ما المقصود بإدارة الأسرار؟

تعمل المؤسسات اليوم على أتمتة العديد من العمليات التجارية ومهام سير العمل الرئيسية باستخدام أدوات مثل أتمتة العمليات الآلية (RPA) ومؤخرًا، وكلاء الذكاء الاصطناعي ومساعدي الذكاء الاصطناعي. تحتاج هذه الكيانات غير البشرية، مثلها مثل المستخدمين من البشر، إلى بيانات اعتماد—غالباً ما تسمى "الأسرار"—للوصول إلى الموارد المؤسسية.

غالباً ما يحتاج المستخدمون غير البشريين إلى امتيازات مرتفعة لإكمال مهامهم. على سبيل المثال، قد يكون لعملية النسخ الاحتياطي التلقائي إمكانية الوصول إلى الملفات السرية وإعدادات النظام.

هذه الحسابات المميزة الغير البشرية هي أهداف عالية القيمة بالنسبة إلى المخترقين الذين يمكنهم إساءة استخدام حقوق الوصول الخاصة بها لسرقة البيانات وإتلاف الأنظمة الحساسة مع التهرب من الكشف. في الواقع، تعد سرقة الحسابات الصالحة أكثر نواقل الهجمات الإلكترونية شيوعًا اليوم، وفقًا لمؤشر IBM® X-Force® Threat Intelligence Index. تمثل هذه الهجمات 30% من جميع الحوادث التي استجابت لها X-Force مؤخرًا.

تسمح أنظمة وعمليات إدارة الأسرار للمؤسسات بإنشاء ومراقبة وتأمين الأسرار التي يستخدمها المستخدمين غير البشريين للوصول إلى موارد تكنولوجيا المعلومات. من خلال استخدام أدوات إدارة الأسرار لإدارة وحماية بيانات الاعتماد طوال دورة حياتها الشاملة، يمكن للمؤسسة تبسيط سير العمل مع منع اختراق أمن البيانات والتلاعب والسرقة والوصول غير المصرح به.

السر هو عبارة عن بيانات اعتماد رقمية متضمنة في تطبيق أو خدمة تسمح للمستخدمين غير البشريين بالتواصل مع خدمة أو قاعدة بيانات أو تطبيق أو مورد آخر من موارد تكنولوجيا المعلومات وتنفيذ إجراءات عليها. تساعد الأسرار المؤسسات على تعزيز الوضع الأمني من خلال التأكد من أن المستخدمين المصرح لهم فقط لديهم حق الوصول إلى البيانات والأنظمة الحساسة.

تتضمن أمثلة الأسرار، على سبيل المثال لا الحصر، ما يلي:

• بيانات اعتماد حساب الخدمة: تسمح حسابات الخدمة للتطبيقات ومهام سير العمل الآلية بالتفاعل مع أنظمة التشغيل. يمكن أن تتضمن بيانات اعتماد حساب الخدمة كلمات مرور ورموز أمنية مميزة وتذاكر Kerberos وأسرارًا أخرى.
  
  
• مفاتيح واجهة برمجة التطبيقات: تسمح مفاتيح واجهة برمجة التطبيقات للمستخدمين والتطبيقات والخدمات بالتحقق من هويتها لواجهات برمجة التطبيقات (APIs).
  
  
• مفاتيح التشفير: مفاتيح التشفير تسمح للمستخدمين بتشفير البيانات وفك تشفيرها.
  
  
• الرموز المميزة للمصادقة والتفويض: الرموز المميزة، مثل تلك المستخدمة في بروتوكول OAuth، هي أجزاء من المعلومات التي يمكنها التحقق من هوية المستخدم وتحديد الموارد التي يمكنه الوصول إليها.
  
  
• مفاتيح SSH (Secure Shell): تستخدم خوادم SSH مفاتيح SSH لتحديد مستخدم أو جهاز من خلال تشفير المفتاح العام.
  
  
• شهادات SSL/TLS: شهادة رقمية يمكن استخدامها لإنشاء اتصالات خاصة بين خادم وعميل باستخدام بروتوكول طبقة المقابس الآمنة/أمان طبقة النقل (SSL/TLS).
  
  
• الأسرار التعسفية: البيانات الحساسة، بما في ذلك أي نوع من البيانات المنظمة أو غير المنظمة التي يمكن استخدامها للوصول إلى تطبيق أو مورد.
  
  
• مفاتيح خاصة أخرى: يمكن أن تشمل هذه شهادات البنية التحتية للمفتاح العام (PKI) ومفاتيح رمز مصادقة الرسائل المستندة إلى التجزئة (HMAC) ومفاتيح التوقيع.

تساعد أدوات إدارة الأسرار على مستوى المؤسسة المؤسسات على اكتشاف ومنع ومعالجة الوصول غير المصرح به وإساءة استخدام البيانات والأنظمة الحساسة، مثل معلومات التعريف الشخصية (PII). يمكن ان تقلل المؤسسات من مخاطر اختراق أمن البيانات وسرقة البيانات، وتجنب فقدان البيانات القيّمة والغرامات المحتملة وتضرر السمعة.

إدارة الأسرار هي واحدة من ركائز إدارة الوصول المتميز (PAM)، وهي مجموعة فرعية من إدارة الهوية والوصول (IAM) التي تركز على تأمين الحسابات والمستخدمين المميزين.

تشمل الركائز الثلاث الأخرى لإدارة الوصول المتميز (PAM) ما يلي:

• إدارة الحسابات والجلسات المتميزة (PASM)، التي تتعامل مع إدارة دورة حياة الحساب وإدارة كلمات المرور ومراقبة الجلسة.
  
  
• إدارة الارتقاء بالامتيازات والتفويض (PEDM)، تشمل تقييمًا تلقائيًا لطلبات الوصول إلى الامتيازات المتميزة والموافقة عليها ورفضها. 
  
  
• إدارة استحقاقات البنية التحتية السحابية (CIEM)، التي تشرف على عمليات إدارة الهوية والوصول في بيئات الحوسبة السحابية .

تعد إدارة الأسرار مهمة لمنهجية عمليات التطوير، والتي تركز على التسليم الآلي والمستمر للبرامج.

غالبًا ما تستخدم فرق عمليات التطوير أدوات تكوين أو تنسيق متعددة لإدارة النظام البنائي بالكامل ومهام سير العمل ونقاط النهاية. غالبا ما تستخدم الأدوات الأتمتة والبرامج النصية التي تتطلب الوصول إلى الأسرار لبدء التشغيل. من دون خدمة إدارة الأسرار على مستوى المؤسسة، قد يؤدي الاستخدام العشوائي للأسرار إلى زيادة ثغرات النظام.

تقوم العديد من المؤسسات بدمج وظائف إدارة الأسرار في مسار التكامل المستمر والتسليم المستمر، أو مسار CI/CD. ويساعد ذلك على ضمان أن جميع الأجزاء المتحركة — من المطورين والأدوات والعمليات الآلية — لديها وصول آمن إلى الأنظمة الحساسة التي يحتاجونها عند الحاجة.

تعتبر إدارة الأسرار عنصرًا أساسيًا في التطوير والأمن والعمليات (Devsecops)، وهو تطور لمنهجية عمليات التطوير التي تدمج الأمان بشكل مستمر وتعمل على أتمتة الأمان طوال دورة حياة عمليات التطوير.

تعتمد عملية إدارة الأسرار عادةً على أدوات إدارة الأسرار. يمكن أن تساعد هذه الأدوات، التي يمكن نشرها محليًا أو كخدمات مقدمة عبر السحابة، في مركزية وأتمتة وتبسيط إنشاء الأسرار واستخدامها وتدويرها وحمايتها.

تتضمن بعض القدرات المشتركة لأدوات إدارة الأسرار ما يلي:

• الإدارة المركزية والموحدة للأسرار
• إنشاء الأسرار الديناميكية والتدوير الآلي للأسرار
• عناصر التحكم في الوصول
• مراقبة النشاط ومراجعته

من خلال خدمة إدارة الأسرار على مستوى المؤسسة، يمكن للمؤسسات إدارة أنواع متعددة من الأسرار في لوحة تحكم واحدة.

بدلاً من ترك المستخدمين الأفراد لإدارة الأسرار في صوامع صغيرة، يمكن لحلول إدارة الأسرار تخزين الأسرار في موقع آمن مركزي يسمى "خزنة الأسرار".

عندما يحتاج المستخدم المعتمد إلى الوصول إلى نظام حساس، يمكنه الحصول على السر المقابل من الخزنة. يمكن لأداة إدارة الأسرار التحقق من صلاحيات المستخدمين وتصريحها ومنحها لهم تلقائيًا لتمكينهم من تنفيذ مهام سير العمل الخاصة بهم.

يمكن أن يساعد التوحيد القياسي في منع الانتشار السري. الانتشار السري هو عندما يتم تخزين الأسرار في أماكن مختلفة في جميع أنحاء المؤسسة، وغالبًا ما تكون مشفرة في تطبيقات أو كنص عادي في مستند مشترك. كما أن الانتشار السري يجعل من الصعب حماية الأسرار من الجهات الخبيثة وتتبع كيفية استخدام الأسرار.  

يمكن أن تكون الأسرار التي تم إنشاؤها في Secrets Manager إما ثابتة أو ديناميكية. السر الثابت هو سر يبقى ساريًا لفترة طويلة، عادةً حتى يتم تغييره يدويًا أو حتى يصل إلى تاريخ انتهاء صلاحية محدد مسبقًا.

في المقابل، يتم إنشاء سر ديناميكي بواسطة Secrets Manager عند الطلب، في اللحظة التي يكون هناك حاجة إليه. تنتهي صلاحية الأسرار الديناميكية بسرعة إلى حد ما. ويمكن حتى أن تكون للاستخدام مرة واحدة.

تتمثل حالة الاستخدام لسر ديناميكي في حماية مورد سري من خلال إنشاء مفاتيح واجهة برمجة التطبيقات ديناميكيًا في كل مرة تتم فيها قراءة هذا المورد أو الوصول إليه. يساعد ذلك على ضمان عدم تمكن الجهات الخبيثة من سرقة مفاتيح واجهة برمجة التطبيقات وإعادة استخدامها.

يمكن للعديد من secrets managers أيضًا أتمتة دورة الأسرار—أي عملية تغيير الأسرار بانتظام. يمكن أتمتة تدوير الأسرار في الموعد المحدد أو عند الطلب دون الحاجة إلى إعادة نشر التطبيقات أو تعطيلها. يمكن تحديد مدة بقاء السر (TTL) أو مدة الإيجار للسر عند إنشائه لتقصير مدة بقاء السر.

لا يمكن منح الأسرار إلا لكيانات أو مجموعات محددة لتنظيم وتشديد الوصول إليها. غالباً ما يتم منح الوصول إلى الأسرار باستخدام مبدأ الامتياز الأقل—أي أن كل عملية يتم منحها فقط مجموعة الامتيازات الأكثر تقييدًا اللازمة لأداء مهمة. يستطيع المستخدمون الوصول فقط إلى تلك الأسرار التي يتطلبها تنفيذ مهامهم المصرح بها.

يمكن للعديد من Secrets Manager تتبع كيفية تفاعل المستخدمين والتطبيقات مع الأسرار واستخدامها للتحقق من أن الأسرار يتم التعامل معها بشكل مناسب طوال دورات حياتها. يسمح ذلك للمؤسسة بإجراء مراقبة شاملة في الوقت الفعلي للمصادقات والتفويضات.

يمكن لـ Secrets Manager تحديد المحاولات غير المصرح بها لعرض الأسرار أو استخدامها بسرعة وقطع الوصول إليها، وبالتالي إيقاف المتسللين والتهديدات الداخلية والجهات الفاعلة السيئة الأخرى. 

بالإضافة إلى استخدام حلول إدارة الأسرار، تتبع العديد من المؤسسات ممارسات أساسية مشتركة في عمليات إدارة الأسرار. تشمل هذه الممارسات ما يلي:

• يتم إنشاء الأسرار وتخزينها في البيئة التي يتم فيها نشر الخدمة، مثل بيئات التطوير والاختبار والإنتاج. تستخدم بعض المؤسسات أدوات إدارة أسرار مختلفة لكل بيئة. ويستخدم البعض الآخر حلاً مركزياً واحداً ويعزل أسرار كل بيئة في جزء مخصص. لا تغادر الأسرار بيئاتها أبدًا ويتم تأمينها باستخدام تدابير صارمة للتحكم في الوصول إليها.
  
  
• يتم منح وصول المستخدم إلى الأسرار بالحد الأدنى المطلوب لأي مستخدم للوفاء بمسؤولياته. إن الإفراط في الاستحقاق—سواء كان مقصودًا أم لا—يمكن أن يؤدي إلى حدوث اختراقات أمن البيانات.
  
  
• يتم تدوير الأسرار بانتظام وفقًا لمتطلبات النظام.
  
  
• لا يقوم المستخدمون بتخزين الأسرار في مصدر الرمز أو ملفات التكوين أو الوثائق.
  
  
• يمكن تحسين سياسات الأمان من خلال طلب التشفير لجميع البيانات الحساسة. ويمكن حماية مفاتيح التشفير باستخدام خدمة إدارة المفاتيح (KMS).
  
  
• تقوم المؤسسة بمراقبة الأسرار بشكل مستمر، مع تسجيل سجلات المراجعة لكل طلب: من طلب السر، ولأي نظام، وما إذا كان الطلب ناجحًا، ومتى تم استخدام السر، ومتى انتهت صلاحيته ومتى تم تحديث السر وإذا تم تحديثه. يتم التحقيق في الحالات غير الطبيعية على الفور. 

مع تزايد تعقيد النظم البنائية لتكنولوجيا المعلومات، يصبح من الصعب التحكم في إدارة الأسرار بشكل فعال. يمكن أن تشمل تحديات إدارة الأسرار الشائعة ما يلي:

يمكن أن تؤدي النظم البنائية اللامركزية التي يدير فيها المشرفون والمطورون والمستخدمون أسرارهم بشكل منفصل إلى مخاطر، حيث قد لا تتم مراقبة أو تدقيق استخدام الأسرار بشكل صحيح.

يمكن أن توفر حلول إدارة الأسرار المركزية للمؤسسة مزيدًا من الرؤية والتحكم في الأسرار.

عندما يتم تضمين كلمات المرور أو غيرها من الأسرار كنص عادي في مصدر الرمز أو البرامج النصية يمكن للمتسللين اكتشافها بسهولة واستخدامها للوصول إلى المعلومات الحساسة.

يمكن أن تظهر الأسرار المضمنة في العديد من الأماكن، بما في ذلك سلاسل أدوات CI/CD ، وأجهزة إنترنت الأشياء (IoT)، ومنصات تنسيق الحاويات مثل Kubernetes، وخوادم التطبيقات، وأجهزة مسح الثغرات الأمنية، ومنصات أتمتة العمليات الآلية (RPA).

يمكن أن يساعد التدوير المنتظم للأسرار في منع السرقة وإساءة الاستخدام، ولكن يمكن أن يكون التدوير غير متسق أو غير فعال بدون نظام إدارة الأسرار. إذا ظل السر دون تغيير لفترة طويلة، فقد يتمكن المتسلل من إلغاء قفله عن طريق التخمينات التجريبية أو هجوم القوة الغاشمة.

كلما طالت مدة استخدام كلمة المرور، زاد عدد المستخدمين الذين يمكنهم الوصول إليها وزادت فرصة التسرب.

يمكن أن تؤدي أنظمة تكنولوجيا المعلومات المتنامية إلى انتشار الأسرار، حيث تنتشر الأسرار عبر العديد من الأجزاء المنعزلة في النظام. يمكن أن يكون انتشار الأسرار مثيراً للقلق بشكل خاص في النظم البنائية متعددة السحابة الهجينة، حيث تمزج المؤسسات بين البيئات السحابية العامة والخاصة التي يقدمها العديد من مزودي الخدمات السحابية.

قد يكون لدى المؤسسات الآلاف، بل الملايين، من الأسرار عبر جميع تطبيقات السحابة الأصلية، والحاويات، والخدمات المصغرة، وموارد تكنولوجيا المعلومات الأخرى. يخلق هذا الانتشار عبئًا أمنيًا هائلًا ويوسّع سطح الهجوم المحتمل.

عبر الخدمات، قد تكون الرؤية محدودة، ويمكن أن يصبح إدارة الأسرار بسرعة أمرًا صعبًا إذا تم تتبعها يدويًا أو بواسطة أنظمة متباينة. قد يؤدي عدم وجود خدمة مركزية لإدارة الأسرار إلى صعوبة أو استحالة فرض نظافة الأسرار المناسبة.

عندما تفتقر المؤسسة إلى نظام إدارة الأسرار، فقد تتم مشاركة الأسرار يدويًا—مثل رسائل البريد الإلكتروني أو الرسائل النصية—حيث يمكن للجهات الفاعلة في التهديد اعتراضها.