الثقة المعدومة للمعلومات تجعل الأعمال آمنة بشكل افتراضي
مع تحول الشركات إلى تكنولوجيا المعلومات المختلطة ، وجدوا أن الهوية التقليدية وإدارة الوصول لا تواكب ذلك.
في الاندفاع نحو التحول الرقمي ، تتبنى المؤسسات الأجهزة المحمولة ، والأجهزة الذكية ، والتعلم الآلي ، وأساليب جديدة أكثر مرونة لتطوير التطبيقات ونشرها وإدارتها. لم تواجه الشركات أبدًا هذا القدر من التغيير التكنولوجي.
ومع ذلك ، فإن التحول لا يقتصر فقط على تطبيقات الهاتف المحمول الجديدة والميزات الذكية الجديدة. تتعمق التغييرات في جوهر المؤسسة من خلال الأنظمة الأساسية السحابية الناشئة وبنى الخدمات المصغرة التي تعمل مع أنظمة قديمة أكثر ثباتًا. يقول سكوت كروفورد ، رئيس أبحاث أمن المعلومات في 451 Research ، وهو جزء من S&P Global Market Intelligence: “هذا يخلق الكثير من التحديات عندما يتعلق الأمر بإدارة الأنظمة عبر المؤسسة ، خاصةً عندما يتعلق الأمر بالأمان وإدارة الوصول”. كيف يمكن للمؤسسات التأكد من أن الأنظمة والأشخاص يمكنهم فقط الوصول إلى الأنظمة والبيانات الصحيحة؟
لا توجد إجابة سهلة. مع زيادة الترابط والطبيعة الديناميكية للحوسبة عبر الأنظمة الأساسية السحابية المختلفة ، والخدمات السحابية ، والخدمات الصغيرة ، ومكونات البرامج ، أصبحت الطريقة التي تقرر بها المؤسسات ما إذا كان يمكنها الوثوق بالمستخدمين أو الأنظمة للاتصال بأي مورد معين في أي وقت معقدًا بشكل ملحوظ. كيف يمكن الوثوق بالمستخدم عند محاولة القيام بعمل ما؟ ومع زيادة الأتمتة ، كيف يمكن الوثوق بخادم أو عبء عمل أو مكون برنامج للاتصال بين الأنظمة السحابية والأنظمة المحلية القديمة؟
المزيد من الشركات تتحول إلى ثقة معدومة. الثقة المعدومة هي نهج فلسفي لإدارة الهوية والوصول ، مما يثبت عدم موثوقية أي إجراء للمستخدم أو البرنامج بشكل افتراضي. بمعنى آخر ، قم بمصادقة كل شيء. تتطلب الثقة المعدومة أن يثبت جميع المستخدمين والأجهزة وطبعات التطبيقات أنهم من أو ما يزعمون أنه مصرح لهم بالوصول إلى الموارد التي يبحثون عنها.
تستثمر الشركات في الأدوات والخدمات التي تتيح عدم الثقة. وفقًا لـ MarketsandMarkets ، سيصل سوق عدم الثقة إلى ما يقرب من 39 مليار دولار بحلول عام 2024 ، ارتفاعًا من حوالي 16 مليار دولار في عام 2019 – بمعدل نمو سنوي يبلغ 20٪.
إدارة الهوية التقليدية تقصر
في البيئات الحديثة متعددة الأوساط السحابية والخدمات المصغرة ، لا تصمد الوسائل التقليدية للمصادقة مرة واحدة والثقة إلى أجل غير مسمى. في أي لحظة ، يمكن لأحمال العمل وخدمات البرامج الجديدة استدعاء أي مورد لأداء بعض المهام. يقول Colin IAnson ، زميل Hewlett Packard Enterprise: “في البيئات التي لا تنعدم فيها الثقة ، بمجرد دخول المستخدم أو الجهاز ، يتم الوثوق بالاتصال بين الموارد”. “الآن ، مع انعدام الثقة ، لسنا على استعداد للقيام بذلك. نريد المصادقة في الوقت الفعلي وعلى مستوى أكثر دقة ، وللوصول إلى أي عبء عمل أو كيانات وظيفية يجب أن تثبت هويتهم.”
كيف تتحقق الثقة الصفرية؟ يجب على الشركات المصادقة على المستخدمين وأعباء العمل والبيانات ومراقبة هذا الوصول باستمرار بحثًا عن الحالات الشاذة.
كتابة هذا أسهل من القيام به في المؤسسات الحديثة ذات البنى الديناميكية والهجينة. تتمثل الخطوة الحاسمة في تحقيق انعدام الثقة بين المستخدمين والأنظمة في توحيد وأتمتة عمليات المصادقة ذات الثقة الصفرية كلما أمكن ذلك. هذا شيء مناسب بشكل خاص لبيئات السحابة الأصلية.
الثقة الصفرية لا تتعلق بتنفيذ تقنية أو تقنية شبكات أو أمان. إنها طريقة جديدة تمامًا للطريقة التي تقوم بها بهندسة الأمان.
سيمون ليك مستشار أول لممارسات الأمن وإدارة المخاطر في جميع أنحاء العالم ، في خدمات HPE POINTNEXT
ضع في اعتبارك استحواذ HPE مؤخرًا على شركة Scytale غير الموثوقة. بدأت Scytale مجموعة من الجهود لتوحيد التحكم في الوصول للبيئات الهجينة المعقدة. تحدد المبادرة الأولى ، SPIFFE (إطار عمل هوية الإنتاج الآمن للجميع) ، مجموعة من المواصفات التي تحدد ، من بين أمور أخرى ، واجهة برمجة التطبيقات (API) لتأسيس الثقة بسهولة بين أعباء العمل وإجراءات النظام. نظرًا لأنه يعتمد على واجهة برمجة التطبيقات ، على عكس عمليات إنشاء المفاتيح اليدوية والتوزيع ، يمكن أن يكون توثيق ومصادقة SPIFFE مؤتمتة بالكامل. يقول سونيل جيمس ، الرئيس التنفيذي السابق لشركة Scytale والذي يشغل حاليًا منصب كبير مدير HPE.
جهد Scytale الثاني هو SPIRE ، أول تطبيق برمجي لـ SPIFFE. يمكن دمج مكونات SPIRE مع موفري المكالمات وطبقات البرامج الوسيطة وآليات الثقة في الأجهزة مثل وحدات النظام الأساسي الموثوقة ووحدات أمان الأجهزة. يمكن استخدام SPIRE بواسطة أحمال العمل في أي بيئة ، مثل داخل Azure أو Kubernetes أو تطبيق قيد التشغيل في مركز البيانات. “يتيح ذلك مستوى أدق من المصادقة ، وصولاً إلى الإجراء المحدد للمستخدم أو عبء العمل المطلوب” ، كما تقول آي أنسون.
الثقة الصفرية تحل أعمال العالم الحقيقي
مشاكل
الفوائد المزعومة لعدم الثقة لن تكون ذات أهمية تذكر إذا لم تحل تحديات العمل الحقيقية والملحة. يقول المؤيدون إن انعدام الثقة لا يساعد فقط في تحسين الأمن ، ولكن الأهم من ذلك ، عدم الثقة يعزز الأمن بشكل فعال من حيث التكلفة ويمكن أن يجعل الأمن رشيقًا ومرنًا كما تتطلبه البيئة التقنية.
نظرًا لأن انعدام الثقة هو نظام أمان يحاول فهم ما يحاول المستخدمون القيام به أثناء قيامهم بذلك وتقديم سياسات الأمان المناسبة بناءً على سياق الإجراء ، فإنه يمكن أيضًا تحسين تجربة المستخدم. يقول جيمس: “تساعد أطر الثقة الصفرية المؤسسات على وضع يدها الأمنية حول بيئة تكنولوجيا معلومات مؤسسية ديناميكية بشكل متزايد مع تحسين تجربة المستخدم للبنية التحتية والأمان والشبكات ومهندسي البرمجيات في الوقت نفسه”.
عندما يمكن تدوين سمات الثقة الصفرية وأتمتتها ، فإن الثقة الصفرية ستتوسع بسهولة باستخدام البنى الحديثة للخدمات السحابية والمصغرة. وعلى الرغم من أنه سيكون من الأسهل بكثير نشر بنية عدم الثقة في بيئة سحابية جديدة بالكامل ، إلا أن هذا ليس ضروريًا تمامًا. لا يزال من الممكن تحقيق نجاح انعدام الثقة في البيئات القائمة.
استكشف أمان كل شيء. من سلسلة التوريد الموثوقة إلى انعدام الثقة ، ابحث عن أحدث الأخبار والرؤى.
يتعلم أكثر
عمليات التنفيذ الناجحة للثقة الصفرية
“هناك العديد من المناقشات بين عملائنا حول ما تعنيه عدم الثقة بالنسبة لهم وكيفية تنفيذها على أفضل وجه” ، كما يقول سايمون ليش ، كبير مستشاري ممارسات إدارة الأمن والمخاطر العالمية في HPE Pointnext Services. “لكنك تريد أن تكون هذه المناقشة بقيادة الأعمال أكثر من كونها تقودها التكنولوجيا. الثقة الصفرية لا تتعلق بتنفيذ تقنية أو تقنية أخرى للأمن أو الشبكات. إنها طريقة جديدة تمامًا للطريقة التي تقوم بها بهندسة الأمان” ، كما يقول.
“إن اتباع نهج جديد للهندسة الأمنية سيتطلب فهمًا جيدًا للغاية لحالة عملياتك الحالية وما ستكون عليه عملياتك المستقبلية ، وبناء خطة عمل أو حالة عمل من هناك ،” ينصح Leech.
يقول جيمس إن الخطوة الأولى هي تقييم الوضع الحالي للمنظمة. يقول: “تحتاج أولاً إلى تحديد الأساس لحالة عملياتك الحالية ، وتحتاج إلى فهم إلى أين تريد أن تذهب”. “إذن أنت بحاجة إلى بناء دراسة الجدوى الخاصة بك لتكون قادرًا على الوصول إلى هناك.”
في البداية ، من المرجح أن تدور حالات العمل هذه حول السياسات الأمنية والمتطلبات التنظيمية. “أثناء النظر في حالات العمل هذه ، تأكد من الاستفادة من حقيقة أن انعدام الثقة يوفر الأدوات والقدرات اللازمة لضبط الوصول بدقة ، بدلاً من مجرد التفكير في اسم المستخدم وكلمات المرور أو الوصول عبر تجزئة الشبكة الأساسية مثل تلك التي تم الحصول عليها عبر VPN ، “يقول كروفورد.
في حين أن التفكير في الهوية من حيث وصول المستخدم الدقيق وأعباء العمل الديناميكية قد يبدو أنه يعقد إدارة الهوية ، يقول كروفورد إن الأمر يستحق الجهد على المدى الطويل. “ما مدى اتساع هذا الوصول الذي تريده؟ إلى أي مدى يجب أن يكون تعريفًا ضيقًا لهدف معين؟ ما الذي يجب عليك مراعاته لأشياء مثل المتطلبات التنظيمية بقدر من يمكنه الوصول إلى أنواع الأصول؟ إحضار الهوية و ستساعد إدارة الوصول إلى هذا المستوى في تحسين الأمان وتوفير تجربة أفضل للجميع “، يوضح كروفورد.
يضيف آي أنسون: “يتطلب الأمر بعض العمل المسبق لتحقيق أقصى استفادة من انعدام الثقة”. الخبر السار هو أن استثمارات إدارة الهوية الحالية ومستويات النضج ستساعد في التحول. “كلما كان برنامج إدارة الهوية الحالي أكثر نضجًا ، كان الانتقال إلى انعدام الثقة أسهل” ، يوضح آي أنسون. “يمكنك استخدام تطبيقات LDAP الحالية كنقطة بداية لأنها تؤسس بالفعل أساسًا أوليًا جيدًا للأدوار والهويات.”
والخطوة التالية هي تحديد حالات العمل مع عمليات التنفيذ التي يمكن الفوز بها. “أحد الأشياء الرئيسية حول انعدام الثقة هو أنه لا يتم تحقيقها عن طريق قلب مفتاح فجأة. يمكنك التخلص من الثقة عن طريق اتخاذ ذلك خطوة بخطوة” ، كما تقول آي أنسون. “أنت تبني حالة عمل ، والتي يمكن أن تكون وحدة أعمال أو مجالًا معينًا ، ولا تثق بهذه الطريقة.”
يوافق جيمس. “حدد المكاسب السريعة المحتملة وحالات الاستخدام المرتبطة بها عند تنفيذ عدم الثقة. صمم وقم ببناء بنية مرنة يمكنها تقديم قيمة عبر حالات الاستخدام هذه ،” كما يقول. “يوفر القيام بذلك أساسًا أقوى يمكنك البناء عليه بدلاً من مجرد تجميع المكونات والتقنيات المخصصة معًا.”
لهذا السبب من المهم التوحيد على نهج عدم الثقة. يقول جيمس: “إذا قمت بتوحيد المعايير ، في غضون عامين ، فلن يكون لديك خمسة أساليب مختلفة لعدم الثقة في جميع أنحاء مؤسستك ، وربما لن يعمل الكثير منها معًا ولن يقدم قيمة”.
أخيرًا ، عندما يتعلق الأمر بالمصادقة الأولية ، ينصح كروفورد المؤسسات بالاستفادة من طرق المصادقة المتاحة. “إننا نشهد توفرًا متزايدًا لما كان يمكن أن يكون منذ وقت ليس ببعيد
تقنيات متطورة للغاية للتحكم في الوصول ، بما في ذلك المصادقة البيومترية التي تأتي مع الكثير من تقنيات نقطة نهاية المستهلك السلعية. استفد من طرق المصادقة هذه “، كما يقول كروفورد.
بينما تتقدم المؤسسات في تحولاتها الرقمية ، فإنها تتبنى العديد من التقنيات المختلفة لتحقيق النجاح: الحوسبة السحابية ، والتعلم الآلي ، والحاويات والخدمات الصغيرة ، والتنقل ، والمزيد. إذا كانوا سيفوزون في هذا السباق ، فسوف يحتاجون إلى نهج لإدارة الهوية والمصادقة يتسم بالمرونة والمرونة والذكاء مثل بيئات الحوسبة التي يقومون ببنائها. الثقة المعدومة يمكن أن تكون هذا النهج.
ثقة معدومة: دروس للقادة
يتطلب الالتزام بعدم الثقة الصفرية التزامًا بتنفيذ وصيانة إدارة الهوية والوصول على مستوى دقيق.
تعتبر القرارات الأمنية مهمة للغاية ولا يمكن اتخاذها دون الحكم على هوية الطالب وحقوق الوصول إليه.
قبل تطبيق تقنية انعدام الثقة ، يجب على المؤسسة تقديم دراسة الجدوى لها والحصول على دعم عبر وحدات الأعمال.