4/1
مدیریت هویت و دسترسی (IAM) (Identity and access management) روشی است که با استفاده از آن مطمئن میشوند که افراد و موجودیتهایی که دارای هویتهای دیجیتال هستند، سطح درستی از دسترسی را به منابع سازمان از جمله شبکهها و دیتابیسها دارند. در یک سیستم IAM، نقشهای کاربران و همچنین، دسترسیهای ویژه تعریف و مدیریت میشوند.
مدیریت هویت و دسترسی (IAM) (Identity and access management) روشی است که با استفاده از آن مطمئن میشوند که افراد و موجودیتهایی که دارای هویتهای دیجیتال هستند، سطح درستی از دسترسی را به منابع سازمان از جمله شبکهها و دیتابیسها دارند. در یک سیستم IAM، نقشهای کاربران و همچنین، دسترسیهای ویژه تعریف و مدیریت میشوند.
ادمینهای IT با استفاده از راهکارهای IAM میتوانند هویتهای دیجیتال و دسترسیهای ویژهی آنها را به شکلی امن و مؤثر مدیریت کنند. این ادمینها میتوانند با استفاده از IAM، نقشهای کاربران را تعریف کرده و تغییر دهند، فعالیتهای کاربران را ردیابی و گزارش نمایند و خطمشیهای شرکت و انطباق با مقررات را اعمال کنند تا از امنیت و حریم خصوصی دادهها محافظت به عمل آید.
یک راهکار IAM ممکن است به صورت مجموعهای از چندین فرآیند و ابزار و از جمله، راهکار کنترل دسترسی به شبکه (NAC) (network access control) باشد. ادمینهای IT از راهکارهای NAC برای کنترل دسترسی به شبکه استفاده میکنند. این کار به وسیلهی قابلیتهایی همچون مدیریت چرخهی عمر خطمشیها، دسترسی مهمان به شبکه و بررسی وضعیت امنیت انجام میشود. راهکارهای IAM ممکن است به صورت سرویسهای ابری بوده یا بر روی سرورهای محلّی ارائه شود. همچنین، ممکن است به صورت راهکارهای ترکیبی -یعنی هم بر روی سرورهای محلّی و هم بر روی ابر- باشد. بسیاری از شرکتها از اپلیکیشنهای ابری برای خدمات IAM خود استفاده میکنند، زیرا پیادهسازی، بهروزرسانی و مدیریت آن سادهتر است.
درصورت تمایل به مطالعه درخصوص راهکارهای کنترل دسترسی پیشنهاد میکنیم مقالات زیر را مطالعه نمایید:
هویت دیجیتال (digital identity) به عنوان یکی از منابع حقیقت اصلی در مدیریت هویت و دسترسی به حساب میآید. هویت دیجیتال، در واقع همان اعتبارنامههایی است که یک کاربر برای دسترسی به منابع آنلاین یا منابع موجود بر روی شبکه شرکت به آن نیاز دارد. راهکارهای IAM مربوط به این اعتبارنامهها، همان عوامل احراز هویتی (authentication factors) هستند که کاربران یا موجودیتها برای دسترسی به اپلیکیشنها، اساساً در لایهی 7 به آنها نیاز دارند. این عوامل تصدیق میکنند که کاربران، همان کسانی هستند که ادعا کردهاند.
سه عامل احراز هویت بسیار معروف در IAM، عبارتند از آن چیزی که مشتری میداند (مانند کلمه عبور)؛ آنچه کاربر در اختیار دارد (مانند گوشی هوشمند)؛ و آنچه کاربر هست (مثلاً یک ویژگی فیزیکی مانند اثر انگشت). در اپلیکیشنهای احراز هویت، معمولاً کاربر باید مجموعهای از عوامل احراز هویت را ارائه کند تا بتواند هویت خود را اثبات نماید. بدین ترتیب، اپلیکیشن مورد نظر هم دسترسی کاربر به منابع محدود را بر اساس دسترسیهای ویژه تعریفشده برای دیدن یا استفاده فراهم میکند.
بسیاری از شرکتها از احراز هویت دوعامل (2FA) (two-factor authentication) استفاده میکنند که نوع خاصی از احراز هویت چندعاملی (MFA) (multi-factor authentication) است. در احراز هویت دوعاملی، کاربر باید ابتدا نام کاربری و کلمه عبور خود را وارد نموده و سپس، کدی که از طریق اپلیکیشن 2FA دریافت میکند را وارد کرده یا به اعلانی که بر روی دستگاه خود، مثلاً گوشی هوشمند خود دریافت میکند، پاسخ دهد.
شرکتها میتوانند با استفاده از IAM، خطمشیهای امنیتی واحدی را در سرتاسر سازمان خود اعمال کنند. این شرکتها با استفاده از ابزارهایی مانند راهکارهای NAC نیز میتوانند دسترسی کاربران به منابع و زمان دسترسی به آنها را نیز محدود کنند. با این کار، احتمال دسترسی افراد غیرمجاز، اعم از دسترسیهای اتفاقی یا هدفمند برای دیدن و سوء استفاده از دادههای حساس کم میشود.
روشهای IAM همچون ورود یکپارچه (SSO) (Single Sign-On) و احراز هویت چندعاملی (MFA) نیز کمک میکنند تا ریسک به خطر افتادن اعتبارنامههای کاربران کاهش یابد، زیرا با استفاده از این راهکارها دیگر نیازی نیست که کاربران، چندین کلمه عبور مختلف ایجاد کرده و از آنها نگهداری کنند. علاوه بر اینها کاربران باید از احراز هویت مبتنی بر شواهد، مثلاً سؤالات امنیتی، کلمات عبور یکبار مصرف یا عوامل ذاتی مانند اثر انگشت استفاده کنند تا بتوانند به منابع محافظتشده دسترسی پیدا کنند. بدین ترتیب، احتمال آنکه بازیگران مخرب به منابع حیاتی دسترسی پیدا کنند، کم میشود.
سازمانها با استفاده از سیستمهای IAM میتوانند بسیاری از الزامات انطباق مربوط به امنیت و حریم خصوصی داده را برآورده سازند. به عنوان مثال، سازمان میتواند با استفاده از IAM الزامات تعیینشده در قانون انتقال بیمه سلامت و پاسخگویی (HIPAA) (Health Insurance Portability and Accountability) را رعایت کند. بر اساس این قانون، سازمان ملزم است تا از اطلاعات سلامت اشخاص محافظت کند تا دسترسی الکترونیکی امن به اطلاعات سلامت ممکن شود.
شرکتها میتوانند از روشهایی همچون SSO، MFA، کنترل دسترسی بر اساس نقشها (RBAC) (role-based access control) و «کمینه دسترسیهای ویژه» (least privileges) استفاده کرده و الزامات HIPAA را برآورده سازند. در روش کمینه دسترسیهای ویژه، کمترین دسترسیهای لازم برای انجام یک کار مشخص به کاربران و موجودیتها اعطا میشود.
استفاده از IAM برای مؤسسات خدمات مالی که میخواهند الزامات قانون ساربنز-اکسلی (SOX) (Sarbanes-Oxley Act) را برآورده سازند نیز سودمند است. در مادهی 404 از این قانون تصریح شده است که شرکتها باید کنترلهای داخلی کافی برای تهیهی گزارشات مالی و حفاظت از صحّت دادههای مالی در این گزارشات پیادهسازی کرده، آنها را آزمون نموده و مستند سازند. اعمال خطمشیهای تفکیک وظایف (SoD) نیز یکی از روشهایی است که در IAM وجود دارد و در برآوردهساختن الزامات SOX به سازمان کمک میکند.
سازمانها با استفاده از روشهایی همچون SSO، MFA یا RBAC میتوانند امنیت را ارتقا داده و در عین حال، موانعی که در سر راه بهرهوری کارکنان وجود دارند را از بین ببرند. در این صورت، کارمندان میتوانند از هر جایی که هستند، به سرعت منابع مورد نیاز برای انجام کارهای خود دسترسی پیدا کنند. در صورتی که از راهکارهای IAM استفاده شود، کارکنان خیالی آسوده دارند و حس میکنند که در یک محیط کاری امن به کار خود مشغول هستند.
کاربران با استفاده از راهکارهای IAM که قابلیتهای خودکار را در اختیار کاربران قرار میدهند، میتوانند درخواستهای خود را ارسال کرده و به منابع مختلف مورد نیاز خود به صورت مجاز دسترسی پیدا کنند. در عین حال، هیچگونه باری بر روی IT وارد نشده و IT نیز به عنوان گلوگاه در سر راه بهرهوری کارکنان به حساب نخواهد آمد.
با استفاده از راهکارهای IAM میتوانید بسیاری از کارهای مربوط به مدیریت هویت، احراز هویت و صدور مجوز را خودکار نموده و استاندارد سازید. بنابراین، ادمینهای IT میتوانند زمان خود را به کارهای دیگری اختصاص دهند که برای سازمان ارزش افزوده ایجاد میکند. امروزه بسیاری از خدمات IAM بر روی ابر قرار دارند و بنابراین، هزینههای خرید، پیادهسازی و نگهداری زیرساختهای محلّی تا حد زیادی کاهش یافته یا اساساً حذف شده است.
سیستمهای IAM به گونهای طراحی شدهاند که با استفاده از آنها میتوان دسترسی به دادهها و اپلیکیشنهای محافظتشده را اعطا نموده یا حذف کرد. راهکارهای پیچیدهتر IAM نیز به گونهای هستند که با استفاده از آنها میتوان مجوزهایی با جزئیات بیشتر نیز برای کاربران صادر کرد. به عنوان مثال، میتوانید شرایطی را برای یک ساعت خاص از روز مشخص کنید تا یک کاربر خاص بتواند در آن ساعت و از هر محلّی که حضور دارد، به سرویس دسترسی پیدا کند.
سازمان میتواند با استفاده از راهکار IAM، دسترسی کاربران به پلتفرمها برای توسعه، راهاندازی و تست محصولات و سرویسها را مشخص و محدود سازد.
بسیاری از سازمانها برای ارتقای امنیت داده، تنظیم مجوزهای محدودی که کاربران میتوانند ایجاد کنند، تغییر یا حذف دادهها و تعیین نفراتی که میتوانند دادهها را انتقال دهند، از راهکارهای IAM استفاده میکنند. مثلاً با استفاده از RBAC میتوانید دسترسیها را به گونهای تعریف کنید که یک کارمند موقت نتواند از سیستمهای بیرون شرکت، هیچگونه اطلاعاتی را ارسال یا دریافت کند.
سازمانها میتوانند با استفاده از سیستمهای IAM گزارشاتی را تهیه کنند تا انطباق خود با مقررات مربوط به امنیت و حریم خصوصی را اثبات نمایند. اطلاعاتی که از این گزارشات به دست میآیند، به سازمان کمک میکنند تا فرآیندهای امنیتی خود را بهبود بخشیده و ریسکهای خود را کاهش دهد. علاوه بر این، با استفاده از این اطلاعات میتوانید مشخص کنید که کارکنان به چه منابعی نیاز دارند تا بیشترین بهرهوری را در کار خود داشته باشند.
در احراز هویت چندعاملی از کاربران خواسته میشود تا مجموعهای از عوامل احراز هویت را ارائه کنند تا هویت آنها تصدیق شود. سازمانها معمولاً به غیر از نام کاربری و کلمه عبور از روش کلمات عبور یکبار مصرف زماندار (TTOP) (time-based one-time password) استفاده میکنند. در این روش، کاربر باید یک کد عبور موقت که از طریق پیامک، تماس تلفنی یا ایمیل برای او ارسال شده است را وارد نماید. در بعضی دیگر از سیستمهای MFA از کاربران خواسته میشود تا هویت خود را به صورت بیومتریک ارائه نمایند. به این عوامل، عوامل ذاتی هم گفته میشود. به عنوان نمونه میتوانیم به اثر انگشت یا هویت چهره اشاره کنیم.
SSO نیز یکی از سیستمهای شناسایی است که سازمانهای مختلف برای تصدیق هویت کاربران خود از آن استفاده میکنند. در این روش، کاربران مجاز میتوانند صرفاً با استفاده از یک مجموعه اعتبارنامه واحد (نام کاربری و کلمه عبور) به مجموعهای از اپلیکیشنهای SaaS و وبسایتهای مختلف وارد شوند. SSO را میتوان به عنوان نسخهی خودکارشدهای از MFA دانست. در سیستمهای SSO، کاربران ابتدا بر اساس احراز هویت چندعاملی (MFA) احراز هویت شده و سپس، این احراز هویت با استفاده از توکنهای نرمافزاری در اختیار اپلیکیشنهای مختلف قرار میگیرد. همچنین، میتوانید از SSO برای جلوگیری از دسترسی به داراییها یا مکانهای مشخصشده، مثلاً وبسایتها و پلتفرمهای بیرونی استفاده کنید.
مزایای دیگرِ استفاده از SSO علاوه بر فرآیند بدون نقص در ورود کاربران نهایی، آن است که ادمینهای IT میتوانند مجوزها را تنظیم نموده، دسترسی کاربران را مشخص کرده و کاربران را به راحتی خارج کنند.
با استفاده از همگامسازی میتوانید از SSO بدون نیاز به کلمه عبور استفاده کنید. سرور همگامسازی از یک پروتکل هویت استاندارد مانند زبان نشانهگذاری اثبات امنیت (SAML) (Security Assertion Markup Language) یا همگامسازی-WS استفاده نموده و یک توکن (اطلاعات هویتی) را در اختیار سیستم یا اپلیکیشن قرار میدهد و بدین ترتیب، یک رابطهی معتمد ایجاد میشود. با توجه به اعتماد برقرارشده، کاربران میتوانند با خیالی آسوده در دامین متصل حرکت کنند و دیگر نیازی به احراز هویت مجدد نیست.
بسیاری از سازمانهای بزرگ از کنترل دسترسی بر اساس نقشها (RBAC) (role-based access control) استفاده میکنند. در این روش، دسترسی به شبکهها، دادههای حساس و اپلیکیشنهای حیاتی بر اساس نقش و مسئولیتهای اشخاص در درون سازمان محدود میشود. RBAC را به عنوان یک روش برای حاکمیت دسترسی هم میدانند. نقشهای تعریفشده در RABC میتوانند به صورت کاربران نهایی، ادمینها یا پیمانکاران شخص ثالث باشند. نقشها را میتوان بر اساس اختیارات کاربر، محل، مسئولیت یا شایستگیهای شغلی او تعریف کرد. گاهی نقشها را گروهبندی میکنند. مثلاً نقشها در گروههای بازاریابی یا فروش قرار میگیرند. بدین ترتیب، مسئولیتهای مشابه در سازمان که معمولاً با هم همکاری دارند، میتوانند به یک مجموعهی واحد از داراییها دسترسی داشته باشند.
میتوانید از یک چارچوب امنیتی با اعتماد صفر (zero trust security framework) به عنوان بحشی از RBAC خود استفاده کنید. در این روش، کنترلهای دسترسی بسیار محدودی برای تمامی کاربرانی که تقاضای دسترسی به داراییهای کاری را دارند، در نظر گرفته میشود. شرکتها میتوانند از این چارچوبها استفاده کرده و از دسترسیهای غیرمجاز تا حد بیشتری پیشگیری کنند. همچنین، میتوان نقضهای امنیتی و ریسکهای ناشی از دسترسی و حرکت مهاجمین در شبکه را نیز کاهش داد.
راهکارهای IAM با قابلیتهای پایه برای مدیریت دسترسی کاربران به منابع شرکت را میتوانید به سادگی و به شکل «خارج از چارچوب» پیادهسازی کنید. اما اگر شرکت شما بزرگ و پیچیده است، باید از راهکارهای پیشرفتهتر یا مجموعهای از سیستمها و ابزارهای مختلف استفاده کنید.
پیش از آنکه بر روی سیستم IAM سرمایهگذاری کنید، ببینید که نیازمندیهای امروز شرکت شما دقیقاً کدامها هستند و نیازمندیهای احتمالی در آینده را نیز پیشبینی کنید. علاوه بر آنچه برای خود راهکار ضروری است، نیازمندیهای زیرساخت IT را نیز مد نظر قرار دهید. دو سؤال مهم در اینجا مطرح میشود: آیا نگهداری راهکار مورد نظر ساده است؟ و اگر اپلیکیشنها و کاربران جدیدی اضافه شوند، آیا راهکار مورد نظر میتواند باز هم پاسخگوی نیازهای شرکت باشد یا خیر؟
پیش از آنکه بر روی راهکار IAM سرمایهگذاری کنید، ببینید که آیا راهکار مورد نظر با سیستمهای عامل فعلی شما، اپلیکیشنهای شخص ثالث و وبسرورهای مربوط سازگاری دارد یا خیر. شاید لازم باشد که فهرستی از تمام اپلیکیشنهایی که باید با IAM یکپارچه شوند را تهیه کنید تا چیزی را از قلم نیندازید.
از طرف دیگر، انطباق سیستم IAM مورد نظر با الزامات قانونی و مقرراتی محلّی و فدرال را بررسی نمایید. قرار است که راهکار IAM به شما کمک کند تا انطباق بیشتری پیدا کنید، نه اینکه خود ریسکهای جدیدی را برای کسب و کار شما ایجاد کند.
تغییر رویکرد به سمت استفاده از یک روش جدید برای احراز هویت و صدور مجوز برای کاربران میتواند نیازمند مدیریت تغییر باشد. پیش از پیادهسازی راهکار IAM در سرتاسر سازمان خود، حتماً آن را به طور کامل بررسی کنید تا ابتدا حوزههای کسب و کار مورد نظر مانند حوزه مالی را در بر گیرد.
توجه داشته باشید که راهکار IAM بر روی همه افراد و تمام چیزهایی که نیاز به دسترسی به منابع IT شرکت دارند، تأثیر میگذارد. برای تسهیل در پذیرش ابزارها و فرآیندهای IAM، زمان بگذارید و از تمامی ذینفعان اصلی تأیید بگیرید.
باید به دنبال آن باشید تا اثربخشی راهکار IAM را ردیابی کرده و مشخص کنید که آیا سیستم مورد نظر میتواند برای شما برگشت سرمایه داشته باشد یا خیر. پس از آنکه سیستم راهاندازی و اجرا شد، گزارشاتی زمانمند و منظم تهیه کنید و ایجاد کاربران جدید، تعداد ریست پسوردها و تعداد نقضهای بالقوه در تفکیک وظایف (SoD) را پایش کنید.
در یک شبکهی پیچیده که زیرساخت IT خصوصی یا اینترنت اشیا (IoT) و محیط فناوری عملیاتی (OT) دارد، استفاده از یک سیستم IAM به تنهایی برای مدیریت دسترسی کاربران به داراییهای IT میتواند ریسکهای امنیتی به وجود آورد. به ویژه آنکه میتواند سازمان را در معرض حملات باتنت قرار دهد.
با استفاده از یک راهکار NAC میتوانید امنیت را در چنین محیطهایی افزایش دهید. مثلاً با استفاده از این راهکارها میتوانید از پروفایلهای تعریفشده و خطمشیهای دسترسی برای دستههای مختلف دستگاههای IoT استفاده کنید. علاوه بر این، با اعمال خطمشیهای امنیتی و بدون نیاز به توجه ادمین میتوانید ماشینهای نامنطبق را مسدود، جداسازی و تعمیر کنید.
نظرات کاربران: