مدیریت هویت و دسترسی
مدیریت هویت و دسترسی از ابزارهای کلیدی برای حاکمیت هویت در فضای سایبری است. هویت به چیستی یک شخص یا یک چیز میگویند. یک هویت، نمودی از یک موجودیت پایهای است؛ نظیر چیزی که به نقشِ یک موجودیت ارتباط مییابد. هویت مجموعهای از خصیصهها و مقادیر خصیصهای تعریف شده است که بهواسطه آن یک موجودیت قابل شناسایی میشود. این خصیصهها برای متمایز ساختن موجودیت از دیگران کفایت میکند. خصیصه بیانگر ویژگی یا صفتی از یک شخص یا شیء است که از سوی یک شخص یا ماشین بهصورت کمی یا کیفی قابلشناسایی باشد.
معمولاً فرض بر این است که یک موجودیت تنها یک هویت واحد دارد؛ اما در حقیقت، یک موجودیت ممکن است چندین هویت داشته باشد. این امر به این علت است که افراد عملکردهای اجتماعی، اقتصادی و سیاسی متعددی دارند. به عنوان مثال یک شخص میتواند همزمان یک شهروند، یک کارمند و یک دانشجو باشد. بنابراین افراد، در محیطهای متفاوت، با نقشها و هویتهای گوناگونی شناخته میشوند.
تعریف مدیریت هویت و دسترسی
مدیریت هویت و دسترسی (Identity and access management-IAM) بیانگر چارچوبی از فرآیندها، سیاستها و فناوریهای کسبوکار است که مدیریت هویتهای دیجیتال یا الکترونیک را تسهیل مینماید. IAM امکان دسترسی افراد درست، با دسترسی درست، به منابع درست و به دلیل درست را فراهم نموده و اطلاعات مربوط به دسترسی را نگهداری مینماید.
Identity and access management بیانگر چارچوبی از فرآیندها، سیاستها و فناوریهای کسبوکار است که مدیریت هویتهای دیجیتال یا الکترونیک را تسهیل مینماید. مدیران فناوری اطلاعات با بهرهگیری از مدیریت هویت و دسترسی و هویت دیجیتال میتوانند دسترسی کاربران به منابع و اطلاعات حیاتی سازمان را کنترل کنند.
IAM برای تعریف نقشها و امتیازات دسترسی کاربران شبکه و شرایط مربوط به اعطا یا رد درخواستهای دسترسی کاربران (مشتریان، کارمندان، پیمانکاران) به منابع سازمان مورد استفاده قرار میگیرد. مهمترین هدف IAM سازمان ایجاد یک هویت دیجیتال واحد به ازای هر فرد در سازمان است. زمانی که هویت دیجیتال فرد ایجاد شد باید عملیات نگهداری، اصلاح و نظارت بر آن در کل چرخه عمر دسترسی کاربر آغاز شود.
سیستمهای مدیریت هویت و دسترسی از الزامات چارچوبهای امنیتی برای تأیید سریع و مستمر هویتها و کنترل دسترسی کاربران به منابع و سرویسها میباشد. هویت دیجیتال و سیستمهای مدیریت هویت دسترسی در نگاه کلی اجزای تشکیلدهنده یک مؤلفه واحد هستند.
بیشتر بخوانید: مزایا و کاربردهای مدیریت هویت و دسترسی
مدیریت هویت و دسترسی ابری
سیستمهای مدیریت هویت و دسترسی ابری که تحت عناوین Cloud IAM یا IDMaaS و یا IDaaS شناخته میشوند امروزه در حال گسترش و خدمترسانی به کاربران سازمانی و غیرسازمانی خود هستند. این کاربران میتوانند مشتریان یک سازمان و یا شرکای تجاری آنها باشند. کلیه قابلیتهای یک سیستم مدیریت هویت و دسترسی مستقل شامل این سیستمها هم میشوند با این تفاوت که بر بستر ابر عرضه میشوند. برخی سازمانها با توجه به پیچیدگیهای استفاده از سیستمهای مدیریت هویت و دسترسی بهصورت مستقل ترجیح میدهند از نسخههای ابری این سیستمها استفاده کنند که این موضوع بنا به مقیاس شرکت، بودجه اختصاصی برای پیادهسازی سیستم مدیریت هویت و دسترسی و سایر ویژگیها مشخص میشود. از جمله معروفترین سیستمهای مدیریت هویت و دسترسی بر بستر ابر میتوان به Okta، Auth0 و Google Cloud IAM اشاره کرد.
مدیریت هویت دسترسی مشتریان (CIAM)
مدیریت هویت و دسترسی مشتریان (Customer identity access management)،زیرمجموعهای از مفهوم بزرگ مدیریت هویت و دسترسی (IAM) است و به طور خاص بر مدیریت هویت مشتریانی که نیاز به دسترسی به وب سایتها، پورتالهای وب و فروشگاههای اینترنتی دارند متمرکزشده است. مصرفکنندگان خواستار خدمات با شرایط خود، برنامه خود، به موقع و از طریق تلفن همراه خود هستند. در CIAM مصرفکنندگان سرویس حسابها و دادههای پروفایل خود را مدیریت میکنند. هویت به عنوان یک سرویس، برای مدیریت هویت مشتری، مدیریت ارتباط با مشتری برای مدیریت رفتار کاربر و مدیریت رضایت کاربر از اهداف این مفهوم میباشد.
ویژگیهای CIAM از جمله داشبورد تجزیه و تحلیل و تجسم، ادغام API، رضایت مشتری و مدیریت ارجحیت، UX قابل برنامهریزی، رمزگذاری دادهها، مقیاس الاستیک، احراز هویت چندعاملی و مرحلهای، نمایهسازی پیشرفته، کنترل دسترسی محدود، مدیریت حساب سلفسرویس، ورود به سیستم اجتماعی، SSO و احراز هویت مبتنی بر استاندارد میباشند.
مدیریت هویت و دسترسی به عنوان یک چارچوب
نکته مهم برای درک IAM صرفاً دیدن آن به عنوان یک چارچوب است. هویت دیجیتال، ساختاری است که بسیاری از خدمات، سیاستها، مفاهیم و موارد دیگر را سازماندهی میکند. هر یک از کاربران خاص یک چارچوب ممکن است هرگز با قطعاتی از آن روبرو نشود بدون اینکه کل آن را درک کند یا از نحوه عملکرد آن آگاه باشد.
یک چارچوب مدیریت هویت و دسترسی مناسب به شرکتها کمک میکند تا کاربران تجارت خود را اداره و دسترسیهای آنها را کنترل کنند. اطلاعات مشتریان میتواند برای اهداف مختلفی مانند کمپینهای تبلیغاتی، فعالیتهای ضدپولشویی (AML) و یا دسترسی به منابع سازمانی مورد استفاده قرار گیرد.
برای کاهش جرائم سایبری، تأمین مالی تروریسم در بسیاری از کشورها قانونگذاران بانکها و مؤسسات مالی را ملزم به فراهم کردن سازوکار شناخت مشتری (KYC) کردهاند. همچنین قانونگذاران از بانکها میخواهند تا سیستمهای هوشمند تحلیلی برای تعریف الگوهای پایهای رفتار مشتریان خود و تحلیل آنها و بررسی میزان انحراف از پارامترهای عادی مشتریان تحت یک چارچوب داشته باشند و اگر تراکنش مشکوکی صورت میگیرد با بررسیهای بیشتر و تضمین بالاتری انجام شود. داشتن سیستم مدیریت هویت و دسترسی بهعنوان یک چارچوب اولین قدم مهم در راستای شناخت مشتری و اهداف فوق است.
دیدگاه شرکتهای جهانی نسب به مدیریت هویت و دسترسی
شرکت KuppingerCole به عنوان یکی از شرکتهای صاحبنظر در حوزه احراز هویت دیجیتال، مدیریت هویت را ترکیب عرصههای IAM دانسته است. این شرکت، مدیریت هویت را عرصهای میداند که هویتها و حسابهای کاربری مرتبط با آنها در سیستمهای مختلف را مدیریت میکند و مدیریت دسترسی را عرصهای میداند که دسترسی به اطلاعات را مدیریت میکند و بنابراین مدیریت دسترسی بخشی از استراتژی امنیت اطلاعات است.
بیشتر بخوانید: واژههای رایج مدیریت هویت و دسترسی
اهمیت Identity and access management
مدیریت هویت و دسترسی خوب میتواند یک عامل کلیدی برای موفقیت کسبوکار در عصر تحول دیجیتال باشد. مدیریت هویت و دسترسی، نیازهای حیاتی مأموریت را به منظور اطمینان از دسترسی درست به منابع در محیطهای فناورانه ناهمگن را مشخص کرده و امکان برآوردهسازی الزامات انطباقپذیری را فراهم مینماید. IAM به عنوان یک روش امنیتی، یک مسئولیت حیاتی در سازمانهای امروزی به شمار میرود. مدیریت هویت و دسترسی به طور فزآیندهای همراستا با اهداف کسبوکار است و علاوه بر تخصص فنی، نیازمند مهارتهای تجاری است.
اهمیت Identity and access management از دو جنبه اصلی میباشد:
-
- امنیت: در عصر اینترنت و شبکههای باز که دسترسی به منابع را از خارج از سازمان امکانپذیر میکنند، IAM اولین لایه و مرحله امنیت است. در واقع با شناسایی و احراز هویت موجودیتهای انسانی و غیرانسانی امنیت برقرار میشود. میتوان اذعان داشت «هویت قلب امنیت است».
- ارائه خدمت: برای ارائه خدمات الکترونیکی، گام اول احراز هویت و شناسایی کاربر خواهد بود. تا احراز هویت انجام نشود بسیاری از خدمات امکان ارائه نخواهند داشت. بر اساس جملهای معروف هویت درگاه ارائه خدمات الکترونیک است.
بر همین مبنا است که بسیاری از دولتها و حاکمیتها برای Identity and access management راهبرد و معماری جامع ارائه کردهاند که از جمله میتوان به ایالاتمتحده، کانادا، انگلستان، اتحادیه اروپا، سوییس، استونی و استرالیا اشاره نمود. IAM بر تمامی سطوح خرد و کلان امنیت (بهویژه امنیت سایبری) و ارائه خدمت (هم دولت الکترونیک و هم کسبوکار الکترونیک) اثرگذار بوده و در آنها نقش دارد.
دلایل اهمیت مدیریت هویت و دسترسی برای سازمانها
راهبری مؤثر دسترسی کاربران به دادهها و منابع حساس به یکی از چالشهای امنیتی سازمانهای امروز بدل شده است. سازمانها در گذر زمان باید مدیریت امتیازهای دسترسی طیف گستردهای از کاربران را انجام دهند. اکثر کاربران به دلیل ناکارآمدی سیستمهای مورد استفاده سازمان با انباشت امتیازات دسترسی در حسابهای کاربری خود مواجه هستند. فعالیت سازمانها در محیطهای غیرمتمرکز بر شدت این مشکلات افزوده است.
سازمانها برای حل این چالشها به سمت پیادهسازی سیستمهای Identity and access management در سراسر سازمان به منظور مدیریت متمرکز هویتهای دیجیتال روی آوردهاند. سیستمهای IAM به سازمانها اجازه میدهد تا یک فرآیند چرخه عمر کاربر استاندارد ایجاد نموده، آسیبپذیریهای امنیتی را کاهش داده و انطباقپذیری با مقررات ملی و بینالمللی را افزایش دهند.
دستهبندی فرآیندهای مدیریت هویت
فرآیندهای مدیریت هویت و دسترسی به صورتهای مختلف دستهبندی میشوند که مشهورترین آنها، فرآیندها را به سه دسته فرآیندهای مدیریت هویت، فرآیندهای مدیریت اعتبارنامه و فرآیندهای مدیریت دسترسی تقسیم میکند. منظور از مدیریت اعتبارنامه این است که برای شخص یک اعتبارنامه (سندی سختافزاری یا نرمافزاری که موید هویت شخص است) صادر میشود و این اعتبارنامه در چرخه حیات خود مدیریت و نگهداری میشود.
هر یک از فرآیندها در سطح اطمینان متفاوتی قابلاجرا هستند. زیرا سرویسها و اطلاعات مختلف، اهمیت و ریسکهای متفاوتی دارند و ارزش آنها باعث میشود که نیازمند سطح اطمینان متفاوتی نسبت به هم باشند. مدیریت هویت شامل فرآیند ایجاد هویت است. ایجاد هویت میتواند بر اساس اطلاعاتی باشد که کاربر بهصورت آنلاین و نوشتاری وارد میکند (مانند ثبتنام در سرویسهای ایمیل) هم میتواند صرفاً بهصورت حضوری انجام شود (مانند افتتاح حساب بانکی).
بیشتر بخوانید: استانداردهای مدیریت هویت و دسترسی
نقش مدیریت هویت و دسترسی در تأمین امنیت
با توجه به آنچه گفت شد، در عصر فراگیر شدن اینترنت و عصر دیجیتالی شدن جهان، IAM یکی از ارکان تامین امنیت و ارائه خدمت خواهد بود و نپرداختن به موضوعات و مسائل آن هزینههای مالی و غیرمالی متعددی را در پی خواهد داشت. بنابراین باید موضوعات آن در سطوح مختلف راهبردی، قانونی، عملیاتی و فنی مورد بررسی قرار بگیرند تا راهکارهایی مناسب ارائه شوند و مخاطرات احتمالی را تا حد ممکن و مطلوب کاهش دهند.
مدیریت هویت و دسترسی پیوسته و تحول دسترسی امن
ما روزانه کارهای مشخصی را با تلفن همراه خود انجام میدهیم، از مکانهای مشخصی عبور کرده، کارهای یکسانی را تکرار میکنیم. این کارها بهنوعی روتین در زندگی روزمره تبدیل شدهاند و حتی دیگر افراد نیز از انجام منظم برخی کارها توسط اطرافیان خود خبر دارند. این ویژگی میتواند کاربرد بالایی در Identity and access management بهویژه احراز هویت پیوسته داشته باشد. پیوسته (Continuous) سومین ویژگی از ویژگیهای سهگانه احراز هویت در کنار فراگیر (Pervasive) و متصل (Connected) است که برای تحول دسترسی امن و برآوردهسازی الزامات جریانهای کاری مدرن موردنیاز میباشند.
احراز هویت پیوسته نیازمند حضور پایدار فرد و یادگیری از سیستمهای متصل است. این نوع احراز هویت بهصورت مداوم و بدون وقفه اطلاعاتی را جمعآوری میکند که راهحلهای مدرن احراز هویت با گذر زمان میتوانند از آن یاد گرفته و برای ارائه دسترسی امن و هوشمند مورد استفاده قرار دهند. کسبوکارهای امروزی دوران مربوط به ارائه درخواستهای دسترسی ایزوله و منفرد برای هرکدام از درخواستهای دسترسی را پشت سر گذاشتهاند.
با بهرهگیری از احراز هویت پیوسته تنها زمانی نیاز به ارائه اطلاعات وجود دارد که تضمین بیشتری برای انجام کار مشخصی وجود داشته باشد. سیستمهای IAM هوشمند که از توانایی احراز هویت پیوسته برخوردار میباشند بهصورت مداوم نسبت به جمعآوری اطلاعات کاربر و بهبود هوشمندی نسب به کاربران و رفتارهای آنها ادامه میدهند؛ بنابراین در هرلحظه میتوانند هویت کاربر را تأیید کرده و دسترسی او را تضمین نمایند. احراز هویت پیوسته به بینشهای هویتی ، هوشمندی تهدیدات و زمینه کاری وابسته است که از منابع مختلف سازمان قابل دستیابی میباشند.
این نوع احراز هویت برای اتخاذ تصمیمات دسترسی درست باید بتواند با دیگر منابع اطلاعاتی سازمان ارتباط داشته باشد. بینش هویتی شامل اطلاعات پروفایل کاربر است که از سیستم مدیریت هویت به دست میآید. هوشمندی تهدیدات اطلاعات مربوط به رفتارهای مشکوک است که در سیستمهای شناسایی تهدید قرار دارند. زمینه کاری شامل دادههای ضروری بهویژه از سیستمهای یکپارچه مدیریت ریسک است که درجه ریسک مربوط به برنامهها و دادههای مختلف را مشخص مینماید.
نویسنده: تورج اکبری
برخی از منابع
[1] Aaron Brown, Les Addison, “Cloud and Identity and Access Management,” Deloitte, جلد 1, شماره Identity and Access Management , pp. 1-8, 2019.
[2] Martin Kuppinger, “Major Trends in Identity Management Guidelines for an IAM roadmap,” Kuppinger Cole , جلد 1, شماره IAM, pp. 1-27, 2007.
[3] Ram Sewak Sharma , “Digital Identity Road Map Guide,” ITU, جلد 1, شماره Digital identity, pp. 1-60, 2018.
[4] James Perry, “IDENTITY AND ACCESS MANAGEMENT PROGRAM OVERVIEW,” university of south Carolina, جلد 1, شماره digital identity, pp. 1-37, 2020.