مدیریت هویت و دسترسی (IAM) (Identity and access management) روشی است که با استفاده از آن مطمئن می‌شوند که افراد و موجودیت‌هایی که دارای هویت‌های دیجیتال هستند، سطح درستی از دسترسی را به منابع سازمان از جمله شبکه‌ها و دیتابیس‌ها دارند. در یک سیستم IAM، نقش‌های کاربران و همچنین، دسترسی‌های ویژه تعریف و مدیریت می‌شوند. 

راهکارهای IAM چه می‌کنند؟

ادمین‌های IT با استفاده از راهکارهای IAM می‌توانند هویت‌های دیجیتال و دسترسی‌های ویژه‌ی آن‌ها را به شکلی امن و مؤثر مدیریت کنند. این ادمین‌ها می‌توانند با استفاده از IAM، نقش‌های کاربران را تعریف کرده و تغییر دهند، فعالیت‌های کاربران را ردیابی و گزارش نمایند و خط‌مشی‌های شرکت و انطباق با مقررات را اعمال کنند تا از امنیت و حریم خصوصی داده‌ها محافظت به عمل آید. 

یک راهکار IAM ممکن است به صورت مجموعه‌ای از چندین فرآیند و ابزار و از جمله، راهکار کنترل دسترسی به شبکه (NAC) (network access control) باشد. ادمین‌های IT از راهکارهای NAC برای کنترل دسترسی به شبکه استفاده می‌کنند. این کار به وسیله‌ی قابلیت‌هایی همچون مدیریت چرخه‌ی عمر خط‌مشی‌ها، دسترسی مهمان به شبکه و بررسی وضعیت امنیت انجام می‌شود. راهکارهای IAM ممکن است به صورت سرویس‌های ابری بوده یا بر روی سرورهای محلّی ارائه شود. همچنین، ممکن است به صورت راهکارهای ترکیبی -یعنی هم بر روی سرورهای محلّی و هم بر روی ابر- باشد. بسیاری از شرکت‌ها از اپلیکیشن‌های ابری برای خدمات IAM خود استفاده می‌کنند، زیرا پیاده‌سازی، به‌روزرسانی و مدیریت آن ساده‌تر است. 

درصورت تمایل به مطالعه درخصوص راهکارهای کنترل دسترسی پیشنهاد میکنیم مقالات زیر را مطالعه نمایید:

• معرفی و بررسی سرویس Cisco ISE
• بررسی سیسکو Cisco Identity Service Engine | ISE
• ISE Posture چیست
• معرفی پلتفرم رایگان ISE Portal Builder

هویت دیجیتال چیست؟

هویت دیجیتال (digital identity) به عنوان یکی از منابع حقیقت اصلی در مدیریت هویت و دسترسی به حساب می‌آید. هویت دیجیتال، در واقع همان اعتبارنامه‌هایی است که یک کاربر برای دسترسی به منابع آنلاین یا منابع موجود بر روی شبکه شرکت به آن نیاز دارد. راهکارهای IAM مربوط به این اعتبارنامه‌ها، همان عوامل احراز هویتی (authentication factors) هستند که کاربران یا موجودیت‌ها برای دسترسی به اپلیکیشن‌ها، اساساً در لایه‌ی 7 به آن‌ها نیاز دارند. این عوامل تصدیق می‌کنند که کاربران، همان کسانی هستند که ادعا کرده‌اند. 

عوامل احراز هویت مرسوم کدام است؟

سه عامل احراز هویت بسیار معروف در IAM، عبارتند از آن چیزی که مشتری می‌داند (مانند کلمه عبور)؛ آن‌چه کاربر در اختیار دارد (مانند گوشی هوشمند)؛ و آن‌چه کاربر هست (مثلاً یک ویژگی فیزیکی مانند اثر انگشت). در اپلیکیشن‌های احراز هویت، معمولاً کاربر باید مجموعه‌ای از عوامل احراز هویت را ارائه کند تا بتواند هویت خود را اثبات نماید. بدین ترتیب، اپلیکیشن مورد نظر هم دسترسی کاربر به منابع محدود را بر اساس دسترسی‌های ویژه تعریف‌شده برای دیدن یا استفاده فراهم می‌کند. 

بسیاری از شرکت‌ها از احراز هویت دوعامل (2FA) (two-factor authentication) استفاده می‌کنند که نوع خاصی از احراز هویت چندعاملی (MFA) (multi-factor authentication) است. در احراز هویت دوعاملی، کاربر باید ابتدا نام کاربری و کلمه عبور خود را وارد نموده و سپس، کدی که از طریق اپلیکیشن 2FA دریافت می‌کند را وارد کرده یا به اعلانی که بر روی دستگاه خود، مثلاً گوشی هوشمند خود دریافت می‌کند، پاسخ دهد. 

مزایای IAM

ارتقای امنیت IT

شرکت‌ها می‌توانند با استفاده از IAM، خط‌مشی‌های امنیتی واحدی را در سرتاسر سازمان خود اعمال کنند. این شرکت‌ها با استفاده از ابزارهایی مانند راهکارهای NAC نیز می‌توانند دسترسی کاربران به منابع و زمان دسترسی به آن‌ها را نیز محدود کنند. با این کار، احتمال دسترسی افراد غیرمجاز، اعم از دسترسی‌های اتفاقی یا هدفمند برای دیدن و سوء استفاده از داده‌های حساس کم می‌شود. 

روش‌های IAM همچون ورود یکپارچه (SSO) (Single Sign-On) و احراز هویت چندعاملی (MFA) نیز کمک می‌کنند تا ریسک به خطر افتادن اعتبارنامه‌های کاربران کاهش یابد، زیرا با استفاده از این راهکارها دیگر نیازی نیست که کاربران، چندین کلمه عبور مختلف ایجاد کرده و از آن‌ها نگهداری کنند. علاوه بر این‌ها کاربران باید از احراز هویت مبتنی بر شواهد، مثلاً سؤالات امنیتی، کلمات عبور یک‌بار مصرف یا عوامل ذاتی مانند اثر انگشت استفاده کنند تا بتوانند به منابع محافظت‌شده دسترسی پیدا کنند. بدین ترتیب، احتمال آن‌که بازیگران مخرب به منابع حیاتی دسترسی پیدا کنند، کم می‌شود. 

انطباق قوی‌تر

سازمان‌ها با استفاده از سیستم‌های IAM می‌توانند بسیاری از الزامات انطباق مربوط به امنیت و حریم خصوصی داده را برآورده سازند. به عنوان مثال، سازمان می‌تواند با استفاده از IAM الزامات تعیین‌شده در قانون انتقال بیمه سلامت و پاسخگویی (HIPAA) (Health Insurance Portability and Accountability) را رعایت کند. بر اساس این قانون، سازمان ملزم است تا از اطلاعات سلامت اشخاص محافظت کند تا دسترسی الکترونیکی امن به اطلاعات سلامت ممکن شود. 

شرکت‌ها می‌توانند از روش‌هایی همچون SSO، MFA، کنترل دسترسی بر اساس نقش‌ها (RBAC) (role-based access control) و «کمینه دسترسی‌های ویژه» (least privileges) استفاده کرده و الزامات HIPAA را برآورده سازند. در روش کمینه دسترسی‌های ویژه، کمترین دسترسی‌های لازم برای انجام یک کار مشخص به کاربران و موجودیت‌ها اعطا می‌شود. 

استفاده از IAM برای مؤسسات خدمات مالی که می‌خواهند الزامات قانون ساربنز-اکسلی (SOX) (Sarbanes-Oxley Act) را برآورده سازند نیز سودمند است. در ماده‌ی 404 از این قانون تصریح شده است که شرکت‌ها باید کنترل‌های داخلی کافی برای تهیه‌ی گزارشات مالی و حفاظت از صحّت داده‌های مالی در این گزارشات پیاده‌سازی کرده، آن‌ها را آزمون نموده و مستند سازند. اعمال خط‌مشی‌های تفکیک وظایف (SoD) نیز یکی از روش‌هایی است که در IAM وجود دارد و در برآورده‌ساختن الزامات SOX به سازمان کمک می‌کند. 

بهره‌وری بیشتر کارمندان

سازمان‌ها با استفاده از روش‌هایی همچون SSO، MFA یا RBAC می‌توانند امنیت را ارتقا داده و در عین حال، موانعی که در سر راه بهره‌وری کارکنان وجود دارند را از بین ببرند. در این صورت، کارمندان می‌توانند از هر جایی که هستند، به سرعت منابع مورد نیاز برای انجام کارهای خود دسترسی پیدا کنند. در صورتی که از راهکارهای IAM استفاده شود، کارکنان خیالی آسوده دارند و حس می‌کنند که در یک محیط کاری امن به کار خود مشغول هستند. 

کاربران با استفاده از راهکارهای IAM که قابلیت‌های خودکار را در اختیار کاربران قرار می‌دهند، می‌توانند درخواست‌های خود را ارسال کرده و به منابع مختلف مورد نیاز خود به صورت مجاز دسترسی پیدا کنند. در عین حال، هیچ‌گونه باری بر روی IT وارد نشده و IT نیز به عنوان گلوگاه در سر راه بهره‌وری کارکنان به حساب نخواهد آمد. 

کاهش در هزینه‌های IT

با استفاده از راهکارهای IAM می‌توانید بسیاری از کارهای مربوط به مدیریت هویت، احراز هویت و صدور مجوز را خودکار نموده و استاندارد سازید. بنابراین، ادمین‌های IT می‌توانند زمان خود را به کارهای دیگری اختصاص دهند که برای سازمان ارزش افزوده ایجاد می‌کند. امروزه بسیاری از خدمات IAM بر روی ابر قرار دارند و بنابراین، هزینه‌های خرید، پیاده‌سازی و نگهداری زیرساخت‌های محلّی تا حد زیادی کاهش یافته یا اساساً حذف شده است. 

قابلیت‌های IAM

امکان اعطا یا مسدودساختن دسترسی به دارایی‌ها

سیستم‌های IAM به گونه‌ای طراحی شده‌اند که با استفاده از آن‌ها می‌توان دسترسی به داده‌ها و اپلیکیشن‌های محافظت‌شده را اعطا نموده یا حذف کرد. راهکارهای پیچیده‌تر IAM نیز به گونه‌ای هستند که با استفاده از آن‌ها می‌توان مجوزهایی با جزئیات بیشتر نیز برای کاربران صادر کرد. به عنوان مثال، می‌توانید شرایطی را برای یک ساعت خاص از روز مشخص کنید تا یک کاربر خاص بتواند در آن ساعت و از هر محلّی که حضور دارد، به سرویس دسترسی پیدا کند. 

محدودساختن دسترسی به پلتفرم

سازمان می‌تواند با استفاده از راهکار IAM، دسترسی کاربران به پلتفرم‌ها برای توسعه، راه‌اندازی و تست محصولات و سرویس‌ها را مشخص و محدود سازد. 

پیشگیری از انتقال داده‌های حساس

بسیاری از سازمان‌ها برای ارتقای امنیت داده، تنظیم مجوزهای محدودی که کاربران می‌توانند ایجاد کنند، تغییر یا حذف داده‌ها و تعیین نفراتی که می‌توانند داده‌ها را انتقال دهند، از راهکارهای IAM استفاده می‌کنند. مثلاً با استفاده از RBAC می‌توانید دسترسی‌ها را به گونه‌ای تعریف کنید که یک کارمند موقت نتواند از سیستم‌های بیرون شرکت، هیچ‌گونه اطلاعاتی را ارسال یا دریافت کند. 

ارائه‌ی گزارشات

سازمان‌ها می‌توانند با استفاده از سیستم‌های IAM گزارشاتی را تهیه کنند تا انطباق خود با مقررات مربوط به امنیت و حریم خصوصی را اثبات نمایند. اطلاعاتی که از این گزارشات به دست می‌آیند، به سازمان کمک می‌کنند تا فرآیندهای امنیتی خود را بهبود بخشیده و ریسک‌های خود را کاهش دهد. علاوه بر این، با استفاده از این اطلاعات می‌توانید مشخص کنید که کارکنان به چه منابعی نیاز دارند تا بیشترین بهره‌وری را در کار خود داشته باشند. 

ابزارها و روش‌های IAM

احراز هویت چندعاملی

در احراز هویت چندعاملی از کاربران خواسته می‌شود تا مجموعه‌ای از عوامل احراز هویت را ارائه کنند تا هویت آن‌ها تصدیق شود. سازمان‌ها معمولاً به غیر از نام کاربری و کلمه‌ عبور از روش کلمات عبور یک‌بار مصرف زمان‌دار (TTOP) (time-based one-time password) استفاده می‌کنند. در این روش، کاربر باید یک کد عبور موقت که از طریق پیامک، تماس تلفنی یا ایمیل برای او ارسال شده است را وارد نماید. در بعضی دیگر از سیستم‌های MFA از کاربران خواسته می‌شود تا هویت خود را به صورت بیومتریک ارائه نمایند. به این عوامل، عوامل ذاتی هم گفته می‌شود. به عنوان نمونه می‌توانیم به اثر انگشت یا هویت چهره اشاره کنیم. 

ورود یکپارچه

SSO نیز یکی از سیستم‌های شناسایی است که سازمان‌های مختلف برای تصدیق هویت کاربران خود از آن استفاده می‌کنند. در این روش، کاربران مجاز می‌توانند صرفاً با استفاده از یک مجموعه اعتبارنامه واحد (نام کاربری و کلمه عبور) به مجموعه‌ای از اپلیکیشن‌های SaaS و وب‌سایت‌های مختلف وارد شوند. SSO را می‌توان به عنوان نسخه‌ی خودکارشده‌ای از MFA دانست. در سیستم‌های SSO، کاربران ابتدا بر اساس احراز هویت چندعاملی (MFA) احراز هویت شده و سپس، این احراز هویت با استفاده از توکن‌های نرم‌افزاری در اختیار اپلیکیشن‌های مختلف قرار می‌گیرد. همچنین، می‌توانید از SSO برای جلوگیری از دسترسی به دارایی‌ها یا مکان‌های مشخص‌شده، مثلاً وب‌سایت‌ها و پلتفرم‌های بیرونی استفاده کنید. 

مزایای دیگرِ استفاده از SSO علاوه بر فرآیند بدون نقص در ورود کاربران نهایی، آن است که ادمین‌های IT می‌توانند مجوزها را تنظیم نموده، دسترسی کاربران را مشخص کرده و کاربران را به راحتی خارج کنند. 

همگام‌سازی (Federation)

با استفاده از همگام‌سازی می‌توانید از SSO بدون نیاز به کلمه عبور استفاده کنید. سرور همگام‌سازی از یک پروتکل هویت استاندارد مانند زبان نشانه‌گذاری اثبات امنیت (SAML) (Security Assertion Markup Language) یا همگام‌سازی-WS استفاده نموده و یک توکن (اطلاعات هویتی) را در اختیار سیستم یا اپلیکیشن قرار می‌دهد و بدین ترتیب، یک رابطه‌ی معتمد ایجاد می‌شود. با توجه به اعتماد برقرارشده، کاربران می‌توانند با خیالی آسوده در دامین متصل حرکت کنند و دیگر نیازی به احراز هویت مجدد نیست. 

RBAC و اعتماد صفر

بسیاری از سازمان‌های بزرگ از کنترل دسترسی بر اساس نقش‌ها (RBAC) (role-based access control) استفاده می‌کنند. در این روش، دسترسی به شبکه‌ها، داده‌های حساس و اپلیکیشن‌های حیاتی بر اساس نقش و مسئولیت‌های اشخاص در درون سازمان محدود می‌شود. RBAC را به عنوان یک روش برای حاکمیت دسترسی هم می‌دانند. نقش‌های تعریف‌شده در RABC می‌توانند به صورت کاربران نهایی، ادمین‌ها یا پیمانکاران شخص ثالث باشند. نقش‌ها را می‌توان بر اساس اختیارات کاربر، محل، مسئولیت یا شایستگی‌های شغلی او تعریف کرد. گاهی نقش‌ها را گروه‌بندی می‌کنند. مثلاً نقش‌ها در گروه‌های بازاریابی یا فروش قرار می‌گیرند. بدین ترتیب، مسئولیت‌های مشابه در سازمان که معمولاً با هم همکاری دارند، می‌توانند به یک مجموعه‌ی واحد از دارایی‌ها دسترسی داشته باشند. 

می‌توانید از یک چارچوب امنیتی با اعتماد صفر (zero trust security framework) به عنوان بحشی از RBAC خود استفاده کنید. در این روش، کنترل‌های دسترسی بسیار محدودی برای تمامی کاربرانی که تقاضای دسترسی به دارایی‌های کاری را دارند، در نظر گرفته می‌شود. شرکت‌ها می‌توانند از این چارچوب‌ها استفاده کرده و از دسترسی‌های غیرمجاز تا حد بیشتری پیشگیری کنند. همچنین، می‌توان نقض‌های امنیتی و ریسک‌های ناشی از دسترسی و حرکت مهاجمین در شبکه را نیز کاهش داد. 

پیاده‌سازی IAM

نیازمندی‌های فعلی و آتی IAM را مد نظر قرار دهید

راهکارهای IAM با قابلیت‌های پایه برای مدیریت دسترسی کاربران به منابع شرکت را می‌توانید به سادگی و به شکل «خارج از چارچوب» پیاده‌سازی کنید. اما اگر شرکت شما بزرگ و پیچیده است، باید از راهکارهای پیشرفته‌تر یا مجموعه‌ای از سیستم‌ها و ابزارهای مختلف استفاده کنید. 

پیش از آن‌که بر روی سیستم IAM سرمایه‌گذاری کنید، ببینید که نیازمندی‌های امروز شرکت شما دقیقاً کدام‌ها هستند و نیازمندی‌های احتمالی در آینده را نیز پیش‌بینی کنید. علاوه بر آن‌چه برای خود راهکار ضروری است، نیازمندی‌های زیرساخت IT را نیز مد نظر قرار دهید. دو سؤال مهم در این‌جا مطرح می‌شود: آیا نگهداری راهکار مورد نظر ساده است؟ و اگر اپلیکیشن‌ها و کاربران جدیدی اضافه شوند، آیا راهکار مورد نظر می‌تواند باز هم پاسخگوی نیازهای شرکت باشد یا خیر؟

سازگاری و انطباق را چک کنید. 

پیش از آن‌که بر روی راهکار IAM سرمایه‌گذاری کنید، ببینید که آیا راهکار مورد نظر با سیستم‌های عامل فعلی شما، اپلیکیشن‌های شخص ثالث و وب‌سرورهای مربوط سازگاری دارد یا خیر. شاید لازم باشد که فهرستی از تمام اپلیکیشن‌هایی که باید با IAM یکپارچه شوند را تهیه کنید تا چیزی را از قلم نیندازید. 

از طرف دیگر، انطباق سیستم IAM مورد نظر با الزامات قانونی و مقرراتی محلّی و فدرال را بررسی نمایید. قرار است که راهکار IAM به شما کمک کند تا انطباق بیشتری پیدا کنید، نه این‌که خود ریسک‌های جدیدی را برای کسب و کار شما ایجاد کند. 

مدیریت تغییرات

تغییر رویکرد به سمت استفاده از یک روش جدید برای احراز هویت و صدور مجوز برای کاربران می‌تواند نیازمند مدیریت تغییر باشد. پیش از پیاده‌سازی راهکار IAM در سرتاسر سازمان خود، حتماً آن را به طور کامل بررسی کنید تا ابتدا حوزه‌های کسب و کار مورد نظر مانند حوزه‌ مالی را در بر گیرد. 

توجه داشته باشید که راهکار IAM بر روی همه‌ افراد و تمام چیزهایی که نیاز به دسترسی به منابع IT شرکت دارند، تأثیر می‌گذارد. برای تسهیل در پذیرش ابزارها و فرآیندهای IAM، زمان بگذارید و از تمامی ذینفعان اصلی تأیید بگیرید. 

تعیین و ردیابی شاخص‌های کلیدی

باید به دنبال آن باشید تا اثربخشی راهکار IAM را ردیابی کرده و مشخص کنید که آیا سیستم مورد نظر می‌تواند برای شما برگشت سرمایه داشته باشد یا خیر. پس از آن‌که سیستم راه‌اندازی و اجرا شد، گزارشاتی زمان‌مند و منظم تهیه کنید و ایجاد کاربران جدید، تعداد ریست پسوردها و تعداد نقض‌های بالقوه در تفکیک وظایف (SoD) را پایش کنید. 

نقاط انتهایی یا دستگاه‌ها را در نظر بگیرید

در یک شبکه‌ی پیچیده که زیرساخت IT خصوصی یا اینترنت اشیا (IoT) و محیط فناوری عملیاتی (OT) دارد، استفاده از یک سیستم IAM به تنهایی برای مدیریت دسترسی کاربران به دارایی‌های IT می‌تواند ریسک‌های امنیتی به وجود آورد. به ویژه آن‌که می‌تواند سازمان را در معرض حملات بات‌نت قرار دهد. 

با استفاده از یک راهکار NAC می‌توانید امنیت را در چنین محیط‌هایی افزایش دهید. مثلاً با استفاده از این راهکارها می‌توانید از پروفایل‌های تعریف‌شده و خط‌مشی‌های دسترسی برای دسته‌های مختلف دستگاه‌های IoT استفاده کنید. علاوه بر این، با اعمال خط‌مشی‌های امنیتی و بدون نیاز به توجه ادمین می‌توانید ماشین‌های نامنطبق را مسدود، جداسازی و تعمیر کنید.