إدارة الوصول هي أحد تخصصات الأمن الإلكتروني الذي يُدير حقوق وصول المستخدمين إلى الموارد الرقمية. تساعد أدوات وإجراءات إدارة الوصول على ضمان وصول المستخدمين المصرح لهم فقط إلى الموارد التي يحتاجونها، مع منع الوصول غير المصرح به لكلٍّ من المستخدمين الداخليين والمهاجمين الخارجيين.
تشكِّل إدارة الوصول وإدارة الهوية معًا الركيزتين الأساسيتين لتخصص أوسع في الأمن الإلكتروني، وهو إدارة الهوية والوصول (IAM). تتعامل إدارة الهوية والوصول (IAM) مع توفير وحماية الهويات الرقمية وصلاحيات المستخدمين في نظام تكنولوجيا المعلومات.
تشمل إدارة الهوية إنشاء وصيانة الهويات لجميع المستخدمين في النظام، بما في ذلك المستخدمون البشر (الموظفون أو العملاء أو المتعاقدون) والمستخدمون غير البشريين (وكلاء الذكاء الاصطناعي، أو إنترنت الأشياء وأجهزة نقاط النهاية أو أعباء العمل المؤتمتة).
تشمل إدارة الوصول تسهيل الوصول الآمن لهؤلاء المستخدمين إلى البيانات والموارد المحلية والتطبيقات والأصول المستندة إلى السحابة الخاصة بالمؤسسة. تشمل الوظائف الأساسية لإدارة الوصول إدارة سياسات وصول المستخدمين، والتحقق من هوياتهم، ومنح المستخدمين المصرح لهم الحق في أداء إجراءات محددة داخل النظام.
مع تزايد استخدام الحوسبة السحابية، وحلول البرمجيات كخدمة (SaaS)، والعمل عن بُعد، والذكاء الاصطناعي التوليدي، أصبحت إدارة الوصول عنصرًا أساسيًا في أمن الشبكات. يجب على المؤسسات تمكين أنواع أكثر من المستخدمين للوصول إلى أنواع أكثر من الموارد في مواقع متعددة، مع منع اختراق أمن البيانات ومنع المستخدمين غير المصرح لهم من الدخول.
انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.
وفقًا للمعهد الوطني الأمريكي للمعايير والتقنية (NIST)، تتضمن وظائف إدارة الوصول الأساسية ما يلي:
تتحكم سياسات الوصول التفصيلية في صلاحيات المستخدمين في معظم أنظمة إدارة الوصول. يمكن للمؤسسات اتِّباع عدة أساليب مختلفة لتحديد سياسات الوصول الخاصة بها.
أحد أطر عمل التحكم في الوصول الشائعة هو التحكم في الوصول بناءً على الأدوار (RBAC)، حيث يتم تحديد صلاحيات المستخدمين بناءً على وظائفهم الوظيفية. يساعد التحكم في الوصول بناءً على الأدوار (RBAC) على تبسيط عملية تعيين صلاحيات المستخدمين ويقلِّل من خطر منحهم صلاحيات تفوق حاجتهم.
على سبيل المثال، لنفترض أن مسؤولي النظام يقومون بتعيين صلاحيات لجهاز جدار حماية الشبكة.
يمكن للمؤسسات استخدام أطر التحكم في الوصول الأخرى كبدائل لإطار RBAC، أو بالتوازي معه. وتشمل أطر العمل هذه ما يلي:
يعتمد إطار التحكم في الوصول في أغلب المؤسسات على مبدأ الحد الأدنى من الامتيازات. غالبًا ما يرتبط مبدأ أقل الامتيازات باستراتيجيات الأمن القائمة على الثقة الصفرية، وينص على أن يحصل المستخدمون فقط على أقل الصلاحيات اللازمة لإنجاز المهمة. ويجب إلغاء الامتيازات عند الانتهاء من المهمة للمساعدة على منع المخاطر الأمنية المستقبلية.
المصادقة هي عملية التحقق من أن المستخدم هو بالفعل الشخص الذي يدَّعي أنه هو.
عندما يسجِّل المستخدم الدخول إلى النظام أو يطلب الوصول إلى مورد، يقدِّم بيانات اعتماد تُسمَّى "عوامل المصادقة" لتأكيد هويته. على سبيل المثال، قد يُدخل المستخدم البشري كلمة مرور أو يُجري مسح بصمة الإصبع الحيوية، بينما قد يشارك المستخدم غير البشري شهادة رقمية.
تقوم أدوات إدارة الوصول بمطابقة العوامل المقدَّمة مع بيانات الاعتماد المسجلة لديها للمستخدم. وإذا كانت متطابقة، يتم منح المستخدم حق الوصول.
رغم أن كلمة المرور تُعَد أبسط أشكال المصادقة، إلا إنها أيضًا من أضعفها. تستخدم معظم أدوات إدارة الوصول اليوم طرق مصادقة أكثر تقدمًا. وتتضمن هذه الطرق ما يلي:
التفويض هو العملية التي يتم من خلالها منح المستخدمين الذين تم التحقق من هويتهم مستويات الوصول المناسبة إلى مورِّد معين.
المصادقة والتفويض مرتبطان ارتباطًا وثيقًا، وعادةً ما تكون المصادقة شرطًا مسبقًا لعملية التفويض. بعد إثبات هوية المستخدم، يتحقق نظام إدارة الوصول من امتيازات المستخدم استنادًا إلى سياسات الوصول المحددة مسبقًا والمسجلة في قاعدة بيانات مركزية أو محرك سياسات. بعد ذلك، يقوم النظام بمنح المستخدم تلك الامتيازات المحددة خلال جلسته.
من خلال تقييد صلاحيات المستخدمين وفقًا لسياسات الوصول، يمكن لأدوات إدارة الوصول المساعدة على منع كلٍّ من التهديدات الداخلية التي تستغل الامتيازات بشكل ضار والمستخدمين ذوي النوايا الحسنة الذين يسيئون استخدام حقوقهم عن طريق الخطأ.
إذا فشل التحقق من هوية المستخدم، لا يمنحه نظام إدارة الوصول الصلاحيات، ويمنعه من استخدام الامتيازات المرتبطة بحسابه. يساعد هذا على منع المهاجمين الخارجيين من الاستيلاء على امتيازات المستخدمين الشرعيين واستغلالها.
يمكن تصنيف حلول إدارة الوصول بشكل عام إلى فئتين: أدوات تتحكم في وصول المستخدمين الداخليين مثل الموظفين، وأدوات تتحكم في وصول المستخدمين الخارجيين مثل العملاء.
غالبًا ما يحتاج المستخدمون الداخليون في المؤسسة -الموظفون والمديرون والإداريون- إلى الوصول إلى أنظمة متعددة، بما في ذلك تطبيقات الأعمال، وتطبيقات المراسلة، وقواعد بيانات الشركة، وأنظمة الموارد البشرية، وغيرها.
تُعتبر تقريبًا جميع الموارد الداخلية للمؤسسة حساسة، ما يتطلب حمايتها من المتسللين الخبيثين. لكن ليس كل مستخدم داخلي يحتاج إلى نفس مستوى الوصول لكل مورد داخلي. تحتاج المؤسسات إلى أدوات إدارة وصول متقدمة تمكِّنها من التحكم في صلاحيات المستخدمين على مستوى تفصيلي.
تتضمن أدوات إدارة الوصول الداخلي الشائعة ما يلي:
منصات إدارة الهوية والوصول (IAM) هي حلول شاملة تدمج وظائف إدارة الهوية والوصول الأساسية في نظام واحد. تشمل الميزات الشائعة لمنصات IAM أدلة المستخدمين، وأدوات المصادقة، وإدارة سياسات الوصول، وقدرات الكشف عن التهديدات المتعلقة بالهوية والاستجابة لها (ITDR).
إدارة الوصول المميز (PAM) هي فرع من إدارة الوصول يتحكم في حسابات المستخدمين ذات الامتيازات العالية (مثل حسابات المديرين) والأنشطة المميزة (مثل التعامل مع البيانات الحساسة).
في العديد من أنظمة تكنولوجيا المعلومات، تُمنح الحسابات ذات الامتيازات العالية حماية خاصة؛ لأنها أهداف ذات قيمة عالية يمكن للجهات الخبيثة استغلالها للتسبب في أضرار جسيمة.
تقوم أدوات PAM بعزل الهويات المميزة عن البقية باستخدام خزائن بيانات الاعتماد وبروتوكولات الوصول عند الحاجة (JIT). يمنح JIT المستخدمين المصرح لهم وصولًا مميزًا إلى الموارد لفترة محدودة عند الطلب، بدلًا من منح المستخدمين أذونات مرتفعة بشكل دائم.
تساعد أدوات حوكمة الهوية وإدارتها (IGA) على ضمان استيفاء سياسات التحكم في الوصول لدى المؤسسة لمتطلبات الأمان واللوائح التنظيمية.
توفِّر حلول IGA أدوات لتحديد وتنفيذ سياسات الوصول المتوافقة مع القوانين خلال دورة حياة كل مستخدم. يمكن لبعض أدوات IGA أيضًا المساعدة على أتمتة سير العمل الأساسي للامتثال، مثل استقبال المستخدمين الجُدُد وتوفير حساباتهم، ومراجعة الوصول، وطلبات الوصول الجديدة، وإلغاء وصول المستخدمين الذين غادروا المؤسسة. تمنح هذه الوظائف المؤسسات مزيدًا من الرقابة على أذونات المستخدمين وأنشطتهم، ما يجعل من السهل اكتشاف إساءة استخدام الامتيازات وإيقافها.
حلول ZTNA هي أدوات وصول عن بُعد تتبِع مبدأ الثقة الصفرية "لا تثق أبدًا، تحقَّق دائمًا".
تقوم أدوات الوصول عن بُعد التقليدية، مثل الشبكات الخاصة الافتراضية (VPN)، بتوصيل المستخدمين عن بُعد بشبكة الشركة بأكملها. في المقابل، تربط ZTNA المستخدمين فقط بالتطبيقات والموارد المحددة التي لديهم إذن للوصول إليها.
علاوةً على ذلك، في نموذج ZTNA، لا يُمنح المستخدمون الثقة الضمنية أبدًا. يجب التحقق من صحة كل طلب وصول إلى كل مورد والتأكد من صحته، بغض النظر عن هوية المستخدم أو موقعه.
غالبًا ما تحتاج المؤسسات إلى تمكين المستخدمين الخارجيين من الوصول الآمن إلى الموارد. قد يحتاج العملاء إلى الوصول إلى حساباتهم على منصات التجارة الإلكترونية. وقد يحتاج المورِّدون إلى الوصول إلى أنظمة الفواتير. وقد يحتاج شركاء الأعمال إلى الوصول إلى البيانات المشتركة. تستهدف أدوات إدارة الوصول الخارجي هؤلاء المستخدمين الخارجيين بشكل خاص.
تستخدم بعض المؤسسات الأدوات نفسها لإدارة الوصول الداخلي والخارجي، لكن هذه الاستراتيجية ليست دائمًا قابلة للتطبيق. يمكن أن تختلف احتياجات المستخدمين الداخليين والخارجيين. على سبيل المثال، غالبًا ما يفضِّل المستخدمون الخارجيون سهولة الاستخدام على الأمان، بينما يمتلك المستخدمون الداخليون امتيازات أعلى تتطلب حماية أقوى.
تتحكم أدوات إدارة الهوية والوصول للعملاء (CIAM) في الهويات الرقمية وأمان الوصول للعملاء والمستخدمين الآخرين الذين يقع موقعهم خارج المؤسسة.
مثل غيرها من أدوات إدارة الوصول، تساعد أنظمة CIAM على التحقق من هوية المستخدمين وتسهيل الوصول الآمن إلى الخدمات الرقمية. الاختلاف الأساسي هو أن أدوات CIAM تركِّز على تجربة المستخدم من خلال إنشاء الملف التدريجي (تمكين المستخدمين من إكمال ملفاتهم تدريجيًا)، وتسجيل الدخول عبر وسائل التواصل الاجتماعي، وميزات أخرى صديقة للمستخدم.
تساعد أدوات إدارة الوصول المؤسسات على تمكين المستخدمين المصرح لهم من الوصول الآمن إلى الموارد الحساسة بغض النظر عن مواقعهم.
النتيجة هي شبكة أكثر أمانًا وكفاءة. يحصل المستخدمون على الوصول المستمر الذي يحتاجونه لأداء مهامهم، بينما يتم منع عناصر التهديد والمستخدمين غير المصرح لهم من الدخول.
مع تبنّي المؤسسات لبيئات هجينة ومتعددة السحابات، تصبح شبكات تكنولوجيا المعلومات المركزية المحلية شيئًا من الماضي. لا تستطيع حلول واستراتيجيات الأمان التي تركِّز على الحدود حماية الشبكات بفاعلية إذا امتدت عبر الأجهزة والمستخدمين والتطبيقات وقواعد البيانات المنتشرة حول العالم.
كما أن المتسللين يركِّزون بشكل متزايد على سطح الهجوم المتعلق بالهوية، حيث يقومون بسرقة بيانات الاعتماد لاختراق الشبكات. وفقًا لـ IBM X-Force Threat Intelligence Index، فإن 30% من الهجمات الإلكترونية تشمل سرقة الحسابات الصالحة واستغلالها.
تقوم أدوات إدارة الوصول بتحويل دفاعات المؤسسة بعيدًا عن الحدود لتتركَّز على المستخدمين الفرديين والموارد والبيانات الحساسة من خلال تأمين الوصول نفسه. تساعد أدوات المصادقة على حماية حسابات المستخدمين من الخاطفين، بينما تساعد أدوات التفويض على ضمان استخدام المستخدمين لامتيازاتهم لأسباب مشروعة فقط.
يمكن لأدوات إدارة الوصول أيضًا المساعدة على أتمتة بعض المهام الأمنية، مثل إجراء مراجعات منتظمة للوصول وإلغاء وصول المستخدمين عند مغادرتهم المؤسسة أو تغيير أدوارهم. وتساعد هذه الأدوات على مكافحة "تراكم الامتيازات"، حيث يحصل المستخدمون تدريجيًا وعلى نحو غير ملحوظ على صلاحيات أكثر مما يحتاجون مع مرور الوقت.
يمكن لأدوات إدارة الوصول تسهيل وصول المستخدمين إلى الموارد التي يحتاجونها دون المساس بالأمان. على سبيل المثال، يُتيح نظام تسجيل الدخول الموحَّد (SSO) للمستخدمين المصادقة مرة واحدة للوصول إلى عدة موارد. تُتيح مقاييس المصادقة البيومترية للمستخدمين تسجيل الدخول باستخدام بصمات الأصابع وبيانات اعتماد فريدة أخرى يصعب اختراقها ولكن يسهل إدخالها مقارنةً بكلمة المرور.
يمكن لأدوات إدارة الوصول تبسيط عملية توفير وإلغاء وصول المستخدمين. على سبيل المثال، يمكن لإطار العمل القائم على الأدوار تعيين الامتيازات الصحيحة للمستخدمين تلقائيًا استنادًا إلى السياسات المحددة مسبقًا. يُصبح لدى مسؤولي النظام عمل روتيني أقل للقيام به، ويمكن للموظفين الجُدُد البدء على الفور بدلًا من انتظار الموافقات اليدوية للوصول.
تفرض معايير ولوائح خصوصية البيانات وأمنها -مثل معيار أمان بيانات بطاقات الدفع (PCI DSS) واللائحة العامة لحماية البيانات (GDPR)- على المؤسسات الحفاظ على ضوابط وصول صارمة لأنواع معينة من المعلومات الحساسة.
قد يكون ثمن عدم الامتثال باهظًا. على سبيل المثال، قد تؤدي الانتهاكات الجسيمة للائحة العامة لحماية البيانات (GDPR) إلى فرض غرامات تصل إلى 20,000,000 يورو أو 4% من الإيرادات العالمية للمؤسسة في العام السابق.
يمكن لحلول إدارة الوصول أن تساعد المؤسسات على تلبية متطلبات الامتثال من خلال فرض امتيازات وصول مُحددة مركزيًا، ما يضمن حصول المستخدمين الضروريين فقط على البيانات، وللأسباب المصرح بها فقط.
يمكن لبعض أدوات إدارة الوصول أيضًا الاحتفاظ بسجلات لأنشطة المستخدمين وطلبات الوصول، ما يُنشئ مسارات تدقيق تساعد المؤسسات على إثبات الامتثال وتحديد الانتهاكات.
يمكن لأدوات إدارة الوصول مساعدة المؤسسات على توفير المال من خلال تحسين الكفاءة والأمان والامتثال.
على سبيل المثال، يمكن لأدوات المصادقة القوية إحباط العديد من الهجمات القائمة على الهوية، ما يقلل من فترات التعطل الناتجة عن التهديدات الأمنية. قد تتلقى فرق تكنولوجيا المعلومات عددًا أقل من مكالمات مكتب المساعدة عند تزويد أذونات المستخدمين تلقائيًا. وتكون المؤسسات أقل عرضةً لدفع الغرامات أو الرسوم القانونية عندما تتوافق سياسات الوصول الخاصة بها مع المتطلبات.