الثقة المعدومة وأمن تطبيقات Windows و GO-Global

تمت صياغة مصطلح "الثقة المعدومة" في عام 2010 من قبل محلل Forrester™ Research John Kindervag لوصف نهج جديد أكثر صرامة إلى حد كبير لضوابط وصول المستخدم ووضع الأمن السيبراني مما كان عليه في ذلك الوقت في الممارسة العامة. المصطلح مشتق من المثل الروسي "ثق ، ولكن تحقق" ، والذي تبناه رونالد ريغان وكثيرا ما كرره خلال فترة رئاسته.

نموذج أمان الثقة المعدومة هو نهج لاستراتيجية وتصميم وتنفيذ أنظمة تكنولوجيا المعلومات. مثل المثل ، فإن أساس الثقة الصفرية هو أنه لا ينبغي الوثوق بالمستخدمين والأجهزة بشكل افتراضي ، بغض النظر عن الموقع أو العلاقات الموثوقة السابقة.

بينما تم استخدام المصطلح لأول مرة في عام 2010 ، فقد استغرق الأمر عقدا من الزمان حتى تسود هياكل الحوسبة ذات الثقة الصفرية على ممارسات الأمن السيبراني التقليدية ووصول المستخدم. تقليديا ، بمجرد أن يتمكن المستخدم أو الجهاز من الوصول إلى شبكة ، عادة ما يتم منحه ثقة كبيرة ومنحه امتيازات وصول واسعة.

ومع ذلك ، مع ظهور الحوسبة السحابية ، وانتشار الأجهزة المحمولة ، وزيادة أنواع الشبكات ، وسيناريوهات المستخدم من العمل من أي مكان التي أصبحت في كل مكان أثناء الوباء ، أثبت هذا النهج التقليدي للأسف أنه غير كاف ضد التهديدات المتقدمة اليوم.

يعمل موردو البرامج المستقلون (ISV) الذين® يقدمون تطبيقاتهم من السحابة إلى العملاء الموجودين في أي مكان مع هذا السيناريو لسنوات. ومع ذلك ، نظرا لأن الهجمات أصبحت أكثر تعقيدا وانتشارا ، فقد أصبح من الأهمية بمكان أن يقوم موردو البرامج المستقلون ل Windows بتأمين تطبيقاتهم وبيانات العملاء والبنية التحتية لتسليم التطبيقات. هنا في GO-Global ، شهدنا ارتفاعا كبيرا في موردي البرامج المستقلين لنظام التشغيل Windows بما في ذلك GO-Global® كجزء من مبادرة انعدام الثقة لأمن تطبيقات Windows.

ما الذي تتضمنه مبادرة انعدام الثقة، وكيف يمكن ل GO-Global المساعدة؟

مبادئ الثقة المعدومة

كان أمن المحيط في يوم من الأيام محور خطة شاملة لأمن تكنولوجيا المعلومات. ومع ذلك ، تحدد الثقة المعدومة 5 مبادئ تحتاج تكنولوجيا المعلومات إلى اعتمادها كجزء من استراتيجيتها.

حماية السطح:

يتكون من جميع المستخدمين والأجهزة والتطبيقات والبيانات والخدمات والشبكة التي يتم نقل بيانات الشركة الحساسة عليها. بسبب الوباء ، أصبح المستخدمون الآن أكثر تشتتا ، لذلك يمتد سطح حماية المؤسسة إلى ما هو أبعد من الشبكة المحلية للشركة.

تتضمن أدوات الأمن السيبراني في هذه الفئة تلك التي تتجاوز حافة الشبكة للاقتراب من التطبيقات والبيانات والأجهزة قدر الإمكان ، حتى تتمكن فرق الأمان من تحديد التطبيقات والبيانات والأجهزة والمستخدمين الذين يحتاجون إلى الأمان وتحديد أولوياتهم. بالإضافة إلى ذلك ، يحتاج مهندسو الأمن إلى فهم موقع الموارد الهامة ومن يجب أن يكون لديه حق الوصول إليها لتنفيذ الحل الأنسب.

ضوابط الأمن السيبراني الحالية:

بعد تعيين سطح الحماية ، تحتاج فرق الأمان وتكنولوجيا المعلومات إلى تحديد عناصر التحكم الموجودة بالفعل. هل يتم نشرهم في الموقع الأنسب؟ هل يجب إعادة نشرها أو إعادة توجيهها أو استبدالها؟

تحديث البنية والاستفادة من أدوات الأمن السيبراني الجديدة:

بعد تحديد سطح الحماية المحدث والمجموعة الحالية من أدوات الأمن السيبراني ، ما الذي تحتاج المؤسسة إلى تطبيقه لسد الثغرات أو استبدال الأدوات القديمة؟

تتضمن أمثلة الأدوات المستخدمة كجزء من تحديث الثقة المعدومة التجزئة الدقيقة للشبكة وعناصر التحكم في الوصول الآمن للتطبيقات والبيانات باستخدام تسجيل الدخول الأحادي والمصادقة متعددة العوامل. لتحديد التهديدات الناشئة، يمكن لأدوات الحماية من التهديدات المتقدمة الجديدة، التي يدعم العديد منها من قبل الذكاء الاصطناعي، دفع سياسات الأمان إلى حيث تكون هناك حاجة إليها عبر خدمة الحماية.

تطبيق سياسة الثقة المعدومة التفصيلية:

بعد وضع التقنيات اللازمة في مكانها الصحيح ، يحتاج مسؤولو الأمان إلى إنشاء مجموعة صارمة من المعايير بناء على "أقل امتياز" يسمح بالوصول فقط عند الضرورة القصوى. تصف هذه السياسات الأقل امتيازا بالضبط المستخدمين والأجهزة التي يجب أن يكون لها حق الوصول إلى التطبيقات والخدمات، والتطبيقات التي يجب أن يكون لها حق الوصول إلى البيانات، ومتى يسمح بهذا الوصول.

بعد إنشاء هذه السياسات، يمكن للمسؤولين تكوين الأجهزة والأدوات للالتزام بالسياسات المحظورة.

المراقبة والتنبيهات المستمرة:

حتى مع وجود إطار عمل انعدام الثقة ، لا يوجد شيء آمن تماما. يجب على فرق أمن تكنولوجيا المعلومات استخدام أدوات المراقبة والتنبيه للتأكد مما إذا كانت السياسات تعمل وما إذا كان الإطار الأمني الحالي قد طور شقوقا معرضة لخطر الاستغلال.

عند حدوث نشاط ضار ، يجب على الفريق إيقاف النشاط على الفور وإجراء تحليل للسبب الجذري لتحديد السبب وإصلاح العيوب التي خلقت الثغرة الأمنية. يمكن لأدوات الأمان الحديثة مثل اكتشاف الشبكة والاستجابة لها أتمتة الكثير من هذا النشاط ، مما يقلل من الوقت واستثمار الموظفين اللازمين.

التحديات التي تواجه تحقيق الثقة المعدومة

في حين أن نموذج أمان الثقة المعدومة يمكن أن يحقق عائد استثمار كبير ، إلا أنه من الصعب تنفيذه بالكامل. وفقا لشركة Gartner® ، في حين أن العديد من المؤسسات قد نفذت نموذج أمان انعدام الثقة كجزء من استراتيجية الأمن السيبراني الخاصة بها ، "1٪ فقط من المؤسسات لديها حاليا برنامج ناضج يلبي تعريف الثقة الصفرية".

تشمل التحديات الحاسمة لتحقيق التنفيذ الكامل لبنية الثقة المعدومة على النحو المحدد من قبل Gartner ما يلي:

• حتى الخلل الطفيف في بنية النظام يمكن أن يبطل نموذج الثقة الصفرية.
• لا يوجد منتج واحد يناسب الجميع يتيح انعدام الثقة. بدلا من ذلك ، تحتاج كل مؤسسة إلى تحديد مجموعة من الحلول والممارسات التي تعمل مع البنية التحتية لتكنولوجيا المعلومات والهندسة المعمارية لتحقيق الثقة الصفرية.
• لا يمكن للمؤسسات التي تعتمد على أنظمة وتكنولوجيا المؤسسات القديمة تكييف نموذج الثقة المعدومة بسبب البنية التحتية القديمة.
• يتطلب اعتماد انعدام الثقة زيادة فورية في التطبيقات والمستخدمين والأجهزة التي يجب مراقبتها ، والالتزام الدقيق بتحديثات البرامج والأجهزة وصيانتها ، وعمليات التدقيق المنتظمة ؛ لا تملك العديد من المنظمات الموظفين أو الخبرة أو الميزانية المطلوبة للتنفيذ الكامل.
• كما هو مذكور أعلاه ، لا يمكن للمؤسسة ببساطة تنفيذ الثقة الصفرية و "وصفها بأنها جيدة". لتنفيذ انعدام الثقة، يجب أن تتبع تكنولوجيا المعلومات نموذج عملية مستمر يتنقل عبر المبادئ المذكورة أعلاه، ثم يبدأ من جديد - مما يتطلب تركيزا لا هوادة فيه يصعب الحفاظ عليه بمرور الوقت.
• يجب أن يتطور نموذج الثقة المعدومة باستمرار لاستيعاب كيفية تغير التهديدات والتكنولوجيا وأهداف وممارسات العمل بمرور الوقت. كمثال على مدى سرعة تغيير النموذج ، لاحظ أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أصدرت أول وثيقة مرجعية لنموذج نضج الثقة المعدومة في أغسطس 2021 ، ونشرت مراجعة في مارس 2022 ، ونشرت مراجعة ثانية في أبريل 2023.

بالنسبة للعديد من المؤسسات ، فإن التنفيذ الكامل لبنية الثقة المعدومة على النحو المحدد من قبل Gartner حدود مستحيلة بسبب التكلفة والجهد والاضطرابات المطلوبة لتحقيق ذلك. على سبيل المثال، قد تعتمد مؤسسة المؤسسة على واحد أو أكثر من التطبيقات أو الأنظمة أو التقنيات القديمة المهمة للأعمال للمساعدة في إدارة الأعمال وتكون غير قادرة على الاستمرار في العمل بدون هذا الاستثمار القديم. قد لا يكون لدى موردي البرامج المستقلين (ISV) ل Windows الوقت أو النطاق الترددي أو الموظفين لضمان أمان تطبيق Windows عن طريق إعادة كتابة هذا التطبيق كتطبيق مستند إلى الويب لتمكين تسجيل الدخول الأحادي (SSO)، أو قد يتردد في تنفير العملاء الذين يحبون التطبيق ويعتمدون عليه كما هو عن طريق استبداله بتطبيق ويب.

ومع ذلك ، من الممكن تماما تحقيق نسبة كبيرة من الامتثال لنموذج الثقة الصفرية. يمكن أن تساعد Go-Global.

كيف تدعم GO-Global نموذج الثقة المعدومة

يمكن لموردي البرامج المستقلين (ISV) الذين يعملون بنظام التشغيل Windows الاستفادة من GO-Global للتوافق مع نموذج انعدام الثقة في العديد من المجالات:

حماية السطح / الشبكة

بروتوكول جلسة GO-العالمية:

أساس GO-Global هو بروتوكول خاص بالنطاق الترددي المنخفض للاتصال عبر الخطوط التسلسلية يسمى بروتوكول RapidX (RXP). RXP قابل للتكيف ، ويستخدم طبقات متعددة من الضغط ، ويتم تحسينه لضمان أقل استخدام ممكن لعرض النطاق الترددي. نظرا لأن RXP مغلق المصدر ، فإنه يوفر دفاعا إضافيا ضد المهاجمين ، مقارنة بالبروتوكولات مفتوحة المصدر مثل Microsoft® RDP ، حيث تم العثور على نقاط ضعف أمنية واستغلالها.

تشفير جلسة العميل:

بشكل افتراضي ، تقوم GO-Global بتشفير الجلسات باستخدام DES (معيار تشفير البيانات) بقوة مفتاح 56 بت لجميع اتصالات جلسة العميل للحماية من متشممي الحزم الأساسية والعملاء الذين يعترضون اتصالات البيانات الأولية. إنه سريع وموثوق ويوفر مستوى فوريا من الأمان للاتصالات القائمة على الشبكة المحلية عبر GO-Global.

بالنسبة للاتصالات عبر الإنترنت ، تقدم GO-Global النقل المستند إلى TLS مع خوارزميات التشفير التالية: 128 بت RC4 و 168 بت 3DES و 256 بت AES. تتطلب خوارزميات التشفير الأعلى هذه أن يطبق المسؤول شهادة TLS موقعة على المضيف، والتي يمكن إنشاؤها باستخدام أي مرجع مصدق قياسي. يمكن للمشرفين أيضا إنشاء شهادات TLS موثوقة ل GO-Global Hosts من خلال علامة التبويب الأمان في مربع حوار خيارات المضيف في وحدة تحكم المشرف، حيث يكون لدى GO-Global Host عنوان DNS مسجل بشكل عام. يتيح ذلك للمسؤولين تمكين التشفير القوي وأمان TLS دون شراء شهادة من مرجع مصدق تابع لجهة خارجية.

نفق الخادم الوكيل:

تدعم GO-Global نفق الخادم الوكيل ، المعروف أيضا باسم HTTP Connect. يسمح هذا للمستخدم الذي يصل إلى الإنترنت عبر خادم وكيل الويب بالاتصال ب GO-Global Hosts على الإنترنت. عند استخدام خادم وكيل ، ضع في اعتبارك أنه ، افتراضيا ، يتم رفض كل حركة المرور على جميع المنافذ المضيفة ، لذلك يجب تكوين GO-Global Host لقبول الاتصالات على المنفذ 443 فقط.

مصادقة Windows المتكاملة:

يمكن للمشرفين تحسين أمان شبكة مستخدمي GO-Global من خلال إيقاف المصادقة القياسية (المطالبة باسم المستخدم وكلمة المرور) وتفعيل مصادقة Windows المتكاملة في علامة التبويب المصادقة في مربع حوار خيارات المضيف في وحدة تحكم المشرف. باستخدام هذا التكوين ، يتم رفض وصول جميع العملاء غير التابعين ل Windows إلى GO-Global Hosts ، لذلك يجب على المستخدمين النهائيين ل GO-Global تسجيل الدخول إلى أنظمة تشغيل عميل Windows الخاصة بهم باستخدام حساب Active Directory الذي يثق به GO-Global Host. بالإضافة إلى ذلك، لا يسمح بالوصول إلى حسابات المستخدمين المحلية ل GO-Global Host. تتم مصادقة المستخدم كعضو في مجموعة الشبكة ويتم تقييد الوصول إلى موارد الشبكة من GO-Global Host.

حماية وصول Surface/المستخدم والجهاز

كما هو مذكور أعلاه ، تفترض الثقة المعدومة أن الشبكات الداخلية والخارجية قد تتعرض للخطر وأنه لا ينبغي الوثوق بأي مستخدم أو جهاز تلقائيا. تملي الثقة المعدومة أنه يجب تطبيق التحقق والمصادقة وتفويض المستخدمين وأجهزتهم للمستخدمين لتسجيل الدخول والتفاعل مع نظام تكنولوجيا المعلومات والتطبيقات والبيانات.

إليك كيفية تعريف كل مفهوم في بنية الثقة المعدومة.

إثبات الملكية هو عملية تأكيد دقة المطالبة، على سبيل المثال، هوية المستخدم. عندما يقوم المستخدم بإدخال اسم وكلمة مرور، يتحقق النظام من أن اسم المستخدم وكلمة المرور مرتبطان بحساب معين.

توفر المصادقة إثباتا للهوية عند الوصول إلى النظام. قبل انعدام الثقة ، كانت المصادقة عادة أساسية مثل اسم المستخدم وكلمة المرور. مع انعدام الثقة ، تتجاوز المصادقة أسماء المستخدمين وكلمات المرور لتشمل المصادقة متعددة العوامل (MFA) وكلمات المرور لمرة واحدة وأرقام التعريف الشخصية والبطاقات الذكية والقياسات الحيوية.

يحدد التفويض حقوق وصول المستخدم ، أي ما يسمح للمستخدم أو الجهاز بالوصول إليه أو القيام به في النظام ؛ على سبيل المثال، التطبيقات التي يمتلك المستخدم إذنا لفتحها واستخدامها.

يتم تطبيق تقنيات تسجيل الدخول الأحادي (SSO) والمصادقة متعددة العوامل (MFA) بشكل شائع عند تمكين وصول المستخدم والجهاز في بنية ثقة معدومة. تمكن GO-Global كليهما.

GO-Global Two-Factor Authentication هي ميزة مصادقة متقدمة توفر طبقة إضافية من الأمان من خلال مطالبة المستخدمين اختياريا بإدخال رمز مكون من 6 أرقام من تطبيق مصادقة الهواتف الذكية (على سبيل المثال ، Google Authenticator و Authy و Microsoft Authenticator) ، بالإضافة إلى اسم المستخدم وكلمة المرور الخاصة بهم. يضمن ذلك أنه حتى في حالة اختراق كلمة مرور المستخدم ، سيظل المهاجم غير قادر على الوصول إلى النظام المضيف دون الوصول إلى هاتف المستخدم غير المقفل. هذا يجعل القوة الغاشمة وعمليات البحث عن كلمة مرور القاموس عديمة الفائدة ، وهو أمر بالغ الأهمية بشكل خاص العمل عن بعد مع عملاء سطح المكتب البعيد المعرضين للخطر يصبح هو القاعدة. تقلل المصادقة الثنائية (2FA) أيضا من عبء فرض سياسة كلمة مرور معقدة.

GO-Global + SSO: يسمح دعم GO-Global ل OpenID Connect لموردي البرامج المستقلين (ISV) الذين يعملون بنظام Windows باستخدام موفري الهوية الحديثة مثل Okta™ وOneLogin و Microsoft Active Directory Federated Services (ADFS) و Microsoft Azure® AD Seamless SSO لتمكين تسجيل الدخول الأحادي إلى مضيفي GO-Global® Windows.

يسمح GO-Global لتكنولوجيا المعلومات بدمج أي مزود هوية يدعم OpenID Connect مباشرة في مضيفيه ، مما يسمح لهم بمشاركة مضيفي Windows بين المستخدمين الذين يقومون بالفعل بمصادقتهم لتطبيقات الويب. إن دعم GO-Global ل OpenID Connect يلغي الحاجة إلى وحدات التحكم في المجال على شبكة الشركة ، وموفري بيانات الاعتماد المخصصة للمصادقة القوية ، وتسجيلات الدخول التفاعلية.

بدون GO-Global ، سيتعين على موردي البرامج المستقلين الذين يرغبون في إضافة SSO شراء حلول باهظة الثمن ومعقدة مثل Citrix NetScaler® Unified Gateway المدمجة مع Citrix Hypervisor®.

حماية أمان السطح / التطبيق

لا تقوم GO-Global بتثبيت أو صيانة قاعدة بيانات المستخدم أو التطبيقات الخاصة بها. بدلا من ذلك ، يرث جميع جوانب أمان المستخدم والبيانات من نظام التشغيل Windows Server®. يتم تكوين إعدادات الأمان للمستخدم والتطبيق على مستوى نظام التشغيل Windows® ويتم تمريرها إلى GO-Global أثناء عملية تسجيل الدخول.

بالإضافة إلى ذلك ، يتم احترام أذونات ملفات Windows والمجلد والمشاركة والطابعة والتسجيل من قبل GO-Global وهي أساسية لأمان أي نظام ويندوز. ما لم يتم منح المستخدمين النهائيين امتيازات المسؤول أو امتيازات مرتفعة، فلن يتمكنوا من الوصول إلى مجلدات النظام أو إتلاف الخادم أو كسره أو التسبب في تهديدات أمنية.

توصي GO-Global باستخدام نهج مجموعة Windows لجميع إعدادات الأمان من جانب النظام ، خاصة في مزرعة خوادم متوازنة التحميل ، لضمان الاتساق عبر جميع المضيفين.

تطبيق سياسة الثقة المعدومة التفصيلية

التثبيت الأساسي والإعدادات الافتراضية: يتم تثبيت GO-Global بسهولة باستخدام مثبت واحد قابل للتنفيذ على المضيف والذي سيقوم إما بتثبيت أو ترقية برنامج GO-Global. عند اكتمال التثبيت ، يجب إعادة تشغيل المضيف لتهيئة إعدادات التسجيل وتمكين برنامج GO-Global وبرامج التشغيل.

حسب التصميم ، يتم تعطيل جميع خيارات تكوين GO-Global التي تتيح مشاركة موارد الخادم أو العميل. بالإضافة إلى ذلك ، لا تنشر GO-Global أي تطبيقات افتراضية. يمكن الوصول إلى وظائف تهيئة وإدارة وإدارة أمان GO-Global Host من خلال وحدة تحكم المشرف ضمن قائمة خيارات المضيف. يمكن للمسؤولين نشر التطبيقات ومراقبة نشاط المستخدم والمضيف وتمكين ميزات مثل طباعة العميل وحافظة العميل والتشفير والمصادقة باستخدام هذه القائمة.

إذا كنت موردي البرامج المستقلين (ISV) الذين يعملون بنظام Windows وتبحث عن حلول لتمكين بنية انعدام الثقة لتوفير تطبيقاتك للعملاء، ففكر في GO-Global ونظام الأمان متعدد الطبقات الخاص بها، بما في ذلك تسجيل الدخول الأحادي (SSO) والمصادقة متعددة العوامل.

للاطلاع على أسعار المستخدمين المتزامنة من GO-Global مع تسجيل الدخول الأحادي، وحساب أسعار GO-Global المقدرة، انقر هنا.

لطلب عرض توضيحي ، انقر هنا ؛ للحصول على نسخة تجريبية مجانية من GO-Global لمدة 30 يوما ، انقر هنا.

‍