intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
الهوية في Zero Trust0%
الهوية كمستوى تحكّم في Zero Trust

في معمارية Zero Trust لم يعد محيط الشبكة هو خط الدفاع، بل أصبحت الهوية هي الـ control plane الجديد الذي تُبنى عليه كل قرارات الوصول. شعار "Never trust, always verify" يترجم عملياً إلى أن كل طلب وصول يُقيَّم لحظياً بناءً على هوية المستخدم وحالة الجهاز والسياق. مهمتك كـ presales architect أن تشرح للعميل لماذا الهوية، وليس الجدار الناري، هي نقطة البداية الصحيحة لأي رحلة Zero Trust.

  • 1الهوية هي الـ control plane: قرار السماح أو المنع يُتخذ عند طبقة الـ Identity Provider قبل الوصول لأي تطبيق أو بيانات، فتصبح IAM هي قلب المعمارية لا مجرد أداة دعم.
  • 2Conditional Access هو محرّك السياسات: يجمع إشارات (المستخدم، الجهاز، الموقع، المخاطر) ويفرض النتيجة (سماح، MFA، منع، وصول محدود) في قرار واحد ديناميكي لكل جلسة.
  • 3التحقق المستمر (continuous verification) يقتل فكرة الثقة الدائمة بعد تسجيل الدخول: الجلسة تُعاد تقييمها باستمرار، وأي تغيّر في المخاطر يطلب إعادة مصادقة أو يقطع الوصول فوراً.
  • 4مبدأ least privilege + just-in-time access: المستخدم لا يحصل على صلاحيات دائمة بل وصولاً مؤقتاً عند الحاجة، ما يقلّص سطح الهجوم ويواكب متطلبات الـ audit في الخليج.
  • 5الهوية تشمل البشر والآلات: workloads، service accounts، APIs كلها كيانات تحتاج هوية وتحققاً، وهذا مدخل بيع قوي مع نمو الـ cloud-native في رؤية 2030.

رحلة طلب الوصول في Zero Trust

👤
المستخدم يطلب الوصول
🪪
Identity Provider يتحقق
⚖️
Conditional Access يقيّم
🛡️
PEP ينفّذ القرار
🔁
تحقق مستمر للجلسة
🔎تفاصيل أعمق
  • معمارياً، تتبع المعمارية نموذج NIST SP 800-207: الـ Policy Decision Point (PDP) يقيّم السياسة، والـ Policy Enforcement Point (PEP) ينفّذها عند نقطة الوصول. الـ Identity Provider يغذّي الـ PDP بالإشارات. اعرض هذا المخطط للعميل ليفهم أن Zero Trust نموذج معماري معترف به دولياً، وليس مجرد منتج من بائع واحد.
  • في مقارنة المنافسين: Microsoft Entra ID يقود في بيئات M365 بفضل تكامل Conditional Access الأصلي؛ Okta يتفوق كـ neutral IdP عبر بيئات متعددة الـ vendors؛ Ping Identity يستهدف المؤسسات الكبيرة ذات الـ legacy المعقّد. وجّه التوصية حسب نضج العميل ومدى ارتباطه بـ Microsoft ecosystem، ولا تبِع منتجاً واحداً لكل الحالات.
  • في سياق الخليج والتنظيم: SAMA Cyber Security Framework و NCA (ECC) في السعودية يطالبان صراحةً بـ strong authentication و access governance، وكثير من العملاء ملزَمون بـ data residency داخل المملكة. اربط Zero Trust بالامتثال لهذه الأطر، واطرح خيار النشر عبر مناطق السحابة المحلية (مثل datacenters داخل KSA) كميزة بيع تنظيمية لا مجرد تقنية.

Perimeter القديم مقابل Identity-Centric

نموذج المحيط التقليدي
  • ثقة ضمنية داخل الشبكة
  • VPN يفتح وصولاً واسعاً
  • تحقق مرة واحدة عند الدخول
  • ضعف أمام الحركة الجانبية
نموذج Zero Trust
  • لا ثقة افتراضية لأي طرف
  • وصول محدود لكل تطبيق
  • تحقق مستمر بالسياق
  • احتواء نطاق أي اختراق
💡 نصيحة مقابلة: 💡 نصيحة Presales: ابدأ عرضك بسؤال العميل "كم نسبة الـ breaches تبدأ بهوية مسروقة؟" — معظمها يبدأ بـ credential theft. اربط ذلك مباشرة بأن MFA + Conditional Access هما أسرع عائد استثمار (quick win) في أي مشروع Zero Trust، فتبني المصداقية قبل الغوص في التفاصيل.