ما المقصود بإدارة الوصول؟

تشكِّل إدارة الوصول وإدارة الهوية معًا الركيزتين الأساسيتين لتخصص أوسع في الأمن الإلكتروني، وهو إدارة الهوية والوصول (IAM). تتعامل إدارة الهوية والوصول (IAM) مع توفير وحماية الهويات الرقمية وصلاحيات المستخدمين في نظام تكنولوجيا المعلومات.

تشمل إدارة الهوية إنشاء وصيانة الهويات لجميع المستخدمين في النظام، بما في ذلك المستخدمون البشر (الموظفون أو العملاء أو المتعاقدون) والمستخدمون غير البشريين (وكلاء الذكاء الاصطناعي، أو إنترنت الأشياء وأجهزة نقاط النهاية أو أعباء العمل المؤتمتة).

تشمل إدارة الوصول تسهيل الوصول الآمن لهؤلاء المستخدمين إلى البيانات والموارد المحلية والتطبيقات والأصول المستندة إلى السحابة الخاصة بالمؤسسة. تشمل الوظائف الأساسية لإدارة الوصول إدارة سياسات وصول المستخدمين، والتحقق من هوياتهم، ومنح المستخدمين المصرح لهم الحق في أداء إجراءات محددة داخل النظام.

مع تزايد استخدام الحوسبة السحابية، وحلول البرمجيات كخدمة (SaaS)، والعمل عن بُعد، والذكاء الاصطناعي التوليدي، أصبحت إدارة الوصول عنصرًا أساسيًا في أمن الشبكات. يجب على المؤسسات تمكين أنواع أكثر من المستخدمين للوصول إلى أنواع أكثر من الموارد في مواقع متعددة، مع منع اختراق أمن البيانات ومنع المستخدمين غير المصرح لهم من الدخول.

وفقًا للمعهد الوطني الأمريكي للمعايير والتقنية (NIST)، تتضمن وظائف إدارة الوصول الأساسية ما يلي:

• إدارة السياسات
• المصادقة
• التفويض

تتحكم سياسات الوصول التفصيلية في صلاحيات المستخدمين في معظم أنظمة إدارة الوصول. يمكن للمؤسسات اتِّباع عدة أساليب مختلفة لتحديد سياسات الوصول الخاصة بها.

أحد أطر عمل التحكم في الوصول الشائعة هو التحكم في الوصول بناءً على الأدوار (RBAC)، حيث يتم تحديد صلاحيات المستخدمين بناءً على وظائفهم الوظيفية. يساعد التحكم في الوصول بناءً على الأدوار (RBAC) على تبسيط عملية تعيين صلاحيات المستخدمين ويقلِّل من خطر منحهم صلاحيات تفوق حاجتهم.

على سبيل المثال، لنفترض أن مسؤولي النظام يقومون بتعيين صلاحيات لجهاز جدار حماية الشبكة.

• من المرجَّح أن مندوب المبيعات لن يكون لديه أي وصول؛ لأن دوره الوظيفي لا يتطلب ذلك.
  
  
• قد يتمكن محلل أمان من المستوى المبتدئ من عرض تكوينات جدار الحماية ولكن لا يمكنه تغييرها.
  
  
• وسيكون لدى المدير التنفيذي لأمن المعلومات (CISO) حق الوصول الإداري الكامل.
  
  
• قد تتمكن واجهة برمجة التطبيقات لنظام متكامل لإدارة معلومات الأمان والأحداث (SIEM) من قراءة سجلات نشاط جدار الحماية.

يمكن للمؤسسات استخدام أطر التحكم في الوصول الأخرى كبدائل لإطار RBAC، أو بالتوازي معه. وتشمل أطر العمل هذه ما يلي:

• التحكم الإلزامي في الوصول (MAC)، الذي يفرض سياسات مركزية محددة على جميع المستخدمين استنادًا إلى مستويات التصريح أو درجات الثقة.
  
  
• التحكم التقديري في الوصول (DAC)، والذي يمكِّن مالكي الموارد من تحديد قواعد التحكم في الوصول الخاصة بهم لتلك الموارد. 
  
  
• التحكم في الوصول القائم على السمات (ABAC) يحلل سمات المستخدمين والكائنات والإجراءات لتحديد إذا ما كان سيتم منح حق الوصول أم لا. تتضمن هذه السمات اسم المستخدم ونوع الموارد والوقت من اليوم.

يعتمد إطار التحكم في الوصول في أغلب المؤسسات على مبدأ الحد الأدنى من الامتيازات. غالبًا ما يرتبط مبدأ أقل الامتيازات باستراتيجيات الأمن القائمة على الثقة الصفرية، وينص على أن يحصل المستخدمون فقط على أقل الصلاحيات اللازمة لإنجاز المهمة. ويجب إلغاء الامتيازات عند الانتهاء من المهمة للمساعدة على منع المخاطر الأمنية المستقبلية.

المصادقة هي عملية التحقق من أن المستخدم هو بالفعل الشخص الذي يدَّعي أنه هو.

عندما يسجِّل المستخدم الدخول إلى النظام أو يطلب الوصول إلى مورد، يقدِّم بيانات اعتماد تُسمَّى "عوامل المصادقة" لتأكيد هويته. على سبيل المثال، قد يُدخل المستخدم البشري كلمة مرور أو يُجري مسح بصمة الإصبع الحيوية، بينما قد يشارك المستخدم غير البشري شهادة رقمية.

تقوم أدوات إدارة الوصول بمطابقة العوامل المقدَّمة مع بيانات الاعتماد المسجلة لديها للمستخدم. وإذا كانت متطابقة، يتم منح المستخدم حق الوصول.

رغم أن كلمة المرور تُعَد أبسط أشكال المصادقة، إلا إنها أيضًا من أضعفها. تستخدم معظم أدوات إدارة الوصول اليوم طرق مصادقة أكثر تقدمًا. وتتضمن هذه الطرق ما يلي:

• المصادقة الثنائية (2FA) والمصادقة متعددة العوامل (MFA)، حيث يجب على المستخدمين تقديم أدلة لا تقل عن اثنتين لإثبات هويتهم.
  
  
• المصادقة دون كلمة مرور، والتي تستخدم بيانات اعتماد غير كلمة المرور، مثل العامل البيومتري أو مفتاح FIDO.
  
  
• تسجيل الدخول الموحد (SSO)، والذي يسمح للمستخدمين بالوصول إلى تطبيقات وخدمات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. تستخدم أنظمة SSO عادةً بروتوكولات مفتوحة مثل لغة ترميز تأكيد الأمان (SAML) وOpenID Connect (OIDC) لمشاركة بيانات المصادقة بين الخدمات.
  
  
• المصادقة التكيفية، التي تستخدم الذكاء الاصطناعي (AI) والتعلم الآلي (ML) لتحليل مستوى مخاطر المستخدم استنادًا إلى عوامل مثل السلوك، والوضع الأمني للجهاز والتوقيت. تتغير متطلبات المصادقة في الوقت الفعلي مع تغيُّر مستويات المخاطر، حيث تتطلب تسجيلات الدخول الأكثر خطورة مصادقة أقوى.

التفويض هو العملية التي يتم من خلالها منح المستخدمين الذين تم التحقق من هويتهم مستويات الوصول المناسبة إلى مورِّد معين.

المصادقة والتفويض مرتبطان ارتباطًا وثيقًا، وعادةً ما تكون المصادقة شرطًا مسبقًا لعملية التفويض. بعد إثبات هوية المستخدم، يتحقق نظام إدارة الوصول من امتيازات المستخدم استنادًا إلى سياسات الوصول المحددة مسبقًا والمسجلة في قاعدة بيانات مركزية أو محرك سياسات. بعد ذلك، يقوم النظام بمنح المستخدم تلك الامتيازات المحددة خلال جلسته.

من خلال تقييد صلاحيات المستخدمين وفقًا لسياسات الوصول، يمكن لأدوات إدارة الوصول المساعدة على منع كلٍّ من التهديدات الداخلية التي تستغل الامتيازات بشكل ضار والمستخدمين ذوي النوايا الحسنة الذين يسيئون استخدام حقوقهم عن طريق الخطأ.

إذا فشل التحقق من هوية المستخدم، لا يمنحه نظام إدارة الوصول الصلاحيات، ويمنعه من استخدام الامتيازات المرتبطة بحسابه. يساعد هذا على منع المهاجمين الخارجيين من الاستيلاء على امتيازات المستخدمين الشرعيين واستغلالها.

يمكن تصنيف حلول إدارة الوصول بشكل عام إلى فئتين: أدوات تتحكم في وصول المستخدمين الداخليين مثل الموظفين، وأدوات تتحكم في وصول المستخدمين الخارجيين مثل العملاء. 

غالبًا ما يحتاج المستخدمون الداخليون في المؤسسة -الموظفون والمديرون والإداريون- إلى الوصول إلى أنظمة متعددة، بما في ذلك تطبيقات الأعمال، وتطبيقات المراسلة، وقواعد بيانات الشركة، وأنظمة الموارد البشرية، وغيرها.

تُعتبر تقريبًا جميع الموارد الداخلية للمؤسسة حساسة، ما يتطلب حمايتها من المتسللين الخبيثين. لكن ليس كل مستخدم داخلي يحتاج إلى نفس مستوى الوصول لكل مورد داخلي. تحتاج المؤسسات إلى أدوات إدارة وصول متقدمة تمكِّنها من التحكم في صلاحيات المستخدمين على مستوى تفصيلي.

تتضمن أدوات إدارة الوصول الداخلي الشائعة ما يلي:

منصات إدارة الهوية والوصول (IAM) هي حلول شاملة تدمج وظائف إدارة الهوية والوصول الأساسية في نظام واحد. تشمل الميزات الشائعة لمنصات IAM أدلة المستخدمين، وأدوات المصادقة، وإدارة سياسات الوصول، وقدرات الكشف عن التهديدات المتعلقة بالهوية والاستجابة لها (ITDR).

إدارة الوصول المميز (PAM) هي فرع من إدارة الوصول يتحكم في حسابات المستخدمين ذات الامتيازات العالية (مثل حسابات المديرين) والأنشطة المميزة (مثل التعامل مع البيانات الحساسة).

في العديد من أنظمة تكنولوجيا المعلومات، تُمنح الحسابات ذات الامتيازات العالية حماية خاصة؛ لأنها أهداف ذات قيمة عالية يمكن للجهات الخبيثة استغلالها للتسبب في أضرار جسيمة.

تقوم أدوات PAM بعزل الهويات المميزة عن البقية باستخدام خزائن بيانات الاعتماد وبروتوكولات الوصول عند الحاجة (JIT). يمنح JIT المستخدمين المصرح لهم وصولًا مميزًا إلى الموارد لفترة محدودة عند الطلب، بدلًا من منح المستخدمين أذونات مرتفعة بشكل دائم.

تساعد أدوات حوكمة الهوية وإدارتها (IGA) على ضمان استيفاء سياسات التحكم في الوصول لدى المؤسسة لمتطلبات الأمان واللوائح التنظيمية.

توفِّر حلول IGA أدوات لتحديد وتنفيذ سياسات الوصول المتوافقة مع القوانين خلال دورة حياة كل مستخدم. يمكن لبعض أدوات IGA أيضًا المساعدة على أتمتة سير العمل الأساسي للامتثال، مثل استقبال المستخدمين الجُدُد وتوفير حساباتهم، ومراجعة الوصول، وطلبات الوصول الجديدة، وإلغاء وصول المستخدمين الذين غادروا المؤسسة. تمنح هذه الوظائف المؤسسات مزيدًا من الرقابة على أذونات المستخدمين وأنشطتهم، ما يجعل من السهل اكتشاف إساءة استخدام الامتيازات وإيقافها.

حلول ZTNA هي أدوات وصول عن بُعد تتبِع مبدأ الثقة الصفرية "لا تثق أبدًا، تحقَّق دائمًا".

تقوم أدوات الوصول عن بُعد التقليدية، مثل الشبكات الخاصة الافتراضية (VPN)، بتوصيل المستخدمين عن بُعد بشبكة الشركة بأكملها. في المقابل، تربط ZTNA المستخدمين فقط بالتطبيقات والموارد المحددة التي لديهم إذن للوصول إليها.

علاوةً على ذلك، في نموذج ZTNA، لا يُمنح المستخدمون الثقة الضمنية أبدًا. يجب التحقق من صحة كل طلب وصول إلى كل مورد والتأكد من صحته، بغض النظر عن هوية المستخدم أو موقعه. 

غالبًا ما تحتاج المؤسسات إلى تمكين المستخدمين الخارجيين من الوصول الآمن إلى الموارد. قد يحتاج العملاء إلى الوصول إلى حساباتهم على منصات التجارة الإلكترونية. وقد يحتاج المورِّدون إلى الوصول إلى أنظمة الفواتير. وقد يحتاج شركاء الأعمال إلى الوصول إلى البيانات المشتركة. تستهدف أدوات إدارة الوصول الخارجي هؤلاء المستخدمين الخارجيين بشكل خاص.

تستخدم بعض المؤسسات الأدوات نفسها لإدارة الوصول الداخلي والخارجي، لكن هذه الاستراتيجية ليست دائمًا قابلة للتطبيق. يمكن أن تختلف احتياجات المستخدمين الداخليين والخارجيين. على سبيل المثال، غالبًا ما يفضِّل المستخدمون الخارجيون سهولة الاستخدام على الأمان، بينما يمتلك المستخدمون الداخليون امتيازات أعلى تتطلب حماية أقوى.

تتحكم أدوات إدارة الهوية والوصول للعملاء (CIAM) في الهويات الرقمية وأمان الوصول للعملاء والمستخدمين الآخرين الذين يقع موقعهم خارج المؤسسة.

مثل غيرها من أدوات إدارة الوصول، تساعد أنظمة CIAM على التحقق من هوية المستخدمين وتسهيل الوصول الآمن إلى الخدمات الرقمية. الاختلاف الأساسي هو أن أدوات CIAM تركِّز على تجربة المستخدم من خلال إنشاء الملف التدريجي (تمكين المستخدمين من إكمال ملفاتهم تدريجيًا)، وتسجيل الدخول عبر وسائل التواصل الاجتماعي، وميزات أخرى صديقة للمستخدم. 

تساعد أدوات إدارة الوصول المؤسسات على تمكين المستخدمين المصرح لهم من الوصول الآمن إلى الموارد الحساسة بغض النظر عن مواقعهم.

النتيجة هي شبكة أكثر أمانًا وكفاءة. يحصل المستخدمون على الوصول المستمر الذي يحتاجونه لأداء مهامهم، بينما يتم منع عناصر التهديد والمستخدمين غير المصرح لهم من الدخول.