إدارة الوصول: دليل مفصل

تستخدم الشركات حلول إدارة الوصول لمصادقة الوصول إلى التطبيقات وأنظمة تكنولوجيا المعلومات وترخيصها ومراجعتها. يتم توفيرها بشكل متكرر كعنصر من مكونات حل إدارة الهوية والوصول (IAM) ، مما يساعد على زيادة الأمان وتقليل المخاطر من خلال إدارة الوصول عن كثب إلى التطبيقات والخدمات والبنية التحتية لتكنولوجيا المعلومات في أماكن العمل والمستندة إلى السحابة. كما أنها تساعد في ضمان وصول المستخدمين المناسبين إلى الموارد المناسبة في الأوقات المناسبة وللأسباب المناسبة. سيشرح منشور المدونة هذا إدارة الوصول بالتفصيل ، بما في ذلك أسعار إدارة الوصول المميزة.

ما هي إدارة الوصول؟

إدارة الوصول هي عملية تحديد وتتبع وتنظيم وإدارة وصول المستخدمين المسموح بهم أو المحددين إلى نظام أو تطبيق أو أي مثيل لتكنولوجيا المعلومات.

إنها فكرة شاملة تتضمن جميع القواعد والأساليب والمنهجيات والتقنيات المستخدمة للحفاظ على حقوق الوصول في بيئة تكنولوجيا المعلومات آمنة.

إدارة الوصول هي في الأساس إجراء لأمن المعلومات وتكنولوجيا المعلومات وإدارة البيانات التي تسمح للمستخدمين بالوصول الصالح مع منع المستخدمين غير الصالحين. عادةً ما يتم استخدام AM جنبًا إلى جنب مع إدارة الوصول إلى الهوية (IAM). تضمن AM الامتثال لهذه الأدوار والسياسات ، في حين أن إدارة الهوية تطور وتؤمن وتنظم مختلف المستخدمين والأدوار والمجموعات والسياسات. يحفظ التطبيق / النظام المستند إلى AM مختلف أدوار وملفات تعريف المستخدم ثم يعالج طلبات وصول المستخدم بناءً على البيانات / الملف الشخصي / الأدوار.

الهوية والوصول إلى الإدارة 

إدارة الهوية والوصول (IAM) هي تخصص للأمن السيبراني يركز على إدارة هويات المستخدمين وحقوق الوصول إلى الشبكة. بينما تختلف سياسات وعمليات وتقنيات IAM باختلاف الشركة ، فإن الهدف من أي مبادرة IAM هو ضمان وصول المستخدمين والأجهزة المناسبة إلى الموارد المناسبة في الوقت المناسب للأسباب الصحيحة.

يمكن أن تساعد IAM في تبسيط التحكم في الوصول في إعدادات السحابة المتعددة المعقدة. ترتبط شبكات الشركات الآن بمصادر البيانات والبرمجيات المحلية والبعيدة والقائمة على السحابة (SaaS). يحتاج المستخدمون البشريون (العمال ، العملاء ، المقاولون) والمستخدمون غير البشر (الروبوتات ، أجهزة إنترنت الأشياء ، أعباء العمل الآلية ، واجهات برمجة التطبيقات) إلى الوصول إلى هذه الموارد لعدة أسباب.

تمكّن أنظمة IAM الشركات من إصدار هوية رقمية واحدة لكل مستخدم وتحديد امتيازات الوصول لكل مستخدم. نتيجة لذلك ، يمكن للمستخدمين المصرح لهم فقط الوصول إلى موارد الشركة ، ولا يمكنهم استخدام هذه الموارد إلا بالطرق التي تسمح بها المؤسسة.

كيف تعمل IAM

في جوهرها ، تسعى IAM جاهدة لإبعاد المتسللين مع السماح للمستخدمين المصرح لهم ببساطة بأداء كل ما يحتاجون إليه دون تجاوز أذوناتهم.

تعتبر شبكة كل شركة فريدة من نوعها ، وكذلك السياسات والعمليات والأدوات المستخدمة لتطوير نظام إدارة الهوية والوصول. بعد قولي هذا ، فإن غالبية تطبيقات IAM ، إن لم يكن كلها ، تغطي أربع وظائف رئيسية:

# 1. إدارة دورة حياة الهوية

تُعرف عملية تطوير الهوية الرقمية والحفاظ عليها لكل كيان بشري أو غير بشري على شبكة باسم إدارة دورة حياة الهوية.

تقوم الهوية الرقمية بإعلام الشبكة بمن أو ماهية كل كيان وما هو مسموح لهم القيام به على الشبكة. غالبًا ما يحتوي التعريف على معلومات حساب المستخدم الأساسية - الاسم ورقم المعرف وبيانات اعتماد تسجيل الدخول وما إلى ذلك - بالإضافة إلى معلومات حول الوظيفة التنظيمية للكيان والواجبات وحقوق الوصول.

تعتبر عمليات إعداد الكيانات الجديدة وترقية حساباتها وأذوناتها بمرور الوقت وإلغاء تأمين المستخدمين الذين لم يعدوا بحاجة إلى الوصول جزءًا من إدارة دورة حياة الهوية.

# 2. صلاحية التحكم صلاحية الدخول

كما ذكرنا سابقًا ، لكل هوية رقمية مستويات مختلفة من الوصول إلى موارد الشبكة بناءً على قيود الوصول الخاصة بالشركة. لا يجوز للمستهلك الوصول إلى حسابه الشخصي وبياناته إلا على النظام الأساسي السحابي. يمكن للموظفين الوصول إلى قواعد بيانات العميل وكذلك الأدوات الداخلية مثل بوابات الموارد البشرية. قد يتمكن مسؤول النظام من الوصول إلى كل شيء على الشبكة وتغييره ، بما في ذلك حسابات العملاء والموظفين والخدمات الداخلية والخارجية ومعدات الشبكة مثل المحولات وأجهزة التوجيه.

لإنشاء وفرض لوائح الوصول ، تستخدم العديد من أنظمة IAM التحكم في الوصول المستند إلى الأدوار (RBAC). يتم تحديد امتيازات كل مستخدم في RBAC من خلال وظيفته أو المسمى الوظيفي. افترض أن الشركة تقوم بتكوين أذونات الوصول إلى جدار حماية الشبكة. من غير المحتمل أن يكون لمندوب المبيعات حق الوصول لأن مهنتهم لا تتطلب ذلك. قد يتمكن محلل الأمان على مستوى المبتدئين من عرض تكوينات جدار الحماية دون تغييرها. سيكون لدى CISO كل السلطات الإدارية. قد تتمكن واجهة برمجة التطبيقات التي تربط SIEM الخاص بالشركة بجدار الحماية من قراءة سجلات نشاط جدار الحماية ولكن لا ترى أي شيء آخر. 

# 3. المصادقة والتخويل

تقوم أنظمة IAM بأكثر من مجرد إنشاء الهويات وإصدار الأذونات ؛ كما أنها تساعد في إنفاذ تلك الأذونات من خلال المصادقة والترخيص. 

المصادقة هي العملية التي من خلالها يثبت المستخدمون أنهم هم من يقولون. عندما يسعى المستخدم للوصول إلى أحد الموارد ، فإن نظام IAM يقارن بيانات الاعتماد الخاصة به بتلك المخزنة في الدليل. يتم منح الوصول إذا كانت مطابقة.

بينما توفر تركيبة اسم المستخدم / كلمة المرور مستوى أساسيًا من المصادقة ، تستخدم معظم أطر إدارة الهوية والوصول اليوم طبقات إضافية من المصادقة لتوفير أمان إضافي ضد التهديدات الإلكترونية.

مصادقة متعددة العوامل.

يجب على المستخدمين إرسال عاملي مصادقة أو أكثر لإثبات هوياتهم عند استخدام المصادقة متعددة العوامل (MFA). يعد رمز الحماية الممنوح لهاتف المستخدم أو مفتاح الأمان المادي أو القياسات الحيوية مثل فحص بصمات الأصابع كلها عوامل شائعة.

SSO (تسجيل دخول أحادي)

يسمح الدخول الموحّد (SSO) للمستخدمين بالوصول إلى العديد من التطبيقات والخدمات باستخدام مجموعة واحدة من بيانات اعتماد تسجيل الدخول. تتحقق بوابة الدخول الموحد (SSO) من هوية المستخدم وتقوم بإنشاء شهادة أو رمز مميز يعمل كمفتاح أمان للموارد الأخرى. تستخدم العديد من أنظمة SSO بروتوكولات مفتوحة مثل لغة ترميز تأكيد الأمان (SAML) للسماح لمقدمي الخدمة بمشاركة المفاتيح بحرية.

تحديد التكيف

عندما تتغير المخاطر ، تعمل المصادقة التكيفية ، المعروفة أيضًا باسم "المصادقة القائمة على المخاطر" ، على تغيير متطلبات المصادقة في الوقت الفعلي. قد يحتاج المستخدم فقط إلى إرسال اسم مستخدم وكلمة مرور عند تسجيل الوصول من أجهزته العادية. إذا قام نفس المستخدم بتسجيل الدخول من جهاز غير موثوق به أو حاول رؤية معلومات حساسة ، فقد تكون هناك حاجة إلى عوامل مصادقة إضافية.

يتحقق نظام IAM من الدليل بحثًا عن امتيازات وصول المستخدم بعد مصادقته. يقوم نظام IAM بعد ذلك بتفويض المستخدم للوصول إلى المهام التي تسمح بها أذوناتهم وإكمالها فقط.

# 4. إدارة الهوية

تُعرف عملية تتبع ما يفعله الأشخاص بوصولهم إلى الموارد باسم إدارة الهوية. تراقب أنظمة IAM المستخدمين للتأكد من أنهم لا يسيئون استخدام امتيازاتهم - وللقبض على أي متسللين دخلوا إلى الشبكة.

إدارة الهوية ضرورية أيضًا للامتثال التنظيمي. يمكن للشركات استخدام بيانات النشاط للتأكد من أن ضوابط الوصول الخاصة بها تتوافق مع معايير أمان البيانات مثل اللائحة العامة لحماية البيانات (GDPR) أو معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS).

إدارة الوصول المميز (PAM)

إدارة الوصول المميز (PAM) هي طريقة لأمن المعلومات (infosec) تحمي الهويات ذات الوصول الفريد أو القدرات التي تتجاوز تلك الخاصة بالمستخدمين العاديين. يعتمد أمان PAM ، مثل جميع حلول أمن المعلومات الأخرى ، على مجموعة من الأشخاص والعمليات والتكنولوجيا.

نتخذ احتياطات إضافية مع الحسابات المميزة نظرًا للمخاطر التي تشكلها على البيئة الفنية. على سبيل المثال ، إذا تم اختراق بيانات اعتماد مسؤول أو حساب خدمة ، فقد تتعرض أنظمة المنظمة وبياناتها السرية للخطر.

عندما يقوم ممثلو التهديد بخرق حسابات الوصول ذات الامتيازات ، تحدث خروقات للبيانات. نظرًا لأن هذه الحسابات تحتوي على المفاتيح التي تفتح كل باب في بيئة تقنية ، يجب علينا إضافة طبقات أمان إضافية. يوفر نظام إدارة الوصول المميز هذا الأمان الإضافي.

ما هو امتياز الوصول؟

في السياق التكنولوجي ، يشير الوصول المميز إلى الحسابات التي تتمتع بإمكانيات أكبر من المستخدمين العاديين. في بيئة Linux ، على سبيل المثال ، يمكن للمستخدم الجذر إضافة مستخدمين أو تحريرهم أو حذفهم ؛ تثبيت البرنامج وإلغاء تثبيته ؛ والوصول إلى أقسام مقيدة من أنظمة التشغيل لا يستطيع المستخدم العادي الوصول إليها. بيئات Windows لها نموذج أمان مشابه ، ولكن يُشار إلى المستخدم الجذر كمسؤول.

ما هي عملية إدارة الوصول المميز؟

إدارة الوصول المميزة ، كما ذكرنا سابقًا ، هي مزيج من الأشخاص والعمليات والتكنولوجيا. ومن ثم فإن تحديد الحسابات التي لها حق الوصول المميز هو الخطوة الأولى في تثبيت حل PAM. بعد ذلك ، يجب أن تقرر الشركة السياسات التي سيتم تطبيقها على هذه الحسابات.

قد يشترطون ، على سبيل المثال ، أن حسابات الخدمة يجب أن تقوم بتحديث كلمات المرور الخاصة بهم في كل مرة يصل فيها المستخدم إلى بيانات الاعتماد المحفوظة الخاصة بهم. مثال آخر هو فرض المصادقة متعددة العوامل (MFA) لجميع مسؤولي النظام. هناك لائحة أخرى قد تختار الشركة تطبيقها وهي الاحتفاظ بسجل كامل لجميع الجلسات المميزة. يجب أن تتماشى كل عملية بشكل مثالي مع مخاطر محددة. على سبيل المثال ، يؤدي طلب تغيير كلمة المرور لحسابات الخدمة إلى تقليل فرصة التعرض لهجوم من الداخل. وبالمثل ، فإن الاحتفاظ بسجل لجميع الجلسات المميزة يسمح لمسؤولي الأمان بتحديد أي حالات شاذة ، وفرض MFA هو حل مجرب وحقيقي لمنع الهجمات المتعلقة بكلمات المرور.

بعد الانتهاء من خطوة الاكتشاف المتمثلة في العثور على حسابات مميزة ووضع اللمسات الأخيرة على سياسات PAM ، يمكن للشركة تثبيت منصة تقنية لمراقبة إدارة الوصول المميز وفرضها. يعمل حل PAM هذا على أتمتة قواعد المؤسسة ويوفر نظامًا أساسيًا لمسؤولي الأمان لإدارة الحسابات المميزة ومراقبتها.

ما هي أهمية حزب الأصالة والمعاصرة؟

تمثل الحسابات المميزة مخاطرة كبيرة للشركة ، وبالتالي فإن إدارة الوصول المتميزة أمر بالغ الأهمية في أي مؤسسة. على سبيل المثال ، إذا قام أحد الجهات المهددة بخرق حساب مستخدم عادي ، فلن يتمكن من الوصول إلا إلى معلومات هذا المستخدم المحدد. إذا تمكنوا من اختراق مستخدم ذي امتياز ، فسيكون لديهم وصول أكبر بشكل ملحوظ ، واعتمادًا على الحساب ، قد يكونون قادرين على إتلاف الأنظمة.

بسبب رتبتهم وملفهم الشخصي ، يستهدف المحتالون حسابات مميزة من أجل مهاجمة شركات بأكملها بدلاً من فرد واحد. مع توقع Forrester أن الحسابات المميزة متورطة في 80٪ من الانتهاكات الأمنية ، فإن حماية هذه الهويات التنظيمية الأساسية ومراقبتها أمر بالغ الأهمية. يمكن لحل PAM ، على سبيل المثال ، معالجة الثغرات الأمنية مثل وصول العديد من الأشخاص إلى نفس كلمة المرور الإدارية لخدمة معينة ومعرفتهم بها. كما أنه يقلل من خطر رفض المسؤولين تغيير كلمات المرور الثابتة طويلة الأمد خوفًا من التسبب في اضطراب غير متوقع.

يدير PAM المكونات المهمة للوصول الآمن ويبسط إنشاء حسابات المستخدمين للمسؤولين ، وقدرات الوصول المرتفعة ، وتكوين التطبيقات السحابية. يقلل PAM من سطح هجوم المؤسسة عبر الشبكات والخوادم والهويات من حيث أمن تكنولوجيا المعلومات. كما أنه يقلل من احتمالية حدوث خروقات للبيانات بسبب تهديدات الأمن السيبراني الداخلية والخارجية.

تسعير إدارة الوصول المميز 

يكلف نظام إدارة الوصول المتميز (PAM) أكثر من مجرد رسوم الترخيص. في حين أنه قد يكون من المغري التركيز فقط على التكاليف الأولية ، فإن تقييم أسعار إدارة الوصول المتميز يتطلب النظر في عوامل أخرى لتحديد ما إذا كان الحل سيوفر عائدًا حقيقيًا على الاستثمار (ROI) أو يسبب مشاكل أكثر مما يحله.

لهذا السبب ، بالإضافة إلى النظر في تكاليف إدارة الوصول المميزة ، يجب على الشركات تحديد نوع عائد الاستثمار الذي سيحصلون عليه عند اختيار نظام PAM. يمكن لآلة حاسبة عائد الاستثمار أن تساعدهم في تحديد أنواع العوائد الممكنة لفرق DevOps / الهندسة وفرق الأمان والشركة.

ماذا يكلف حل PAM؟

تبلغ تكلفة حلول إدارة الوصول المميزة (PAM) 70 دولارًا لكل مستخدم شهريًا. يتضمن ذلك التدقيق والتكامل لجميع قواعد البيانات والخوادم والمجموعات وتطبيقات الويب والسحابات. لا يوجد أيضًا قياس أو قيود على البيانات أو تكاليف خدمة احترافية.

ما هو دور إدارة الوصول؟

تضمن إدارة الوصول أن يتلقى الشخص المستوى الدقيق ونوع الوصول إلى الأداة التي يحق لهم الحصول عليها.

ما المهارات التي تحتاجها لإدارة الوصول؟

• الفهم الجيد والمعرفة بأمان التطبيق.
• بعض الفهم و / أو الخبرة في أنظمة التحكم في الوصول القائمة على الأدوار.
• إتصال شفهي وكتابي ممتاز ، قدرات شخصية وتنظيمية وإدارة الوقت.
• قدرة قوية على نقل وشرح المشكلات الفنية المعقدة والحلول البديلة للآخرين.
• معرفة جيدة أو خبرة في العمل مع أنظمة تخطيط موارد المؤسسات في مؤسسات التعليم العالي أو الحكومة.
• المهارات التحليلية واستكشاف الأخطاء وإصلاحها مع القضايا والمهام التقنية المعقدة مطلوبة.
• يفضل المعرفة أو الخبرة كمسؤول هوية في بيئة تطوير البرامج التي تتعامل مع نظام تخطيط موارد المؤسسات.
• معرفة قوية أو خبرة في لوائح إدارة الهوية الفيدرالية والولائية.
• معرفة متى يمكن استخدام تدابير التحكم في الوصول القائمة على الأدوار لتوفير الوصول.
• القدرة على تحديد وقت تقديم قضية إلى مركز الدعم الفني للمورد و / أو وقت تصعيد مشكلة حالية.
• القدرة على تقرير ما إذا كان سيتم تصعيد أو تطبيق مستويات محددة من التخفيف من المخاطر.

مقالات ذات صلة

1. التعاطف: عدم وجود علامات التعاطف وكيفية تطويرها
2. نظام إدارة الهوية
3. أدوات إدارة الهوية والوصول: التعريفات وأفضل أدوات الهوية والوصول المجانية
4. إدارة الوصول المميزة: كيف تعمل

مراجع حسابات

• Cyberark.com
• آي بي إم.كوم
• Oneidentity.com