GH GambleHub

بنية الثقة الصفرية

موجز موجز

Zero Trust (ZT) هو نموذج أمان لم يعد فيه محيط الشبكة يعتبر منطقة موثوقة. يتم توثيق كل طلب (user→app، service→service، device→network) بشكل صريح ومصرح به وتشفيره، مع مراعاة الإشارات السياقية (الهوية، حالة الجهاز، الموقع، المخاطر، السلوك). الهدف هو تقليل نصف قطر الانفجار وتقليل مخاطر الحركة الجانبية وتبسيط الامتثال.

أساسيات صفر الثقة

1. لا توجد ثقة صريحة - الثقة ليست موروثة من شبكة/VPN/ASN.
2. الوصول هو الحد الأدنى الضروري: السياسة «لتوفير ما هو مطلوب فقط الآن».
3. التحقق المستمر: تجري بانتظام إعادة تقييم الجلسات والرموز لمعرفة المخاطر والسياق.
4. افتراض الحل الوسط: التجزئة، وقابلية الرصد، والاحتواء السريع، ودوران المفاتيح.
5. التشفير في كل مكان: TLS 1. 2+/1. 3 و mTLS داخل خطط البيانات، DNS محمية، أسرار في KMS/HSM.

المناظر الطبيعية المستهدفة ومجالات التحكم

الهوية: الإنسان (IdP: SSO، MFA، مفاتيح المرور/FIDO2)، الآلات (SPIFFE/SVID، x509/mTLS).
الأجهزة: الامتثال للسياسات (MDM/EDR، القرص المشفر، البقع، كسر السجن/الجذر - محظور).
الشبكة: L3/L7 microsegmentation, ZTNA/SDP gateways, service mesh (Envoy/Istio/Linkerd).
التطبيقات/واجهات برمجة التطبيقات: mTLS، OIDC/JWT، طلب التوقيعات (HMAC)، حدود الأسعار، DLP/القناع.
البيانات: التصنيف (العام/السري/المقيد)، الترميز/التشفير على المستوى الميداني.
إمكانية الرصد: سجلات المصادقة/الترخيص المركزية، التحليلات السلوكية، SLO/SLA.

بنية مرجعية (مقسمة حسب الطائرات)

مستوى التحكم: IdP/CIAM، PDP/PEP (OPA/Envoy)، كتالوجات السياسات، PKI/CA، مؤهل الجهاز.
مستوى البيانات: الوصول بالوكالة (ZTNA)، الوكيل الجانبي (المبعوث) لسياسة mTLS و L7، بوابات خدمة GW/واجهات برمجة التطبيقات.
مستوى الإدارة: فهرس الخدمات، مصرف التنمية الأفريقي، CI/CD، الإدارة السرية (Vault/KMS)، التدقيق المركزي.

تدفق الطلب (user→app):

1. تحديد (SSO + MFA المقاوم للتصيد) → 2) تقييم الجهاز (وضع MDM) → 3) ينشئ وكيل ZTNA mTLS للتطبيق → 4) PDP (السياسات) يتخذ القرار بناءً على السمات (ABAC/RBAC) → 5) إعادة تقييم المخاطر المستمرة (الوقت، الجو، الشذوذ).

الهوية والترخيص

IdP/SSO: OIDC/SAML، افتراضي MFA، ويفضل FIDO2 (مفاتيح المرور).
RBAC/ABAC: الأدوار + خصائص السياق (حالة الجهاز، الإدارة، موجز المخاطر).
الوصول في الوقت المناسب (JIT): الامتيازات المؤقتة مع الإلغاء التلقائي ؛ زجاج الكسر - منظم بدقة.
MTLS للآلات: SPIFFE/SVID أو PKI الداخلي مع شهادات قصيرة الأجل ؛ الإطلاق الدوار التلقائي.

الأجهزة والسياق

الموقف: إصدار نظام التشغيل/نظام التجهيز الإلكتروني للبيانات، بما في ذلك تشفير القرص، وجدار الحماية ؛ غير متوافقة → الحد الأدنى من الوصول أو الحظر.
الشهادة: هوية الجهاز + الشهادات الموقعة (MDM/Endpoint).
قيود الشبكة: كتلة من أنفاق الطرف الثالث، وإجبار الشركات DNS، والحماية من تسريبات DNS/WebRTC.

الربط الشبكي والتمييز المجهري

التخلص من شبكات VLAN «المسطحة»: بدلاً من ذلك، القطاعات/VRF والسياسة على L7.
شبكة الخدمة: توفر وكلاء السيارة الجانبية mTLS، وتفويض السياسة (OPA/EnvoyFilter)، والقياس عن بعد.
ZTNA/SDP: الوصول إلى تطبيق معين، وليس إلى الشبكة ؛ kliyent↔broker↔app، السياسة في PDP.
الوصول عن بعد: استبدال شبكة VPN «السميكة» بوكيل تطبيق ؛ وتقتصر الأنفاق الاحتياطية على الطرق/الموانئ.

السياسات ومحرك الحلول

PDP/PEP: Policy Decision Point (OPA/Styra, Cedar и пр.) + نقطة إنفاذ السياسات (المبعوث/Istio/Gateway).
نموذج السياسات: القواعد الإعلانية (ريغو/سيدار)، الخصائص الثابتة والسياقية، تقييم المخاطر.

مثال ريغو (مبسط): 
rego package access. http

default allow = false

allow {
input. user. role == "support"
input. request. path == "/admin/tickets"
input. device. compliant == true time. now_hh >= 8 time. now_hh <= 20
}

الحلول النزرة: سجل 'مدخلات '/' نتيجة '/' شرح' لمراجعة الحسابات.

التشفير والثقة الافتراضيان

TLS 1. 2+/1. 3 في كل مكان، أجنحة تشفير صارمة، HSTS، تدبيس OCSP.
في الداخل: servis↔servis فقط عن طريق الشهادات المتبادلة ؛ مفاتيح قصيرة الأجل (ساعات/أيام).
الأسرار: KMS/HSM، الأسرار الديناميكية (Vault)، TTL القصيرة، أقل امتياز للتطبيقات.

قابلية الملاحظة و SLO والاستجابة

المقاييس (المجموعة الدنيا):
  • نجاح المصادقة والترخيص (%)، وقت قرار PDP P95، مصافحة TLS 95.
  • النسبة المئوية للطلبات التي تعوقها السياسة (حالات شاذة/خاطئة).
  • توافر وسطاء ZTNA ووحدة تحكم الشبكة.
  • نسبة الأجهزة والاتجاهات المتوافقة.
SLO (أمثلة):
  • "ZTNA ≥ 99. 95 في المائة في الشهر ؛ p95 authZ decision ≤ 50 мс"
  • "النسبة المئوية للطلبات مع mTLS ≥ 99. 9%».
  • "ليس أكثر من 0. 1٪ فشل وصول خاطئ/يوم"

الإنذار: رشقات نارية من الإنكار، وتدهور مصافحة p95، وسلاسل غير صالحة، وانخفاض في نسبة الأجهزة المتوافقة، وشذوذ الجغرافيا/ASN.

الانتقال من المحيط إلى Zero Trust: خريطة طريق

1. المخزون: التطبيقات، تدفقات البيانات، المستهلكون، الحساسية (PII/card/payout).
2. الهوية و MFA: SSO و MFA المقاومة للتصيد للجميع.
3. سياق الجهاز: MDM/EDR، سياسات الامتثال الأساسية، الكتلة غير المتوافقة.
4. التوزيع الجزئي للمسارات ذات الأولوية: المدفوعات، المكتب الخلفي، الإدارة ؛ أدخل mTLS.
5. ZTNA لوصول المستخدم: نشر التطبيقات من خلال وكيل، وإزالة «VPN واسعة».
6. سياسات ABAC: PDP المركزي، القواعد الإعلانية، مراجعة الحسابات.
7. امتداد شبكة الخدمة: S2S mTLS، سياسة L7، القياس عن بعد.
8. الأتمتة و SLO: تنبيه، اختبارات السياسة (CI السياسي)، أيام اللعبة "ماذا لو لم يكن IdP متاحًا ؟ ».

خصوصية iGaming/fintech

التجزئة الصارمة للمجالات: المدفوعات/مؤشر الأداء المستقل/مكافحة الغش/المحتوى - محيط وسياسات منفصلة ؛ الوصول فقط على ZTNA.
التفاعل مع PSP/البنوك: قائمة السماح من قبل ASN/النطاقات، mTLS إلى نقاط نهاية PSP، مراقبة Time-to-Wallet وفشل authZ.
مقدمو المحتوى والشركاء: الوصول المؤقت إلى JIT API، ورموز TTL القصيرة، وعمليات تدقيق التكامل.
الامتثال: PCI DSS/GDPR - تقليل البيانات إلى أدنى حد، DLP/الاسم المستعار، تسجيل الدخول إلى الجداول الحساسة.

أمن سلسلة التوريد و CI/CD

التوقيعات الأثرية (SLSA/Provenance): توقيعات الحاويات (cosign)، سياسة القبول في K8s.
SBOM ونقاط الضعف: جيل SBOM (CycloneDX)، بوابة السياسة في طور الإعداد.
Secrets in CI: OIDC Federation to Cloud KMS; حظر المفاتيح الثابتة.
عمليات التناوب: متكررة وآلية ؛ الإلغاء القسري للحوادث.

الأخطاء والأنماط المضادة الشائعة

«ZTNA = شبكة VPN جديدة»: نشر شبكة بدلاً من التطبيقات ليس Zero Trust.
لا يوجد فحص للجهاز: MFA، لكن الأجهزة المصابة/المتجذرة يمكنها الوصول.
مستخدم خارق واحد: نقص JIT والأدوار المنفصلة.
السياسات المتبعة في مدونة الخدمة: لا يمكن إجراء مراجعة مركزية للحسابات/تحديث.
mTLS جزئي: جزء من الخدمات بدون mTLS → حلقة «متسربة».
صفر UX: طلبات تكرار MFA، لا SSO ؛ نتيجة - مقاومة الأوامر.

دليل مصغر لاختيار التقنيات

الوصول إلى المستخدم: وسيط ZTNA/SDP + IdP (OIDC، FIDO2 MFA).
الأمن أثناء الخدمة: شبكة الخدمة (Istio/Linkerd) + OPA/Envoy authZ.
PKI: SPIFFE/SVID أو Vault PKI مع TTL قصير.
السياسيون: OPA/Rego أو Cedar ؛ في Git، تحقق من CI (اختبارات السياسة).
الجذوع والقياس عن بعد: OpenTelemetry → تحليل مركزي، الكشف عن الشذوذ.

عينات (شظايا)

مبعوث (دائرة الاتصالات المتبادلة بين الخدمات)

yaml static_resources:
listeners:
- name: listener_https filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager route_config: { name: local_route, virtual_hosts: [] }
transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params: { tls_minimum_protocol_version: TLSv1_2 }
tls_certificates:
- certificate_chain: { filename: /certs/tls. crt }
private_key: { filename: /certs/tls. key }
validation_context:
trusted_ca: { filename: /certs/ca. crt }
require_signed_certificate: true

OPA/Rego: الوصول إلى التقارير فقط من «التمويل»، من الأجهزة المتوافقة، خلال ساعات العمل

rego package policy. reports

default allow = false

allow {
input. user. dept == "finance"
input. device. compliant == true input. resource == "reports/profit"
time. now_hh >= 8 time. now_hh <= 21
}

قائمة مرجعية لتنفيذ الثقة الصفرية

1. تمكين SSO و FIDO2 MFA لجميع المستخدمين والمديرين.
2. أدخل وضع الجهاز (MDM/EDR) مع قفل غير متوافق.
3. قم بنقل وصول المستخدم إلى ZTNA (لكل تطبيق)، واترك VPN فقط لقنوات S2S الضيقة.
4. داخل - mTLS افتراضيًا + شهادات قصيرة العمر.
5. مركزية السياسات (PDP/OPA)، تخزين في Git، اختبار في CI.
6. المجالات الحساسة للقطاعات (المدفوعات/مؤشر الاستثمار الدولي/المكتب الخلفي) وتقييد الشرق والغرب.
7. قم بإعداد القياس عن بعد، SLO والتنبيه على auth/authZ، مشاركة mTLS، إشارات الوضع.
8. قم بإجراء «أيام اللعبة» (فشل IdP، وتسريب المفتاح، وإسقاط الوسيط) وإصلاح SOPs/التراجع.

التعليمات

هل Zero Trust تحل محل VPN بالكامل ؟

للوصول إلى المستخدم - نعم، لصالح ZTNA. بالنسبة لجذوع S2S، قد تظل VPN/IPsec، ولكن مع تجاوز mTLS والسياسات الصارمة.

هل يمكن أن تجعل ZT UX أسوأ ؟

إذا كان دون تفكير. مع SSO + FIDO2 و MFA التكيفي والوصول لكل تطبيق، تتحسن UX عادةً.

هل من الضروري إدخال شبكة خدمة ؟

ليس دائما. ولكن بالنسبة لبيئة الخدمة الدقيقة الكبيرة، فإن الشبكة تبسط جذريًا mTLS/policy/telemetry.

المجموع

Zero Trust ليس منتجًا ولكنه تخصص معماري: الهوية كمحيط جديد، وسياق الجهاز، والوصول إلى التطبيق (ZTNA)، والتمييز المجهري و mTLS في كل مكان، والسياسات المركزية والموثوقية القابلة للقياس. من خلال اتباع خارطة الطريق وقائمة المراجعة، ستقلل من سطح الهجوم وتسرع التدقيق وتكتسب أمانًا مستدامًا دون «ثقة افتراضية».

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.