ما المقصود بإدارة الهوية والوصول؟

تضم شبكة الشركات متوسطة الحجم كلاً من المستخدمين البشريين (الموظفين والعملاء والمقاولين) والمستخدمين غير البشريين (الروبوتات وأجهزة إنترنت الأشياء (IOT) وأجهزة نقطة النهاية وأحمال التشغيل). مع تزايد العمل عن بعد والحوسبة السحابية، أصبح هؤلاء المستخدمين موزعين بشكل متزايد، كما هو الحال مع الموارد التي يحتاجون إلى الوصول إليها.

قد تواجه المؤسسات صعوبة في تتبع ما يفعله كل هؤلاء المستخدمين بالتطبيقات والأصول المنتشرة في المواقع المحلية والبعيدة والقائمة على السحابة. ويشكل هذا الافتقار إلى السيطرة مخاطر جسيمة. يمكن للمخترقين اقتحام الشبكة دون أن يتم اكتشافهم. يمكن للقائمين بالهجوم الداخلي الخبيث إساءة استخدام حقوق الوصول الممنوحة لهم. حتى المستخدمين ذوية النية الحسنة يمكن أن ينتهكوا لوائح حماية البيانات عن طريق الخطأ.

يمكن أن تساعد مبادرات إدارة الهوية والوصول (IAM) في تبسيط التحكم في الوصول، وحماية الأصول دون تعطيل الاستخدامات المشروعة لتلك الأصول. تقوم أنظمة إدارة الهوية والوصول بتعيين هوية رقمية مميزة لكل مستخدم مع أذونات مصممة خصيصاً لدور المستخدم واحتياجات الامتثال وعوامل أخرى. بهذه الطريقة، تضمن إدارة الهوية والوصول (IAM) أن المستخدمين المناسبين فقط هم من يمكنهم الوصول إلى الموارد المناسبة للأسباب الصحيحة بينما يتم حظر الوصول والأنشطة غير المصرح بها.

الغرض من إدارة الهوية والوصول هو إيقاف المخترقين مع السماح للمستخدمين المصرح لهم بالقيام بكل ما يحتاجون إليه بسهولة، ولكن ليس أكثر مما هو مسموح لهم القيام به. تستخدم تطبيقات إدارة الهوية والوصول (IAM) مجموعة متنوعة من الأدوات والاستراتيجية لتحقيق هذا الهدف، ولكنها تميل جميعها إلى اتباع نفس الهيكل الأساسي.

يحتوي نظام إدارة الهوية والوصول (IAM) النموذجي على قاعدة بيانات أو دليل للمستخدمين. تحتوي قاعدة البيانات هذه على تفاصيل حول هوية كل مستخدم وما يمكنه القيام به في نظام الكمبيوتر. أثناء حركة المستخدمين عبر النظام، تستخدم إدارة الهوية والوصول (IAM) المعلومات الموجودة في قاعدة البيانات للتحقق من هوياتهم ومراقبة أنشطتهم والتأكد من أنهم لا يفعلون إلا ما تنص قاعدة البيانات على أنهم يستطيعون القيام به.

للحصول على فهم أكثر تعمقًا لكيفية عمل إدارة الهوية والوصول (IAM)، من المفيد النظر إلى العناصر الأربعة الأساسية لمبادرات إدارة الهوية والوصول (IAM): إدارة دورة حياة الهوية والتحكم في الوصول والمصادقة والتفويض وحوكمة الهوية.

إدارة دورة حياة الهوية هي عملية إنشاء هويات مستخدم رقمية والحفاظ عليها لكل مستخدم بشري وغير بشري في النظام.

لمراقبة نشاط المستخدم وتطبيق أذونات مخصصة، تحتاج المؤسسة إلى التفريق بين المستخدمين الفرديين. تقوم إدارة الهوية والوصول (IAM) بذلك عن طريق تعيين هوية رقمية لكل مستخدم. الهويات الرقمية هي مجموعات من السمات المميزة التي تخبر النظام من هو أو ما هو كل مستخدم. غالباً ما تتضمن الهويات سمات مثل اسم المستخدم وبيانات اعتماد تسجيل الدخول ورقم الهوية والمسمى الوظيفي وحقوق الوصول.

عادة ما يتم تخزين الهويات الرقمية في قاعدة بيانات مركزية أو دليل، والذي يعمل كمصدر للحقيقة. يستخدم نظام إدارة الهوية والوصول (IAM) المعلومات الموجودة في قاعدة البيانات هذه للتحقق من صحة المستخدمين وتحديد ما سيسمح لهم وما لن يسمح لهم القيام به.

في بعض مبادرات إدارة الهوية والوصول (IAM)، تتعامل فرق تكنولوجيا المعلومات يدوياً مع عملية تأهيل المستخدمين، وتحديث الهويات بمرور الوقت، وإلغاء تأهيل المستخدمين الذين يغادرون النظام أو شطبهم. تسمح بعض أدوات إدارة الهوية والوصول (IAM) بنهج الخدمة الذاتية. يوفر المستخدمون معلوماتهم ويقوم النظام تلقائيا بإنشاء هويتهم وتعيين مستويات الوصول المناسبة.

لا تساعد الهويات الرقمية المميزة المؤسسات على تتبع المستخدمين فحسب، بل تساعد أيضًا على تمكين الشركات من وضع سياسات وصول أكثر دقة وإنفاذها. تسمح إدارة الهوية والوصول (IAM) للشركات بمنح أذونات نظام مختلفة لهويات مختلفة بدلاً من منح كل مستخدم معتمد نفس الامتيازات.

واليوم، تستخدم العديد من أنظمة إدارة الهوية والوصول (IAM) التحكم في الوصول القائم على الأدوار (RBAC). في التحكم في الوصول القائم على الأدوار (RBAC)، تستند امتيازات كل مستخدم إلى مهام وظيفته ومستوى مسؤولياته. يساعد التحكم في الوصول القائم على الأدوار (RBAC) على تبسيط عملية تعيين أذونات المستخدمين والتخفيف من مخاطر منح المستخدمين امتيازات أعلى مما يحتاجون إليه.

لنفترض أن الشركة تقوم بتعيين أذونات لجدار حماية الشبكة. من المحتمل ألا يتم منح مندوب المبيعات صلاحية الوصول إليها على الإطلاق، لأن وظيفته لا تتطلب ذلك. قد يتمكن محلل أمان من المستوى المبتدئ من عرض تكوينات جدار الحماية ولكن لا يمكنه تغييرها. وسيكون لدى المدير التنفيذي لأمن المعلومات (CISO) حق الوصول الإداري الكامل. قد تتمكن واجهة برمجة التطبيقات API التي تدمج SIEM الخاص بالشركة مع جدار الحماية من قراءة سجلات نشاط جدار الحماية دون رؤية أي شيء آخر.

لمزيد من الأمان، يمكن لإدارة الهوية والوصول (IAM) أيضًا تطبيق مبدأ الحد الأدنى من الامتيازات على أذونات وصول المستخدم. غالبًا ما يرتبط مبدأ الحد الأدنى من الامتيازات باستراتيجيات الأمن السيبراني القائمة على الثقة الصفرية، حيث ينص على أنه يجب أن يكون لدى المستخدمين أقل الأذونات اللازمة لإكمال مهمة ما، ويجب إلغاء الامتيازات بمجرد الانتهاء من المهمة.

تماشيًا مع مبدأ الحد الأدنى من الامتيازات، لدى العديد من أنظمة إدارة الهوية والوصول (IAM) أساليب وتقنيات متميزة لإدارة الوصول المميز (PAM). إدارة الوصول المميز (PAM) هو نظام الأمن السيبراني الذي يشرف على أمن الحسابات والتحكم في الوصول لحسابات المستخدمين ذوي الامتيازات، مثل مسؤولي النظام.

يتم التعامل مع الحسابات الحاصلة على امتيازات بعناية أكبر مقارنة بأدوار إدارة الهوية والوصول (IAM) الأخرى لأن سرقة بيانات الاعتماد هذه من شأنها أن تسمح للمخترقين بفعل ما يريدون. تقوم أدوات إدارة الوصول المميز (PAM) بعزل الهويات المميزة عن بقية الهويات، باستخدام خزائن بيانات الاعتماد وبروتوكولات الوصول في الوقت المناسب لمزيد من الأمان.

عادةً ما يتم تخزين المعلومات حول حقوق الوصول الخاصة بكل مستخدم في قاعدة البيانات المركزية لنظام إدارة الهوية والوصول (IAM) كجزء من الهوية الرقمية لكل مستخدم. يستخدم نظام إدارة الهوية والوصول (IAM) هذه المعلومات لفرض مستويات الامتياز المتباينة لكل مستخدم.

المصادقة والتفويض هي الطريقة التي تطبق بها أنظمة إدارة الهوية والوصول (IAM) سياسات التحكم في الوصول المخصصة في الممارسة العملية.

المصادقة هي عملية تحديد أن المستخدم، سواء كان بشرياً أو غير بشري، هو من يدعي أنه هو. عندما يقوم المستخدم بتسجيل الدخول إلى نظام ما أو يطلب الوصول إلى مورد ما، فإنه يقدم بيانات الاعتماد لضمان هويته. على سبيل المثال، قد يدخل مستخدم بشري كلمة مرور، بينما قد يشارك مستخدم غير بشري شهادة رقمية. يقوم نظام إدارة الهوية والوصول (IAM) بفحص بيانات الاعتماد هذه من خلال قاعدة البيانات المركزية. إذا تطابقا ، يتم منح الوصول.

في حين أن مزيج اسم المستخدم وكلمة المرور هو أبسط أشكال المصادقة، إلا أنه أحد أضعفها أيضًا. لهذا السبب، تستخدم معظم تطبيقات إدارة الهوية والوصول (IAM) اليوم أساليب مصادقة أكثر تقدماً.

بمجرد مصادقة المستخدم، يتحقق نظام إدارة الهوية والوصول (IAM) من الامتيازات المرتبطة بهويته الرقمية في قاعدة البيانات. يقوم نظام إدارة الهوية والوصول (IAM) بتفويض المستخدم بالوصول فقط إلى الموارد وتنفيذ المهام التي تسمح بها أذوناته.

حوكمة الهوية هي عملية تتبع ما يفعله المستخدمون بحقوق الوصول. تراقب أنظمة إدارة الهوية والوصول (IAM) المستخدمين للتأكد من عدم إساءة استخدام امتيازاتهم والقبض على المخترقين الذين ربما تسللوا إلى الشبكة.

تعتبر حوكمة الهوية مهمة للامتثال للقواعد التنظيمية. عادةً ما تقوم الشركات بصياغة سياسات الوصول الخاصة بها لتتماشى مع الالتزامات الأمنية مثل اللائحة العامة لحماية البيانات (GDPR) أو معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). من خلال تتبع نشاط المستخدم، تساعد إدارة الهوية والوصول (IAM) الشركات على ضمان عمل سياساتها على النحو المنشود. يمكن لأنظمة إدارة الهوية والوصول (IAM) أيضاً إنتاج مسارات التدقيق لمساعدة الشركات على إثبات الامتثال أو تحديد الانتهاكات حسب الحاجة.

العديد من مهام سير عمل إدارة الهوية والوصول (IAM) الرئيسية، مثل مصادقة المستخدمين وتتبع نشاطهم، يصعب أو يستحيل القيام بها يدوياً. بدلاً من ذلك، تعتمد المؤسسات على الأدوات التكنولوجية لأتمتة عمليات إدارة الهوية والوصول (IAM).

في الماضي، كانت المؤسسات تستخدم حلولاً نقطية لإدارة أجزاء مختلفة من إدارة الهوية والوصول (IAM) - على سبيل المثال، حل للتعامل مع مصادقة المستخدم، وآخر لفرض سياسات الوصول، وثالث لتدقيق نشاط المستخدم.

واليوم، غالبًا ما تكون إدارة الهوية والوصول (IAM) عبارة عن منصات شاملة تقوم بكل شيء أو تدمج أدوات متعددة في كيان موحد. على الرغم من وجود الكثير من التنوع في منصات إدارة الهوية والوصول (IAM)، إلا أنها تميل جميعها إلى الاشتراك في ميزات أساسية مثل:

• الدلائل المركزية أو عمليات التكامل مع خدمات الدليل الخارجية مثل Microsoft Active Directory و Google Workspace.
  
  
• مهام سير عمل مؤتمتة لإنشاء الهويات الرقمية وتحديثها وإزالتها.
  
  
• القدرة على إنشاء نسيج هوية لا يعتمد على المنتج على مستوى الشبكة يسمح للمؤسسة بإدارة الهوية والوصول لجميع التطبيقات والأصول، بما في ذلك التطبيقات القديمة، من خلال دليل واحد موثوق به.
  
  
• خيارات مصادقة مضمنة مثل المصادقة متعددة العوامل (MFA) وتسجيل الدخول الموحد (SSO) والمصادقة التكيفية.
  
  
• وظائف التحكم في الوصول التي تسمح للشركات بتحديد سياسات الوصول الدقيقة وتطبيقها على المستخدمين على جميع المستويات، بما في ذلك الحسابات الحاصلة على امتيازات.
  
  
• قدرات التتبع لمراقبة المستخدمين وتمييز النشاطات المشبوهة وضمان الامتثال.
  
  
• قدرات إدارة هوية العملاء وإمكانيات الوصول (CIAM) التي تعمل على توسيع نطاق إدارة دورة حياة الهوية وإجراءات المصادقة والتفويض لتشمل البوابات الرقمية للعملاء والشركاء والمستخدمين الآخرين من خارج المؤسسة.

تم تصميم بعض حلول إدارة الهوية والوصول (IAM) لأنظمة بنائية محددة. على سبيل المثال، تتحكم منصات إدارة الهوية والوصول (IAM) على Amazon Web Services (AWS) وإدارة الهوية والوصول (IAM) على Google Cloud في الوصول إلى الموارد المستضافة على تلك البيئات السحبية.

أما حلول إدارة الهوية والوصول (IAM) الأخرى - مثل تلك التي تنتجها Microsoft و®IBM وOracle وغيرها - فهي مصممة للعمل مع جميع الموارد الموجودة في شبكة الشركة، بغض النظر عن مكان استضافتها. يمكن أن تعمل حلول إدارة الهوية والوصول (IAM) هذه كمزودات هوية لجميع أنواع الخدمات، باستخدام معايير مفتوحة مثل SAML وOpenID Connect (OIDC) لتبادل معلومات مصادقة المستخدم بين التطبيقات.

على نحو متزايد، أصبحت حلول إدارة الهوية والوصول تنتقل إلى خارج المؤسسة وتتبنى نموذج البرمجيات كخدمة (SaaS). توفر حلول إدارة الهوية والوصول (IAM) المستندة إلى السحابة، والتي يطلق عليها اسم "الهوية كخدمة" (IDaaS) أو "المصادقة كخدمة" (AaaS)، بعض القدرات التي قد تفتقر إليها الأدوات المحلية.

يمكن أن تكون أدوات الهوية كخدمة (IDaaS) مفيدة في شبكات الشركات المعقدة حيث يقوم المستخدمون الموزعون بتسجيل الدخول من أجهزة مختلفة (Windows وMac وLinux والهواتف المحمولة) للوصول إلى الموارد الموجودة في الموقع وفي السحابة الخاصة والعامة. في حين أن أدوات إدارة الهوية والوصول (IAM) المحلية قد لا تستوعب بسهولة العديد من المستخدمين والموارد المختلفة عبر المواقع، إلا أن أدوات الهوية كخدمة (IDaaS) غالباً ما يمكنها ذلك.

يمكن أن تساعد الهوية كخدمة (IDaaS) أيضًا المؤسسات على توسيع نطاق خدمات إدارة الهوية والوصول (IAM) لتشمل المقاولين والعملاء والأدوار الأخرى غير المتعلقة بالموظفين. يمكن أن يساعد ذلك في تبسيط إدارة الهوية والوصول (IAM)، حيث لا تحتاج الشركة إلى استخدام أنظمة مختلفة لمستخدمين مختلفين.

تسمح أدوات الهوية كخدمة (IDaaS) أيضاً للشركات بالاستعانة بمصادر خارجية لبعض الجوانب الأكثر استهلاكاً للوقت والموارد في إدارة الهوية والوصول (IAM) مثل إنشاء حسابات مستخدمين جدد والمصادقة على طلبات الوصول وإدارة الهوية.

يمكن أن تساعد مبادرات إدارة الهوية والوصول (IAM) في استيفاء العديد من حالات الاستخدام التي تشمل الأمن السيبراني والعمليات وغيرها.

مع ظهور بيئات السحابة المتعددة والذكاء الاصطناعي والأتمتة والعمل عن بعد، فإن التحول الرقمي يعني أن الشركات بحاجة إلى تسهيل الوصول الآمن لمزيد من أنواع المستخدمين إلى المزيد من أنواع الموارد في المزيد من المواقع.

يمكن لأنظمة إدارة الهوية والوصول (IAM) توحيد إدارة الوصول بشكل مركزي لجميع هؤلاء المستخدمين والموارد، بما في ذلك المستخدمين من غير الموظفين والموظفين غير البشريين. توجد الآن مجموعة متزايدة من منصات إدارة الهوية والوصول (IAM) التي تدمج أو تتكامل مع أدوات إدارة الهوية والوصول للعملاء (CIAM)، مما يتيح للمؤسسات إمكانية إدارة الوصول للمستخدمين الداخليين والخارجيين من النظام نفسه.

تضم الشركات اليوم القوى العاملة عن بُعد والمختلطة، وتضم شبكة الشركات متوسطة الحجم مزيجًا من الأنظمة المحلية القديمة والتطبيقات والخدمات الأحدث القائمة على السحابة. يمكن لحلول إدارة الهوية والوصول (IAM) تبسيط التحكم في الوصول في هذه البيئات المعقدة.

تسمح ميزات مثل تسجيل الدخول الموحد (SSO) والوصول التكيفي للمستخدمين بإجراء المصادقة بأقل قدر من الانقطاع مع حماية الأصول الحيوية. يمكن للمؤسسات إدارة الهويات الرقمية وسياسات التحكم في الوصول لجميع الأنظمة من حل مركزي واحد لإدارة الهوية والوصول (IAM). بدلاً من نشر أدوات هوية مختلفة للأصول المختلفة، تعمل أنظمة إدارة الهوية والوصول (IAM) الشاملة على إنشاء مصدر واحد للحقيقة والإدارة والتنفيذ لتكنولوجيا المعلومات بأكملها.

تسمح أنظمة إدارة الهوية والوصول (IAM)، خاصةً تلك التي تدعم تسجيل الدخول الموحد (SSO)، للمستخدمين بالوصول إلى خدمات متعددة بهوية واحدة بدلاً من إنشاء حسابات مختلفة لكل خدمة. يؤدي هذا إلى تقليل عدد حسابات المستخدمين التي يتعين على فرق تكنولوجيا المعلومات إدارتها بشكل كبير. قد يساعد نمو حلول "أحضر هويتك الخاصة" (BYOI)، التي تسمح للمستخدمين بإدارة هوياتهم الخاصة ونقلها بين الأنظمة، في تبسيط إدارة تكنولوجيا المعلومات.

يمكن لأنظمة إدارة الهوية والوصول (IAM) تبسيط عملية تعيين أذونات المستخدم باستخدام طرق التحكم في الوصول استنادًا إلى الأدوار (RBAC) التي تقوم تلقائياً بتعيين امتيازات المستخدم بناءً على الدور والمسؤوليات. يمكن لأدوات إدارة الهوية والوصول (IAM) أن تمنح فرق تكنولوجيا المعلومات والأمن منصة واحدة لتحديد سياسات الوصول وتنفيذها على جميع المستخدمين.

تفرض معايير مثل اللائحة العامة لحماية البيانات (GDPR) ومعيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS) وقانون ساربينز أوكسلي (SOX) سياسات صارمة حول من يمكنه الوصول إلى البيانات ولأي أغراض. تسمح أنظمة إدارة الهوية والوصول (IAM) للشركات بوضع سياسات رسمية للتحكم في الوصول التي تلبي تلك المعايير وتنفذها. يمكن للشركات أيضًا تتبع نشاط المستخدم لإثبات الامتثال أثناء التدقيق.

وفقًا لتقرير تكلفة اختراق أمن البيانات الصادر عن شركة IBM، فإن سرقة بيانات الاعتماد تعد سببًا رئيسيًا لحالات اختراق أمن البيانات. غالباً ما يستهدف المخترقون الحسابات التي يتم الإفراط في منحها أذونات أعلى مما تحتاج إليه. عادة ما تكون هذه الحسابات أقل حماية من حسابات المسؤول، لكنها تسمح للمخترقين بالوصول إلى مساحات شاسعة من النظام.

يمكن أن تساعد إدارة الهوية والوصول (IAM) في إحباط الهجمات القائمة على بيانات الاعتماد عن طريق إضافة طبقات مصادقة إضافية بحيث يحتاج المخترقون إلى أكثر من مجرد كلمة مرور للوصول إلى البيانات الحساسة. حتى في حالة دخول أحد المخترقين، تساعد أنظمة إدارة الهوية والوصول (IAM) في منع الحركة الجانبية. يمتلك المستخدمون الأذونات التي يحتاجون إليها فقط وليس أكثر. يمكن للمستخدمين الشرعيين الوصول إلى جميع الموارد التي يحتاجون إليها عند الطلب بينما تكون الجهات الفاعلة الخبيثة والتهديدات الداخلية محدودة فيما يمكنهم القيام به.