقة عبر معلومات في الوقت الفعلي من مصادر متعددة قبل منحه حق الوصول ، بغض النظر عن موقعه. الافتراض هو أن التهديدات موجودة داخل وخارج حدود الشبكة التقليدية ، وأن الخرق إما حتمي أو قد حدث بالفعل.

يتطلب نموذج ZT "الخرق المفترض" هذا من المستخدمين إثبات أنهم ليسوا مهاجمين. إذا تم تطبيقه بشكل صحيح ، فإنه يتغلغل في جميع جوانب البنية التحتية للمؤسسة ويسمح بتطبيق نهج الوصول المقيد على كل قرار وصول. للسماح أو رفض الوصول إلى موارد محددة ، يجب الإجابة على الأسئلة من وماذا ومتى وأين وكيف. يُعرف هذا باسم طريقة Kipling ويضمن السماح بحركة المرور المشروعة فقط عبر شبكتك.

أوضحت سياسة الثقة المعدومة "InfoSec Cybersecurity Woman" تشرح مفهوم الأمن رجل يتعلم السبورة
الصورة: هذه هندسة / Unsplash

المعهد الوطني للمعايير والتكنولوجيا بالولايات المتحدة الأمريكية (NIST) يوفر عدة مبادئأو مبادئ نموذج أمان الثقة الصفري المثالي. هم انهم:

  • جميع مصادر البيانات وخدمات الحوسبة هي موارد. قد يشمل ذلك أجهزة الكمبيوتر المحمولة الخاصة بالعمل وهواتف العمل والأجهزة الشخصية الخاصة بك إذا اعتمدت المنظمة مبدأ BYOD.
  • بغض النظر عن موقع الشبكة ، يتم تأمين جميع الاتصالات. حتى لو كنت داخل البنية التحتية للشبكة ، فإنك تخضع لنفس فحوصات الأمان مثل الأجهزة الأخرى.
  • يتم منح الوصول إلى موارد المؤسسة الفردية على أساس كل جلسة. سيتم منحك حق الوصول إلى مورد فقط للوقت اللازم لإكمال مهمة وامتيازات محددة فقط. لن يمنحك التفويض باستخدام مورد واحد حق الوصول إلى مورد آخر بشكل افتراضي.
  • يتم تحديد الوصول إلى الموارد من خلال السياسة ، مع مراعاة السمات السلوكية. تحدد السياسة الموارد والأعضاء ووصولهم إلى هذه الموارد ، بالإضافة إلى السمات المخصصة لهم.
  • تضمن المؤسسة أن جميع الأنظمة المملوكة والمرتبطة بها في أكثر حالة أمانًا ممكنة وتراقب الأنظمة للتأكد من بقائها كذلك. يتم تقييم المخاطر لكل أصل ، وتقوم المؤسسة بتشغيل التشخيصات و تخفيف المخاطر العمليات ، وذلك بفضل نظام المراقبة المعمول به.
  • جميع مصادقة الموارد والترخيص ديناميكي ويتم فرضها بصرامة
    قبل السماح بالوصول. إدارة الهوية وبيانات الاعتماد والوصول (ICAM) و إدارة الأصول الأنظمة الموجودة ، مما يساعد على إنشاء مستويات المصادقة للوصول إلى موارد محددة.
  • تجمع المؤسسة أكبر قدر ممكن من المعلومات حول الحالة الحالية للأصول والبنية التحتية للشبكة والاتصالات وتستخدمها لتحسين وضعها الأمني. يساعد جمع البيانات في اكتساب رؤى لتحسين وضع السياسات وإنفاذها.

التصميم وليس المنتج

Zero Trust ليس حلاً لتكنولوجيا المعلومات يمكن أن يقدمه بائع واحد في السوق. بدلاً من ذلك ، إنه نظام من مبادئ التصميم يجمع بين العديد من إجراءات أمان تكنولوجيا المعلومات بناءً على المبادئ المحددة التي نشير إليها أعلاه. ينص منشور NIST على أن هذه المبادئ حيادية من الناحية التقنية ، على سبيل المثال ، يمكن أن يتضمن معرف المستخدم "عدة عوامل مثل اسم المستخدم / كلمة المرور ، والشهادات ، وكلمة المرور لمرة واحدة."

مثير للاهتمام أيضًا: مخاطر InfoSec - كل هبة USB قد تكون خطرك

يجب على كل شخص مسؤول في مؤسسة ما فهم كيفية عمل ZT والالتزام بها. يجب أن تتخلل ZT كل جانب من جوانب عملياتها ، وخاصة تلك المتعلقة بالبيانات. هناك العديد من الاستراتيجيات التي يمكن استخدامها لتنفيذ ZT ، اعتمادًا على حجم وهيكل المنظمة وحساسية البيانات التي تتعامل معها ، من بين عوامل أخرى.

مزايا نموذج أمان الثقة المعدومة

إذا نفذت شركة ما نموذج ZT ، فقد تتمكن من اكتشاف التهديدات التي لم تأخذها في الاعتبار من قبل. سيساعد ذلك في تصميم الاستجابات للتهديدات ذات الصلة ، سواء كانت تأتي من تدفق البيانات أو الوصول غير المصرح به أو البرامج القديمة ، كما يمكن أن تساعد ZT في منع انتهاكات البيانات وتمكين التحكم بشكل أفضل في تدفق البيانات. في عصر القانون العام لحماية البيانات (GDPR) ، هذا مهم بشكل خاص. يمكن أن تساعد المراقبة الأمنية المستمرة في بيئة ZT على الاستجابة لعلامات التسرب أو التسريبات على الفور.

ثقة صفرية ، اقتباس
الصورة: Robynne Hu / Unsplash

إذا تم اختراق بيانات اعتماد المستخدم وكان الفاعل الضار يستخدمها على جهاز خارجي ، فستتمكن بيئة ZT من التقاط هذا الجهاز على أنه غير مصرح به ورفض الوصول. في حالات المؤسسات متعددة السحابة ، قد تكون السحابة المحددة خارج الشبكة المحلية للشركة. تضمن مبادئ ZT عدم وجود تمييز بين البنية التحتية للشبكة التي تملكها وتشغلها الشركة والبنية التحتية لمزود آخر. توصي إرشادات NIST's ZT بوضع نقاط إنفاذ السياسة (PEPs) في نقاط الوصول لكل تطبيق / خدمة ومصدر بيانات. بهذه الطريقة ، يمكن للمستخدمين الوصول إلى السحابة بأمان ، حتى لو كانت خارج الشبكة المحلية.

مزيد من القراءة والمراجع الإضافية

وكالة الأمن القومي الأمريكية (NSA) توصي باستخدام نموذج ZT للشبكات الهامة مثل وزارة الدفاع (DoD). إذا كنت تريد معرفة المزيد ، يمكنك أيضًا مشاهدة الفيديو من Cisco أدناه لمعرفة كيف يمكنك التعامل مع ZT نموذج الأمان.

بجانب ذلك ، يمكنك أيضًا إلقاء نظرة على هذه الكتب للحصول على معلومات دليل أكثر تعقيدًا:


YouTube: كيفية التعامل مع نموذج أمان الثقة المعدومة (Jamey Heary)


من خلال النقر على "تشغيل"، فإنك توافق على شروط استخدام YouTube شروط الخدمة و سياسة الخصوصيةقد تتم مشاركة البيانات مع YouTube/Google.

رصيد الصورة: The صورة و مبادئ السلوك صورة في الجسد من المقال من إعداد هذه هندسة. صورة الخلفية تم استخدامه كجزء من رسم الاقتباس بواسطة Robynne Hu.

كيت سوخانوفا
كيت سوخانوفا
أنا كاتب مهتم بالتكنولوجيا الرقمية والسفر. إذا تمكنت من الكتابة عن هذين الأمرين في نفس الوقت ، فأنا أسعد شخص في الغرفة. عندما لا أتصفح أخبار الأخبار أو أسافر أو أكتب عنها ، أستمتع بقراءة الروايات الغامضة والتسكع مع قطتي وإدارة متجري الخيري.
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -
- إعلانات -