تُعد إدارة الهوية والوصول (Identity and Access Management – IAM) إحدى الركائز الأساسية في مجال الأمن السيبراني. فهي ليست مجرد عملية تقنية، بل إطار شامل يضمن أن الأشخاص والأجهزة والخدمات المصرح لها فقط هي من تستطيع الوصول إلى موارد المؤسسة. وبالتالي يركز المجال الخامس (Domain 5) في منهج CISSP على هذا الموضوع، موضحاً أهمية الهوية والمصادقة والتفويض ودورة حياة الحسابات. في هذا المقال، نستعرض أهم المفاهيم التي تناولها هذا المجال مع أمثلة تساعد المهتمين بمجال إدارة أمن المعلومات والباحثين عن اجتياز امتحان CISSP.
ما هي إدارة الهوية والوصول (IAM)؟
إدارة الهوية والوصول تعني مجموعة السياسات والتقنيات التي تُمكّن المؤسسات من:
- التأكد من هوية المستخدمين.
- المصادقة (Authentication) باستخدام بيانات اعتماد آمنة.
- منح الصلاحيات (Authorization) بما يتناسب مع الوظائف.
- إدارة دورة حياة الحسابات من الإنشاء وحتى الإلغاء.
يساعد IAM على حماية البيانات وتقليل المخاطر المرتبطة بالوصول غير المصرح به.
التحكم بالوصول: فيزيائي ومنطقي
الوصول الفيزيائي
يتعلق بحماية المرافق والأجهزة باستخدام:
- الكاميرات والبوابات.
- الحراس وأنظمة الإنذار.
- الأقفال الإلكترونية وبطاقات الدخول.
الوصول المنطقي
يرتبط بالأنظمة الرقمية ويعتمد على:
- كلمات المرور المعقدة.
- التشفير لحماية البيانات.
- المصادقة متعددة العوامل (MFA).
- آليات المراجعة والتدقيق (Auditing).
الهوية والمصادقة: أساس الأمن السيبراني
عوامل المصادقة
- شيء تعرفه: كلمة مرور أو رقم PIN.
- شيء تملكه: بطاقة ذكية أو رمز أمني.
- شيء تمثله: بصمة أو ملامح الوجه.
المصادقة متعددة العوامل (MFA)
يمثل هذا النوع من المصادقة ما يشبه المعيار الذهبي اليوم، لأنها تجمع أكثر من عامل وتجعل اختراق الحساب أصعب بكثير من الاعتماد على كلمة مرور فقط.
الهوية الموحّدة (Federated Identity)
مع انتشار الخدمات السحابية، لم تعد المؤسسات قادرة على إدارة جميع الهويات داخلياً. هنا يأتي دور الهوية الموحّدة (FIM)، التي تسمح باستخدام مزوّد هوية مركزي مثل Google أو Microsoft لعمليات تسجيل الدخول إلى تطبيقات وخدمات متعددة.
أمثلة شائعة
- تسجيل الدخول إلى موقع باستخدام حساب جوجل.
- ربط التطبيقات السحابية عبر بروتوكولات مثل OpenID Connect.
ميزة هذا النهج هي الدخول الموحد (SSO) وتقليل جهد إدارة الحسابات، لكن يشترط وجود ثقة عالية في مزوّد الهوية.
التفويض (Authorization) وآليات التحكم
بعد تأكيد هوية المستخدم تأتي مرحلة تحديد ما يُسمح له بفعله. تشمل نماذج التحكم بالوصول:
- DAC – التحكم الاختياري: يحدد صاحب الملف من يمكنه الوصول.
- MAC – التحكم الإلزامي: يعتمد على سياسات مركزية صارمة.
- RBAC – التحكم المبني على الدور: يمنح الصلاحيات حسب الوظيفة.
- ABAC – التحكم المبني على السمات: يعتمد على الوقت، الموقع، أو الجهاز.
من المهم أن ننوه أن المبدأ الأساسي في هذه المرحلة هو مبدأ أقل الامتيازات (Least Privilege)، أي منح المستخدم فقط ما يحتاجه.
دورة حياة الهوية والوصول
تتكون دورة حياة IAM من ثلاث مراحل رئيسية:
إتاحة الصلاحيات (Provisioning)
إنشاء الحساب ومنح الصلاحيات المناسبة وفقاً للوظيفة.
إدارة الوصول (Access Management)
إجراء مراجعات دورية لتفادي “زيادة الصلاحيات” مع مرور الوقت.
سحب الصلاحيات (Deprovisioning)
عند مغادرة الموظف أو تغير دوره، يجب سحب الصلاحيات فوراً.
تستخدم بعض المؤسسات مفهوم Just-in-Time Access لتفويض الصلاحيات الحساسة لفترة قصيرة فقط.
أنظمة المصادقة الحديثة
لتنفيذ IAM بفعالية، يجب الإلمام ببعض البروتوكولات:
- Kerberos: شائع في Active Directory ويستخدم التذاكر (tickerts) بدل كلمات المرور.
- RADIUS و TACACS+: للتحكم في الوصول عن بُعد.
- OAuth: إطار للتفويض بين التطبيقات.
- OpenID Connect: لإدارة المصادقة الموزعة.
- SAML: معيار لتبادل بيانات الهوية بين مزوّد الخدمة ومزوّد الهوية.
أهمية IAM للمؤسسات ولمحترفي الأمن السيبراني
إهمال IAM يؤدي إلى:
- حسابات تركت نشطة رغم مغادرة (استقالة، إنهاء عقود) الموظفين أصحاب هذه الحسابات.
- كلمات مرور ضعيفة أو مكررة.
- صلاحيات مفرطة يمكن استغلالها.
كل ما سبق يمثل نقاط ضعف شائعة يستغلها المخترقون.
أما تطبيق IAM بشكل صحيح فيُعد:
- شرطاً أساسياً لنجاح استراتيجيات الحوكمة الأمنية.
- خطوة ضرورية للامتثال للمعايير مثل ISO 27001 أو GDPR.
الخاتمة
تعتبر عملية إدارة الهوية والوصول قلب الأمن السيبراني. فهي تجمع بين التقنيات والسياسات والعمليات لضمان أن الأفراد المناسبين فقط هم من يحصلون على الصلاحيات المناسبة في الوقت المناسب. بالنسبة للمؤسسات، فالاستثمار في IAM يعني حماية البيانات والسمعة وتقليل التكاليف الناتجة عن الاختراقات. لخص لكم روبودين في هذا المقال بعض الأفكار التي تساعدكم على فهم الـ IAM والإجابة على الأسئلة الخاصة به في امتحان CISSP.
