محيط المكتب ميت - يحيا الوصول المتمحور حول الهوية (مرحباً بك في البانوبتيكون، إصدار العامل عن بُعد)
لا شيء صحيح. كل شيء مسموح به. المكتب اختياري. العمل عن بُعد دائم. نماذج الأمان المبنية على محيطات فيزيائية لا تعمل عندما يعمل الجميع من المنزل (أو المقاهي، أو المطارات، أو صالات فندق Marriott مع شبكة WiFi عامة متصدعة الأمان). FNORD. انظر بوضوح: المحيط الفيزيائي كان دائماً وهماً. العمل عن بُعد فقط جعل الوهم واضحاً.
فكر بنفسك، أيها الأحمق! تساءل عن السلطة. تساءل لماذا شركتك السابقة أجبرتك على أن تكون في المكتب للوصول إلى أنظمة يمكنك الوصول إليها بنفس السهولة (وبشكل أكثر أماناً) من المنزل مع VPN لائق و MFA للأجهزة. نموذج الأمان القائم على المحيط هو المشي الأمني - ليس له معنى تقني، إنه فقط مسرح الإدارة لتبرير الإيجار المكتبي والرؤية الإدارية للموظفين. الثقة الصفرية تعني عدم الثقة بالشبكة - ثق بالهوية.
في Hack23، مدينية الوصول عن بُعد لدينا تتعرف على الواقع: الجميع يعمل عن بُعد، دائماً (حتى عندما يكونون في "المكتب" - وهو مجرد مكان آخر للعمل عن بُعد مع WiFi أفضل قليلاً). مدينيتنا مبنية على هندسة الثقة الصفرية (افترض انتهاك، تحقق من كل شيء، لا تثق أبداً بمجرد موقع الشبكة)، MFA إلزامي (أجهزة، وليست رسائل نصية - هذا ليس 2010)، AWS Identity Center SSO (إدارة متمركزة للهويات)، ومراجعات امتيازات ربع سنوية (لأن الزحف الامتيازي أكثر قابلية للتنبؤ من قانون مورفي).
التنوير: الأمان القائم على المحيط يفترض أن داخل الشبكة = آمن. هذا كذب. الانتهاكات دائماً من الداخل - إما المهاجمين الذين دخلوا، أو الموظفين الذين تم اختراقهم، أو حسابات الخدمة المنسية من 2015 التي لا يزال يستخدمها لا أحد. الثقة الصفرية تعامل كل الشبكة كمعادية. أنظر لعالم كعدو يظهر بوضوح. مرحباً بك في Chapel Perilous، حيث جنون العظمة هو استراتيجية، وليس عرضاً.
نهجنا: نفترض انتهاك (لأنه حدث بالفعل، فقط لم تكتشفه بعد). نتحقق من الهوية (MFA، دائماً). نفرض الوصول الأدنى امتياز (الأذونات الافتراضية = صفر). نراجع الامتيازات ربع سنوياً (الزحف الامتيازي حقيقي). ننفذ مهلات الجلسة بناءً على تصنيف البيانات (1-24 ساعة حسب الحساسية). التفاصيل الفنية الكاملة في مدينية التحكم في الوصول العامة لدينا.
بحاجة إلى إرشاد خبير حول الثقة الصفرية؟ استكشف خدمات Hack23 المدعومة بتنفيذ فعلي، وليس PowerPoints استشارية.
الضوابط الخمس للوصول عن بُعد (الثقة الصفرية بدون الهراء)
1. 🔐 MFA للأجهزة إلزامي (أجهزة، وليست رسائل نصية)
أجهزة YubiKey أو Titan. لا توجد رسائل نصية SMS. لا يوجد بريد إلكتروني MFA. أجهزة فقط. لماذا؟ SMS قابل للاعتراض. البريد الإلكتروني قابل للاختراق. الأجهزة تقاوم التصيد. إذا فقدت YubiKey الخاص بك، لديك نسخة احتياطية (مخزنة بشكل آمن). إذا فقدت كلاهما، لدينا عملية استرداد (تتضمن تحقق هوية، وليس مكالمة هاتفية سهلة).
MFA للأجهزة = احتكاك. احتكاك = أمان. المستخدمون الذين يشتكون من "عدم الراحة" هم نفس المستخدمين الذين سيضغطون على روابط التصيد عندما يكون MFA سهلاً للغاية.
2. 🎫 AWS Identity Center SSO (وصول مركزي)
هوية واحدة. تسجيل دخول واحد. إدارة موحدة. جميع الأنظمة عبر AWS Identity Center. لا يوجد أسماء مستخدمين/كلمات مرور منفصلة. لا توجد كلمات مرور مخزنة محلياً (حسناً، أنت تستخدم مدير كلمات مرور، ولكن Identity Center يتولى المصادقة الفعلية). فصل واحد، وصول محجوب عن كل شيء. مراجعة واحدة، صورة كاملة للامتيازات عبر جميع الأنظمة.
SSO موحد ليس حول الراحة - إنه حول الرؤية. عندما يفعل المستخدم شيئاً سيئاً، تحتاج إلى معرفة أين لديه وصول. لا يمكنك مراجعة ما لا يمكنك رؤيته.
3. 🕒 مهلات جلسة قائمة على التصنيف (1-24 ساعة)
البيانات الأكثر حساسية = مهلات أقصر. مقيد (24 ساعة)؟ أعد المصادقة يومياً. سري (8 ساعات)؟ نصف يوم. داخلي (4 ساعات)؟ جلسات قصيرة. عام؟ لا توجد مهلة (إنه عام على أي حال). مبني على إطار تصنيف البيانات. الأمان متناسب مع التأثير.
مهلات الجلسة هي ضريبة احتكاك متعمدة. البيانات الحساسة تستحق إعادة مصادقة متكررة. المستخدمون المزعجون = أمان يعمل.
4. 🔍 مراجعة امتيازات ربع سنوية (الزحف حقيقي)
كل 3 أشهر: مراجعة جميع الامتيازات. إزالة ما لم يعد ضرورياً. الزحف الامتيازي ليس حشرة - إنه الحالة الافتراضية. يحصل المستخدمون على أذونات للمشاريع. المشاريع تنتهي. الأذونات تبقى. بعد سنة، الجميع لديه وصول إلى كل شيء. المراجعة الربع سنوية = التطهير المنهجي. مالكو المصادر يؤكدون من يحتاج إلى الوصول. كل شيء آخر يُزال.
مراجعات الامتيازات ليست اختيارية - إنها نظافة أمنية. تخطي مراجعة واحدة، والزحف يتراكم. تخطي أربع، ولديك موظف سابق بوصول إلى الإنتاج.
5. 🌐 الثقة الصفرية: افترض الانتهاك (دائماً)
لا تثق بالشبكة. لا تثق بالموقع. ثق بالهوية + الجهاز + السياق. VPN من المنزل = نفس عدم الثقة كـ WiFi المقهى. كلاهما غير موثوق. كلاهما يتطلب MFA. كلاهما يتحقق من كل طلب. الأمان القائم على المحيط ميت - الأمان القائم على الهوية يحكم. موقع الشبكة غير ذي صلة. الامتثال، المصادقة، التفويض - دائماً.
الثقة الصفرية = جنون العظمة المنهجي. افترض كل شبكة معادية. افترض كل جهاز مخترق. افترض كل مستخدم عرضة للتصيد. ثم بنِ ضوابط تعمل على أي حال.
الخلاصة: احتضن ما بعد المكتب (البانوبتيكون موزع الآن)
المكتب ميت. العمل عن بُعد دائم. الأمان يجب أن يتكيف.
الأمان القائم على المحيط يفترض موقع الشبكة = الثقة. هذا لم يكن صحيحاً أبداً - كان فقط مريحاً. العمل عن بُعد حطم الوهم. الثقة الصفرية هي الاعتراف بالواقع: الشبكات غير موثوقة. الهويات قابلة للتحقق. الأجهزة قابلة للشهادة. السياق مهم.
خمسة ضوابط للوصول عن بُعد: (1) MFA للأجهزة إلزامي - أجهزة، وليست رسائل نصية. (2) AWS Identity Center SSO - هوية واحدة، تسجيل دخول واحد، إدارة موحدة. (3) مهلات جلسة قائمة على التصنيف - 1-24 ساعة حسب الحساسية. (4) مراجعات امتيازات ربع سنوية - منع الزحف الامتيازي منهجياً. (5) الثقة الصفرية - افترض الانتهاك، تحقق من كل شيء، لا تثق أبداً بالشبكة.
هل أنت بجنون العظمة بما يكفي؟ مدينيتنا عامة. تنفيذنا موثق. معاييرنا شفافة. نقول لك بالضبط كيف نؤمن الوصول عن بُعد ولماذا. اتبع النموذج. انسخ الضوابط. استمتع بالعمل في منظمة تعرف أن المكتب كان دائماً خيالاً.
كل التحية لإريس! كل التحية للديسكورديا!
"فكر بنفسك، أيها الأحمق! إذا كان أمانك يعتمد على المستخدمين في شبكة "آمنة"، فليس لديك أمان - لديك دين كارغو."
🍎 23 FNORD 5
— Hagbard Celine، قبطان Leif Erikson