مشاركة عبر

التحكم في الوصول

  • مقالة

التحكم في الوصول هو جزء من الأمان الذي يواجهه الأشخاص أولا وغالبا. يرونه عند تسجيل الدخول إلى أجهزة الكمبيوتر والهواتف المحمولة الخاصة بهم، وعندما يشاركون ملفًا أو يحاولون الوصول إلى أحد التطبيقات، وعندما يستخدمون مفتاح بطاقة هوية للدخول إلى مبنى أو غرفة. في حين أن التحكم في الوصول ليس كل شيء في الأمان، فإنه مهم للغاية، ويتطلب اهتمامًا مناسبًا بحيث تكون تجربة المستخدم وضمانات الأمان صحيحة.

شاهد الفيديو التالي لمعرفة كيفية تطوير استراتيجية التحكم في الوصول التي تلبي احتياجاتك المحددة.

من محيط الأمان إلى الثقة المعدومة

يعتمد النهج التقليدي للتحكم في الوصول لتكنولوجيا المعلومات على تقييد الوصول إلى شبكة الشركة ثم استكمالها بمزيد من الضوابط حسب الاقتضاء. يقيد هذا النموذج جميع الموارد على اتصال شبكة مملوك للشركة الذي أصبح مقيداً للغاية بحيث لا يلبي احتياجات مؤسسة ديناميكية.

تحول الثقة المعدومة

يجب أن تتبنى المؤسسات نهج الثقة المعدومة للتحكم في الوصول لأنها تتبنى العمل عن بُعد وتستخدم التكنولوجيا السحابية لتحويل نموذج أعمالها رقمياً ونموذج مشاركة العملاء ومشاركة الموظف ونموذج التمكين.

تساعد كيانات الثقة المعدومة في إنشاء ضمانات الأمان وتحسينها باستمرار، مع الحفاظ على المرونة لمواكبة هذا العالم الجديد. تبدأ معظم رحلات الثقة المعدومة بالتحكم في الوصول والتركيز على الهوية كعنصر تحكم مفضل وأساسي بينما تستمر في تبني تقنية أمان الشبكة كعنصر أساسي. لا تزال تقنية الشبكة وتكتيك محيط الأمان موجودين في نموذج التحكم في الوصول الحديث، لكنهما ليسا النهج السائد والمفضل في إستراتيجية التحكم الكامل في الوصول.

التحكم بالوصول الحديث

يجب على المؤسسات تطوير استراتيجية التحكم في الوصول التي:

  • شامل ومتسق.
  • يطبق مبادئ الأمان بصرامة في جميع أنحاء حزم التكنولوجيا.
  • مرن بما يكفي لتلبية احتياجات المنظمة.

يوضح هذا الرسم التخطيطي جميع العناصر المختلفة التي يجب على المؤسسة مراعاتها لاستراتيجية التحكم في الوصول لأحمال العمل المتعددة والسحب المتعددة ومستويات حساسية الأعمال المختلفة والوصول من قبل كل من الأشخاص والأجهزة.

نظرة عامة على التحكم في الوصول

تتجاوز استراتيجية التحكم بالوصول الجيدة تكتيك واحد أو تقنية واحدة. إنها تتطلب نهجاً عملياً يحتضن التكنولوجيا والتكتيكات الصحيحة لكل سيناريو.

يجب أن يلبي التحكم بالوصول الحديث احتياجات إنتاجية المؤسسة، كما يجب أن يكون:

  • تامين: تحقق بشكل صريح من صحة ثقة المستخدمين والأجهزة أثناء طلبات الوصول، باستخدام جميع البيانات المتوفرة وبيانات تتبع الاستخدام. يجعل هذا التكوين من الصعب على المهاجمين انتحال صفة المستخدمين الشرعيين دون اكتشافهم. كما يجب أن تركز استراتيجية التحكم بالوصول على القضاء على التصعيد غير المصرح به للامتياز، على سبيل المثال، منح امتياز يمكن استخدامه للحصول على امتيازات أعلى. لمزيد من المعلومات حول حماية الوصول المتميز، راجع تأمين الوصول المتميز.
  • متسقه: تأكد من تطبيق ضمانات الأمان باستمرار وسلاسة عبر البيئة. يحسن هذا المعيار من تجربة المستخدم ويزيل فرص المهاجمين في التسلل من خلال نقاط الضعف في تنفيذ التحكم بالوصول غير المترابط أو المعقد للغاية. يجب أن يكون لديك استراتيجية واحدة للتحكم بالوصول تستخدم أقل عدد من محركات النهج لتجنب أوجه عدم تناسق التكوين وانحراف التكوين.
  • شامله: وينبغي إنفاذ سياسة الوصول إلى الموارد ومسارات الوصول قدر الإمكان. يحسن هذا التكوين من التغطية الأمنية ويساعد على احتواء الأمان بسلاسةٍ مع السيناريوهات وتوقعات المستخدمين. استفد من عناصر التحكم بالأمان في البيانات والتطبيقات والهوية والشبكات وقواعد البيانات لدفع إنفاذ النهج إلى الاقتراب من أصول الأعمال التجارية ذات القيمة.
  • يركز على الهوية: تحديد أولويات استخدام الهوية وعناصر التحكم ذات الصلة عند توفرها. توفر عناصر التحكم في الهوية سياقاً ثرياً في طلبات الوصول وسياق التطبيق غير المتاح من نسبة استخدام الشبكة الأولية. لا تزال عناصر التحكم في الشبكات مهمة، وأحياناً تكون هي الخيار الوحيد المتاح (كما هو الحال في بيئات التكنولوجيا التشغيلية)، ولكن يجب أن تكون الهوية دائماً هي الخيار الأول إذا كان متوفراً. سيكون مربع حوار الفشل أثناء الوصول إلى التطبيق من طبقة الهوية أكثر دقةً وإفادةً من كتلة نسبة استخدام الشبكة، مما يجعل من المرجح أن يتمكن المستخدم من تصحيح المشكلة دون استدعاء مكتب المساعدة المُكلَّف.

نموذج الوصول إلى المؤسسة

نموذج الوصول إلى المؤسسة هو نموذج وصول شامل يستند إلى الثقة المعدومة. يعالج هذا النموذج جميع أنواع وصول المستخدمين الداخليين والخارجيين والخدمات والتطبيقات والحسابات المتميزة مع الوصول الإداري إلى الأنظمة.

إضافة مسارات وصول المستخدم والتطبيق

يتم وصف نموذج الوصول إلى المؤسسة بالتفصيل في نموذج الوصول إلى المؤسسة

معروف، موثوق به، مسموح به

أحد المنظورات المفيدة حول تحويل الثقة المعدومة للتحكم في الوصول هو أنه يتحول من عملية ثابتة من خطوتين للمصادقة والتخويل، إلى عملية ديناميكية من ثلاث خطوات تسمى معروفة وموثوقة ومسمومة:

معروف، موثوق به، مسموح به: فعلي

  1. معروفه: المصادقة التي تضمن أنك من تقول أنك. هذه العملية مماثلة للعملية المادية للتحقق من وثيقة تعريف الصور الصادرة عن الحكومة.
  2. موثوق به: التحقق من أن المستخدم أو الجهاز جدير بالثقة بما يكفي للوصول إلى المورد. هذه العملية مماثلة للأمن في المطار الذي يفرز جميع الركاب عن المخاطر الأمنية قبل السماح لهم بدخول المطار.
  3. يسمح: منح حقوق وامتيازات محددة للتطبيق أو الخدمة أو البيانات. هذه العملية مشابهة لشركة طيران تدير المكان الذي يذهب إليه الركاب، وما هي المقصورة التي يجلسون فيها (من الدرجة الأولى، أو درجة رجال الأعمال، أو المدرب)، وما إذا كان عليهم دفع ثمن الأمتعة.

تقنيات التحكم في الوصول الرئيسية

القدرات التقنية الرئيسية التي تمكن التحكم في الوصول الحديث هي:

  • محرك النهج: المكون حيث تقوم المؤسسات بتكوين نهج الأمان التقني لتلبية أهداف إنتاجية المؤسسة وأمانها.
  • نقاط إنفاذ النهج: النقاط التي تفرض، عبر موارد المؤسسة، قرارات النهج المركزية من قبل محرك النهج. تتضمن الموارد البيانات والتطبيقات والهوية والشبكة وقواعد البيانات.

يصور هذا الرسم التخطيطي كيف يوفر Azure Active Directory محرك نهج ونقطة إنفاذ نهج، بحيث يمكن لبروتوكولات الأمان تنفيذ نهج معروف وموثوق به ومسمح به .

معروف، موثوق به، مسموح به: إلكتروني

يمكن توسيع محرك نهج Azure Active Directory إلى نقاط إنفاذ النهج الأخرى، بما في ذلك:

  • التطبيقات الحديثة: التطبيقات التي تستخدم بروتوكولات المصادقة الحديثة.
  • التطبيقات القديمة: عبر وكيل التطبيق Azure AD.
  • VPN وحلول الوصول عن بعد: مثل Cisco AnyConnect و Palo Alto Networks و F5 و Fortinet و Citrix و Zscaler.
  • المستندات والبريد الإلكتروني والملفات الأخرى: عبر حماية البيانات في Microsoft Purview.
  • تطبيقات SaaS: لمزيد من المعلومات، راجع البرامج التعليمية لدمج تطبيقات SaaS مع Azure Active Directory.

قرارات الوصول المستندة إلى البيانات

للوفاء بمبدأ الثقة المعدومة للتحقق الصريح، من الضروري اتخاذ قرار مستنير. يجب أن يكون لمحرك نهج الثقة المعدومة حق الوصول إلى بيانات متنوعة على المستخدمين والأجهزة من أجل اتخاذ قرارات أمان سليمة. يساعد هذا التنوع على تحديد هذه الجوانب بثقة أكبر:

  • ما إذا كان المستخدم الفعلي يتحكم في الحساب.
  • ما إذا كان قد تم اختراق الجهاز من قبل مهاجم.
  • ما إذا كان لدى المستخدم الأدوار والأذونات المناسبة.

أنشأت Microsoft نظام التحليل الذكي للمخاطر الذي يدمج سياق الأمان من العديد من مصادر الإشارات المتنوعة. لمزيد من المعلومات، راجع ملخص التحليل الذكي للمخاطر من Microsoft.

التجزئة: منفصلة للحماية

غالبا ما تختار المؤسسات إنشاء حدود لتقسيم البيئة الداخلية إلى شرائح منفصلة، كجزء من نهج التحكم في الوصول. يهدف هذا التكوين إلى احتواء تلف هجوم ناجح على الجزء الذي تم الهجوم عليه. يتم التجزئة تقليديا باستخدام جدران الحماية أو تقنية تصفية الشبكة الأخرى، على الرغم من أنه يمكن أيضا تطبيق المفهوم على الهوية والتقنيات الأخرى.

للحصول على معلومات حول تطبيق التجزئة على بيئات Azure، راجع مكونات Azure والنموذج المرجعي

العزل: تجنب جدار الحماية ونسيان

العزل هو شكل شديد من أشكال التجزئة التي تكون مطلوبة في بعض الأحيان لحماية الأصول ذات الأهمية البالغة. غالبا ما يتم استخدام العزلة للأصول التي تعتبر بالغة الأهمية للأعمال، ويصعب رفعها إلى السياسة والمعايير الحالية. تشمل فئات الأصول التي قد تتطلب العزل أنظمة التكنولوجيا التشغيلية (OT) مثل:

  • التحكم الإشرافي واكتساب البيانات (SCADA)
  • نظام الرقابة الصناعية (ICS)

الأشخاص، معالجة، تقنية للعزل

يجب تصميم العزلة كنظام كامل للأشخاص/العمليات/التكنولوجيا وأن تكون متكاملة مع العمليات التجارية لتكون ناجحة ومستدامة. يفشل هذا النهج عادة بمرور الوقت إذا تم تنفيذه كنهج تقني بحت دون عمليات وتدريب للتحقق من صحة الدفاعات والحفاظ عليها. من السهل الوقوع في جدار حماية ونسيان التراكب من خلال تعريف المشكلة على أنها ثابتة وتقنية.

في معظم الحالات، هناك حاجة إلى عمليات لتنفيذ العزل، والعمليات التي يجب أن تتبعها فرق مختلفة مثل الأمان وتكنولوجيا المعلومات والتكنولوجيا التشغيلية (OT)، وأحيانا يجب أن تتبعها العمليات التجارية. تتكون العزلة الناجحة عادة من:

  • الأشخاص: تدريب جميع الموظفين والبائعين وأصحاب المصلحة على استراتيجية العزلة وجزءهم فيها. قم بتضمين سبب أهمية ذلك، على سبيل المثال، التهديدات والمخاطر وتأثير الأعمال المحتمل وما يتوقع منها القيام به وكيفية القيام بذلك.
  • عمليه: وضع نهج ومعايير واضحة وعمليات توثيق لأصحاب المصلحة التجاريين والتقنيين لجميع السيناريوهات مثل وصول الموردين، وعملية إدارة التغيير، وإجراءات الاستجابة للمخاطر، بما في ذلك إدارة الاستثناءات. راقب لضمان عدم انحراف التكوين واتباع العمليات الأخرى بشكل صحيح وصرامة.
  • التكنولوجيا: تنفيذ عناصر التحكم التقنية لحظر الاتصالات غير المصرح بها، واكتشاف الحالات الشاذة والتهديدات المحتملة، وتقوية أجهزة الجسر والنقل التي تتفاعل مع البيئة المعزولة، على سبيل المثال، وحدات تحكم المشغل لأنظمة التكنولوجيا التشغيلية (OT).

لمزيد من المعلومات، راجع حماية الأصول: عزل الشبكة.

الخطوات التالية

مهما كانت متطلباتك للتحكم في الوصول، يجب أن تكون استراتيجيتك قائمة على الأساسيات المناسبة. يمكن أن تساعد الإرشادات المقدمة في هذه المقالات، وفي Cloud Adoption Framework، المؤسسات في العثور على النهج الصحيح وتنفيذه.

يتمثل الانضباط التالي في تحديث عمليات الأمان.