هر آنچه که باید در خصوص سیستم مدیریت هویت و دسترسی بدانید!

هدف سیستم مدیریت هویت و دسترسی (IAM[1]) در محیط فناوری اطلاعات یک سازمان، تعریف و مدیریت نقش‌ها و مجوزهای موجودیت‌های مختلف شبکه (کاربران و دستگاه‌ها) برای دسترسی به انواع برنامه‌های کاربردی درون سازمانی و بر روی بستر ابری آن است.

در این تعریف، کاربران شامل مشتریان، همکاران و کارمندان و دستگاه‌ها نیز شامل رایانه‌ها، گوشی‌های هوشمند، مودم‌ها، سرورها، کنترل‌گرها، تجهیزات ارتباطی و حسگرها هستند. هدف اصلی سیستم‌های IAM، تعریف یک هویت دیجیتال برای هر کاربر یا دستگاه است. پس از مشخص کردن این هویت دیجیتال باید در کل چرخه دسترسی هر دستگاه یا کاربر به آن دقت لازم را داشته و آن را تحت نظر داشت.

در نتیجه هدف کلی از مدیریت هویت، فراهم کردن امکان دسترسی به دارایی‌هایی از سازمان است که کاربران و دستگاه‌ها در شرایط مناسب حق دسترسی به آنها را دارند. این کار شامل معرفی کاربران و سیستم‌ها، صدور مجوزهای دسترسی و قطع دسترسی کاربران و دستگاه‌ها در زمان مناسب است.

یکی از اقداماتی که منجر به ایجاد مشکلات امنیتی زیادی می‌شود استفاده از یک کلمه عبور مشترک برای حساب‌های کاربری متفاوت می باشد که برای یک کاربر تعریف شده است. در یک نظرسنجی که توسط مؤسسه ای امنیتی انجام شده، حدود نیمی از کارمندان از رمزهای عبور حساب‌های کاربری خود محافظت نمی‌کنند. همچنین بر اساس این نظرسنجی اغلب کاربران به دلیل پیچیده بودن فرایند ورود به یک سایت، دیگر از آن سایت استفاده نخواهند کرد.

سیستم‌های IAM ابزارها و فناوری‌هایی را در اختیار مدیران قرار می‌دهند تا بتوانند فعالیت‌های کاربران را پیگیری و از آنها گزارش تهیه کنند، نقش یک کاربر را تغییر داده و به صورت پیوسته و مستمر سیاست‌های خودشان را پیاده سازی و اعمال نمایند. این سیستم‌ها به گونه‌ای طراحی شده‌اند که ابزاری برای مدیریت دسترسی‌های کاربران در کل سازمان باشند و پیروی از سیاست‌های سازمانی و قوانین دولتی را تضمین نمایند.

Andras Cser، مدیر ارشد و تحلیلگر سیستم‌های IAM می‌گوید: «از آنجا که شیوع بیماری کرونا باعث کمرنگ شدن مرزهای فیزیکی شده، در حال حاضر مدیریت هویت اهمیت بیشتری پیدا کرده است».

امروزه کسب‌وکارهای بیشتری به سمت دورکاری حرکت کرده و به کاربران خارج از سازمان امکان دسترسی به سیستم‌های داخلی را داده‌اند. Cser می‌گوید: «با شتاب گرفتن تحول دیجیتال، مدیریت هویت تبدیل به یک فناوری برای جذب، مدیریت و حفظ مشتری شده است». بر اساس گزارش «راهنمای برنامه‌ریزی برای IAM در سال 2021» که به تازگی توسط مؤسسه گارتنر منتشر شده است، شیوع ویروس کرونا منجر به ایجاد دگرگونی‌هایی شده که در حال حاضر تأثیر آن در معماری IAM بسیاری از سازمان‌ها مشاهده می‌شود. این موضوع به نحو چشمگیری باعث شتاب گرفتن تحول IAM نیز شده است.

شاید به همین دلیل است که امروزه هزینه‌های بیشتری برای سیستم‌های IAM صرف می‌شود. بر اساس نظرسنجی که در سال 2021 از بیش از 1300 مدیرعامل انجام گرفته است، به دلیل آنکه تداوم دورکاری منجر به افزایش کار تیم‌های امنیت و فناوری اطلاعات شده است، حدود 70 درصد از مدیران کسب‌وکارها در سطح جهان در یک سال آینده میزان سرمایه‌گذاری انجام شده برای سیستم IAM را افزایش خواهند داد. همچنین بیش از نیمی از سازمان‌هایی که در این نظرسنجی شرکت کرده‌اند گفته اند که از زمان شروع بحران کرونا برای خرید محصولات IAM جدید سرمایه‌گذاری نموده اند.

 

نحوه عملکرد سیستم IAM

معمولاً یک سیستم IAM شامل چهار عنصر اصلی است که عبارتند از:

  1. یک مخزن هویت یا پوشه حاوی داده‌های شخصی که سیستم از آن برای تعریف کاربران استفاده می‌کند.
  2. یک مجموعه ابزار برای افزودن، تغییر و پاک کردن این داده‌ها (که با مدیریت چرخه حیات ارتباط دارد).
  3. سیستمی که دسترسی‌های کاربران را کنترل و اعمال می‌کند.
  4. یک سیستم بازرسی و گزارش دهی

همچنین قانونمند کردن دسترسی‌های کاربران شامل استفاده از روش‌های احراز هویت همچون استفاده از کلمه عبور، اعتبارنامه‌های دیجیتال، توکن‌های نرم‌افزاری و سخت‌افزاری برای شناسایی هویت یک کاربر یا دستگاه می باشد. توکن‌ها اولین بار در سال 2005 میلادی معرفی شدند و در حال حاضر شرکت‌هایی مثل گوگل، مایکروسافت، سیسکو، Authy و چند شرکت مختلف دیگر برای کار با آنها برنامه‌های کاربردی خاصی را برای اندروید و iOS طراحی کرده‌اند. روش‌های جدیدتر نیز شامل استفاده از روش‌های زیست سنجی و پشتیبانی از [2]«پیمان هویت سریع» (FIDO[3]) هستند.

در محیط‌های رایانشی پیچیده امروزی با توجه به افزایش تهدیدات امنیتی، دیگر  استفاده از یک نام کاربری و رمز عبور قوی به تنهایی کافی نیست. بنابراین مهمترین تغییری که در محصولات IAM ایجاد شده است، اضافه شدن احراز هویت چندعاملی (MFA[4]) به آنها می‌باشد. اغلب سیستم‌های مدیریت هویت از هوش مصنوعی، یادگیری ماشینی، ویژگی‌های زیست سنجی و احراز هویت مبتنی بر مخاطرات استفاده می‌کنند.

 

نقش سیستم IAM در محصولات امنیتی سازمان‌ها

IAM در بخش امنیتی یک سازمان نقش‌های مهم زیادی دارد اما چون این نقش‌ها در بین گروه‌های مختلف از جمله تیم‌های توسعه، زیرساخت فناوری اطلاعات، مدیران عملیات، واحد انطباق و غیره توزیع شده‌اند؛ بنابراین در بیشتر وقت ها به میزان اهمیت آنها پی برده نمی‌شود. گارتنر در راهنمای برنامه‌ریزی خود گفته که: «اکنون فقط تیم‌های IAM، تصمیم‌گیرنده‌های اصلی درباره این فناوری نیستند».

اکنون راهکارهای IAM فقط یک نقطه شروع برای مدیریت امن شبکه هستند و شرکت‌ها را ملزم می‌کنند سیاست‌های دسترسی خودشان را تعریف نموده و مشخص کنند چه شخصی به چه منابع داده‌ای و برنامه‌های کاربردی، آن هم تحت چه شرایطی دسترسی دارد.

علاوه بر این بسیاری از شرکت‌ها به مرور زمان سیاست‌های کنترل دسترسی شان را کامل‌تر کرده‌اند. به این ترتیب هم‌پوشانی‌هایی که معمولاً قدیمی و منسوخ شده هستند، در تعریف قوانین و نقش‌ها ایجاد شده‌ است. به گفته Cser: «هویت‌ها را باید پاکسازی نموده و دسترسی‌های اضافه‌ای که کاربران به آنها نیاز ندارند را لغو کنید تا از به هم ریختگی و آشفتگی جلوگیری کنید. این امر، مستلزم صرف زمان بیشتر برای مرحله طراحی است».

IAM باید با همه اجزای کسب‌وکار ارتباط برقرار کند؛ مثلاً قابلیت ادغام با بخش تحلیل، هوش کسب‌وکار، شرکت های همکار و مشتریان و همچنین راهکارهای بازاریابی را داشته باشد. بنا بر گفته Cser: «در غیر این صورت IAM در سریع‌ترین زمان ممکن کارایی خود را از دست خواهد داد». گارتنر توصیه کرده برای IAM از همان مدل تحویل ارزش مستمری استفاده شود که بسیاری از تیم‌های توسعه عملیات[5] برای تحویل نرم‌افزارشان از آن استفاده می‌کنند. لازم به ذکر است در گذشته بسیاری از بخش‌های فناوری اطلاعات سازمان‌ها برای تهیه سیستم‌های IAM از چنین رویکردی استفاده نمی‌کردند.

نکته دیگری که وجود دارد این است که هدف سیستم IAM فراتر از حفاظت از کاربران بوده و شامل احراز هویت دستگاه‌ها مثل کلیدهای برنامه‌های کاربردی، APIها و مخازن نیز می‌شود. گارتنر توصیه کرده این عناصر را به شکل اصولی و مناسب و با کمک تیم‌های عملیاتی مختلف مدیریت کنید تا همه بخش‌هایی که از این فناوری استفاده می‌کنند به هم نزدیک شوند. چنین کاری در نهایت منجر به رشد سریع IAM خواهد شد.

IAM ابتدا باید ارتباطی نزدیک با احراز هویت تطبیق پذیر[6] و ابزارهای MFA داشته باشد. در سال های گذشته، فرایند احراز هویت، یک تصمیم دودویی بود که در لحظه تلاش برای ورود به سیستم انجام می‌شد. این طرز تفکر، متعلق به دنیای قدیم بوده و در آینده کارایی لازم را نخواهد داشت. سیستم‌های IAM امروزی باید طراحی مفصل‌تری داشته باشند تا از تصاحب حساب کاربری افراد و اجرای حملات فیشینگ به دقت طراحی شده جلوگیری کنند. گارتنر توصیه می‌کند که از MFA تطبیق‌پذیر برای همه کاربران استفاده شود. همچنین هر سازمانی باید یک مدل احراز هویت داشته باشد که امکان دسترسی از راه دور را به صورت امن فراهم ‌کند.

در واقع دسترسی تطبیق‌پذیر تنها شروعی برای پیاده‌سازی راهکارهای احراز هویت هوشمندتر است زیرا اغلب این محصولات فاقد قابلیت تشخیص جعل و کلاهبرداری بر اساس مجموعه‌های زیست سنجی غیرپویا، پشتیبانی از امضاهای دیجیتال و هماهنگ‌سازی هویت ها هستند. از این رو با توجه به وجود روش‌های جدیدتر و پیشرفته‌تر تصاحب حساب های کاربری، وجود این سازوکارهای حفاظتی یک امر ضروری است.

 

جایگاه IAM برای پیروی از استانداردهای قانونی چیست؟

سیستم‌های IAM می‌توانند با ارایه ابزارهایی برای پیاده‌سازی امنیت، بازرسی و سیاست‌های دسترسی جامع، به پیروی از استانداردهای قانونی کمک کنند. امروزه بسیاری از سیستم‌ها مجهز به قابلیت‌هایی هستند که برای اطمینان از سازگاری و انطباق با استانداردهای قانونی طراحی شده‌اند.

بسیاری از دولت‌ها سازمان‌ها را ملزم به اجرای سازوکارهای مدیریت هویت کرده‌اند. قوانینی مثل قانون ساربنز-آکسلی ۲۰۰۲، قانون گرام-لیچ-بلیلی و HIPAA سازمان‌ها را مسئول نظارت بر کنترل دسترسی به اطلاعات مشتریان و کارمندان خود نموده‌اند. سیستم‌های مدیریت هویت می‌توانند به سازمان‌ها برای پیروی از چنین قوانینی کمک کنند.

مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR[7]) سازمان‌ها را ملزم به پیاد‌ه‌سازی کنترل‌های دسترسی و امنیتی قوی کرده است. بنابراین سازمان‌ها باید از حریم خصوصی و داده‌های شخصی شهروندان و کسب‌وکارهای اتحادیه اروپا حفاظت کنند. در آمریکا هم قوانین مشابهی برای محافظت از حریم خصوصی کاربران وضع شده است. برای پیروی از چنین قوانینی باید جنبه‌های مختلفی از سیستم IAM را خودکارسازی کرده و مطمئن شوید که روال های کاری، فرایندها، حقوق دسترسی و برنامه‌های کاربردی همگی مطابق با این استانداردهای قانونی بوده و با آنها انطباق کامل دارند.

استانداردهای باز IAM

IAM متشکل از استانداردهای مختلف است که باید از آنها پیروی کرده و بر اساس آنها عمل نمود. این استانداردها به عنوان نقطه شروع، مناسب هستند. گارتنر در راهنمای برنامه‌ریزی خود اعلام کرده که سازمان‌ها باید فراتر از پیاده سازی استانداردهای باز عمل نموده و درباره نحوه تطبیق‌پذیری با این استانداردها دقت بیشتری داشته باشند. همچنین می بایست در زمینه مدیریت دسترسی هم به صورت کارآمدتری عمل کنند. مثلاً یکی از توصیه‌های این راهنما این است که تیم IAM باید اسنادی درباره روش‌های پیاده‌سازی و استفاده از این استانداردها بین تمام برنامه‌های کاربردی، دستگاه‌ها و کاربران تهیه کند.

پیام‌های احراز هویت با استفاده از زبان نشانه‌گذاری ادعای امنیت (SAML[8]) (که یک [9]چارچوب XML باز برای مبادله ادعاهای امنیتی است) بین طرف‌های قابل اعتماد مبادله می‌شوند. در واقع SAML می‌تواند بین پلتفرم‌های مختلف که خدمات احراز هویت و صدور مجوز را ارایه می‌کنند، تعامل‌پذیری کافی را ایجاد نماید. البته SAML تنها زبان پروتکل تعریف هویت باز نیست و OpenID، Web Services Trust (WS-Trust) و WS-Federation (که شرکت‌های مایکروسافت و آی‌بی‌ام از آن پشتیبانی می‌کنند) و همچنین پروتکل OAuth (که امکان استفاده از اطلاعات حساب کاربری را برای سرویس‌های شخص ثالث مثل فیسبوک فراهم می‌کند، بدون اینکه رمز عبور کاربر را اعلام نماید) هم جزو این پروتکل‌ها هستند.

بزرگترین تغییری که در استانداردهای هویت از سال 2013 به بعد رخ داده است، استفاده از FIDO توسط یکسری از فروشنده‌های IAM، تولیدکنندگان دستگاه‌ها و سیستم‌های احراز هویت می‌باشد. این سازوکار شامل روش‌هایی برای حذف کامل کلمه عبور با استفاده از کلیدهای امنیتی سخت‌افزاری، روش‌های زیست سنجی و پروفایل‌های گوشی‌های هوشمند است.

 

پیاده‌سازی IAM با چه چالش‌ها و مخاطراتی همراه است؟

با وجود حضور IAM در کل زیرساخت امنیتی سازمان‌ها باید به این نکته توجه داشت که این سیستم همه چیز را تحت پوشش قرار نمی‌دهد. یکی از مشکلات اساسی که وجود دارد مربوط به چگونگی تغییر سیاست‌های تعریف حقوق دسترسی کاربران در آغاز ورود آنها است؛ یعنی دسترسی‌هایی که برای یک کارمند جدید در شرکت فراهم می‌شود. به گفته Cser: «روش‌های فراهم نمودن امکان دسترسی برای کارمندان، پیمانکاران و شرکای جدید، با بخش‌های مختلف ارتباط دارد و چگونگی تخصیص مناسب این حقوق به افراد و مدیران یک مسأله مهم محسوب می‌شود. از این رو سیستم‌های IAM باید بتوانند به صورت خودکار تغییراتی را که در دسترسی‌ها انجام می‌شوند، شناسایی کنند».

مدیر تحقیقات یک نهاد امنیتی در مطلبی وبلاگی نوشته است که این سطح از خودکارسازی به خصوص با در نظر گرفتن روش‌های حذف و اضافه کردن کاربران و همچنین سرویس‌دهی به آنها به صورت خودکار و اثبات مستمر پیروی از استانداردهای قانونی اهمیت ویژه‌ای دارد؛ زیرا تنظیم دستی این کنترل‌ها و حقوق دسترسی برای صدها هزار کاربر امکان‌پذیر نیست. به عنوان مثال نداشتن فرایندهایی خودکار برای کارکنانی که سازمان را ترک کرده اند (و عدم نظارت دوره‌ای بر آن) باعث می‌شود دسترسی‌هایی که نیازی به آنها نیست، به صورت کامل لغو نشوند.

بنا بر گفته های Cser این کار را با استفاده از صفحه گسترده‌های اکسل و سایر روش‌های دستی هم می‌توان انجام داد. از سوی دیگر هر چند محصولات IAM توانایی بیشتری برای مدیریت روال های کاری و فرایندهای کسب و کاری پیدا کرده‌اند ولی پیچیدگی فرایندهای افزودن کاربران جدید، به مرور زمان کمتر نشده است.

همچنین با وجود اینکه در حال حاضر شاهد افزایش استفاده از شبکه‌هایی با رویکرد اعتماد صفر هستیم با این حال، مسأله اصلی داشتن قابلیت نظارت مستمر بر آنها پس از شکل‌گیری روابط جدید در زیرساخت سازمان است. به گفته Cser: «ما باید بر کارهایی که کاربران پس از ورود به سیستم‌ها انجام می‌دهند، نظارت داشته باشیم».

در گام بعدی باید روابط IAM و راهکار ورود یکپارچه (SSO[10]) به صورت دقیق هماهنگ‌سازی شوند. به گفته مؤسسه گارتنر: «هدف، رسیدن به یک سیستم SSO یکپارچه برای هر کاربر است که بتواند دسترسی به تمام برنامه‌های کاربردی مورد استفاده سازمان را کنترل کند. البته این امر لزوماً به معنای استفاده از یک ابزار SSO در کل سازمان نیست».

در مرحله بعدی، آگاه شدن تیم‌های IAM از معماری‌های مختلف ابری است. نمونه‌هایی از اصول امنیتی که در آنها از IAM برای خدمات وب آمازون، پلتفرم ابر گوگل و مایکروسافت آژور استفاده شده است، وجود دارند. استفاده از این روش‌ها در زیرساخت برنامه‌های کاربردی و شبکه یک سازمان کار چالش برانگیزی بوده و پر کردن شکاف امنیتی بین این شرکت‌های ارایه‌دهنده سرویس‌های ابری هم کار چندان ساده‌ای نیست.

در نهایت، مدیران فناوری اطلاعات باید برای هر برنامه کاربردی جدید، یک سیستم مدیریت هویت ایجاد کنند. Cser توصیه کرده برنامه کاربردی مدنظری که قرار است از آن برای آزمایش سیستم‌های IAM و مدیریت هویت استفاده شود را با دقت انتخاب کرده و سپس این فرایند را به سایر برنامه‌های کاربری در سطح سازمان توسعه دهید.

 

اصطلاحات مهم در حوزه IAM

بعضی از اصطلاحات مهم و کاربردی در حوزه IAM به شرح زیر هستند:

 

[1] Identity and Access Management

[2] یک روش احراز هویت دومرحله‌ای که توسط Fido Alliance و با هدف حذف رمزهای عبور از اینترنت و استفاده از پروتکل‌های رمزنگاری ایجاد شده است.

[3] Fast Identity Alliance

[4] Multi-Factor Authentication

[5] DevOps

[6] Adaptive Approaches – در این رویکرد، تصمیم‌گیری بر مبنای شرایط و منابعی که کاربر می‌خواهد به آنها دسترسی داشته باشد، انجام می‌شود. در رویکرد تطبیق‌پذیری ممکن است برای احراز هویت به اطلاعات بیشتری نیاز شود یا دسترسی کاربر فقط به بخش کوچکی از منابع ممکن گردد.

[7] General Data Protection Regulation

[8] Security Assertion Markup Language

[9] فایل XML یا همان زبان نشانه‌گذاری گسترش‌پذیر، زبانی است که چارچوب کلی نشانه‌گذاری متن‌های الکترونیکی را مشخص می‌کند. این زبان، نسخه تغییریافته از زبان برنامه‌نویسی HTML است.

[10] Single-Sign On

[11] Identity as a Service

[12] Lightweight Directory Access Protocol

خروج از نسخه موبایل