در ابتدا سیستم های مدیریت هویت از بخش های پایه مختلفی تشکیل شده بود. این بخش ها شامل روش های مختلف احراز هویت برای تایید هویت فرد بود از جمله گذرواژه، گواهینامه دیجیتالی و غیره با پیشرفت فناوری، روش های مدرنی طراحی شد که شامل عناصر زیست سنجی بود. با توجه به پیشرفت و پیچیدگی روزافزون محیط فناوری، ظرف چند سال اخیر، تغییرات مهم زیادی در سیستم های مدیریت دسترسی هویت یا IAM پدید آمده است. چرا که یک نام کاربری و گذرواژه قوی دیگر چندان مؤثر نیست. پیشرفته ترین سیستم های امروزی شامل عناصر زیست سنجی، هوش مصنوعی و یادگیری ماشینی و احراز هویت ریسک محور است. مدیریت دسترسی هویت چارچوبی از سیاست هایی است که امتیازهای خاص وسایل و کاربران یک شرکت را تعریف و مدیریت می کند. این ابزار اطمینان می دهد که کاربران صحیح به منابعی که نیاز دارند دسترسی پیدا کنند. مدیران فناوری اطلاعات با استفاده از چارچوب IAM می توانند دسترسی کاربر به اطلاعات ضروری را برای کارمندان، پیمانکاران، شرکا و سایر افراد تنظیم کنند.
مدیریت دسترسی هویت یا IAM
مدیریت هویت و دسترسی یا Identity and Access Management که به اختصار با IAM نشان داده می شود، تضمین می کند که افراد و نقش های شغلی مناسب در سازمان شما می توانند به ابزارهایی که برای انجام کارهای خود نیاز دارند دسترسی داشته باشند. مدیریت هویت و سیستم های دسترسی، سازمان شما را قادر می سازد تا برنامه های کاربردی کارمندان را بدون نیاز به ورود به هر برنامه به عنوان کاربر سرپرست، مدیریت کند. سیستم های مدیریت هویت و دسترسی، سازمان شما را قادر می سازد تا طیف وسیعی از هویت ها از جمله افراد، نرم افزار و سخت افزار مانند دستگاه های روباتیک و IoT را مدیریت کند. این کاربران ممکن است مشتریان یا مدیریت هویت مشتری همچنین کارمندان یا مدیریت هویت کارمندان باشند.
هدف اصلی سیستم های IAM ایجاد یک هویت دیجیتالی برای هر فرد است. پس از ایجاد هویت دیجیتال، باید چرخه دسترسی هر کاربر حفظ، اصلاح و نظارت شود. پس هدف اصلی این سیستم، اعطای دسترسی افراد صحیح به منابع صحیح در زمان صحیح و با مجوز صحیح و با علت صحیح است. سیستم های IAM ابزار و فناوری های لازم را در اختیار مدیران قرار می دهند تا در صورت لزوم به تغییر نقش کاربر، ردیابی فعالیت و گزارش فعالیت های آن ها بپردازند و سیاست ها را به صورت مداوم اجرا کنند.این سیستم به گونه ای طراحی شده است که امکان مدیریت دسترسی کاربر به کل شرکت و اطمینان از مطابقت آن با سیاست های شرکت و مقررات دولتی را می دهد.
ادمین های IT با استفاده از راهکارهای IAM می توانند هویت های دیجیتال و دسترسی های ویژه ی آن ها را به شکلی امن و مؤثر مدیریت کنند. این ادمین ها می توانند با استفاده از IAM، نقش های کاربران را تعریف کرده و تغییر دهند، فعالیت های کاربران را ردیابی و گزارش نمایند و خط مشی های شرکت و انطباق با مقررات را اعمال کنند تا از امنیت و حریم خصوصی داده ها محافظت به عمل آید. یک راهکار IAM ممکن است به صورت مجموعه ای از چندین فرآیند و ابزار و از جمله، راهکار کنترل دسترسی به شبکه یا network access control که به اختصار NAC است باشد. ادمین های IT از راهکارهای NAC برای کنترل دسترسی به شبکه استفاده می کنند. این کار به وسیله ی قابلیت هایی همچون مدیریت چرخه ی عمر ، خط مشی ها، دسترسی مهمان به شبکه و بررسی وضعیت امنیت انجام می شود. راهکارهای IAM ممکن است به صورت سرویس های ابری بوده یا بر روی سرورهای محلّی ارائه شود. همچنین، ممکن است به صورت راهکارهای ترکیبی یعنی هم بر روی سرورهای محلّی و هم بر روی ابر باشد. بسیاری از شرکت ها از اپلیکیشن های ابری برای خدمات IAM خود استفاده می کنند، زیرا پیاده سازی، به روزرسانی و مدیریت آن ساده تر است.
عملکردهای اصلی با استفاده از ابزارها در سیستم های IAM در موارد زیر ارائه میگردد:
1. مدیریت هویت کاربران : سیستم های IAM می توانند تنها دایرکتوری مورد استفاده برای ایجاد، اصلاح و حذف کاربران باشند، یا ممکن است با یک یا چند فهرست دیگر ادغام شوند و با آن ها همگام شوند. مدیریت هویت و دسترسی نیز می تواند برای کاربرانی که نیاز به نوع تخصصی دسترسی به ابزارهای سازمان دارند، هویت های جدیدی ایجاد کند.
2. تعیین ابزارها و سطوح دسترسی کاربران: تعیین ابزارها و سطوح دسترسی برای اعطا به یک کاربر، تامین نامیده می شود. ابزارهای IAM به دپارتمان های فناوری اطلاعات اجازه می دهند تا با مشورت مدیران آن بخش، کاربران را بر اساس نقش، بخش یا گروه های دیگر تامین کنند. از آنجایی که تعیین دسترسی هر فرد به هر منبع زمان بر است، سیستم های مدیریت هویت تامین را از طریق سیاست های تعریف شده بر اساس کنترل دسترسی مبتنی بر نقش یا RBAC امکان پذیر می کنند. به کاربران یک یا چند نقش اختصاص داده می شود که معمولا بر اساس عملکرد شغلی است و سیستم RBAC IAM به طور خودکار به آن ها دسترسی می دهد. محروم کردن نیز برعکس عمل می کند. برای جلوگیری از خطرات امنیتی ناشی از مجوزهای کارکنان سابق که دسترسی به سیستم ها را حفظ می کنند، IAM به سازمان شما اجازه می دهد تا به سرعت دسترسی آن ها را حذف کند.
3. احراز هویت کاربران: سیستم های IAM با تأیید اینکه کاربر همان کسی است که ادعا می کند، احراز هویت می کنند. امروزه احراز هویت امن به معنای احراز هویت چند عاملی یا MFA و ترجیحا احراز هویت تطبیقی است.
4. مجوز دادن به کاربران: مدیریت دسترسی تضمین می کند که کاربر به سطح و نوع دقیق دسترسی به ابزاری را که حقش است، دسترسی داشته باشد. کاربران همچنین می توانند به گروه ها یا نقش ها تقسیم شوند تا گروه های بزرگی از کاربران بتوانند از امتیازات یکسان برخوردار شوند.
5. گزارش نویسی: ابزارهای IAM پس از اکثر اقدامات انجام شده در پلتفرم مانند زمان ورود به سیستم، دسترسی به سیستم ها و نوع احراز هویت، گزارش ها را برای اطمینان از انطباق و ارزیابی خطرات امنیتی ایجاد می کنند.
6. دسترسی با یک بار ورود: راه حل های مدیریت هویت و دسترسی با یک ورود SSO به کاربران این امکان را می دهد که هویت خود را به جای منابع مختلف، با یک پورتال احراز کنند. پس از احراز هویت، سیستم IAM به عنوان مرجع هویت برای سایر منابع در دسترس کاربر عمل می کند و الزام کاربر به ، به خاطر سپردن چندین رمز عبور را حذف می کند.
در رایانش ابری، داده ها از راه دور ذخیره می شوند و از طریق اینترنت قابل دسترسی هستند. از آنجایی که کاربران می توانند تقریباً از هر مکان و هر دستگاهی به اینترنت متصل شوند، اکثر سرویس های ابری دستگاه ها و مکان یابی را تشخیص می دهند. کاربران دیگر نیازی به حضور در دفتر یا دستگاه متعلق به شرکت برای دسترسی به ابر ندارند. هویت به جای محیط شبکه به مهم ترین نقطه کنترل دسترسی تبدیل می شود. هویت یک کاربر، نه دستگاه یا مکان او، تعیین می کند که به چه داده های ابری می تواند دسترسی داشته باشد و آیا اصلاً می تواند دسترسی داشته باشند. برای درک اینکه چرا هویت بسیار مهم است، در اینجا یک مثال آورده شده است. فرض کنید یک مجرم سایبری می خواهد به فایل های حساس در مرکز داده یک شرکت دسترسی پیدا کند. قبل از توسعه استفاده از رایانش ابری، مجرم سایبری باید از فایروال شرکتی که از شبکه داخلی محافظت می کند عبور می کرد و یا با نفوذ به ساختمان یا رشوه دادن به یک کارمند داخلی، به طور فیزیکی به سرور دسترسی پیدا می کرد. هدف اصلی مجرم عبور از محیط شبکه بود. IAM به جلوگیری از حملات مبتنی بر هویت و نقض داده ها که از افزایش امتیازات ناشی می شوند کمک می کند. بنابراین، سیستم های IAM برای محاسبات ابری و برای مدیریت تیم های راه دور ضروری هستند. محیط شبکه به لبه های یک شبکه داخلی اشاره دارد. یک مرز مجازی که شبکه داخلی ایمن مدیریت شده را از اینترنت ناامن و کنترل نشده جدا می کند. همه رایانه های موجود در یک دفتر، به علاوه دستگاه های متصل مانند چاپگرهای اداری، در این محدوده قرار دارند.
شرکت ها باید اقدامات زیادی انجام دهند تا اطمینان یابند افراد درست به اطلاعات درست دسترسی دارند. این کار اغلب نیازمند تعیین سیاست ها و شناسایی افراد و سمت های دقیقی است که قرار است به داده های ویژه دسترسی داشته باشند. IAM برای دستیابی به این هدف از اصل حداقل مزایا استفاده می کند. در این مورد، کاربر فقط حق دسترسی به اطلاعاتی را دارد که می تواند در انجام وظایف روزانه اش به او کمک کند. IAM با این کنترل دسترسی در زمان واقعی، به شرکت ها کمک می کند مدیریت ریسک و الزامات تبعیت از قوانین را انجام دهند. فناوری های مدرن می توانند تبعیت شرکت از قوانین مربوط به الزامات کارهایشان را تعیین کنند. IAM برای حفاظت از دسترسی به منابع شرکت اهمیت زیادی دارد، و فشار سازمانی زیادی در این زمینه وجود دارد. شرکت ها باید اطمینان یابند که سیستم های مناسب ، جریان اطلاعات را در تیم خود ساخته اند تا همه افراد بتوانند اطلاعاتی که در شغل خود به آن نیاز دارند را دریافت کنند. در این بخش IAM نقش قابل توجهی ایفا می کند و دسترسی و کنترل خودکار به همه دارایی های شرکت را امکان پذیر می کند. معمولاً متخصصان فناوری اطلاعات تصور می کنند مدیریت دسترسی هویت یا IAM مناسب شرکت های بزرگ تر است و داشتن چنین سیستمی به منابع مالی زیادی نیاز دارد، اما در واقعیت، فناوری در دسترس همه است. این فناوری ویژگی های ارزشمندی دارد و همیشه با چشم انداز امنیتی به روز، متناسب سازی می شود.
عیارهایی در چارچوب IAM وجود دارد که برای موارد ویژه بسیار موثر و کارآمد بوده اند و موجب بهبود فرایند کلی کارها شده اند. هشت KPI یا شاخص عملکرد کلیدی وجود دارد که در چرخ هویت بر اساس ایزو ۲۷۰۰۱ تنظیم شده است، که بصورت موارد زیر میباشد:
• مجموعه هویت ها و نقش ها: این معیاری ساده است که کیفیت فرایندهای IAM را به ما نشان می دهد. اگر تعداد کاربران یک سیستم بیش از تعداد کلی کارکنان شرکت است، یک جای کار اشتباه پیش می رود. نظارت بر این معیارها می تواند به آشکار شدن مسائل جالب توجهی درباره یک پایگاه داده، کمک کند.
• حساب های بدون کاربر فعال: یکی از روش های دسترسی به منابع سازمان، استفاده از حساب هایی است که دیگر فعال نیستند. این حساب ها شامل حساب های کارکنان قدیمی است که در گذشته از آن استفاده می کردند و هنوز بسته نشده است.
• حساب های امتیاز خاص: معمولا حساب هایی در شرکت وجود دارند که حقوق و دسترسی بیشتری نسبت به سایر حساب ها دارند. مدیران فناوری اطلاعات باید نظارت شایسته ای بر این حساب ها داشته باشند تا از شرایط ریسک آمیز در رابطه با آن پیشگیری کنند.
• کاربرانی با حقوق دسترسی اضافی: این مورد تا حدی متفاوت از مورد قبلی است. زیرا بر حساب هایی تمرکز دارد که به صورت تصادفی، دسترسی های بسیار زیادی دارند. در این صورت نقطه تمرکز متفاوت است.
• تجزیه وظایف : SoD در صورت اجرای مناسب، یکی از دشوارترین و پرهزینه ترین فرایندها است. هدف آن تکثیر درست و مناسب وظایف و مجوزها در بین تعداد زیادی از افراد است. این روش نه تنها به پیشگیری از کلاهبرداری کمک می کند بلکه شامل حفظ حریم شخصی و امنیت نیز است.
• بهداشت هویت: این روش ارتباط متقابل قوی با امنیت اطلاعات دارد. این معیار نه تنها به پیشگیری از ریسک ها کمک می کند بلکه حفظ امنیت در آن نیز به تلاش کمتری نیاز دارد.
• کیفیت داده: کیفیت داده درباره نتایج صحیح همه کنترل هایی که پیش تر درباره آن صحبت کردیم، اطمینان می دهد. داده های مرتبط باید صحیح باشند. معمولاً فرایندها با کمک سیستم های IAM خودکارسازی می شوند و به همین دلیل است که این معیار ارزشمندی است.
• ویژه کسب وکار: این معیار ویژه تری است که با موارد خاصی مرتبط است. برای مثال در موسسات مالی، کارمندان اغلب باید آموزش مناسب ببینند تا عملکرد خوبی در شغلشان داشته باشند. مثلا ممکن است کارمندانی باشند که اجازه دسترسی به سیستم های ویژه ای را داشته باشند. اما هنوز آموزش ویژه را طی نکرده باشند و تعداد این کارمندان، می تواند یک KPI مربوط به IAM باشد.
شرکت ها می توانند با استفاده از IAM، خط مشی های امنیتی واحدی را در سرتاسر سازمان خود اعمال کنند. در آینده، ضروری خواهد بود شرکت ها، سازمان ها و اصناف، داده های خود و هویت افرادی که به آن دسترسی دارند را دنبال کنند و دائما مراقب حفاظت مناسب از داده ها باشند. داده ها اطلاعات ارزشمندی درباره شرکت و افراد حاضر در آن ارائه می کنند. این اطلاعات باید لایه های امنیتی مناسبی داشته باشند تا اطمینان حاصل شود افرادی که به داده ها دسترسی دارند، احراز هویت شده اند. تنظیم مجوزهای دسترسی برای کارمندان نیز می تواند کمک موثری برای حفاظت از داده ها و کاهش تهدیدها باشد.در آینده، یادگیری ماشینی نقشی اساسی در توسعه چارچوب IAM خواهد داشت. شرکت های بیشتری شروع به اجرای این سیستم ها خواهند کرد تا حفاظت موثری از داده های شرکت به عمل آورند، که سبب می شود چالش های جدید و رویکردهای جدیدی نیز برای حل مشکلات جدید مطرح شود.ما در یوآیدی، سخت تلاش می کنیم تا جهان دیجیتال را با ابزارهایی که به صورت روزانه ارائه می دهیم، تبدیل به مکان امن تری کنیم. محصولات ما به شرکت های سراسر جهان کمک می کند اعتماد را بسازند و ابزارهای مدیریت دسترسی هویت را در سازمان های خود اجرا کنند.