۹ ابزار برتر هویت و مدیریت دسترسی

تضمین مدیریت و دسترسی هویت‌ها با استفاده از روش‌های امن از جمله پایه‌های مهم امنیت سایبری به شمار می‌آیند. بنابراین امروزه ابزارهای مدیریت دسترسی و هویت یا IAM (به انگلیسی: Identity and access management) جزو ابزارهای کلیدی برای مدیران امنیت سایبری محسوب شده و بسیاری از تصمیمات مهم و کلیدی بر اساس فناوری‌های تشخیص هویت گرفته می‌شوند. از طرفی شیوه‌های ورود به برنامه‌های کاربردی و سیستم‌ها و ادغام آنها با یکدیگر هم برای افراد مسئول در کسب‌وکارها از اهمیت بسیار زیادی برخوردار است. کارشناسان امنیت سایبری معمولاً باید در بین امنیت و کاربردپذیری توازن برقرار کنند.

ضعف کنترل‌های IAM و سازوکارهای احراز هویت سازمان‌ها را در معرض مخاطرات حمله، تصاحب حساب‌های کاربری و نظارت و کنترل امنیتی محدود قرار می‌دهد. البته سخت‌گیری بیش از حد هم منجر به ایجاد اختلال در جریان کسب‌وکارها می‌شود.

ابزارهای IAM چه تغییری کرده‌اند؟

حوزه مربوط به فناوری‌های IAM در طی سال‌های اخیر رشد چشمگیری داشته‌اند. مدیریت هویت در محیط‌های چند ابری و ترکیبی، کنترل حساب‌های کاربری ممتاز، امکان نظارت بر روی الگوهای ورود به حساب‌های کاربری، احراز هویت بر اساس عوامل خطر و مدیریت سایر بخش‌های چرخه حیات کاربر در اثر بکارگیری ابزارهای مختلف راحتتر صورت می‌گیرد.

بنا به گفته Naresh Persaud یکی از مدیریان شرکت مشاوره Deloitte: «امروزه شاهد بخش‌بندی جالب و متقاعدکننده بازار در بین راهکارهای IAM هستیم. همچنین در حال حاضر امکانات بسیار زیادی مثل روان‌سازی تجربیات کاربری از طریق هوش مصنوعی، ادغام با ارایه‌دهندگان خدمات ابر برای مدیریت هر چه بهتر جریان کاری یا ارایه اطلاعات بیشتر درباره عملیات IAM از طریق تحلیل‌های پیشرفته برای ساختن طرح‌های امنیتی قوی در اختیار سازمان‌ها قرار دارد».

در عین حال، از آنجا که شاهد موجی از قابلیت‌های جدید در این حوزه هستیم، انواع بی‌شماری بازار فرعی شکل گرفته که ممکن است شامل محصولات مستقل یا عضو یک پلتفرم گسترده‌تر باشند. با توجه به ادغام گسترده راهکارهای مختلف با یکدیگر روزانه شاهد ترکیب قابلیت‌ها و بازارهای فرعی بسیار زیادی با یکدیگر هستیم. در مجموع گزینه‌های زیادی وجود دارند که می‌توانند منجر به سردرگمی تحلیلگران IAM شوند.

JR Cunningham مدیر ارشد عملیات در شرکت ارایه‌دهنده سرویس‌های امنیتی مدیریت شده Nuspire می‌گوید: «بسیاری از شرکت‌های تولیدی متکی بر روی ابزارهای مدیریت و حاکمیت هویت یا IGA (به انگلیسی: identity governance and administration) و بعضی دیگر نیز متمرکز بر مدیریت هویت ممتاز یا PAM (به انگلیسی: privileged access management) هستند. IGA و PAM دو جزو مهم از یک طرح هویتی کارآمد هستند. امروزه شاهد بیشترین میزان پراکندگی محصولات در حوزه احراز هویت هستیم. همچنین بسیاری از شرکت‌های این حوزه فناوری‌های احراز هویت چند مرحله‌ای را ارایه می‌دهند. سازمان‌ها باید قابلیت‌ها و الزامات کنونی‌شان را تعریف کنند تا اطمینان یابند که محصولی متناسب با نیازهای خودشان انتخاب می‌کنند».

ایجاد یک برنامه هویتی

Cunningham می‌گوید: «ارایه یک طرح هویتی و انتخاب پلتفرم مناسب برای آن، متشکل از یکسری تصمیم‌گیری‌ها برای انتخاب پلتفرمی است که منجر به موفقیت سازمان‌ها شود. برای مثال کسب‌وکارهایی که قابلیت‌های احراز هویت پایه قوی (از جمله احراز هویت چند مرحله‌ای و ورود یکپارچه) را نداشته باشند برای مدیریت ابزارهای PAM با مشکل مواجه می‌گردند.

بنا به گفته Cunningham: «به این ترتیب سازمانی که این دو بخش و فرایندهای مدیریت هویت مناسب برای کارمندان را نداشته باشد، قابلیت بهره‌گیری از کل ارزش پلتفرم‌های مدیریت و حاکمیت هویت را ندارد. سازمان‌های موفق معمولاً براساس مسیر احراز هویت، PAM/PIM و IGA پیش می‌روند.

Persaud توصیه می‌کند که شرکت‌ها در هنگام ارزیابی فناوری‌های احراز هویت نباید از مسئله مقیاس‌پذیری نصب و سازگاری آنها با کلیه برنامه‌های کاربردی مورد استفاده در محیط کاری، کاربران و خطوط کسب‌وکارشان غافل شوند. بنا به گفته او: «ابزارهای IAM در صورت ادغام و اتصال به نرم‌افزارهای مختلف ارزش بیشتری برای سازمان‌ها فراهم می‌کنند ولی دستیابی به چنین ارزشی کار چندان راحتی نیست. بنابراین یکی از چالش‌های اصلی در هنگام پیاده‌سازی یک پلتفرم IAM، انجام آن با مقیاس مناسب است. همچنین سازمان‌ها می‌توانند یک رویکرد قابل پیش‌بینی و قابل تکرار برای افزایش مقیاس عملیاتشان داشته باشند. استفاده از یک مدل عملیاتی سرویس‌گرا هم برای تنظیم مقیاس استفاده از پلتفرم IAM مفید است و در این حالت مالکان برنامه‌های کاربردی، افراد دخیل و مدیران کسب‌وکار و کلیه افرادی که در راستای تنظیم مقیاس IAM و تحقق ارزش آن فعالیت خواهند کرد پشتیبانی می‌شوند».

معرفی بهترین ابزارهای IAM

در ادامه یکسری از ابزارهای IAM کاربردی را معرفی می‌کنیم. توصیه می‌شود مدیران ارشد عملیات امنیتی برای ارتقای قابلیت‌های احراز هویت خودشان از آنها استفاده کنند.

Avatier

Avatier که سابقه‌ای طولانی در دنیای مدیریت خدمات آی‌تی و میز کمک دارد، از تجربیات قوی خودش در حوزه ارایه ابزارهای مدیریت کلمه عبور و حساب‌های کاربری برای ارایه پلتفرم IGA استفاده کرده است. این شرکت سرمایه‌گذاری چشمگیری در راستای مدرنیزه نمودن محصولاتش انجام داده و پلتفرم Identity Anywhere خودش را به عنوان یک راهکار مخزن‌سازی شده که امکان میزبانی آن بر روی محیط ابر وجود دارد طراحی کرده است. در جدیدترین نسخه از این محصول قابلیت پشتیبانی از احراز هویت یکپارچه بدون کلمه عبور و یکپارچه‌سازی تجربیات کاربری در پلتفرم‌های همکاری، ابر و موبایل از جمله Slack، Teams و ServiceNow وجود دارد. این ابزار امکان اتصال بیش از 90 سازمان و 5 هزار پلتفرم و نرم‌افزار تحت ابر را فراهم نموده و یک پل اتصال به سبک کم کد/ بدون کد برای ادغام‌های شخصی‌سازی شده دارد. بسیاری از تحلیلگران امنیت سایبری توجه ویژه‌ای به این پلتفرم داشته و آن را یک راهکار مقرون به صرفه می‌دانند.

BeyondTrust

BeyondTrust که در حوزه راهکارهای PAM پیشگام است، از طریق ابتکارات داخلی و ادغام و اکتساب‌های قوی همواره در حال تقویت قابلیت‌های خودش برای مدیریت حساب‌های کاربری ممتاز، حقوق دسترسی به محیط ابر و اسرار آی‌تی است. علاوه بر حوزه PAM، پلتفرم این شرکت امکان مدیریت متمرکز دسترسی از راه دور، مدیریت نقاط پایانی ویندوز، مک، یونیکس و لینوکس را از طریق فناوری Directory Bridge فراهم می‌کند.

این شرکت همچنین با فناوری Cloud Privilege Broker خودش، جزو بازیگران مهم عرصه مدیریت حقوق زیرساخت‌های ابر یا CIEM (به انگلیسی: cloud infrastructure entitlement management) ([1]CIEM) بوده و حقوق مربوط به محیط‌های چند ابری را مدیریت می‌کند. BeyondTrust دارای ارتباطات قوی با حوزه بازرسی و رعایت الزامات قانونی می‌باشد. بنا به گفته تحلیلگران گارتنر: «یکی از مهمترین ویژگی‌های متمایز آن، قابلیت‌های مصورسازی و تولید گزارش است». مشتریان می‌توانند از طریق بسته تحلیلی BeyondInsight این شرکت از تحلیل‌های پیشرفته هم استفاده کنند. تحلیلگران همواره به مشتریان هشدار می‌دهند که نقطه ضعف این شرکت در زمینه ادغام از جمله ادغام‌های بیرونی و همچنین در بین بعضی از محصولات خودش است.

CyberArk

مؤسسه تحقیقاتی فورستر می‌گوید: «CyberArk از لحاظ حجم درآمد بزرگترین ارایه‌دهنده راهکارهای PAM بوده و این راهکارها را با مدل ارایه هویت به صورت یک سرویس یا IDaas (به انگلیسی: identity-as-a-service) ترکیب کرده است. این شرکت در سال 2020 میلادی با اکتساب Idaptive، محصولات خدمات نرم‌افزاری خودش را توسعه داد. چنین اقدامی در نهایت منجر به ارایه راهکارهای احراز هویت چند مرحله‌ای برای نقاط پایانی، احراز هویت یکپارچه کارمندان، مدیریت هویت مشتریان، گزینه‌های بدون کلمه عبور و قابلیت‌های خود سرویس‌دهی برای مدیریت حساب‌های کاربری شد. محصولات این شرکت قابلیت‌های تحلیلی قوی داشته و امکان استفاده از آنها برای تکامل هر چه بیشتر طرح‌های ارزیابی امنیت وجود دارد. این شرکت همچنین قابلیت‌های احراز هویت مبتنی بر ریسک یا RBA (به انگلیسی: risk-based authentication) را دارد. مدیران می‌توانند از چنین ویژگی برای تنظیم شرایط تحمل ریسک (در حالت‌های زیاد – متوسط – کم) استفاده کنند.

CyberArk همچنین در ابزار مدیریت حقوق ابر خودش شامل قابلیت‌های CIEM کاملی است. این قابلیت‌ها رتبه‌بندی ریسک‌ها را که مناسب محیط‌های چند ابری و بزرگ است در بر می‌گیرد. بنا به گفته شرکت فورستر، CyberAr در حوزه IDaaS، یکی از انتخاب‌های مهم برای افرادی است که به دنبال یک رویکرد مبتنی بر ریسک برای IDaaS هستند. پلتفرم این شرکت با ابزارهای مدیریت هویت ممتاز همگام‌سازی می‌شود. از طرفی، تحلیلگران گارتنر با اشاره به رویدادهای اخیری که منجر به افت کیفیت سرویس‌های این شرکت شد و عدم سابقه مورد تأیید برای مقیاس‌پذیری محصولات آن هشدار می‌دهند که ممکن است این محصول کارایی چندان مناسبی نداشته باشد.

ForgeRock

شرکت ForgeRock مدیریت دسترسی‌های کارمندان، مشتریان و شناسه‌های دستگاه‌های اینترنت اشیا را در یک مجموعه محصول که امکان تهیه آنها به صورت یک بسته کامل یا مجزا وجود دارد ترکیب کرده است. پلتفرم این شرکت شامل اجزای مدیریت هویت قوی برای سازمان‌هایی است که در پی امکانات IGA مثل مدیریت چرخه حیات هویت هستند. محصولات ForgeRock با توجه به اولویت‌دهی به ابر و فریم‌ورک قوی REST API شرکت، از محبوبیت بسیار زیادی در بین توسعه‌دهندگان آینده‌نگر و حوزه DevOps برخوردار هستند. از طرفی Forgerrock از امکانات تحلیلی محدودی نسبت به سایر شرکت‌ها برخوردار بوده و قابلیت‌های تحلیل رفتار موجودیت‌ها و کاربران را ارایه نداده است. تحلیلگران گارتنر نیز نسبت به چنین موضوعی واکنش نشان داده‌اند. گفته می‌شود ارایه چنین قابلیت‌هایی جزو طرح‌های آینده این شرکت است.

Microsoft Azure Active Directory

بنا به گفته تحلیلگران فورستر: «مایکروسافت با ارایه محصول اکتیودایرکتوری مایکروسافت آژور که بیش از 300 هزار مشتری طرح غیررایگان دارد، به سرعت تبدیل به یکی از رقبای مهم در حوزه IAM می‌شود». گارتنر رشد سریع Azure AD را ناشی از ادغام مایکروسافت 365 و پلتفرم EMS یا Enterprise Mobility and Security مایکروسافت در سال 2020 می‌داند. چنین اقدامی منجر به افزایش دو برابری تعداد دفعات نصب این محصول شد. همچنین این محصول به سرعت و از طریق ابتکارات داخلی، مجهز به قابلیت‌های IGA و PAM . مایکروسافت هر دو قابلیت و همچنین قابلیت‌های CIEM که از طریق اکتساب CloudKnox Security به دست آمدند را به تازگی عرضه کرده است. یکی از نقطه ضعف‌هایی که تحلیلگران گارتنر به آن اشاره می‌کنند، مربوط به محصول IAM ویژه کاربران شخصی است. امکانات Azure AD برای این محصول، نسبت به محصولات سایر پیشگامان عرصه مدیریت دارای دسترسی محدود است.

Okta

اگرچه Okta به تازگی یک نفوذ امنیتی را تجربه کرده اما همچنان یکی از گزینه‌های مهم در دنیای IAM محسوب می‌شود. این شرکت ابر محور در سال 2009 میلادی که استفاده از فناوری ابر چندان رایج نبود تأسیس شد. پلتفرم خدمات نرم‌افزاری این شرکت شامل مجموعه‌ای کامل از امکانات مستقل یا بسته‌بندی شده است که در محیط‌های چندابری پیچیده و ترکیبی از جمله احراز هویت یکپارچه، احراز هویت چند مرحله‌ای، مدیریت دسترسی به API، مدیریت کاربران و چرخه حیات، اتوماسیون هویت و هماهنگ سازی گردش کار قابل استفاده هستند. این شرکت یکی از اکوسیستم‌های برقراری ارتباط و API قوی را در بازار دارد و اکتساب شرکت Auth0 توسط Okta در سال گذشته جایگاه آن را در حوزه IAM قوی‌تر کرد. Okta همچنین در سال پیش با عرضه سیستم Okta Privileged Access وارد دنیای PAM شد. مشتریان این شرکت هزینه همه محصولات و ابتکارات پیشگام این شرکت را پرداخت می‌کنند.

One Identity

One Identity پیش از اکتساب شرکت OneLogin فروشنده راهکارهای PAM و IGA و دارای یک مجموعه شامل امکانات قوی و قابلیت‌های مناسب سازمان‌ها بود اما در دنیای IAM درون سازمانی هم سابقه فعالیت دارد.

OneLogin نیز یکی از ابزارهای IDaaS سبک وزن برای سازمان‌های کوچک تا متوسط حساس به قیمت بود که نیاز به قابلیت‌های حاکمیتی یا مدیریتی چندان زیادی ندارند.

بنا به گفته فورستر: «این قرارداد باعث شده که One Identity بتواند وارد حوزه IDaaS شده و از شرکت‌هایی که قابلیت‌های PAM یا IGA بومی ندارند، متمایز گردد». همچنین این ترکیب مشابه اقدامی است که CyberArk با اکتساب Idaptive انجام داد اما این اقدام به تازگی انجام شده است. بنابراین باید منتظر بمانیم و ببینیم که این شرکت چگونه قابلیت‌های OneLogin را تقویت می‌کند. همچنین تأثیرات این ادغام بر روی قیمت‌گذاری OneLogin و تمرکز این شرکت بر سازمان‌های کوچک چندان مشخص نیست.

Ping Identity

Ping Identity که به صورت اختصاصی برای سازمان‌هایی با محیط‌های ترکیبی پیچیده طراحی شده، با ارایه ترکیب محصولات Ping One (پلتفرم IdaaS) و PingFederate (احراز هویت یکپارچه)، در دو حوزه IAM و احراز هویت یکپارچه فعالیت دارد. علاوه بر قابلیت‌های معمولی مثل احراز هویت یکپارچه، احراز هویت چند مرحله‌ای و هویت ابر، به تازگی PingOne با یکسری اکتساب متمرکز بر روی امکانات هویتی توزیع شده است. Ping همچنین یک RBA تقویت شده و ابزار طراحی جریان کم کد به همراه یکسری امکانات تحلیلی قوی از جمله هوش و قابلیت دید API را طراحی و عرضه کرد. پلتفرم این شرکت یک پلتفرم IAM جامع نیست. بنا به گفته گارتنر: «Ping امکانات محدودی در زمینه مدیریت هویت دارد و به همین دلیل برای سازمان‌های کوچکتر یا کسب‌وکارهایی که در پی قابلیت‌های PAM یا IGA تعبیه شده هستند، چندان مناسب نمی‌باشد».

SailPoint

SailPoint که جزو شرکت‌های مهم بازار IGA است، محصولی اختصاصی برای شرکت‌های توزیع شده با محیط‌های پیچیده ارایه داده و نیازمند امکانات اتوماسیون و ادغام پیشرفته جهت تکمیل و افزایش قدرت طرح‌های مدیریت هویت خودشان است. بنا به گفته فورستر: «پلتفرم SailPoint در زمینه مدیریت چرخه حیات کاربر، مدیریت الزامات قانونی، ادغام قوی با برنامه‌های کاربردی و پشتیبانی از سیستم‌های IAM بهترین عملکرد را دارد». این شرکت همچنین در راستای رفع نیازهای مشتریان به سمت ارایه راهکارهای خدمات نرم‌افزاری حرکت می‌کند. امتیازات ثبت شده برای SailPoint توسط مشتریان بالا بوده و بر اساس رتبه‌بندی‌های ثبت شده توسط مشتریان در مؤسسه گارتنر، این شرکت جزو ارایه‌دهندگان برتر راهکارهای IGA محسوب می‌شود.

منبع: csoonline