ما المقصود بالتحكم في الوصول استنادًا إلى الدور (RBAC)؟
استكشف حل إدارة الهوية والوصول من IBM اشترِك في رسالة Think الإخبارية
رسم توضيحي مع مجموعة من الصور التوضيحية لسحابة وهاتف محمول وبصمة إصبع وعلامة اختيار

تاريخ النشر: 20 أغسطس 2024
المساهمون: Gregg Lindemulder,  Matt Kosinski
ما المقصود بالتحكم في الوصول استنادًا إلى الدور (RBAC)؟

التحكم في الوصول استنادًا إلى الدور (RBAC) هو نموذج لتفويض المستخدم النهائي بالوصول إلى الأنظمة والتطبيقات والبيانات استنادًا إلى دوره المحدد مسبقًا. على سبيل المثال، يمكن لمحلل الأمن تكوين جدار حماية؛ لكن لا يمكنه عرض بيانات العملاء، بينما يمكن لمندوب المبيعات رؤية حسابات العملاء؛ لكن لا يمكنه تغيير إعدادات جدار الحماية.

في نظام التحكم في الوصول المستند إلى الأدوار، يقوم المسؤول بتعيين دور واحد أو أكثر لكل مستخدم على حدة. حيث يمثل كل دور جديد مجموعة من الأذونات أو الامتيازات للمستخدم.

قد يفوض الدور المالي المستخدم بإجراء عمليات شراء أو تشغيل برامج توقعات أو منح حق الوصول إلى أنظمة سلسلة التوريد. وقد يفوض دور الموارد البشرية المستخدم بالاطلاع على ملفات الموظفين وإدارة أنظمة مزايا الموظفين.

غالبًا ما تستخدم المؤسسات الكبيرة التي تضم العديد من الموظفين نظام التحكم في الوصول استنادًا إلى الأدوار لتبسيط إدارة الوصول والحفاظ على أمن المعلومات للموارد الرقمية. تستخدم بعض الشركات أيضًا نظام التحكم في الوصول استنادًا إلى الأدوار لمنح التصاريح الأمنية للأصول المادية مثل الأقفال الإلكترونية في المباني والمكاتب ومراكز البيانات.

من خلال تقييد وصول المستخدمين إلى الموارد اللازمة لأدوارهم، يمكن أن يساعد نظام التحكم في الوصول استنادًا إلى الأدوار على الحماية من الهجوم الداخلي الخبيث والموظفين المهملين والجهات المهددة الخارجية. 
قم بتنزيل تقرير KuppingerCole Access Management Leadership Compass

تعرَّف على سبب اختيار KuppingerCole شركة IBM كشركة رائدة في مجال تقديم حلول مصادقة مؤسسية ناضجة وآمنة وقابلة للتوسع.

لمَ يعد التحكم في الوصول استنادًا إلى الأدوار مهمًا؟

يمكِّن نظام التحكم في الوصول استنادًا إلى الأدوار المؤسسات من اتباع نهج دقيق لإدارة الهوية والوصول مع تبسيط عمليات التفويض وسياسات التحكم في الوصول. على وجه التحديد، يساعد التحكم في الوصول استنادًا إلى الأدوار المؤسسات على:

  • تخصيص الأذونات بفعالية أكبر
  • الحفاظ على الامتثال 
  • حماية البيانات الحساسة

تخصيص الأذونات بفعالية أكبر

 

يلغي نظام التحكم في الوصول استنادًا إلى الأدوار الحاجة إلى تزويد كل مستخدم على حدة بمجموعة مخصصة من أذونات المستخدم. بدلاً من ذلك تحدد الأدوار، المعينة في نظام التحكم في الوصول استنادًا إلى الأدوار، حقوق الوصول. تسهِّل هذه العملية على المؤسسات إلحاق الموظفين بالعمل أو فصلهم منه، وتحديث المهام الوظيفية وتحويل العمليات التجارية.

تتضمن ميزات نظام التحكم في الوصول استنادًا إلى الأدوار أيضًا القدرة على إضافة أذونات الوصول بسرعة للمتعاقدين والبائعين وغيرهم من المستخدمين التابع لأطراف ثالثة. على سبيل المثال، قد يمنح تعيين دور التسويق المشترك لشريك أعمال خارجي حق الوصول إلى قواعد البيانات المتعلقة بالمنتج باستخدام واجهة برمجة التطبيقات (API). بهذه الطريقة، يمكن أن يصل المستخدم إلى المعلومات التي يحتاج إليها من دون الكشف عن أي موارد سرية للشركة.

الحفاظ على الامتثال
 

يساعد تطبيق نظام التحكم في الوصول استنادًا إلى الأدوار على امتثال الشركات للوائح حماية البيانات مثل: التفويضات التي تغطي الخدمات المالية ومؤسسات الرعاية الصحية. يوفر نظام التحكم في الوصول استنادًا إلى الأدوار الشفافية للجهات التنظيمية في ما يتعلق بالأشخاص الذين يصلون إلى المعلومات الحساسة أو يعدلونها وتوقيت ذلك وكيفيته.

حماية البيانات الحساسة

 

تساعد سياسات التحكم في الوصول استنادًا إلى الأدوار على مواجهة ثغرات الأمن الإلكتروني من خلال فرض مبدأ الحد الأدنى من الامتيازات (PoLP). وفق مبدأ الحد الأدنى من الامتيازات، تمنح أدوار المستخدمين حق الوصول إلى الحد الأدنى من الأذونات المطلوبة لإكمال مهمة أو إنجاز عمل. على سبيل المثال، قد يكون لدى المطور المبتدئ إذن بالعمل على مصدر الرمز للتطبيق، ولكن لا يمكنه إجراء تغييرات من دون موافقة المشرف.

من خلال الحد من الوصول إلى البيانات الحساسة، يساعد نظام التحكم في الوصول استنادًا إلى الأدوار على منع فقدان البيانات بشكل غير مقصود واختراقات أمن البيانات المتعمدة. على وجه التحديد، يساعد نظام التحكم في الوصول استنادًا إلى الأدوار على الحد من الحركة الجانبية، وهي الحالة التي يستخدم فيها المخترقون متجه وصول أولي إلى الشبكة لتوسيع نطاق وصولهم تدريجيًا عبر النظام.

وفق مؤشر X-Force® Threat Intelligence Index، فإن إساءة استخدام الحسابات الصالحة –التي يستولي فيها المخترقون على حسابات المستخدمين الشرعيين ويستخدمون امتيازاتهم لإلحاق الضرر– هي أكثر متجهات الهجمات الإلكترونية شيوعًا. يقلل نظام التحكم في الوصول استنادًا إلى الأدوار الضرر الذي يمكن أن يُحدثه المخترق بحساب المستخدم من خلال تقيد ما يمكن لهذا الحساب الوصول إليه في المقام الأول.

بالمثل، تعد التهديدات الداخلية أحد أكثر الأسباب المكلفة التي تؤدي إلى اختراق أمن البيانات. وفق تقرير تكلفة اختراق أمن البيانات، بلغ متوسط تكلفة الاختراقات الناتجة عن الهجمات الداخلية الخبيثة 4,99 ملايين دولار أمريكي، وهو أعلى من متوسط إجمالي تكلفة الاختراقات البالغ 4,88 ملايين دولار أمريكي.

من خلال تقييد أذونات المستخدم، يجعل نظام التحكم في الوصول استنادًا إلى الأدوار من الصعب على الموظفين إساءة استخدام امتيازات الوصول الخاصة بهم بشكل ضار أو غير مسؤول لإلحاق الضرر بالمؤسسة.
كيفية عمل نظام التحكم في الوصول استنادًا إلى الأدوار

في نظام التحكم في الوصول استنادًا إلى الأدوار، يجب أن تنشئ المؤسسات أولاً أدوارًا محددة، ثم تحدد الأذونات والامتيازات التي سيتم منحها إلى تلك الأدوار. غالبًا ما تبدأ المؤسسات بتقسيم الأدوار على نطاق واسع إلى ثلاث فئات عليا من المسؤولين والمستخدمين المتخصصين أو الخبراء والمستخدمين النهائيين.

لتكوين مزيد من الأدوار المختلفة لمجموعات محددة من المستخدمين، يتم النظر في عوامل أكثر دقة مثل السلطة والمسؤوليات ومستويات المهارة. في بعض الأحيان قد يتوافق الدور مباشرةً مع المسمى الوظيفي. وفي حالات أخرى، قد يكون الدور عبارة عن مجموعة من الأذونات التي يمكن تعيينها لمستخدم يستوفي شروطًا معينة، بغض النظر عن المسمى الوظيفي.

غالبًا ما يتم تعيين أدوار متعددة للمستخدمين أو قد يتم تعيين مجموعة أدوار لهم تتضمن عدة مستويات من الوصول. تكون بعض الأدوار هرمية وتوفر للمديرين مجموعة كاملة من الأذونات، بينما تتلقى الأدوار الأدنى مجموعة فرعية من أذونات تلك الأدوار. على سبيل المثال، قد يمنح دور المشرف هذا المستخدم حق الوصول إلى مستند ما بالكتابة، بينما يكون لدى أعضاء الفريق حق الوصول بالقراءة فقط.

مثال عملي على التحكم في الوصول استنادًا إلى الأدوار

 

  1. ينشئ مسؤول تكنولوجيا المعلومات في مستشفى ما دور "ممرض" في نظام التحكم في الوصول استنادًا إلى الأدوار.
  2. يحدد المسؤول الأذونات الخاصة بدور الممرض، مثل عرض الأدوية أو إدخال البيانات في نظام السجل الصحي الإلكتروني (EHR).
  3. يتم تعيين أعضاء طاقم التمريض في المستشفى في دور الممرض في نظام التحكم في الوصول استنادًا إلى الأدوار.
  4. عندما يسجل المستخدمون المعيَّنون لدور "الممرض" الدخول، يتحقق نظام التحكم في الوصول استنادًا إلى الأدوار من الأذونات التي يحق لهم الحصول عليها ويمنحهم حق الوصول إلى تلك الجلسة.
  5. يتم رفض منح هؤلاء المستخدمين أذونات النظام الأخرى، مثل وصف الأدوية أو طلب الاختبارات، لأنها غير مصرح بها في دور الممرض. 

 التحكم في الوصول استنادًا إلى الأدوار وإدارة الهوية والوصول (IAM)

تستخدم العديد من المجموعات حل إدارة الهوية والوصول لتنفيذ التحكم في الوصول استنادًا إلى الدور في مؤسساتها. يمكن أن تساعد أنظمة إدارة الهوية والوصول في كل من المصادقة والتفويض في مخطط التحكم في الوصول استنادًا إلى الدور:

  • المصادقة: يمكن أن تتحقق أنظمة إدارة الهوية والوصول من هوية المستخدم من خلال التحقق من بيانات الاعتماد الخاصة به ومقارنتها بدليل المستخدم أو قاعدة البيانات المركزية.

  • التفويض: يمكن أن تفوِّض أنظمة إدارة الهوية والوصول المستخدمين من خلال التحقق من أدوارهم في دليل المستخدم ومنحهم الأذونات المناسبة استنادًا إلى ذلك الدور في مخطط التحكم في الوصول استنادًا إلى الأدوار الخاص بالمؤسسة.
 ما القواعد الأساسية الثلاث للتحكم في الوصول استنادًا إلى الأدوار؟

يقدم المعهد الوطني الأمريكي للمعايير والتقنية (NIST)، الذي طور نموذج التحكم في الوصول استنادًا إلى الأدوار، ثلاث قواعد أساسية لكل أنظمة التحكم في الوصول استنادًا إلى الأدوار.  

  1. تعيين الدور: يجب تعيين دور نشط واحد أو أكثر للمستخدم لممارسة الأذونات أو الامتيازات.

  2. تفويض الدور: يجب أن يكون المستخدم مفوضًا لتولي الدور أو الأدوار التي تم تعيينها له.

  3. تفويض الأذونات: لا يتم منح الأذونات أو الامتيازات إلا للمستخدمين الذين تم تفويضهم من خلال تعيينات الأدوار الخاصة بهم.
 ما النماذج الأربعة للتحكم في الوصول استنادًا إلى الأدوار؟

ثمة أربعة نماذج منفصلة لتنفيذ التحكم في الوصول استنادًا إلى الأدوار، ولكن كل نموذج يبدأ بالبنية الأساسية نفسها. يبني كل نموذج لاحق وظائف وميزات جديدة استنادًا إلى النموذج السابق.  

  • النموذج الأساسي للتحكم في الوصول استنادًا إلى الأدوار
  • النموذج الهرمي للتحكم في الوصول استنادًا إلى الأدوار
  • النموذج المقيد للتحكم في الوصول استنادًا إلى الأدوار
  • النموذج المتماثل للتحكم في الوصول استنادًا إلى الأدوار

النموذج الأساسي للتحكم في الوصول استنادًا إلى الأدوار
يُطلق عليه أحيانًا اسم النموذج المسطح للتحكم في الوصول استنادًا إلى الأدوار، وهو الأساس المطلوب لأي نظام تحكم في الوصول استنادًا إلى الدور. يتبع القواعد الأساسية الثلاث لنظام التحكم في الوصول استنادًا إلى الدور. يتم تعيين أدوار للمستخدمين، وتسمح هذه الأدوار بالوصول إلى مجموعات محددة من الأذونات والامتيازات. يمكن استخدام النموذج الأساسي للتحكم في الوصول استنادًا إلى الأدوار بوصفه نظام أساسي للتحكم في الوصول، أو بوصفه أساسًا لنماذج التحكم في الوصول استنادًا إلى النماذج الأكثر تقدمًا.

النموذج الهرمي للتحكم في الوصول استنادًا إلى الأدوار
يضيف هذا النموذج تسلسلات هرمية للأدوار تكرر هيكل إعداد التقارير الخاص بمؤسسة. في التسلسل الهرمي للأدوار، يرث كل دور أذونات الدور الأدنى ويكتسب أذونات جديدة.

على سبيل المثال، قد يشمل التسلسل الهرمي للأدوار المديرين التنفيذيين والمديرين والمشرفين والموظفين المباشرين. سيتم تفويض المدير التنفيذي في أعلى التسلسل الهرمي بمجموعة كاملة من الأذونات، بينما سيتم منح كل من المديرين والمشرفين والموظفين المباشرين مجموعات فرعية أصغر تباعًا من مجموعة الأذونات تلك.  

النموذج المقيد للتحكم في الوصول استنادًا إلى الأدوار
إضافة إلى التسلسل الهرمي للأدوار، يضيف هذا النموذج إمكانات لفرض الفصل بين الواجبات (SOD). يساعد الفصل بين الواجبات على منع تضارب المصالح من خلال مطالبة شخصين بإكمال مهام معينة.

على سبيل المثال، يجب ألا يكون المستخدم، الذي يطلب تعويضًا عن نفقات الأعمال، هو نفسه الشخص الذي يوافق على ذلك الطلب. تضمن سياسة النموذج المقيد للتحكم في الوصول استنادًا إلى الأدوار فصل امتيازات المستخدم لهذه الأنواع من المهام.

النموذج المتماثل للتحكم في الوصول استنادًا إلى الأدوار
هذا النموذج هو الإصدار الأكثر تقدمًا ومرونة وشمولاً للتحكم في الوصول استنادًا إلى الأدوار. إضافة إلى قدرات النماذج السابقة، فإنه يضيف رؤية أعمق للأذونات عبر المؤسسة.

حيث تتمكن المؤسسات من مراجعة كيفية ارتباط كل إذن بكل دور وكل مستخدم في النظام. يمكنها أيضًا تعديل الأذونات المرتبطة بالأدوار وتحديثها مع تطور عمليات الأعمال ومسؤوليات الموظفين.

تمثل هذه الميزات أهمية خاصة للمؤسسات الكبيرة التي يجب أن تضمن أن كل دور وكل مستخدم لديه أقل قدر من الوصول المطلوب لتنفيذ المهام.
التحكم في الوصول استنادًا إلى الأدوار مقابل أُطُر عمل التحكم في الوصول الأخرى

ثمة أُطُر أخرى للتحكم في الوصول قد تستخدمها المؤسسات بدلاً من التحكم في الوصول استنادًا إلى الأدوار. في بعض حالات الاستخدام، تجمع المؤسسات بين التحكم في الوصول استنادًا إلى الأدوار ونموذج تفويض آخر لإدارة أذونات المستخدم. تتضمن أُطُر التحكم في الوصول المستخدمة بشكل شائع ما يلي:

  • التحكم في الوصول الإلزامي (MAC)
  • التحكم في الوصول التقديري (DAC)
  • التحكم في الوصول القائم على السمات (ABAC)
  • قائمة التحكم في الوصول (ACL)

التحكم في الوصول الإلزامي (MAC)

 

تفرض أنظمة التحكم في الوصول الإلزامي سياسات تحكم في الوصول محددة مركزيًا على جميع المستخدمين. تعد أنظمة التحكم في الوصول الإلزامي أقل تفصيلاً من نظام التحكم في الوصول استنادًا إلى الأدوار، وعادةً ما يستند الوصول إلى مستويات تصريح أو درجات ثقة محددة. تستخدم العديد من أنظمة التشغيل التحكم في الوصول الإلزامي للتحكم في وصول البرامج إلى موارد النظام الحساسة.

التحكم في الوصول التقديري (DAC)

 

تتيح أنظمة التحكم في الوصول التقديري لمالكي الموارد وضع القواعد الخاصة بهم للتحكم في الوصول إلى تلك الموارد. التحكم في الوصول التقديري أكثر مرونة من السياسات الشاملة للتحكم في الوصول الإلزامي، وأقل تقييدًا من النهج المنظم للتحكم في الوصول استنادًا إلى الأدوار.

التحكم في الوصول القائم على السمات (ABAC)

 

يحلل التحكم في الوصول القائم على السمات سمات المستخدمين والأهداف والإجراءات –مثل اسم المستخدم ونوع الموارد والوقت من اليوم– لتحديد ما إذا كان سيتم منح حق الوصول أم لا. يمكن أن يكون تنفيذ التحكم في الوصول استنادًا إلى الأدوار أسهل من التحكم في الوصول القائم على السمات؛ لأن التحكم في الوصول استنادًا إلى الأدوار يستخدم الأدوار التنظيمية بدلاً من سمات كل مستخدم على حدة لتفويض الوصول.

يتمثل الفرق بين التحكم في الوصول استنادًا إلى الأدوار والتحكم في الوصول القائم على السمات في أن التحكم في الوصول القائم على السمات يحدد أذونات الوصول في الوقت الحالي بشكل ديناميكي بناءً على عدة عوامل، بينما يحدد نظام التحكم في الوصول استنادًا إلى الأدوار أذونات الوصول بناءً على دور المستخدم المحدد مسبقًا فقط.

قائمة التحكم في الوصول (ACL)

 

قائمة التحكم في الوصول هي نظام أساسي للتحكم في الوصول يشير إلى قائمة بالمستخدمين والقواعد لتحديد الأشخاص الذين يمكنهم الوصول إلى نظام أو موارد، والإجراءات التي يمكنهم تنفيذها.

يتمثل الفرق بين قائمة التحكم في الوصول والتحكم في الوصول استنادًا إلى الأدوار في أن قائمة التحكم في الوصول تحدد القواعد الخاصة بكل مستخدم على حدة، بينما تقوم أنظمة التحكم في الوصول استنادًا إلى الأدوار بتعيين حقوق الوصول بناءً على الأدوار.

تنظر المؤسسات الكبيرة إلى التحكم في الوصول استنادًا إلى الأدوار على أنه خيار أفضل للتحكم في الوصول؛ لأنه أكثر قابلية للتوسع وأسهل في الإدارة من قائمة التحكم في الوصول.
حلول ذات صلة
IBM® Verify

يمكنك حماية هويات العملاء والقوى العاملة والهويات المميزة وإدارتها عبر السحابة الهجينة بدعم من الذكاء الاصطناعي.

 استكشف IBM Verify
نسيج هوية مستقل

يمكنك بناء نسيج هوية فعال ومستقل عن المنتج يقلل تعقيدات إدارة الهوية.

 استكشف حل نسيج الهوية من IBM
IBM® Rapid Network Automation

يمكنك تعزيز الأمان من خلال التحكم في الوصول استنادًا إلى الأدوار على مستوى كتلة الإجراء.

 استكشف IBM Rapid Network Automation
الموارد تقرير تكلفة خرق البيانات

يمكنك مساعدة فِرق الأمن وتكنولوجيا المعلومات في مؤسستك على إدارة المخاطر والخسائر المحتملة بأفضل شكل ممكن من خلال هذه المعارف الأساسية.

 مؤشر X-Force Threat Intelligence

يمكنك حماية موظفيك وبياناتك وبنيتك التحتية بشكل أفضل من خلال فهم أحدث أساليب الهجمات الإلكترونية.

 ما المقصود بإدارة الهوية والوصول (IAM)؟

إدارة الهوية والوصول (IAM) هي نظام أمن إلكتروني يتعامل مع كيفية وصول المستخدمين إلى الموارد الرقمية وما يمكنهم القيام به باستخدامها.