مدیریت هویت و دسترسی (Identity Access Management) یک دستورالعمل اصلی برای هر گروه عملیاتی فناوری اطلاعات است. عنصر اول هویت است به این معنا که کاربران ادعای هویتی خود را تأیید کنند. عنصر دوم دسترسی است که مشخص می‌کند کدام کاربر به کدام منابع درون شبکه دسترسی دارد.

معمولا مدیریت این دو مسئولیت بر عهده بخش IT است؛ زیرا آنها به عنوان مدیر تمام سیستم‌ها و سرورها فعالیت می‌کنند. اما فرآیندهای IAM مناسب، نیازمند چیزی بیشتر از فعالیت‌های انسانی هستند. شما این روزها می‌توانید از محصولات هوشمند استفاده کنید تا فعالیت‌ها را عملی‌تر و قابل انعطاف‌تر کنید. در ادامه مدیریت هویت و دسترسی و ارتباط آن با راه‌حل‌ها و شیوه‌های امنیت داده را بررسی خواهیم کرد.

IAM چگونه کار می‌کند؟

هدف هر روش یا ابزار IAM، ترویج بهتر امنیت سایبری درون یک سازمان است. اگر دستورالعمل IAM را به طور کامل نادیده بگیرید، قبل از اینکه ایرادی در سیستم‌‎های دیجیتال شما رخ دهد تنها با یک مسئله روبرو خواهید بود. هکرها و سایر مجرمان سایبری، هرگز دست از شناسایی آسیب‌پذیری‌های رایج در کنترل دسترسی بر نمی‌دارند.

هنگام تنظیم استراتژی  IAM، ابتدا باید تصمیم بگیرید که در شبکه شما افراد چگونه شناسایی شوند. این می‌تواند با شماره کارمندی، نام و یا سایر معیارها باشد. با این کار می‌توانید افراد و تیم‌ها را مرتب کرده و نقش‌های مختلفی را به آنها اختصاص دهید که سطح دسترسی آنها به حوزه‌های مختلف فناوری، مانند درایوهای اشتراک‌گذاری و مکان‌های NTFS، را مشخص می‌کند. گروه‌های فناوری اطلاعات باید بتوانند این مجوزها را به سرعت و به راحتی تنظیم کرده و تغییر دهند.

بسیاری از سازمان‌ها، ایده‌ای به نام دستورالعمل حداقل امتیاز (POLP) را دنبال می‌کنند. این بدان معناست که هنگام تنظیم سیاست‌های امنیتی خود، به هر کاربر حداقل سطح دسترسی لازم برای انجام کارهایشان را اختصاص دهید. دنبال کردن رویکرد POLP، ریسک سازمان و امکان نقض داده شدید را کاهش می‌دهد.

اصطلاحات کلیدی مدیریت هویت و دسترسی

ممکن است به دلیل اصطلاحاتی که وجود دارد فرآیند IAM در ابتدا بسیار پیچیده به نظر برسد. به همین منظور، در اینجا برخی از اصطلاحات کلیدی را بررسی خواهیم کرد.

  • مدیر

منشاء درخواست که اجازه دسترسی به یک منبع را می‌خواهد. مدیر می‌تواند یک شخص یا سیستم اتوماتیک باشد.

  • موجودیت

هویتی که برای مجوز دسترسی استفاده می‌شود. موجودیت معمولا به صورت نقش‌های گروهی یا یک حساب کاربری شخصی است.

  • احراز هویت

اولین مرحله از فرآیند ورود به سیستم، جایی که کاربر برای تأیید هویت و موجودیت خود، اطلاعاتش را وارد می‌کند. کاربران هنوز هم می‌توانند در شبکه شما بدون احراز هویت حضور داشته باشند.

  • مجوز

یک مرحله پشت صحنه از فرآیند ورود به سیستم است که در آن سیستم‌ها تبادل اطلاعات کرده و مشخص می‌کنند که کاربر احراز هویت شده، اجازه انجام عملیات درخواستی را دارد یا خیر.

  • قوانین مدیریت شده

مجموعه‌ای از قوانین که سیستم IAM شما از آن پیروی می‌کند. اینکه کدام کاربران و گروه‌ها به کدام منابع دسترسی دارند در حیطه این قوانین است.

  • خدمات حساب

یک سیستم از حساب کاربری استفاده می‌کند. این حساب‌ها توسط قوانین IAM کنترل می‌شوند.

ابزارها و راه حل‌های مدیریت هویت

مسئولیت IAM در سطح سازمان کاری بزرگ و پیچیده است. خوشبختانه، محصولات بسیار متنوعی طراحی شده‌اند که این کار را ساده‌تر می‌کنند و با ابزارهای فعلی امنیت اطلاعات و مدیریت حوادث (SIEM) شما ادغام می‌شوند. در اینجا ما برخی از کارکردهای اصلی موجود در این ابزارها را توضیح خواهیم داد.

  • تهیه کاربر

سیستم‌های خودکار که به شما این امکان را می‌دهند تا به سرعت حساب‌های شرکت‌های جدید را برای کاربران ایجاد کرده و از طریق رابط کاربری، آنها را به نقش‌ها و گروه‌ها اختصاص دهید.

  • شناسایی یگانه (یکبار ورود)

راه‌حل‎هایی که نیاز به داشتن چندین نام کاربری و رمز عبور را کاهش داده و در عوض به کاربران اجازه می‌دهد تا از طریق یک پورتال مرکزی وارد سیستم شوند و در تمام سیستم‌های داخلی و برنامه‌های دیگر به طور خودکار تایید هویت شوند.

  • تأیید هویت چند عاملی

  • با استفاده از یک ابزار ثانویه، مانند تلفن هوشمند یا نشانه امنیتی، یک لایه تأیید اعتبار اضافه کنید. کاربران با حساب اصلی خود وارد سیستم شده و سپس یک کد منحصر به فرد برای تأیید هویت خود دریافت می‌کنند.

 

  • تایید هویت مبتنی بر ریسک

در این راه حل پویا الگوریتمی برای محاسبه ریسک انجام یک فعالیت خاص توسط کاربر وجود دارد. پس از محاسبه اگر نمره ریسک خیلی زیاد باشد، این عمل مسدود شده و به تیم IT اطلاع داده می‌شود.