ما هو مفهوم Zero Trust ببساطة؟

الثقة المعدومة هي طريقة لإعداد التكنولوجيا بحيث يتم التحقق من الوصول في كل مرة، بناءً على من هو المستخدم، وما هو نوع الجهاز الذي يستخدمه، وما الذي يحاول الوصول إليه، وما إذا كان هناك أي شيء يبدو غير معتاد.

بعبارات بسيطة: تعني "لا تفترض أبدًا، بل تحقّق دائمًا". قد يُسمح لموظف باستخدام البريد الإلكتروني والرواتب، لكن ليس نظام كاميرات غرفة الخادم أو مجلد الحسابات البنكية للمالك. قد يُسمح للّابتوب بالاتصال إذا كان محدثًا ومحميا، لكن لا يُسمح إذا كان قديمًا أو يفتقد تحديثات الأمان، أو إذا كان قادمًا من موقع غير معتاد.

هذا لا يعني أنه لا يمكن لأحد العمل. بل يعني أن يحصل الناس على الوصول الذي يحتاجونه فعليًا، وبأكثر طريقة عملية أمانًا. بالنسبة إلى شركة صغيرة، تكون الثقة المعدومة غالبًا أقل عن شراء منتج واحد كبير وأكثر عن وضع عدد من القواعد المعقولة في مكانها.

لا تزال العديد من الشركات الصغيرة تعمل على افتراض قديم، وهو أن أي شيء داخل المكتب، أو أي شخص لديه كلمة مرور، فمن المرجح أنه آمن. كان ذلك منطقيًا أكثر قبل سنوات، عندما كان العمل يتم في مبنى واحد، وعلى عدد قليل من أجهزة الكمبيوتر المكتبية.

اليوم يعمل الناس من المنزل، وعلى الهواتف واللابتوبات والأجهزة اللوحية وتطبيقات السحابة والملفات المشتركة. قد يسجّل المورّدون الدخول عن بُعد. قد يوافق الملاك على الدفعات من الطريق. إذا تم تسريب كلمة مرور واحدة، أو كان جهاز واحد ضعيفًا، فقد يؤدي الوصول الواسع إلى مشكلة أكبر.

تساعد الثقة المعدومة في تقليل هذا الخطر. يمكنها الحد من مدى انتشار الخطأ، أو كلمة مرور مسروقة، أو جهاز مصاب. لا يعد أي مزوّد أمين بشبكة غير قابلة للاختراق، لكن قواعد وصول أفضل يمكن أن تجعل المشكلات اليومية أصغر وأسهل في الاحتواء.

كما يمكن أن تساعد في الانضباط الأساسي للعمل. عندما يُنظّم الوصول بشكل واضح، يصبح من الأسهل استقبال الموظفين الجدد، وإزالة الوصول عندما يغادر شخص ما، ومعرفة من يجب أن يُسمح له باستخدام أي أنظمة.

قد يبدأ إعداد الثقة المعدومة عمليًا بالهوية. هذا يعني التأكد من هوية الشخص قبل أن يحصل على البريد الإلكتروني أو الملفات أو أنظمة المحاسبة أو تطبيقات الخطّ الوظيفي (line-of-business). خطوة شائعة هي MFA، أي المصادقة متعددة العوامل (multi-factor authentication)، والتي تطلب دليلاً ثانياً مثل رمز، أو طلباً داخل تطبيق، أو مفتاح أمان، إضافةً إلى كلمة المرور.

الجزء التالي هو ثقة الجهاز. قد تطلب الشركة من اللابتوبات والهواتف استيفاء معايير معينة قبل السماح لها بالاتصال. على سبيل المثال، يجب أن يحتوي الجهاز على تحديثات حديثة وتشفير للقرص وبرمجيات أمان. قد تسمع كلمة endpoint، وهي تعني ببساطة جهاز المستخدم مثل اللابتوب أو الكمبيوتر المكتبي أو الهاتف أو الجهاز اللوحي.

ثم يتم تقييد الوصول وفقًا للدور. يجب أن يحصل الموظفون على أقل وصول ممكن يلزمهم لأداء وظائفهم. غالبًا ما يُسمى ذلك مبدأ أقل صلاحية (least privilege). لا يحتاج أمين الدفاتر إلى نفس صلاحيات مدير العمليات. لا ينبغي أن يحتفظ الموظف السابق بالوصول إلى المجلدات المشتركة بعد ستة أشهر.

جزء آخر هو عمليات التحقق المستمرة. قد يشمل ذلك التحديثات (patching)، أي تطبيق تحديثات البرامج وتحديثات الأمان، وتسجيل الأحداث والتنبيهات، وقواعد تمنع عمليات تسجيل الدخول غير المعتادة. يستخدم بعض مزوّدي خدمات تكنولوجيا معلومات مُدارين أيضًا EDR، أي اكتشاف نقاط النهاية والاستجابة (endpoint detection and response)، وهي برمجيات تراقب أجهزة العمل بحثًا عن سلوك مشبوه وتساعد في التحقيق في المشكلات أو احتوائها.

الثقة المعدومة الجيدة لا ينبغي أن تبدو مثل متاهة. ينبغي أن تكون واضحة ومُوثّقة وواقعية لطريقة عمل فريقك. يجب أن يعرف الموظفون كيفية تسجيل الدخول، ومتى تكون MFA مطلوبة، وما التطبيقات التي يمكنهم استخدامها، وماذا يفعلون إذا فُقد جهاز أو تم استبداله.

عادةً ما تتضمن الإعدادات السليمة حسابات منفصلة لعمل الإدارة، وتقليل عمليات تسجيل الدخول المشتركة، وإزالة الوصول بسرعة عند تغيّر الأدوار. الأنظمة الحساسة مثل الرواتب أو الخدمات البنكية أو سجلات العملاء أو المعلومات الطبية ينبغي أن يكون لها ضوابط أشد من محرك أقراص مشترك عام.

كما يعني "الجيد" أن يتوافق مع حجم العمل. مكتب من 12 شخصًا لا يحتاج إلى نفس الإعدادات التي تحتاجها شركة تضم 200 شخص عبر مواقع متعددة. تختلف المتطلبات حسب الصناعة والولاية. إذا كنت تتعامل مع معلومات الرعاية الصحية، فقد تكون HIPAA، أي قانون قابلية نقل التأمين الصحي والمساءلة (Health Insurance Portability and Accountability Act)، مهمة. إذا كنت تقبل بطاقات الدفع، فقد تكون PCI، أي معيار أمان بيانات صناعة بطاقات الدفع (Payment Card Industry Data Security Standard)، مهمة. قد يطلب بعض العملاء أيضًا معلومات حول SOC 2، وهو إطار تقارير شائع يوضح كيف تتعامل الشركة مع ضوابط الأمان.

إذا كنت تعمل مع مزوّد تكنولوجيا معلومات مُدار، ويُسمى أيضًا MSP، فاسأل كيف يتعاملون مع الهوية ومعايير الأجهزة ومراجعات الوصول والإجراءات عند مغادرة الموظفين (offboarding). اسأل عن أول ما يوصون به، وما يمكن تأجيله، وما هو عملي فعليًا لحجم شركتك.

الثقة المعدومة ليست منتجًا سحريًا واحدًا. إذا قدمها أحد على أنها كذلك، فكن حذرًا. إنها استراتيجية تتكون من سياسات وإعدادات وأدوات وعادات.

كما أنها ليست مجرد حظر كل شيء. النهج الجيد يوازن بين الأمان والإنتاجية. إذا كان فريقك لا يستطيع أداء العمل الروتيني دون استثناءات مستمرة، فربما يحتاج الإعداد إلى تعديل.

الثقة المعدومة ليست مخصصة فقط للشركات الكبيرة. يمكن للشركات الصغيرة والمتوسطة استخدام الأفكار الأساسية نفسها بشكل أبسط. غالبًا ما تكون الخطوات الأولى واضحة، مثل قواعد تسجيل دخول أقوى، ووصول مستخدم أنظف، ومعايير أجهزة أفضل، وتقليل الحسابات المشتركة.

إذا كنت تحاول فهم الخيارات، اطّلع على المزيد من الإجابات بلغة مبسطة أو شاهد مواضيع خدمات تكنولوجيا معلومات مُدارة. وإذا كنت تريد مساعدة في العثور على مزوّد مستقل للتحدث معه، احصل على المطابقة. NodeBridge IT هي خدمة مجانية للمطابقة. نحن لا ندير أو نراقب أو نؤمّن أو نصلح أو نوفر الوصول إلى أنظمتك.