ما المقصود بإدارة الأسرار؟

تستخدم المؤسسات الهويات غير البشرية على نحو متزايد لأتمتة العمليات التجارية الأساسية ومهام سير العمل.ويمكن أن تشمل هذه الهويات حسابات الخدمة، ومسارات التكامل المستمر والتسليم المستمر (CI/CD)، والحاويات، والخدمات المُصغَّرة، وأدوات التنسيق. ويمكن أن تشمل أيضًا أتمتة العمليات الآلية (RPA)، أي روبوتات برمجية تحاكي الأفعال البشرية، ومؤخرًا وكلاء الذكاء الاصطناعي. 

وكما هو الحال مع المستخدمين البشر، تحتاج الكيانات غير البشرية إلى بيانات اعتماد، أو "أسرار"، لإجراء المصادقة على الأنظمة والخدمات والوصول إلى موارد المؤسسة، وغالبًا ما يكون ذلك بامتيازات مرتفعة. فعلى سبيل المثال، قد تقرأ عملية نسخ احتياطي مؤتمتة ملفات سرية وتعدّل إعدادات النظام.

وبالنسبة إلى المخترقين، تُعد هذه الحسابات غير البشرية ذات الامتيازات المرتفعة أهدافًا عالية القيمة. فهي تتيح لعناصر التهديد إساءة استخدام حقوق الوصول لسرقة البيانات والإضرار بالأنظمة الحيوية، وكل ذلك مع تفادي الاكتشاف.ووفقًا لمؤشر IBM® X-Force® Threat Intelligence Index، يُعد الاستيلاء على الحسابات الصالحة ثاني أكثر مسارات الهجمات الإلكترونية شيوعًا، إذ يمثل 32% من جميع الحوادث التي استجابت لها X-Force خلال العام الماضي.

وتساعد أنظمة إدارة الأسرار على مواجهة هذه التهديدات الإلكترونية، إذ تتيح للمؤسسات إنشاء الأسرار التي تستخدمها الكيانات غير البشرية للوصول إلى موارد تكنولوجيا المعلومات والتحكم فيها وتأمينها.وباستخدام أدوات إدارة الأسرار، تستطيع فرق تكنولوجيا المعلومات حماية بيانات الاعتماد غير البشرية على امتداد دورة حياتها، بما يبسّط مهام سير العمل المؤتمتة ويحول دون اختراق أمن البيانات والعبث والسرقة وغيرها من أشكال الوصول غير المصرح به.

والسر هو بيانات اعتماد رقمية مضمّنة داخل تطبيق أو خدمة، تتيح للمستخدمين غير البشريين التواصل مع خدمة أو قاعدة بيانات أو تطبيق أو أي مورد آخر من موارد تكنولوجيا المعلومات، وتنفيذ إجراءات عليه. وتساعد الأسرار المؤسسات على تعزيز وضعها الأمني من خلال ضمان أن يقتصر الوصول إلى البيانات والأنظمة الحساسة على المستخدمين المصرح لهم فقط.

تتضمن أمثلة الأسرار، على سبيل المثال لا الحصر، ما يلي:

• بيانات اعتماد حسابات الخدمة: تتيح حسابات الخدمة للتطبيقات ولمهام سير العمل المؤتمتة التفاعل مع أنظمة التشغيل. ويمكن أن تشمل بيانات اعتماد حسابات الخدمة كلمات المرور، ورموز الأمان المميزة، وتذاكر Kerberos، وغير ذلك من الأسرار.
  
  
• مفاتيح واجهة برمجة التطبيقات: تسمح مفاتيح واجهة برمجة التطبيقات للمستخدمين والتطبيقات والخدمات بالتحقق من هويتها لواجهات برمجة التطبيقات (APIs).
  
  
• مفاتيح التشفير: مفاتيح التشفير تسمح للمستخدمين بتشفير البيانات وفك تشفيرها.
  
  
• الرموز المميزة للمصادقة والتفويض: الرموز المميزة، مثل تلك المستخدمة في بروتوكول OAuth، هي أجزاء من المعلومات التي يمكنها التحقق من هوية المستخدم وتحديد الموارد التي يمكنه الوصول إليها.
  
  
• مفاتيح SSH (Secure Shell): تستخدم خوادم SSH مفاتيح SSH لتحديد مستخدم أو جهاز من خلال تشفير المفتاح العام.

• شهادات البنية التحتية للمفاتيح العامة والمفاتيح الخاصة (SSL/TLS/mTLS): تُستخدم الشهادات الصادرة عن سلطة إصدار الشهادات والمفاتيح الخاصة المرتبطة بها لمصادقة نقاط النهاية وإنشاء اتصالات SSL/TLS مشفرة، بما في ذلك المصادقة المتبادلة عبر TLS (mTLS).

• أسرار متنوعة: بيانات حساسة، بما في ذلك أي نوع من البيانات المنظمة أو غير المنظمة التي يمكن استخدامها للوصول إلى تطبيق أو مورد.

• سلاسل الاتصال: سلسلة نصية تتضمن التعليمات التي يحتاجها برنامج الكمبيوتر للاتصال بمصدر بيانات، بما في ذلك قواعد البيانات أو الملفات أو جداول البيانات.

• مفاتيح تشفير أخرى: ويمكن أن تشمل مفاتيح رمز مصادقة الرسائل القائم على التجزئة (HMAC)، ومفاتيح توقيع التعليمات البرمجية، وغيرها من المفاتيح الخاصة المستخدمة في التوقيع أو التحقق.

إدارة الأسرار حل أمني بالغ الأهمية يساعد المؤسسات على تخزين بيانات الاعتماد الحساسة وغيرها من الأسرار والتحكم فيها وتدويرها بصورة آمنة، مثل كلمات المرور، ومفاتيح واجهات برمجة التطبيقات، والرموز.

وهي إحدى القدرات الأساسية الأربع لإدارة الوصول ذي الامتيازات العالية (PAM)، وهي مجال فرعي من إدارة الهوية والوصول (IAM) يركز على تأمين الحسابات والمستخدمين ذوي الامتيازات العالية.

تشمل القدرات الثلاث الأخرى لإدارة الوصول ذي الامتيازات العالية (PAM) ما يلي:

• إدارة الحسابات والجلسات المميزة (PASM) ، التي تتعامل مع إدارة دورة حياة الحساب المميزة وإدارة كلمات المرور ومراقبة الجلسات. 
  
  
• إدارة رفع الامتيازات والتفويض (PEDM)، وتشمل التقييم التلقائي لطلبات الوصول ذي الامتيازات العالية، والموافقة عليها أو رفضها.
  
  
• إدارة حقوق البنية التحتية السحابية (CIEM)، التي تتولى الإشراف على الأذونات وحقوق الوصول في بيئات الحوسبة السحابية.

وتُعد إدارة الأسرار عنصرًا مهمًا في منهجية DevOps، التي تركز على تطوير البرمجيات وتسليمها بصورة مؤتمتة ومستمرة.

وغالبًا ما تستخدم فرق DevOps أدوات متعددة لإدارة التكوين أو التنسيق، من أجل إدارة الأنظمة البنائية الرقمية بالكامل، ومهام سير العمل، ونقاط النهاية. وغالبًا ما تعتمد هذه الأدوات على الأتمتة والبرامج النصية التي تتطلب الوصول إلى الأسرار لبدء التشغيل. ومن دون خدمة لإدارة الأسرار من فئة المؤسسات، قد يؤدي الاستخدام العشوائي للأسرار إلى زيادة قابلية النظام للتعرض للثغرات.

تدمج كثير من المؤسسات وظائف إدارة الأسرار ضمن مسارات CI/CD. ويساعد ذلك على ضمان أن جميع العناصر المعنية، من مطورين وأدوات وعمليات مؤتمتة، تتمتع بوصول آمن إلى الأنظمة الحساسة التي تحتاج إليها في الوقت المناسب.

وتُعد إدارة الأسرار عنصرًا أساسيًا في التطوير والأمن والعمليات (Devsecops)، وهو تطور لمنهجية DevOps يدمج الأمن بصورة مستمرة ويؤتمته طوال دورة حياتها.

وتعتمد عملية إدارة الأسرار عادة على أدوات مخصصة لإدارة الأسرار. ويمكن لهذه الأدوات، سواء نُشرت محليًا أو قُدمت على شكل خدمات سحابية، أن تساعد على توحيد إدارة الأسرار، وأتمتة إنشائها واستخدامها وتدويرها وحمايتها، وتبسيط هذه العمليات.

تتوفر حلول لإدارة الأسرار، سواء التجارية منها أو مفتوحة المصدر. وتشمل الخيارات مفتوحة المصدر Infisical، فيما تشمل الخيارات التجارية CyberArk Conjur، التي يتوفر لها أيضًا إصدار مفتوح المصدر، وHashiCorp Vault من HashiCorp، وهي شركة تابعة لIBM.

تتضمن بعض القدرات المشتركة لأدوات إدارة الأسرار ما يلي:

• الإدارة المركزية والموحدة للأسرار
• إنشاء الأسرار الديناميكية والتدوير الآلي للأسرار
• عناصر التحكم في الوصول
• مراقبة النشاط ومراجعته

من خلال خدمة إدارة الأسرار على مستوى المؤسسة، يمكن للمؤسسات إدارة أنواع متعددة من الأسرار في لوحة تحكم واحدة.

بدلاً من ترك المستخدمين الأفراد لإدارة الأسرار في صوامع صغيرة، يمكن لحلول إدارة الأسرار تخزين الأسرار في موقع آمن مركزي يسمى "خزنة الأسرار".

عندما يحتاج المستخدم المعتمد إلى الوصول إلى نظام حساس، يمكنه الحصول على السر المقابل من الخزنة. ويمكن لأداة إدارة الأسرار التحقق من الطلب وتفويضه تلقائيًا، ثم إتاحة السر اللازم لإجراء المصادقة ضمن مهمة سير العمل.

يمكن أن يساعد التوحيد القياسي في منع الانتشار السري. الانتشار السري هو عندما يتم تخزين الأسرار في أماكن مختلفة في جميع أنحاء المؤسسة، وغالبًا ما تكون مشفرة في تطبيقات أو كنص عادي في مستند مشترك. كما أن الانتشار السري يجعل من الصعب حماية الأسرار من الجهات الخبيثة وتتبع كيفية استخدام الأسرار.  

يمكن أن تكون الأسرار التي تم إنشاؤها في Secrets Manager إما ثابتة أو ديناميكية. السر الثابت هو سر يبقى ساريًا لفترة طويلة، عادةً حتى يتم تغييره يدويًا أو حتى يصل إلى تاريخ انتهاء صلاحية محدد مسبقًا.

في المقابل، يتم إنشاء سر ديناميكي بواسطة Secrets Manager عند الطلب، في اللحظة التي يكون هناك حاجة إليه. تنتهي صلاحية الأسرار الديناميكية بسرعة إلى حد ما. ويمكن حتى أن تكون للاستخدام مرة واحدة.

ومن حالات استخدام الأسرار الديناميكية حماية مورد سري، مثل قاعدة بيانات أو بيئة سحابية مثل AWS أو Microsoft Azure، من خلال إنشاء مفاتيح واجهات برمجة التطبيقات بصورة ديناميكية كلما جرت قراءة ذلك المورد أو الوصول إليه. يساعد ذلك على ضمان عدم تمكن الجهات الخبيثة من سرقة مفاتيح واجهة برمجة التطبيقات وإعادة استخدامها.

يمكن للعديد من secrets managers أيضًا أتمتة دورة الأسرار—أي عملية تغيير الأسرار بانتظام. يمكن أتمتة تدوير الأسرار في الموعد المحدد أو عند الطلب دون الحاجة إلى إعادة نشر التطبيقات أو تعطيلها. يمكن تحديد مدة بقاء السر (TTL) أو مدة الإيجار للسر عند إنشائه لتقصير مدة بقاء السر.

لا يمكن منح الأسرار إلا لكيانات أو مجموعات محددة لتنظيم وتشديد الوصول إليها. غالباً ما يتم منح الوصول إلى الأسرار باستخدام مبدأ الامتياز الأقل—أي أن كل عملية يتم منحها فقط مجموعة الامتيازات الأكثر تقييدًا اللازمة لأداء مهمة. يستطيع المستخدمون الوصول فقط إلى تلك الأسرار التي يتطلبها تنفيذ مهامهم المصرح بها.

وغالبًا ما تضبط بُنى الثقة الصفرية، التي تقوم على مبدأ "لا تثق أبدًا، وتحقق دائمًا"، آليات الوصول إلى أنظمة إدارة الأسرار. ويساعد ذلك على ضمان التحقق من هوية كل طلب للحصول على سرّ ومنحه التفويض اللازم، حتى إذا صدر من داخل الشبكة.

كما تستطيع كثير من أدوات إدارة الأسرار تتبع كيفية تفاعل المستخدمين والتطبيقات مع الأسرار واستخدامها، للتحقق من التعامل معها على النحو المناسب طوال دورة حياتها. ويتيح ذلك للمؤسسة إجراء مراقبة بزمن شبه حقيقي لأحداث الوصول إلى الأسرار، بما في ذلك عمليات المصادقة والتفويض المتعلقة بمدير الأسرار.

كما يمكن لمديري الأسرار رفض المحاولات غير المصرح بها لعرض الأسرار أو استخدامها بسرعة، وسحب حق الوصول عند الحاجة. ويساعد ذلك على تسريع المعالجة قبل أن يتمكن المخترقون أو التهديدات الداخلية أو غيرهم من الجهات الخبيثة من إحداث ضرر.

كما تحتفظ أدوات أتمتة إدارة الأسرار بسجلات تدقيق مفصلة ترصد عمليات مصادقة المستخدمين وأحداث الوصول إلى الأسرار.

وغالبًا ما تصبح مراقبة الأسرار أسهل بكثير بمجرد أن تبدأ المؤسسة في استخدام أدوات أتمتة الأسرار الديناميكية. وتساعد مسارات التدقيق التفصيلية هذه على التحقق من استخدام الأسرار على النحو المصرح به، أو كشف التهديدات المحتملة وتعقبها.

بالإضافة إلى استخدام حلول إدارة الأسرار، تتبع العديد من المؤسسات ممارسات أساسية مشتركة في عمليات إدارة الأسرار. تشمل هذه الممارسات ما يلي:

• ويجري إنشاء الأسرار وتخزينها والوصول إليها داخل البيئة المخصصة لها، مثل بيئات التطوير والاختبار والإنتاج المنفصلة. وتستخدم بعض المؤسسات أدوات مختلفة لإدارة الأسرار في كل بيئة. في حين تعتمد مؤسسات أخرى على حل مركزي واحد، وتعزل أسرار كل بيئة ضمن نطاق مخصص. لا تغادر الأسرار بيئاتها أبدًا ويتم تأمينها باستخدام تدابير صارمة للتحكم في الوصول إليها.
  
  
• يتم منح وصول المستخدم إلى الأسرار بالحد الأدنى المطلوب لأي مستخدم للوفاء بمسؤولياته. إن الإفراط في الاستحقاق—سواء كان مقصودًا أم لا—يمكن أن يؤدي إلى حدوث اختراقات أمن البيانات.
  
  
• يتم تدوير الأسرار بانتظام وفقًا لمتطلبات النظام.
  
  
• لا يقوم المستخدمون بتخزين الأسرار في مصدر الرمز أو ملفات التكوين أو الوثائق.
  
  
• ويمكن تعزيز السياسات الأمنية من خلال اشتراط تشفير جميع البيانات الحساسة. كما يمكن حماية مفاتيح التشفير باستخدام خدمة إدارة المفاتيح (KMS).
  
  
• وتواصل المؤسسة مراقبة الأسرار بصورة مستمرة، فيما تتعقب سجلات التدقيق كل طلب بالتفصيل: من طلب السر، ولأي نظام، وما إذا كان الطلب قد نُفذ بنجاح، ومتى أُصدر السر أو جرى استرجاعه، ومتى انتهت صلاحيته، وما إذا كان قد تم تحديثه ومتى حدث ذلك. وعندئذ ينبغي التحقيق في أي حالات شاذة على الفور. 

مع تزايد تعقيد النظم البنائية لتكنولوجيا المعلومات، يصبح من الصعب التحكم في إدارة الأسرار بشكل فعال. يمكن أن تشمل تحديات إدارة الأسرار الشائعة ما يلي:

يمكن أن تؤدي النظم البنائية اللامركزية التي يدير فيها المشرفون والمطورون والمستخدمون أسرارهم بشكل منفصل إلى مخاطر، حيث قد لا تتم مراقبة أو تدقيق استخدام الأسرار بشكل صحيح.

يمكن أن توفر حلول إدارة الأسرار المركزية للمؤسسة مزيدًا من الرؤية والتحكم في الأسرار.

عندما يتم تضمين كلمات المرور أو غيرها من الأسرار كنص عادي في مصدر الرمز أو البرامج النصية يمكن للمتسللين اكتشافها بسهولة واستخدامها للوصول إلى المعلومات الحساسة.

ويمكن أن تظهر الأسرار المضمّنة في التعليمات البرمجية في مواضع كثيرة، منها سلاسل أدوات CI/CD، ومستودعات التعليمات البرمجية، وأجهزة إنترنت الأشياء (IoT)، ومنصات تنسيق الحاويات مثل Kubernetes، وخوادم التطبيقات، وأدوات فحص الثغرات، ومنصات أتمتة العمليات الآلية (RPA).

يمكن أن يساعد التدوير المنتظم للأسرار في منع السرقة وإساءة الاستخدام، ولكن يمكن أن يكون التدوير غير متسق أو غير فعال بدون نظام إدارة الأسرار. إذا ظل السر دون تغيير لفترة طويلة، فقد يتمكن المتسلل من إلغاء قفله عن طريق التخمينات التجريبية أو هجوم القوة الغاشمة.

كلما طالت مدة استخدام كلمة المرور، زاد عدد المستخدمين الذين يمكنهم الوصول إليها وزادت فرصة التسرب.

يمكن أن تؤدي أنظمة تكنولوجيا المعلومات المتنامية إلى انتشار الأسرار، حيث تنتشر الأسرار عبر العديد من الأجزاء المنعزلة في النظام. يمكن أن يكون انتشار الأسرار مثيراً للقلق بشكل خاص في النظم البنائية متعددة السحابة الهجينة، حيث تمزج المؤسسات بين البيئات السحابية العامة والخاصة التي يقدمها العديد من مزودي الخدمات السحابية.

قد يكون لدى المؤسسات الآلاف، بل الملايين، من الأسرار عبر جميع تطبيقات السحابة الأصلية، والحاويات، والخدمات المصغرة، وموارد تكنولوجيا المعلومات الأخرى. يخلق هذا الانتشار عبئًا أمنيًا هائلًا ويوسّع سطح الهجوم المحتمل.

عبر الخدمات، قد تكون الرؤية محدودة، ويمكن أن يصبح إدارة الأسرار بسرعة أمرًا صعبًا إذا تم تتبعها يدويًا أو بواسطة أنظمة متباينة. قد يؤدي عدم وجود خدمة مركزية لإدارة الأسرار إلى صعوبة أو استحالة فرض نظافة الأسرار المناسبة.

عندما تفتقر المؤسسة إلى نظام إدارة الأسرار، فقد تتم مشاركة الأسرار يدويًا—مثل رسائل البريد الإلكتروني أو الرسائل النصية—حيث يمكن لعناصر التهديد اعتراضها.