مصطلح إدارة الهوية والوصول (IAM) في أمن البيانات

ما هي إدارة الهوية والوصول (IAM)

إدارة الهوية والوصول – identity and access management (اختصارًا IAM أو IdAM) هي طريقة لمعرفة من هو المستخدم وما هو مسموح له بفعله.

 تشبه IAM حارس الوزارة ومعه مع قائمة بمن يُسمح له بالدخول ومن لا يُسمح له بالدخول ومن يمكنه الوصول إلى منطقة الشخصيات الهامة ، كما تسمى IAM أيضًا إدارة الهوية (IdM).

داخل المؤسسة ، قد تكون IAM منتجًا واحدًا ، أو قد تكون مزيجًا من العمليات ومنتجات البرامج والخدمات السحابية والأجهزة التي تمنح المسؤولين رؤية وتحكمًا في البيانات التنظيمية التي يمكن للمستخدمين الفرديين الوصول إليها.

باختصار : تتحقق أنظمة إدارة الهوية والوصول (IAM) من هويات المستخدم وتتحكم في امتيازات ورتب مستخدمي الشبكة وكيفية الوصول إليها.

كيف تعمل IAM

تؤدي حلول إدارة الهوية بشكل عام  مهمتين رئيسيتين :

1. تؤكد IAM أن المستخدم أو البرنامج أو الجهاز هو من يقولون عن طريق مصادقة بيانات الاعتماد الخاصة بهم مقابل قاعدة بيانات ، حيث تعد أدوات الهوية السحابية لـ IAM أكثر أمانًا ومرونة من حلول اسم المستخدم وكلمة المرور التقليدية.

2. تمنح أنظمة إدارة الوصول إلى الهوية المستوى المناسب فقط من الوصول ، فبدلاً من اسم المستخدم وكلمة المرور اللذين يسمحان بالوصول إلى مجموعة برامج كاملة ، تسمح IAM بتقسيم شرائح الوصول وتضييقها  ، أي المدير والمسؤول والمعلق ، المحرر، والكاتب في نظام إدارة المحتوى على سبيل المثال.

الفرق بين إدارة الهوية وإدارة الوصول

تؤكد إدارة الهوية “Identity Management ” أنك أنت وتخزن معلومات عنك. تحتوي قاعدة بيانات إدارة الهوية على معلومات حول هويتك – على سبيل المثال ، المسمى الوظيفي وتقاريرك المباشرة – وتثبت أنك بالفعل الشخص الموصوف في قاعدة البيانات.

تستخدم إدارة الوصول “Access Management” المعلومات المتعلقة بهويتك لتحديد مجموعات البرامج التي يُسمح لك بالوصول إليها وما يُسمح لك بفعله عند الوصول إليها.

ما هي إدارة الوصول

إدارة الوصول -access management هي عملية التحكم في الوصول وتتبعه ، سيكون لكل مستخدم داخل النظام امتيازات مختلفة داخل هذا النظام بناءً على احتياجاته الفردية ، حيث يشير “الوصول” إلى البيانات التي يمكن للمستخدم رؤيتها والإجراءات التي يمكنه القيام بها بمجرد تسجيل الدخول.

 على سبيل المثال : بمجرد أن يقوم “أحمد” بتسجيل الدخول إلى بريده الإلكتروني ، يمكنه رؤية جميع رسائل البريد الإلكتروني التي أرسلها واستقبلها  ، بينما لا ينبغي أن يكون قادرًا على رؤية رسائل البريد الإلكتروني المرسلة والمستلمة إلى “علي”زميله في العمل.

بعبارة أخرى ، لمجرد التحقق من هوية المستخدم ، فهذا لا يعني أنه يجب أن يتمكن من الوصول إلى ما يريد داخل نظام أو شبكة 

على سبيل المثال ، يجب أن يكون الموظف ذو المستوى المنخفض داخل الشركة قادرًا على الوصول إلى حساب البريد الإلكتروني للشركة ، ولكن لا ينبغي أن يكون قادرًا على الوصول إلى سجلات كشوف المرتبات أو معلومات الموارد البشرية.

ما هي الهوية في عالم الحوسبة 

لا يمكن تحميل الهوية الكاملة للشخص وتخزينها في جهاز كمبيوتر ، لذا فإن “الهوية” في سياق الحوسبة تعني مجموعة معينة من الخصائص التي يمكن قياسها وتسجيلها رقميًا بشكل ملائم.

الأمر يشبه بطاقة الهوية الشخصية : لا يتم تسجيل كل حقيقة عن الشخص في بطاقة الهوية ، ولكنها تحتوي على خصائص شخصية كافية بحيث يمكن مطابقة هوية الشخص بسرعة مع بطاقة الهوية.

للتحقق من هوية المستخدم ، يقوم نظام الكمبيوتر بتقييم المستخدم للخصائص الخاصة به ـ إذا كانت متطابقة يتم تأكيد هوية المستخدم ، وتُعرف هذه الخصائص أيضًا باسم “عوامل المصادقة” ، لأنها تساعد في المصادقة على أن المستخدم هو نفسه كما يقول.

عوامل المصادقة الثلاثة الأكثر استخدامًا

1. شيء يعرفه المستخدم 

شيء يعرفه المستخدم: هذا العامل هو معلومة يجب أن يمتلكها مستخدم واحد فقط ، مثل اسم المستخدم وكلمة المرور

تخيل أن أحمد يريد استخدام بريده الإلكتروني الخاص بالعمل للقيام بذلك ، يجب عليه أولاً تسجيل الدخول إلى حساب البريد الإلكتروني الخاص به عن طريق إثبات هويته ، لأنه إذا قام شخص ما ليس أحمد بالوصول إلى البريد الإلكتروني الخاص بأحمد ، فسيتم اختراق بيانات الشركة.

سيقوم أحمد بتسجيل الدخول عن طريق إدخال بريده الإلكتروني  ahmed@company.com ، وكلمة المرور التي يعرفها فقط – ولتكن (aa55*) من المفترض أن لا أحد غير أحمد يعرف كلمة المرور هذه ، لذلك يتعرف نظام البريد الإلكتروني على أحمد ويسمح له بالوصول إلى حساب بريده الإلكتروني.

لكن إذا حاول شخص آخر انتحال شخصية أحمد بإدخال عنوان بريده الإلكتروني كـ “ahmed@company.com ، فلن ينجح بدون معرفة كتابة (aa55*) ككلمة المرور

2. شيء يملكه المستخدم

يشير هذا العامل إلى امتلاك رمز مادي يتم إصداره للمستخدمين المصرح لهم ،في سياق الحوسبة ، يمكن أن يكون الكائن المادي عبارة عن جهاز USB أو الهاتف ذكي.

 افترض أن المؤسسة التي يعمل بها أحمد  أرادت أن تكون أكثر ثقة من أن جميع المستخدمين هم بالفعل من قالوا إنهم من خلال التحقق من عاملي مصادقة بدلاً من عامل واحد. 

الآن ، بدلاً من مجرد إدخال كلمة المرور السرية الخاصة به – الشيء الذي يعرفه المستخدم – يجب على أحمد أن يثبت لنظام البريد الإلكتروني أنه يمتلك شيئًا لا يمتلكه أي شخص آخر ، على سبيل المثال  أحمد هو الشخص الوحيد في العالم الذي يمتلك هاتفه الذكي الشخصي ، لذلك يرسل له نظام البريد الإلكتروني رمزًا يستخدم لمرة واحدة ، ويكتب أحمد الرمز لإثبات ملكيته للهاتف.

3.المستخدم نفسه

هذا يشير إلى خاصية مادية لجسد المرء.

 من الأمثلة الشائعة على عامل المصادقة هذا في العمل هو Face ID ، وهي الميزة التي توفرها العديد من الهواتف الذكية الحديثة وكذلك خاصية  مسح بصمات الأصابع .

تخيل أن مؤسسة أحمد قررت تشديد الأمن أكثر من خلال جعل المستخدمين يتحققون من ثلاثة عوامل بدلاً من اثنين ، الآن سيقوم أحمد بإدخال كلمة المرور الخاصة به ، والتحقق من حيازة هاتفه الذكي ، ومسح بصمة إصبعه قبل أن يؤكد نظام البريد الإلكتروني أنه هو بالفعل أحمد.

الخلاصة : في العالم الحقيقي ، تعد هوية الفرد مزيجًا معقدًا من الخصائص الشخصية والتاريخ والموقع وعوامل أخرى ، لكن في العالم الرقمي  تتكون هوية المستخدم من بعض أو كل عوامل المصادقة الثلاثة المخزنة رقميًا في قاعدة بيانات الهوية ، و لمنع المحتالين من انتحال هوية المستخدمين الحقيقيين ، ستتحقق أنظمة الكمبيوتر من هوية المستخدم في مقابل قاعدة بيانات الهوية

مبدأ الثقة المعدومة Zero Trust  و إدارة الهوية والوصول

أمان الثقة المعدومة أو الثقة الصفرية  هو نموذج يتحقق بدقة من هوية كل مستخدم وجهاز متصل بالموارد على الشبكة ، سواء كان المستخدم أو الجهاز داخل أو خارج محيط الشبكة ، و يرتبط Zero Trust ارتباطًا وثيقًا بـ IAM ، نظرًا لأنه يعتمد على التحقق من الهوية وتقييد الوصول.

يستخدم Zero Trust مصادقة متعددة العوامل (MFA) ، والتي تتحقق من عاملين أو ثلاثة من عوامل الهوية المذكورة أعلاه بدلاً من عامل واحد فقط ، كما يتطلب أيضًا تنفيذ مبدأ الامتياز الأقل (least privilege) للتحكم في الوصول. 

الأهم من ذلك ، بمجرد تأكيد هوية الشخص ، لا تزال الثقة المعدومة (Zero Trust) لا تثق تلقائيًا في تصرفات هذا الشخص بناءََ على ذلك ، يتم مراقبة كل طلب وتفتيشه بشكل فردي بحثًا عن أي نشاط مخترق.

الأدوات اللازمة لتفعيل إدارة الهوية والوصول

يتم الحصول على الأدوات اللازمة لتفعيل إدارة الهوية والوصول من موفري الهوية (IdP) وهو منتج أو خدمة تساعد في إدارة الهوية ، وغالبًا ما يتعامل IdP مع عملية تسجيل الدخول الفعلية ،و 

يندرج أيضا ََ مقدمو خدمة تسجيل الدخول الأحادي (SSO) ضمن هذه الفئة ، ويمكن أن يكون موفرو الهوية جزءًا من إطار عمل IAM ، لكنهم لا يساعدون عادةً في إدارة وصول المستخدم.

تشمل الأدوات اللازمة لتنفيذ IAM أدوات إدارة كلمات المرور ، وتطبيقات تنفيذ سياسة الأمان ، وتطبيقات الإبلاغ والمراقبة ، يمكن أن تشمل أدوات IAM ، على سبيل المثال لا الحصر:

• MFA
  المصادقة متعددة العوامل تعني أن مزود IAM الخاص بك يتطلب أكثر من نوع واحد من الإثبات على أنك من تقول أنت. مثال نموذجي يتطلب كلمة مرور وبصمة الإصبع.
• SSO
  يرمز SSO إلى تسجيل الدخول الأحادي ، إذا كان مزود IAM الخاص بك يوفر تسجيل دخول واحد ، فهذا يعني أنه يمكن للمستخدمين تسجيل الدخول مرة واحدة فقط ثم التعامل مع أداة إدارة الهوية والوصول باعتبارها “بوابة” لمجموعات البرامج الأخرى التي يمكنهم الوصول إليها ، كل ذلك دون تسجيل الدخول إلى كل واحدة .

الخاتمة

• تضمن إدارة الهوية والوصول (IAM) أن الأشخاص المناسبين والأدوار الوظيفية في مؤسستك (الهويات) يمكنهم الوصول إلى الأدوات التي يحتاجونها للقيام بوظائفهم. 
  
• تمكّن أنظمة إدارة الهوية والوصول مؤسستك من إدارة تطبيقات الموظفين دون تسجيل الدخول إلى كل تطبيق كمسؤول. 
  
• تمكّن أنظمة إدارة الهوية والوصول مؤسستك من إدارة مجموعة من الهويات بما في ذلك الأشخاص والبرامج والأجهزة مثل الروبوتات وأجهزة إنترنت الأشياء.

إقرأ أيضاََ : كلمات المرور هل اصبحت من الماضي