الأمان ++: تنفيذ ضوابط إدارة الهوية والوصول (IAM)

الأمان ++: تنفيذ ضوابط إدارة الهوية والوصول (IAM)
ربما تكون إدارة الهوية والوصول (IAM) أهم ضوابط أمن المعلومات. ففي نهاية المطاف، يعد التأكد من أن المستخدم هو من يدعي أنه هو قبل منحه حق الوصول بناءً على مبدأ الحد الأدنى من الامتيازات طريقة سليمة لضمان سرية البيانات وسلامتها وحتى توافرها.
يوجد موضوع إدارة عمليات الوصول المُدارة (IAM) في اختبار CompTIA Security+. الهدف الأساسي الذي يغطي IAM هو 4.6: تنفيذ إدارة الهوية والوصول والحفاظ على إدارة الهوية والوصول والحفاظ عليها. ومع ذلك، يتم أيضًا تضمين مفاهيم الهوية والوصول في العديد من الأهداف ال 28 الأخرى التي يتم تغطيتها في مجالات اختبار +Security+، مثل:
1.2: تلخيص المفاهيم الأمنية الأساسية.
2-5: شرح الغرض من تقنيات التخفيف المستخدمة لتأمين المؤسسة.
3.2: تطبيق مبادئ الأمان لتأمين البنية التحتية للمؤسسة من خلال سيناريو معين.
4.5: بالنظر إلى سيناريو، تعديل قدرات المؤسسة لتعزيز الأمن.
5.1: تلخيص عناصر الحوكمة الأمنية الفعالة.
تابع القراءة لمعرفة المزيد عن IAM. للمزيد من المعلومات حول اختبار + Security+، قم بتنزيل كتابنا الإلكتروني المجاني Security+ أو استكشف المعسكر التدريبي على اختبار + Security+ من SPOTO.
ضوابط IAM التي يجب أن تعرفها
هناك العديد من ضوابط IAM التي يغطيها اختبار + Security+. إليك بعض الضوابط التي يجب أن يكون محترفو الأمن السيبراني على دراية بها:
نماذج التحكم في الوصول: لتنفيذ IAM، من الضروري تحديد كيفية تفاعل كائن (مستخدم أو عملية) مع كائنات أخرى قابلة للتأمين. نماذج التحكم في الوصول هي المسؤولة عن ذلك بالضبط: فهي تُستخدم لإنشاء نموذج يحدد العلاقات بين الأذونات والعمليات والكائنات والموضوعات. هناك بعض النماذج المختلفة التي يجب أن يفهمها المرشحون لاختبار + Security+.
نموذج التحكم بالوصول الإلزامي: في نموذج التحكم الإلزامي في الوصول، يتمتع المستخدمون بسلطة محدودة (أو حتى بدون سلطة على الإطلاق) لتحديد من يمكنه الوصول إلى ملفاتهم. يتم فرض سياسات الوصول من قبل مسؤول النظام، على سبيل المثال، من خلال إنشاء مستويات تصريح للمستخدمين وتصنيف البيانات (عام أو سري أو سري أو سري أو سري للغاية). يمكن للمستخدم الذي يتمتع بمستوى تصريح سري الوصول إلى البيانات المصنفة ضمن هذه الفئة ولكن لا يمكنه منح حق الوصول لمستخدم آخر، حتى وإن كان يعتبر مالكاً للبيانات.
التحكم في الوصول التقديري: باستخدام نموذج التحكم في الوصول التقديري، يمكن تعريف المستخدمين على أنهم مالكو البيانات، مما يعني أنه يمكنهم تحديد من يمكنه الوصول إلى موارد محددة ضمن ملكيتهم. على سبيل المثال، يمكن للمستخدم إنشاء ملف وإعداده بحيث يمكن لمستخدمين آخرين أو مجموعة من المستخدمين أو عملية ما قراءته أو تغييره أو حتى حذفه.
التحكم في الوصول المستند إلى الدور: كما فهمت بالفعل من اسم هذه الطريقة، يتم منح الوصول بناءً على دور الكائن. يمكن اعتبار ذلك حلًا وسطًا بين MAC و DAC. على سبيل المثال، يمكن أن يكون الدور مجموعة أو منصبًا وظيفيًا أو مستوى تصريح أمني؛ ويتم منح المستخدمين الذين هم أعضاء في دور معين حق الوصول بناءً على ذلك.
التحكم في الوصول القائم على القواعد: في هذا النموذج، يعتمد التحكم في الوصول على قواعد تسمح أو ترفض الوصول إلى الموارد. أحد أبسط الأمثلة على هذه الطريقة هي قوائم التحكم في الوصول (ACLs) التي يشيع استخدامها من قبل أجهزة التوجيه. يمكن استخدام القواعد لتحديد عناوين بروتوكول الإنترنت (المصادر أو الوجهات) و/أو المنافذ المسموح بها من خلال جهاز التوجيه.
التحكم في الوصول المادي: من حيث المبدأ، لا يختلف تطبيق ضوابط الأمان على البيئة المادية عن حماية البيانات البحتة. يجب فرض ضوابط لضمان تأكيد الهوية قبل منح حق الوصول، وبمجرد منح حق الوصول بالفعل، يتم تقييده ومراقبته.
بطاقات القرب: من الشائع جداً استخدام بطاقات القرب لمنح الوصول إلى الأبواب أو أقفال الأبواب. يقوم المستخدم ببساطة بتحريك البطاقة بالقرب من القارئ، وبسرعة! يفتح الباب. في الحقيقة، بطاقة القرب هي جهاز سلبي، يتم تشغيلها حثيًا بواسطة القارئ، وتخزن كمية صغيرة من المعلومات، وعادةً ما تكون معرفًا واحدًا. بمجرد قراءة هذا المعرف، يتم التحقق من صحة هذا المعرف ويمنح أو يمنع الدخول.
البطاقات الذكية: على الرغم من تشابهها في الشكل مع بطاقات التقارب، إلا أن البطاقات الذكية مدمجة مع رقائق الدوائر المتكاملة التي يمكنها تخزين المزيد من البيانات، مثل مفتاح التشفير للمصادقة مع القارئ. قد تحتوي البطاقات الذكية أيضًا على بيانات مفيدة لأشكال أخرى من المصادقة، مثل المقاييس البيومترية التي تكون كبيرة جدًا للمصادقة عن بُعد بكميات كبيرة. من النقاط المهمة التي يجب تذكرها فيما يتعلق بالمصادقة هي أن كلاً من بطاقات القرب والبطاقات الذكية تندرج ضمن فئة الشيء الذي تملكه. نظرًا لأن فقدان مثل هذه البطاقة أمر شائع إلى حد ما، فإن الاعتماد عليها فقط للوصول المادي يمكن أن يخلق فجوة أمنية كبيرة. أفضل نهج يجمع بين عوامل متعددة، مثل شيء تعرفه (كلمة مرور) أو شيء أنت عليه (قراءة بيومترية).
العوامل البيومترية: يمكن استخدام العديد من السمات الجسدية لجسم الإنسان لأغراض تحديد الهوية/المصادقة، بما في ذلك قراءة بصمات الأصابع وشبكية العين وقزحية العين والتعرف على الصوت/الوجه وحتى شكل الأذن. وبما أن هذا يندرج تحت فئة “شيء ما أنت عليه”، فإنه عادةً ما يساعد في منع حدوث مشاكل مثل نسيان المستخدم لكلمة المرور أو فقدان البطاقة. اعتمادًا على السمة المادية المستخدمة، يمكن أن توفر القياسات الحيوية مستوى عالٍ من الدقة، مما يقلل من معدل القبول الخاطئ (FAR) (الحالات التي يقبل فيها نظام الأمان البيومتري بشكل غير صحيح محاولة دخول من قبل مستخدم غير مصرح له). من المهم أيضًا مراقبة معدل الرفض الخاطئ (FRR)، وهي الحالات التي يُرفض فيها دخول مستخدم مصرح له بشكل غير صحيح. معدل الخطأ التبادلي (CER) هو المعدل الذي يتساوى فيه كل من FRR و FAR. فيما يتعلق بالحماية، كلما انخفض معدل الخطأ التبادلي، كان نظام المقاييس الحيوية أفضل (وأكثر أماناً).
الرموز من أفضل طرق المصادقة لديك هو استخدام رمز مميز. يمكن أن يكون ذلك جهازاً مادياً، وعادةً ما يكون صغير الحجم، على غرار عصا USB، أو حلاً قائماً على البرمجيات، مثل تطبيق مثبت على جهاز محمول. يمكن استخدام الرموز المادية إما لتخزين معلومات المصادقة المشفرة (مثل شهادة)، مما يجعل من الضروري توصيل الجهاز فعليًا، عادةً في منفذ USB، للمصادقة، أو أن يكون لها آلية مثل زر يجعل الجهاز يعرض كلمة المرور بمجرد الضغط عليه. يمكن للرموز إنشاء كلمات مرور إما باستخدام خوارزمية كلمة مرور لمرة واحدة تستند إلى الوقت (TOTP)، أو إنشاء كلمات مرور جديدة على فترات زمنية ثابتة (كلمة مرور جديدة كل 60 ثانية، على سبيل المثال) أو تنفيذ خوارزمية كلمة مرور لمرة واحدة تستند إلى HMAC (HOTP)، بحيث لا يتم إنشاء كلمات مرور جديدة على فترات زمنية ثابتة، ولكن باستخدام دالة أحادية الاتجاه غير متكررة مثل التجزئة أو رمز مصادقة رسالة التجزئة (HMAC).
المصادقة المستندة إلى الشهادة: الشهادات (أو الشهادات الرقمية) هي شكل من أشكال تقنية المصادقة المستندة إلى الثقة من طرف ثالث والتي تستخدم تشفير المفتاح العام غير المتماثل. يمكن استخدام الشهادات للتحقق من هوية الأجهزة والتطبيقات والأنظمة والشبكات والمؤسسات. تعتبر الشهادات في جوهرها ملفات رقمية يمكن تخزينها (بشكل آمن أو غير آمن) في مجلد نظام أو على أجهزة مثل البطاقات الذكية والرموز المميزة. يمكن فقدان هذه الملفات، أو الأسوأ من ذلك، يمكن سرقتها واستخدامها كأساس لهجوم انتحال شخصية، لذلك يجب التعامل معها بعناية. هناك حل أكثر أماناً لتخزين الشهادات وهو استخدام وحدة أمان الأجهزة (HSM)، وهو جهاز مادي يقوم بحماية وإدارة المفاتيح الرقمية للمصادقة القوية وتوفير معالجة التشفير.
أمان أفضل من خلال تطبيق إدارة الهوية والوصول
كما ذكرنا سابقاً، يعد تنفيذ ضوابط إدارة الهوية والوصول مهمة رئيسية يجب أن يكون أي متخصص جيد في أمن المعلومات على دراية بها. على سبيل المثال، عند تصميم نظام جديد، تعتبر إدارة الهوية والوصول من الاعتبارات الرئيسية لمهندس الأمن. من ناحية أخرى، يجب أن يفهم المختبر الخماسي كيفية عمل المصادقة إذا كان من المفترض أن يستغلها. وينطبق نفس القياس على الحماية المادية، حيث يجب أن يكون خبراء أمن المعلومات قادرين على تصميم واختبار ضوابط تحديد الهوية/المصادقة للمناطق الحساسة مثل مركز البيانات.
في النهاية، يعد تطبيق ضوابط IAM موضوعًا مهمًا إلى حد ما في اختبار + Security+، لذلك يجب على المرشحين الاستعداد وفقًا لذلك.
لمعرفة المزيد عن شهادة + Security+، راجع مركز شهادة + Security+.