ما المقصود بالتحكم في الوصول استنادًا إلى الدور (RBAC)؟

في نظام التحكم في الوصول المستند إلى الأدوار، يقوم المسؤول بتعيين دور واحد أو أكثر لكل مستخدم على حدة. حيث يمثل كل دور جديد مجموعة من الأذونات أو الامتيازات للمستخدم.

قد يفوض الدور المالي المستخدم بإجراء عمليات شراء أو تشغيل برامج توقعات أو منح حق الوصول إلى أنظمة سلسلة التوريد. وقد يفوض دور الموارد البشرية المستخدم بالاطلاع على ملفات الموظفين وإدارة أنظمة مزايا الموظفين.

غالبًا ما تستخدم المؤسسات الكبيرة التي تضم العديد من الموظفين نظام التحكم في الوصول استنادًا إلى الأدوار لتبسيط إدارة الوصول والحفاظ على أمن المعلومات للموارد الرقمية. تستخدم بعض الشركات أيضًا نظام التحكم في الوصول استنادًا إلى الأدوار لمنح التصاريح الأمنية للأصول المادية مثل الأقفال الإلكترونية في المباني والمكاتب ومراكز البيانات.

من خلال تقييد وصول المستخدمين إلى الموارد اللازمة لأدوارهم، يمكن أن يساعد نظام التحكم في الوصول استنادًا إلى الأدوار على الحماية من الهجوم الداخلي الخبيث والموظفين المهملين والجهات المهددة الخارجية.

يمكِّن نظام التحكم في الوصول استنادًا إلى الأدوار المؤسسات من اتباع نهج دقيق لإدارة الهوية والوصول مع تبسيط عمليات التفويض وسياسات التحكم في الوصول. على وجه التحديد، يساعد التحكم في الوصول استنادًا إلى الأدوار المؤسسات على:

• تخصيص الأذونات بفعالية أكبر
• الحفاظ على الامتثال
• حماية البيانات الحساسة

يلغي نظام التحكم في الوصول استنادًا إلى الأدوار الحاجة إلى تزويد كل مستخدم على حدة بمجموعة مخصصة من أذونات المستخدم. بدلاً من ذلك تحدد الأدوار، المعينة في نظام التحكم في الوصول استنادًا إلى الأدوار، حقوق الوصول. تسهِّل هذه العملية على المؤسسات إلحاق الموظفين بالعمل أو فصلهم منه، وتحديث المهام الوظيفية وتحويل العمليات التجارية.

تتضمن ميزات نظام التحكم في الوصول استنادًا إلى الأدوار أيضًا القدرة على إضافة أذونات الوصول بسرعة للمتعاقدين والبائعين وغيرهم من المستخدمين التابع لأطراف ثالثة. على سبيل المثال، قد يمنح تعيين دور التسويق المشترك لشريك أعمال خارجي حق الوصول إلى قواعد البيانات المتعلقة بالمنتج باستخدام واجهة برمجة التطبيقات (API). بهذه الطريقة، يمكن أن يصل المستخدم إلى المعلومات التي يحتاج إليها من دون الكشف عن أي موارد سرية للشركة.

يساعد تطبيق نظام التحكم في الوصول استنادًا إلى الأدوار على امتثال الشركات للوائح حماية البيانات مثل: التفويضات التي تغطي الخدمات المالية ومؤسسات الرعاية الصحية. يوفر نظام التحكم في الوصول استنادًا إلى الأدوار الشفافية للجهات التنظيمية في ما يتعلق بالأشخاص الذين يصلون إلى المعلومات الحساسة أو يعدلونها وتوقيت ذلك وكيفيته.

تساعد سياسات التحكم في الوصول استنادًا إلى الأدوار على مواجهة ثغرات الأمن الإلكتروني من خلال فرض مبدأ الحد الأدنى من الامتيازات (PoLP). وفق مبدأ الحد الأدنى من الامتيازات، تمنح أدوار المستخدمين حق الوصول إلى الحد الأدنى من الأذونات المطلوبة لإكمال مهمة أو إنجاز عمل. على سبيل المثال، قد يكون لدى المطور المبتدئ إذن بالعمل على مصدر الرمز للتطبيق، ولكن لا يمكنه إجراء تغييرات من دون موافقة المشرف.

من خلال الحد من الوصول إلى البيانات الحساسة، يساعد نظام التحكم في الوصول استنادًا إلى الأدوار على منع فقدان البيانات بشكل غير مقصود واختراقات أمن البيانات المتعمدة. على وجه التحديد، يساعد نظام التحكم في الوصول استنادًا إلى الأدوار على الحد من الحركة الجانبية، وهي الحالة التي يستخدم فيها المخترقون متجه وصول أولي إلى الشبكة لتوسيع نطاق وصولهم تدريجيًا عبر النظام.

وفقًا لـ X-Force Threat Intelligence Index، فإن إساءة استخدام الحسابات الشرعية - حيث يستولي المتسللون على حسابات المستخدمين الشرعيين ويستخدمون امتيازاتهم للتسبب في الضرر - هي إحدى أكثر أساليب الهجمات الإلكترونية شيوعًا. يقلل نظام التحكم في الوصول استنادًا إلى الأدوار الضرر الذي يمكن أن يُحدثه المخترق بحساب المستخدم من خلال تقييد ما يمكن لهذا الحساب الوصول إليه في المقام الأول.

وبالمثل، تُعدُّ التهديدات الداخلية أحد أكثر الأسباب المكلفة التي تؤدي إلى اختراق أمن البيانات. وفقًا لتقرير تكلفة خرق البيانات ، بلغ متوسط تكلفة الاختراقات الناتجة عن الهجمات الداخلية الخبيثة 4,92 ملايين دولار أمريكي، وهو أعلى من متوسط إجمالي تكلفة الاختراقات البالغ 4,44 ملايين دولار أمريكي.

من خلال تقييد أذونات المستخدم، يجعل نظام التحكم في الوصول استنادًا إلى الأدوار من الصعب على الموظفين إساءة استخدام امتيازات الوصول الخاصة بهم بشكل ضار أو غير مسؤول لإلحاق الضرر بالمؤسسة.

سيصبح التقييد الدقيق للوصول إلى النظام أكثر أهمية مع زيادة استخدام الذكاء الاصطناعي المتقدم. يمكن أن تنشأ المشاكل عندما يقوم المستخدمون بإدخال معلومات سرية أو حساسة إلى أدوات الذكاء الاصطناعي التوليدي دون إذن، ولا يوجد سوى عدد قليل من حواجز الحماية المطبّقة حاليًا. توصلت دراسة أجراها معهد IBM لقيمة الأعمال إلى أن 24% فقط من مشاريع الذكاء الاصطناعي الحالية تحتوي على عناصر لتأمين المبادرات.

في نظام التحكم في الوصول استنادًا إلى الأدوار، يجب أن تنشئ المؤسسات أولاً أدوارًا محددة، ثم تحدد الأذونات والامتيازات التي سيتم منحها إلى تلك الأدوار. غالبًا ما تبدأ المؤسسات بتقسيم الأدوار على نطاق واسع إلى ثلاث فئات عليا من المسؤولين والمستخدمين المتخصصين أو الخبراء والمستخدمين النهائيين.

لتكوين مزيد من الأدوار المختلفة لمجموعات محددة من المستخدمين، يتم النظر في عوامل أكثر دقة مثل السلطة والمسؤوليات ومستويات المهارة. في بعض الأحيان قد يتوافق الدور مباشرةً مع المسمى الوظيفي. وفي حالات أخرى، قد يكون الدور عبارة عن مجموعة من الأذونات التي يمكن تعيينها لمستخدم يستوفي شروطًا معينة، بغض النظر عن المسمى الوظيفي.

غالبًا ما يتم تعيين أدوار متعددة للمستخدمين أو قد يتم تعيين مجموعة أدوار لهم تتضمن عدة مستويات من الوصول. تكون بعض الأدوار هرمية وتوفر للمديرين مجموعة كاملة من الأذونات، بينما تتلقى الأدوار الأدنى مجموعة فرعية من أذونات تلك الأدوار. على سبيل المثال، قد يمنح دور المشرف هذا المستخدم حق الوصول إلى مستند ما بالكتابة، بينما يكون لدى أعضاء الفريق حق الوصول بالقراءة فقط.

1. ينشئ مسؤول تكنولوجيا المعلومات في مستشفى ما دور "ممرض" في نظام التحكم في الوصول استنادًا إلى الأدوار.
2. يحدد المسؤول الأذونات الخاصة بدور الممرض، مثل عرض الأدوية أو إدخال البيانات في نظام السجل الصحي الإلكتروني (EHR).
3. يتم تعيين أعضاء طاقم التمريض في المستشفى في دور الممرض في نظام التحكم في الوصول استنادًا إلى الأدوار.
4. عندما يسجل المستخدمون المعيَّنون لدور "الممرض" الدخول، يتحقق نظام التحكم في الوصول استنادًا إلى الأدوار من الأذونات التي يحق لهم الحصول عليها ويمنحهم حق الوصول إلى تلك الجلسة.
5. يتم رفض منح هؤلاء المستخدمين أذونات النظام الأخرى، مثل وصف الأدوية أو طلب الاختبارات، لأنها غير مصرح بها في دور الممرض.

تستخدم العديد من المجموعات حل إدارة الهوية والوصول لتنفيذ التحكم في الوصول استنادًا إلى الدور في مؤسساتها. يمكن أن تساعد أنظمة إدارة الهوية والوصول في كل من المصادقة والتفويض في مخطط التحكم في الوصول استنادًا إلى الدور:

• المصادقة: يمكن أن تتحقق أنظمة إدارة الهوية والوصول من هوية المستخدم من خلال التحقق من بيانات الاعتماد الخاصة به ومقارنتها بدليل المستخدم أو قاعدة البيانات المركزية.
  
  
• التفويض: يمكن أن تفوِّض أنظمة إدارة الهوية والوصول المستخدمين من خلال التحقق من أدوارهم في دليل المستخدم ومنحهم الأذونات المناسبة استنادًا إلى ذلك الدور في مخطط التحكم في الوصول استنادًا إلى الأدوار الخاص بالمؤسسة.

يقدم المعهد الوطني الأمريكي للمعايير والتقنية (NIST)، الذي طور نموذج التحكم في الوصول استنادًا إلى الأدوار، ثلاث قواعد أساسية لكل أنظمة التحكم في الوصول استنادًا إلى الأدوار.

1. تعيين الدور: يجب تعيين دور نشط واحد أو أكثر للمستخدم لممارسة الأذونات أو الامتيازات.
   
   
2. تفويض الدور: يجب أن يكون المستخدم مفوضًا لتولي الدور أو الأدوار التي تم تعيينها له.
   
   
3. تفويض الأذونات: لا يتم منح الأذونات أو الامتيازات إلا للمستخدمين الذين تم تفويضهم من خلال تعيينات الأدوار الخاصة بهم.

ثمة أربعة نماذج منفصلة لتنفيذ التحكم في الوصول استنادًا إلى الأدوار، ولكن كل نموذج يبدأ بالبنية الأساسية نفسها. يبني كل نموذج لاحق وظائف وميزات جديدة استنادًا إلى النموذج السابق.

• النموذج الأساسي للتحكم في الوصول استنادًا إلى الأدوار
• النموذج الهرمي للتحكم في الوصول استنادًا إلى الأدوار
• النموذج المقيد للتحكم في الوصول استنادًا إلى الأدوار
• النموذج المتماثل للتحكم في الوصول استنادًا إلى الأدوار

يُطلق عليه أحيانًا اسم النموذج المسطح للتحكم في الوصول استنادًا إلى الأدوار، وهو الأساس المطلوب لأي نظام تحكم في الوصول استنادًا إلى الدور. يتبع القواعد الأساسية الثلاث لنظام التحكم في الوصول استنادًا إلى الدور. يتم تعيين أدوار للمستخدمين، وتسمح هذه الأدوار بالوصول إلى مجموعات محددة من الأذونات والامتيازات. يمكن استخدام النموذج الأساسي للتحكم في الوصول استنادًا إلى الأدوار بوصفه نظام أساسي للتحكم في الوصول، أو بوصفه أساسًا لنماذج التحكم في الوصول استنادًا إلى النماذج الأكثر تقدمًا.

يضيف هذا النموذج تسلسلات هرمية للأدوار تكرر هيكل إعداد التقارير الخاص بمؤسسة. في التسلسل الهرمي للأدوار، يرث كل دور أذونات الدور الأدنى ويكتسب أذونات جديدة.

على سبيل المثال، قد يشمل التسلسل الهرمي للأدوار المديرين التنفيذيين والمديرين والمشرفين والموظفين المباشرين. سيتم تفويض المدير التنفيذي في أعلى التسلسل الهرمي بمجموعة كاملة من الأذونات، بينما سيتم منح كل من المديرين والمشرفين والموظفين المباشرين مجموعات فرعية أصغر تباعًا من مجموعة الأذونات تلك.

إضافة إلى التسلسل الهرمي للأدوار، يضيف هذا النموذج إمكانات لفرض الفصل بين الواجبات (SOD). يساعد الفصل بين الواجبات على منع تضارب المصالح من خلال مطالبة شخصين بإكمال مهام معينة.

على سبيل المثال، يجب ألا يكون المستخدم، الذي يطلب تعويضًا عن نفقات الأعمال، هو نفسه الشخص الذي يوافق على ذلك الطلب. تضمن سياسة النموذج المقيد للتحكم في الوصول استنادًا إلى الأدوار فصل امتيازات المستخدم لهذه الأنواع من المهام.

هذا النموذج هو الإصدار الأكثر تقدمًا ومرونة وشمولاً للتحكم في الوصول استنادًا إلى الأدوار. إضافة إلى قدرات النماذج السابقة، فإنه يضيف رؤية أعمق للأذونات عبر المؤسسة.

حيث تتمكن المؤسسات من مراجعة كيفية ارتباط كل إذن بكل دور وكل مستخدم في النظام. يمكنها أيضًا تعديل الأذونات المرتبطة بالأدوار وتحديثها مع تطور عمليات الأعمال ومسؤوليات الموظفين.

تمثل هذه الميزات أهمية خاصة للمؤسسات الكبيرة التي يجب أن تضمن أن كل دور وكل مستخدم لديه أقل قدر من الوصول المطلوب لتنفيذ المهام.

ثمة أُطُر أخرى للتحكم في الوصول قد تستخدمها المؤسسات بدلاً من التحكم في الوصول استنادًا إلى الأدوار. في بعض حالات الاستخدام، تجمع المؤسسات بين التحكم في الوصول استنادًا إلى الأدوار ونموذج تفويض آخر لإدارة أذونات المستخدم. تتضمن أُطُر التحكم في الوصول المستخدمة بشكل شائع ما يلي:

• التحكم في الوصول الإلزامي (MAC)
• التحكم في الوصول التقديري (DAC)
• التحكم في الوصول القائم على السمات (ABAC)
• قائمة التحكم في الوصول (ACL)

تفرض أنظمة التحكم في الوصول الإلزامي سياسات تحكم في الوصول محددة مركزيًا على جميع المستخدمين. تعد أنظمة التحكم في الوصول الإلزامي أقل تفصيلاً من نظام التحكم في الوصول استنادًا إلى الأدوار، وعادةً ما يستند الوصول إلى مستويات تصريح أو درجات ثقة محددة. تستخدم العديد من أنظمة التشغيل التحكم في الوصول الإلزامي للتحكم في وصول البرامج إلى موارد النظام الحساسة.

تتيح أنظمة التحكم في الوصول التقديري لمالكي الموارد وضع القواعد الخاصة بهم للتحكم في الوصول إلى تلك الموارد. التحكم في الوصول التقديري أكثر مرونة من السياسات الشاملة للتحكم في الوصول الإلزامي، وأقل تقييدًا من النهج المنظم للتحكم في الوصول استنادًا إلى الأدوار.

يحلل التحكم في الوصول القائم على السمات سمات المستخدمين والأهداف والإجراءات –مثل اسم المستخدم ونوع الموارد والوقت من اليوم– لتحديد ما إذا كان سيتم منح حق الوصول أم لا. يمكن أن يكون تنفيذ التحكم في الوصول استنادًا إلى الأدوار أسهل من التحكم في الوصول القائم على السمات؛ لأن التحكم في الوصول استنادًا إلى الأدوار يستخدم الأدوار التنظيمية بدلاً من سمات كل مستخدم على حدة لتفويض الوصول.

يتمثل الفرق بين التحكم في الوصول استنادًا إلى الأدوار والتحكم في الوصول القائم على السمات في أن التحكم في الوصول القائم على السمات يحدد أذونات الوصول في الوقت الحالي بشكل ديناميكي بناءً على عدة عوامل، بينما يحدد نظام التحكم في الوصول استنادًا إلى الأدوار أذونات الوصول بناءً على دور المستخدم المحدد مسبقًا فقط.

قائمة التحكم في الوصول هي نظام أساسي للتحكم في الوصول يشير إلى قائمة بالمستخدمين والقواعد لتحديد الأشخاص الذين يمكنهم الوصول إلى نظام أو موارد، والإجراءات التي يمكنهم تنفيذها.

يتمثل الفرق بين قائمة التحكم في الوصول والتحكم في الوصول استنادًا إلى الأدوار في أن قائمة التحكم في الوصول تحدد القواعد الخاصة بكل مستخدم على حدة، بينما تقوم أنظمة التحكم في الوصول استنادًا إلى الأدوار بتعيين حقوق الوصول بناءً على الأدوار.

تنظر المؤسسات الكبيرة إلى التحكم في الوصول استنادًا إلى الأدوار على أنه خيار أفضل للتحكم في الوصول؛ لأنه أكثر قابلية للتوسع وأسهل في الإدارة من قائمة التحكم في الوصول.