تسعى المؤسسات الأمنية والتقنية بشكل مستمر إلى ردم الفجوة بين النظريات الأمنية المعقدة وبين إمكانية تطبيقها في بيئات العمل اليومية، وفي هذا السياق، خطت وكالة الأمن القومي الأميركية (NSA) خطوة عملية متقدمة لنقل مفهوم الثقة الصفرية (Zero Trust) من مجرد شعارات عامة إلى إجراءات تنفيذية ملموسة.
وقد أصدرت الوكالة حزمة وثائق جديدة تحت مسمى إرشادات تنفيذ الثقة الصفرية (ZIGs) لتؤكد أن هذه الوثائق جاءت لتعالج العقبات اليومية التي تعترض الفرق الأمنية عند سعيها لإسقاط هذا النموذج الأمني على الأنظمة الحية، والتعامل مع البيانات المتشابكة وصلاحيات الوصول المعقدة.
هيكلية الإرشادات ومراحل التنفيذ الخمس
أطلقت الوكالة وثيقتين افتتاحيتين في يناير 2026 لتؤسس لهذا المسار؛ الأولى بعنوان (Primer) وهي وثيقة تمهيدية تشرح آلية عمل السلسلة والمبادئ الحاكمة لها وكيفية تكامل مراحلها، والثانية تركز بالكامل على مرحلة الاكتشاف (Discovery Phase). وتقدم هذه الوثائق نموذج الثقة الصفرية باعتباره منظومة تعتمد التحقق والتخويل المستمر لكل فاعل في الشبكة، سواء كان مستخدماً بشرياً (PE) أو كياناً غير بشري كالأجهزة (NPE) أو التطبيقات، مع الارتكاز الثابت على مبدأي لا تثق أبداً، تحقق دائماً وافترض وجود اختراق.
وقد حرصت الوكالة على توضيح أن هذه الإرشادات مصممة كوحدات مرنة يمكن اختيارها بناء على مستوى نضج الجهة المنفذة، وذلك نتاج عمل مشترك مع مكتب محفظة الثقة الصفرية التابع لكبير مسؤولي المعلومات في وزارة الحرب (Department of War – DoW)، وهو المسمى الذي أشارت الوثيقة إلى استخدامه كعنوان ثانوي لوزارة الدفاع (DoD) بموجب أمر تنفيذي.
وتنظم هذه الاستراتيجية مائة واثنين وخمسين (152) نشاطاً ضمن خمس مراحل متدرجة: تبدأ بمرحلة الاكتشاف (Discovery)، تليها المرحلة الأولى والثانية والثالثة والتي تصنف ضمن المستوى المستهدف (Target-level)، وصولاً إلى المرحلة الرابعة التي تمثل المستوى المتقدم (Advanced-level). وتؤكد الوثائق أن هذا التقسيم يهدف إلى التنظيم العملي لتسهيل التعامل مع الأنشطة، بعيداً عن كونه عقيدة جامدة.
محورية مرحلة الاكتشاف والمرجعية التأسيسية
تعتبر وثيقة مرحلة الاكتشاف حجر الزاوية في هذه السلسلة، حيث تهدف إلى بناء خط أساس يرتكز على بيانات واقعية ودقيقة عن البيئة التقنية للمؤسسة. وتغطي هذه المرحلة 14 نشاطاً تدعم 13 قدرة أمنية، وتركز جهودها على جمع المعلومات حول بيئة المكونات (Component environment) التي تشمل البيانات والتطبيقات والأصول والخدمات (DAAS)، بالإضافة إلى كافة الكيانات البشرية وغير البشرية.
وتتطلب هذه المرحلة إجراءات تشغيلية دقيقة مثل توثيق تدفقات البيانات عبر الأنظمة، واستخدام أدوات متخصصة لرسم أنماط الحركة (Traffic patterns) لكشف الارتباطات الخفية بين المستخدمين والأجهزة، فضلاً عن تمييز حركة الوصول البرمجية (API traffic) ووسمها لفصلها عن بقية الأنشطة.
وتستند هذه الإرشادات بوضوح إلى مرجعيات حكومية أمريكية رصينة، منها معيار Zero Trust Architecture الصادر عن المعهد الوطني للمعايير والتقنية (NIST)، ونموذج النضج الصادر عن وكالة الأمن السيبراني (CISA)، بالإضافة إلى استراتيجية ومعمارية الثقة الصفرية الخاصة بوزارة الدفاع. وتكمن القيمة الجوهرية لهذه الخطوة في الرسالة الضمنية التي تحملها: إن الانتقال إلى نموذج الثقة الصفرية يظل محاولة هشة وصعبة الإدارة ما لم يسبقها توثيق دقيق وفهم عميق لتدفقات البيانات وتشابك الصلاحيات، وهو ما يجعل من هذه الوثائق دليلاً لإعادة ترتيب البيت الداخلي قبل الشروع في دمج الحلول الأمنية المعقدة.
