۹ ابزار برتر هویت و مدیریت دسترسی
تضمین مدیریت و دسترسی هویتها با استفاده از روشهای امن از جمله پایههای مهم امنیت سایبری به شمار میآیند. بنابراین امروزه ابزارهای مدیریت دسترسی و هویت یا IAM (به انگلیسی: Identity and access management) جزو ابزارهای کلیدی برای مدیران امنیت سایبری محسوب شده و بسیاری از تصمیمات مهم و کلیدی بر اساس فناوریهای تشخیص هویت گرفته میشوند. از طرفی شیوههای ورود به برنامههای کاربردی و سیستمها و ادغام آنها با یکدیگر هم برای افراد مسئول در کسبوکارها از اهمیت بسیار زیادی برخوردار است. کارشناسان امنیت سایبری معمولاً باید در بین امنیت و کاربردپذیری توازن برقرار کنند.
ضعف کنترلهای IAM و سازوکارهای احراز هویت سازمانها را در معرض مخاطرات حمله، تصاحب حسابهای کاربری و نظارت و کنترل امنیتی محدود قرار میدهد. البته سختگیری بیش از حد هم منجر به ایجاد اختلال در جریان کسبوکارها میشود.
ابزارهای IAM چه تغییری کردهاند؟
حوزه مربوط به فناوریهای IAM در طی سالهای اخیر رشد چشمگیری داشتهاند. مدیریت هویت در محیطهای چند ابری و ترکیبی، کنترل حسابهای کاربری ممتاز، امکان نظارت بر روی الگوهای ورود به حسابهای کاربری، احراز هویت بر اساس عوامل خطر و مدیریت سایر بخشهای چرخه حیات کاربر در اثر بکارگیری ابزارهای مختلف راحتتر صورت میگیرد.
بنا به گفته Naresh Persaud یکی از مدیریان شرکت مشاوره Deloitte: «امروزه شاهد بخشبندی جالب و متقاعدکننده بازار در بین راهکارهای IAM هستیم. همچنین در حال حاضر امکانات بسیار زیادی مثل روانسازی تجربیات کاربری از طریق هوش مصنوعی، ادغام با ارایهدهندگان خدمات ابر برای مدیریت هر چه بهتر جریان کاری یا ارایه اطلاعات بیشتر درباره عملیات IAM از طریق تحلیلهای پیشرفته برای ساختن طرحهای امنیتی قوی در اختیار سازمانها قرار دارد».
در عین حال، از آنجا که شاهد موجی از قابلیتهای جدید در این حوزه هستیم، انواع بیشماری بازار فرعی شکل گرفته که ممکن است شامل محصولات مستقل یا عضو یک پلتفرم گستردهتر باشند. با توجه به ادغام گسترده راهکارهای مختلف با یکدیگر روزانه شاهد ترکیب قابلیتها و بازارهای فرعی بسیار زیادی با یکدیگر هستیم. در مجموع گزینههای زیادی وجود دارند که میتوانند منجر به سردرگمی تحلیلگران IAM شوند.
JR Cunningham مدیر ارشد عملیات در شرکت ارایهدهنده سرویسهای امنیتی مدیریت شده Nuspire میگوید: «بسیاری از شرکتهای تولیدی متکی بر روی ابزارهای مدیریت و حاکمیت هویت یا IGA (به انگلیسی: identity governance and administration) و بعضی دیگر نیز متمرکز بر مدیریت هویت ممتاز یا PAM (به انگلیسی: privileged access management) هستند. IGA و PAM دو جزو مهم از یک طرح هویتی کارآمد هستند. امروزه شاهد بیشترین میزان پراکندگی محصولات در حوزه احراز هویت هستیم. همچنین بسیاری از شرکتهای این حوزه فناوریهای احراز هویت چند مرحلهای را ارایه میدهند. سازمانها باید قابلیتها و الزامات کنونیشان را تعریف کنند تا اطمینان یابند که محصولی متناسب با نیازهای خودشان انتخاب میکنند».
ایجاد یک برنامه هویتی
Cunningham میگوید: «ارایه یک طرح هویتی و انتخاب پلتفرم مناسب برای آن، متشکل از یکسری تصمیمگیریها برای انتخاب پلتفرمی است که منجر به موفقیت سازمانها شود. برای مثال کسبوکارهایی که قابلیتهای احراز هویت پایه قوی (از جمله احراز هویت چند مرحلهای و ورود یکپارچه) را نداشته باشند برای مدیریت ابزارهای PAM با مشکل مواجه میگردند.
بنا به گفته Cunningham: «به این ترتیب سازمانی که این دو بخش و فرایندهای مدیریت هویت مناسب برای کارمندان را نداشته باشد، قابلیت بهرهگیری از کل ارزش پلتفرمهای مدیریت و حاکمیت هویت را ندارد. سازمانهای موفق معمولاً براساس مسیر احراز هویت، PAM/PIM و IGA پیش میروند.
Persaud توصیه میکند که شرکتها در هنگام ارزیابی فناوریهای احراز هویت نباید از مسئله مقیاسپذیری نصب و سازگاری آنها با کلیه برنامههای کاربردی مورد استفاده در محیط کاری، کاربران و خطوط کسبوکارشان غافل شوند. بنا به گفته او: «ابزارهای IAM در صورت ادغام و اتصال به نرمافزارهای مختلف ارزش بیشتری برای سازمانها فراهم میکنند ولی دستیابی به چنین ارزشی کار چندان راحتی نیست. بنابراین یکی از چالشهای اصلی در هنگام پیادهسازی یک پلتفرم IAM، انجام آن با مقیاس مناسب است. همچنین سازمانها میتوانند یک رویکرد قابل پیشبینی و قابل تکرار برای افزایش مقیاس عملیاتشان داشته باشند. استفاده از یک مدل عملیاتی سرویسگرا هم برای تنظیم مقیاس استفاده از پلتفرم IAM مفید است و در این حالت مالکان برنامههای کاربردی، افراد دخیل و مدیران کسبوکار و کلیه افرادی که در راستای تنظیم مقیاس IAM و تحقق ارزش آن فعالیت خواهند کرد پشتیبانی میشوند».
معرفی بهترین ابزارهای IAM
در ادامه یکسری از ابزارهای IAM کاربردی را معرفی میکنیم. توصیه میشود مدیران ارشد عملیات امنیتی برای ارتقای قابلیتهای احراز هویت خودشان از آنها استفاده کنند.
Avatier
Avatier که سابقهای طولانی در دنیای مدیریت خدمات آیتی و میز کمک دارد، از تجربیات قوی خودش در حوزه ارایه ابزارهای مدیریت کلمه عبور و حسابهای کاربری برای ارایه پلتفرم IGA استفاده کرده است. این شرکت سرمایهگذاری چشمگیری در راستای مدرنیزه نمودن محصولاتش انجام داده و پلتفرم Identity Anywhere خودش را به عنوان یک راهکار مخزنسازی شده که امکان میزبانی آن بر روی محیط ابر وجود دارد طراحی کرده است. در جدیدترین نسخه از این محصول قابلیت پشتیبانی از احراز هویت یکپارچه بدون کلمه عبور و یکپارچهسازی تجربیات کاربری در پلتفرمهای همکاری، ابر و موبایل از جمله Slack، Teams و ServiceNow وجود دارد. این ابزار امکان اتصال بیش از 90 سازمان و 5 هزار پلتفرم و نرمافزار تحت ابر را فراهم نموده و یک پل اتصال به سبک کم کد/ بدون کد برای ادغامهای شخصیسازی شده دارد. بسیاری از تحلیلگران امنیت سایبری توجه ویژهای به این پلتفرم داشته و آن را یک راهکار مقرون به صرفه میدانند.
BeyondTrust
BeyondTrust که در حوزه راهکارهای PAM پیشگام است، از طریق ابتکارات داخلی و ادغام و اکتسابهای قوی همواره در حال تقویت قابلیتهای خودش برای مدیریت حسابهای کاربری ممتاز، حقوق دسترسی به محیط ابر و اسرار آیتی است. علاوه بر حوزه PAM، پلتفرم این شرکت امکان مدیریت متمرکز دسترسی از راه دور، مدیریت نقاط پایانی ویندوز، مک، یونیکس و لینوکس را از طریق فناوری Directory Bridge فراهم میکند.
این شرکت همچنین با فناوری Cloud Privilege Broker خودش، جزو بازیگران مهم عرصه مدیریت حقوق زیرساختهای ابر یا CIEM (به انگلیسی: cloud infrastructure entitlement management) ([1]CIEM) بوده و حقوق مربوط به محیطهای چند ابری را مدیریت میکند. BeyondTrust دارای ارتباطات قوی با حوزه بازرسی و رعایت الزامات قانونی میباشد. بنا به گفته تحلیلگران گارتنر: «یکی از مهمترین ویژگیهای متمایز آن، قابلیتهای مصورسازی و تولید گزارش است». مشتریان میتوانند از طریق بسته تحلیلی BeyondInsight این شرکت از تحلیلهای پیشرفته هم استفاده کنند. تحلیلگران همواره به مشتریان هشدار میدهند که نقطه ضعف این شرکت در زمینه ادغام از جمله ادغامهای بیرونی و همچنین در بین بعضی از محصولات خودش است.
CyberArk
مؤسسه تحقیقاتی فورستر میگوید: «CyberArk از لحاظ حجم درآمد بزرگترین ارایهدهنده راهکارهای PAM بوده و این راهکارها را با مدل ارایه هویت به صورت یک سرویس یا IDaas (به انگلیسی: identity-as-a-service) ترکیب کرده است. این شرکت در سال 2020 میلادی با اکتساب Idaptive، محصولات خدمات نرمافزاری خودش را توسعه داد. چنین اقدامی در نهایت منجر به ارایه راهکارهای احراز هویت چند مرحلهای برای نقاط پایانی، احراز هویت یکپارچه کارمندان، مدیریت هویت مشتریان، گزینههای بدون کلمه عبور و قابلیتهای خود سرویسدهی برای مدیریت حسابهای کاربری شد. محصولات این شرکت قابلیتهای تحلیلی قوی داشته و امکان استفاده از آنها برای تکامل هر چه بیشتر طرحهای ارزیابی امنیت وجود دارد. این شرکت همچنین قابلیتهای احراز هویت مبتنی بر ریسک یا RBA (به انگلیسی: risk-based authentication) را دارد. مدیران میتوانند از چنین ویژگی برای تنظیم شرایط تحمل ریسک (در حالتهای زیاد – متوسط – کم) استفاده کنند.
CyberArk همچنین در ابزار مدیریت حقوق ابر خودش شامل قابلیتهای CIEM کاملی است. این قابلیتها رتبهبندی ریسکها را که مناسب محیطهای چند ابری و بزرگ است در بر میگیرد. بنا به گفته شرکت فورستر، CyberAr در حوزه IDaaS، یکی از انتخابهای مهم برای افرادی است که به دنبال یک رویکرد مبتنی بر ریسک برای IDaaS هستند. پلتفرم این شرکت با ابزارهای مدیریت هویت ممتاز همگامسازی میشود. از طرفی، تحلیلگران گارتنر با اشاره به رویدادهای اخیری که منجر به افت کیفیت سرویسهای این شرکت شد و عدم سابقه مورد تأیید برای مقیاسپذیری محصولات آن هشدار میدهند که ممکن است این محصول کارایی چندان مناسبی نداشته باشد.
ForgeRock
شرکت ForgeRock مدیریت دسترسیهای کارمندان، مشتریان و شناسههای دستگاههای اینترنت اشیا را در یک مجموعه محصول که امکان تهیه آنها به صورت یک بسته کامل یا مجزا وجود دارد ترکیب کرده است. پلتفرم این شرکت شامل اجزای مدیریت هویت قوی برای سازمانهایی است که در پی امکانات IGA مثل مدیریت چرخه حیات هویت هستند. محصولات ForgeRock با توجه به اولویتدهی به ابر و فریمورک قوی REST API شرکت، از محبوبیت بسیار زیادی در بین توسعهدهندگان آیندهنگر و حوزه DevOps برخوردار هستند. از طرفی Forgerrock از امکانات تحلیلی محدودی نسبت به سایر شرکتها برخوردار بوده و قابلیتهای تحلیل رفتار موجودیتها و کاربران را ارایه نداده است. تحلیلگران گارتنر نیز نسبت به چنین موضوعی واکنش نشان دادهاند. گفته میشود ارایه چنین قابلیتهایی جزو طرحهای آینده این شرکت است.
Microsoft Azure Active Directory
بنا به گفته تحلیلگران فورستر: «مایکروسافت با ارایه محصول اکتیودایرکتوری مایکروسافت آژور که بیش از 300 هزار مشتری طرح غیررایگان دارد، به سرعت تبدیل به یکی از رقبای مهم در حوزه IAM میشود». گارتنر رشد سریع Azure AD را ناشی از ادغام مایکروسافت 365 و پلتفرم EMS یا Enterprise Mobility and Security مایکروسافت در سال 2020 میداند. چنین اقدامی منجر به افزایش دو برابری تعداد دفعات نصب این محصول شد. همچنین این محصول به سرعت و از طریق ابتکارات داخلی، مجهز به قابلیتهای IGA و PAM . مایکروسافت هر دو قابلیت و همچنین قابلیتهای CIEM که از طریق اکتساب CloudKnox Security به دست آمدند را به تازگی عرضه کرده است. یکی از نقطه ضعفهایی که تحلیلگران گارتنر به آن اشاره میکنند، مربوط به محصول IAM ویژه کاربران شخصی است. امکانات Azure AD برای این محصول، نسبت به محصولات سایر پیشگامان عرصه مدیریت دارای دسترسی محدود است.
Okta
اگرچه Okta به تازگی یک نفوذ امنیتی را تجربه کرده اما همچنان یکی از گزینههای مهم در دنیای IAM محسوب میشود. این شرکت ابر محور در سال 2009 میلادی که استفاده از فناوری ابر چندان رایج نبود تأسیس شد. پلتفرم خدمات نرمافزاری این شرکت شامل مجموعهای کامل از امکانات مستقل یا بستهبندی شده است که در محیطهای چندابری پیچیده و ترکیبی از جمله احراز هویت یکپارچه، احراز هویت چند مرحلهای، مدیریت دسترسی به API، مدیریت کاربران و چرخه حیات، اتوماسیون هویت و هماهنگ سازی گردش کار قابل استفاده هستند. این شرکت یکی از اکوسیستمهای برقراری ارتباط و API قوی را در بازار دارد و اکتساب شرکت Auth0 توسط Okta در سال گذشته جایگاه آن را در حوزه IAM قویتر کرد. Okta همچنین در سال پیش با عرضه سیستم Okta Privileged Access وارد دنیای PAM شد. مشتریان این شرکت هزینه همه محصولات و ابتکارات پیشگام این شرکت را پرداخت میکنند.
One Identity
One Identity پیش از اکتساب شرکت OneLogin فروشنده راهکارهای PAM و IGA و دارای یک مجموعه شامل امکانات قوی و قابلیتهای مناسب سازمانها بود اما در دنیای IAM درون سازمانی هم سابقه فعالیت دارد.
OneLogin نیز یکی از ابزارهای IDaaS سبک وزن برای سازمانهای کوچک تا متوسط حساس به قیمت بود که نیاز به قابلیتهای حاکمیتی یا مدیریتی چندان زیادی ندارند.
بنا به گفته فورستر: «این قرارداد باعث شده که One Identity بتواند وارد حوزه IDaaS شده و از شرکتهایی که قابلیتهای PAM یا IGA بومی ندارند، متمایز گردد». همچنین این ترکیب مشابه اقدامی است که CyberArk با اکتساب Idaptive انجام داد اما این اقدام به تازگی انجام شده است. بنابراین باید منتظر بمانیم و ببینیم که این شرکت چگونه قابلیتهای OneLogin را تقویت میکند. همچنین تأثیرات این ادغام بر روی قیمتگذاری OneLogin و تمرکز این شرکت بر سازمانهای کوچک چندان مشخص نیست.
Ping Identity
Ping Identity که به صورت اختصاصی برای سازمانهایی با محیطهای ترکیبی پیچیده طراحی شده، با ارایه ترکیب محصولات Ping One (پلتفرم IdaaS) و PingFederate (احراز هویت یکپارچه)، در دو حوزه IAM و احراز هویت یکپارچه فعالیت دارد. علاوه بر قابلیتهای معمولی مثل احراز هویت یکپارچه، احراز هویت چند مرحلهای و هویت ابر، به تازگی PingOne با یکسری اکتساب متمرکز بر روی امکانات هویتی توزیع شده است. Ping همچنین یک RBA تقویت شده و ابزار طراحی جریان کم کد به همراه یکسری امکانات تحلیلی قوی از جمله هوش و قابلیت دید API را طراحی و عرضه کرد. پلتفرم این شرکت یک پلتفرم IAM جامع نیست. بنا به گفته گارتنر: «Ping امکانات محدودی در زمینه مدیریت هویت دارد و به همین دلیل برای سازمانهای کوچکتر یا کسبوکارهایی که در پی قابلیتهای PAM یا IGA تعبیه شده هستند، چندان مناسب نمیباشد».
SailPoint
SailPoint که جزو شرکتهای مهم بازار IGA است، محصولی اختصاصی برای شرکتهای توزیع شده با محیطهای پیچیده ارایه داده و نیازمند امکانات اتوماسیون و ادغام پیشرفته جهت تکمیل و افزایش قدرت طرحهای مدیریت هویت خودشان است. بنا به گفته فورستر: «پلتفرم SailPoint در زمینه مدیریت چرخه حیات کاربر، مدیریت الزامات قانونی، ادغام قوی با برنامههای کاربردی و پشتیبانی از سیستمهای IAM بهترین عملکرد را دارد». این شرکت همچنین در راستای رفع نیازهای مشتریان به سمت ارایه راهکارهای خدمات نرمافزاری حرکت میکند. امتیازات ثبت شده برای SailPoint توسط مشتریان بالا بوده و بر اساس رتبهبندیهای ثبت شده توسط مشتریان در مؤسسه گارتنر، این شرکت جزو ارایهدهندگان برتر راهکارهای IGA محسوب میشود.
منبع: csoonline