IAM و IGA: هما مجموعتان من قدرات أمن الهوية التي تؤدي وظائف مختلفة، لكنها متكاملة.
- تركز إدارة الهوية والوصول (IAM) على تمكين المستخدمين من الوصول الآمن إلى الموارد الرقمية (التطبيقات والأنظمة والبيانات) وإدارة هذا الوصول، وذلك من خلال المصادقة، وتسجيل الدخول الموحد (SSO)، وغيرها من الإمكانات المتعلقة بالمصادقة والوصول.
- تتجاوز مبادئ IGA الأساسيات المتعلقة بمنح وإدارة حق الوصول من أجل 1) التركيز على الكيفية التي تمنح بها المؤسسة حق الوصول إلى الموارد الرقمية و2) ضمان أن يكون حق الوصول الممنوح ملائمًا ومتوافقًا مع المعايير — واتخاذ الإجراءات اللازمة في حالة عدم استيفائه لهذه الشروط.
بشكل أساسي، تتناول إدارة الهوية والوصول (IAM) الأسئلة الجوهرية المتعلقة بمن يقوم بتسجيل الدخول، وكيفية قيامه بذلك، وما يحق له الوصول إليه بمجرد تسجيل الدخول، بينما تهتم إدارة التوافق بين الهويات (IGA) بما إذا كان حق الوصول الممنوح له مناسبًا لدوره والأنشطة الموكلة إليه في المقام الأول.
يشير مصطلح «إدارة الهوية والوصول» (IAM) إلى السياسات والعمليات المرتبطة بالتحقق من هوية المستخدم (سواء كان شخصًا أو جهازًا) الذي يسعى للوصول الآمن إلى مورد أو موارد داخل مؤسسة ما. والغرض من مصادقة هوية المستخدم هو 1) التأكد من أن المستخدم مؤهل فعلاً للوصول المطلوب بناءً على دوره ومسؤولياته، و2) منح الوصول (أو عدم منحه) وفقًا لذلك.
القدرات الرئيسية لنظام إدارة الهوية والوصول (IAM)
تتمحور إدارة الهوية والوصول (IAM) حول مصادقة المستخدمين ومنحهم حق الوصول إلى الموارد بطريقة تمنح الأولوية لكل من أمن المؤسسة وإنتاجية المستخدم. وقد تطورت هذه التقنية على مدى عقود لتعالج هذين المجالين في آن واحد بطرق تزداد تعقيدًا.
- المصادقة: في أبسط صورها، تعني المصادقة قيام المستخدم بتقديم مجموعة تقليدية من بيانات الاعتماد — اسم المستخدم وكلمة المرور — لإثبات هويته. ومع تزايد حجم وتعقيد بيئة الهوية ومشهد التهديدات، تزداد حدة المشكلة المتمثلة في صعوبة تذكر المستخدمين لبيانات الاعتماد وسهولة سرقتها من قبل الجهات الخبيثة.
- المصادقة متعددة العوامل (MFA): إن إضافة عامل تعريف آخر، مثل أحد العوامل البيومترية، يرفع مستوى المصادقة، مما يؤدي إلى تحسين الأمان. ويكون هذا مفيدًا بشكل خاص عندما لا يشكل العامل الإضافي عبئًا على المستخدم. فعلى سبيل المثال، لا يتطلب مسح الوجه أو بصمة الإصبع سوى جهد ضئيل من جانب المستخدم، ولكنه يجعل سرقة بيانات الاعتماد أمرًا أصعب بكثير.
- تسجيل الدخول الموحد (SSO): مع تزايد عدد الموارد الآمنة التي يحتاج المستخدمون إلى الوصول إليها، يتيح نظام تسجيل الدخول الموحد (SSO) لهم الوصول إلى تطبيقات متعددة باستخدام مصادقة قوية من خلال نقطة تسجيل دخول واحدة، مما يسرع العملية ويبسطها. كما يقلل نظام تسجيل الدخول الموحد (SSO) من نطاق الهجوم من خلال تقليل الفرص المتاحة للمهاجمين لاستغلال الثغرات الأمنية المرتبطة بعمليات تسجيل الدخول المتعددة.
- بدون كلمة مرور: تعمل المصادقة بدون كلمة مرور على استبدال بيانات الاعتماد التقليدية بالبيانات البيومترية، ومفاتيح المرور، وأجهزة المصادقة، وغيرها من الطرق لإثبات الهوية التي لا يمكن سرقتها بسهولة. كما أنها تسهل عملية المصادقة الشرعية، حيث لم تعد تتطلب من المستخدمين تذكر بيانات اعتماد متعددة للوصول إلى عدد متزايد من الموارد.
المحور الرئيسي لمنظمة IAM: الثقة الصفرية
«نموذج الثقة الصفرية» (Zero Trust) هو مفهوم أمني يقوم على فكرة إثبات الثقة قبل منح حق الوصول إلى الموارد — وعدم الافتراض المسبق بالثقة أبدًا. وهذا يجعل إدارة الهوية والوصول (IAM) عنصرًا أساسيًّا للمؤسسات الملتزمة بتشغيل بيئة تعتمد على نموذج الثقة الصفرية، حيث يجب إثبات الهوية في كل مرة يسعى فيها شخص ما أو كيان ما إلى الوصول.
تُعتمد بيئات «الثقة الصفرية» على القدرات والممارسات الأساسية لنظام إدارة الهوية والوصول (IAM).
- المصادقة: التحقق من الهوية باستخدام المصادقة متعددة العوامل (MFA) والمصادقة بدون كلمة مرور
- الوصول: اعتماد سياسات تراعي السياق وتكون مشروطة لمنح حق الوصول
- المركزية: استخدام تسجيل الدخول الموحد (SSO) عبر التطبيقات وبيئات الوصول
في حين أن نظام إدارة الهوية والوصول (IAM) يركز بشكل أساسي على التحقق من هوية المستخدم قبل منحه حق الوصول، فإن نظام إدارة الامتثال (IGA) يركز على تنظيم كيف تحديد من يُمنح حق الوصول، والتأكد من أن هذا الحق يكون دائمًا ملائمًا للمستخدم والظروف السائدة. ويتمثل الهدف العام لنظام إدارة الوصول (IGA) في ضمان توافق حقوق الوصول مع سياسات المؤسسة، واستيفائها لمتطلبات الامتثال، واتساقها مع أفضل الممارسات الأمنية.
القدرات الرئيسية لـ IGA
في حين تهتم إدارة الهوية والوصول (IAM) بتحديد من لديه حق الوصول إلى ماذا، فإن إدارة الوصول المؤسسي (IGA) تركز على ما إذا كان هذا الوصول قد مُنح بشكل مناسب، استنادًا إلى عوامل مثل دور المستخدم داخل المؤسسة وسياسات وممارسات الأمن والامتثال الخاصة بالمؤسسة.
- طلبات الوصول والموافقات: يجمع توفير حقوق الوصول القائم على سير العمل في بيئات IGA بين الأتمتة والمشاركة البشرية من أجل تقييم طلبات الوصول وتزويد المستخدمين بحقوق الوصول بسرعة ودقة.
- التحقق من صلاحية الوصول: مع التغير المستمر في أدوار المستخدمين ومسؤولياتهم، تتطلب حوكمة الهوية إجراء عمليات تحقق منتظمة من صلاحية الوصول للتأكد من ملاءمة مستويات الوصول. ولا يمكن للجهود اليدوية أن تواكب هذا التغيير، مما يجعل الأتمتة أمراً أساسياً.
- إدارة الأدوار: يُعد إنشاء الأدوار للمستخدمين أمرًا ضروريًا لضمان حصولهم بسهولة على حق الوصول إلى الموارد الآمنة التي يحتاجونها لأداء مهامهم. كما أن الإدارة الفعالة للأدوار لا تقل أهمية، لضمان عدم حصولهم على امتيازات زائدة قد تشكل مخاطر أمنية.
- إدارة دورة حياة الهوية: تُعد التغييرات في حقوق الوصول جزءًا من مسار دورة حياة الهوية التي تبدأ بالانضمام إلى المؤسسة، مرورًا بتولي أدوار مختلفة، وصولاً إلى مغادرة المؤسسة في نهاية المطاف. وتُعد إدارة دورة حياة الهوية أمرًا ضروريًا للحفاظ على ملاءمة حقوق الوصول للدور الحالي.
- التدقيق وإعداد التقارير: يُعد تقييم من لديه حق الوصول إلى أي موارد أمرًا بالغ الأهمية للامتثال للمتطلبات التنظيمية ولتحقيق الرؤية الواضحة لمخاطر الوصول. ويُعد التدقيق وإعداد التقارير أمرين أساسيين لتحقيق هذين الهدفين.
النقطة المحورية في IGA: الثقة الصفرية
يعتمد نموذج «الثقة الصفرية» على افتراض أن الثقة لا يمكن أن تكون موجودة بشكل افتراضي، بل يجب تأسيسها في كل مرة يسعى فيها شخص ما أو كيان ما إلى الوصول. وتوفر IGA الضوابط والآليات الإدارية التي تحتاجها المؤسسة لتقييم مدى ملاءمة الوصول بشكل مستمر، بناءً على مستوى الثقة في المستخدم.
يتم تمكين بيئات «الثقة الصفرية» على وجه التحديد من خلال العديد من القدرات والممارسات الأساسية لنظام إدارة الهوية والوصول (IGA).
- التزويد القائم على سير العمل: استخدام الأتمتة لضمان الإشراف السليم على الوصول
- شهادة الوصول: التحقق المستمر من صحة الوصول وتعديله وفقًا لذلك
- إدارة الأدوار: تحديد التركيبات الضارة لحقوق الوصول وتجنبها
- إدارة دورة حياة الهوية: التحديث الفوري لحقوق الوصول عند تغيير الأدوار أو انتهاء صلاحيتها
- التدقيق وإعداد التقارير: دعم مبدأ «الثقة الصفرية» المتمثل في إثبات صحة قرارات الثقة
المجال الرئيسي الذي تركز عليه IGA: الامتثال التنظيمي
تتطلب لوائح SOX وHIPAA وGDPR وPCI-DSS وISO 27001IGA وغيرها من اللوائح تطبيق ضوابط صارمة على الوصول، إلى جانب القدرة على إثبات أن الضوابط المفروضة على الوصول تتوافق مع المعايير التي حددتها تلك اللوائح. وهذا النوع من المساءلة وقابلية التدقيق هو بالضبط ما توفره IGA.
يتم دعم الامتثال التنظيمي على وجه التحديد من خلال العديد من القدرات والممارسات الأساسية لـ IGA:
- شهادة الوصول: مراجعة حقوق الوصول وإظهار إثبات صحتها
- التدقيق وإعداد التقارير: تلبية المتطلبات التنظيمية المحددة المتعلقة بأدلة الامتثال
- إدارة دورة حياة الهوية: الحفاظ على توافق الوصول مع الأدوار الحالية
تُعنى كل من IGA وIAM بالوصول الآمن إلى الموارد. ولكن في حين تتيح IAM للمستخدمين الوصول بشكل آمن ومريح إلى الموارد التي يحق لهم الوصول إليها، فإن IGA تقيّم ما إذا كان ينبغي أن يُمنحوا حق الوصول إلى تلك الموارد. وفي هذا السياق، تتمثل الاختلافات الرئيسية فيما يلي:
- المصادقة
- المصادقة متعددة العوامل (MFA)
- هوية موحدة
- بدون كلمة مرور
- التزويد القائم على سير العمل
- شهادة الوصول
- إدارة الأدوار
- إدارة دورة حياة الهوية
- التدقيق وإعداد التقارير
- نسبة نجاح/فشل المصادقة
- معدل اعتماد تقنية MFA (المصادقة متعددة العوامل) / المصادقة بدون كلمة مرور
- متوسط الوقت اللازم لإنشاء الحسابات
- متوسط الوقت اللازم لحل مشكلات المصادقة
- مستويات توفر النظام ووقت التشغيل
- متوسط الوقت اللازم للموافقة على طلبات الوصول
- النسبة المئوية لمراجعات الوصول المكتملة
- تم الكشف عن انتهاكات تتعلق بفصل المهام
- عدد الحسابات التي تطبق مبدأ «أقل الامتيازات»
- عدد النتائج التي توصلت إليها عملية التدقيق بشأن المشكلات
الهدف/الغرض
IAM: تمكين الوصول
IGA: إدارة الوصول
الشاغل الرئيسي
IAM: تمكين الوصول
IGA: إدارة الوصول
القدرات الرئيسية
IAM: تمكين الوصول
- المصادقة
- المصادقة متعددة العوامل (MFA)
- هوية موحدة
- بدون كلمة مرور
IGA: إدارة الوصول
- التزويد القائم على سير العمل
- شهادة الوصول
- إدارة الأدوار
- إدارة دورة حياة الهوية
- التدقيق وإعداد التقارير
أمثلة على مؤشرات النجاح
IAM: تمكين الوصول
- نسبة نجاح/فشل المصادقة
- معدل اعتماد تقنية MFA (المصادقة متعددة العوامل) / المصادقة بدون كلمة مرور
- متوسط الوقت اللازم لإنشاء الحسابات
- متوسط الوقت اللازم لحل مشكلات المصادقة
- مستويات توفر النظام ووقت التشغيل
IGA: إدارة الوصول
- متوسط الوقت اللازم للموافقة على طلبات الوصول
- النسبة المئوية لمراجعات الوصول المكتملة
- تم الكشف عن انتهاكات تتعلق بفصل المهام
- عدد الحسابات التي تطبق مبدأ «أقل الامتيازات»
- عدد النتائج التي توصلت إليها عملية التدقيق بشأن المشكلات
ولمعالجة النطاق الكامل لأمن الهوية، تحتاج المؤسسات في الحالة المثالية إلى مزيج من أنظمة إدارة الهوية والوصول (IAM) (لتمكين المستخدمين من الوصول إلى الموارد بأمان وسهولة) وأنظمة إدارة الهوية والحوكمة (IGA) (لضمان وإثبات أن وصول المستخدمين إلى الموارد مناسب ولا يشكل خطرًا أمنيًا). ومع ذلك، ستختلف المتطلبات ومستويات الموارد من مؤسسة إلى أخرى، وهو ما سيحدد كيفية المضي قدمًا، كما هو موضح في السيناريوهات التالية.
السيناريو: هل يتم نشر نظام إدارة الهوية والوصول (IAM) ونظام إدارة الهوية (IGA) معًا؟ نعم، كلما أمكن ذلك.
يُعد النشر المتزامن لنظامي إدارة الهوية (IAM) وإدارة الامتثال (IGA) خيارًا مثاليًّا في معظم الأحيان، سواء كانت المؤسسة تخطط لنشر جديد لكليهما، أو تستبدل نظام IAM قائمًا وتضيف نظام IGA أيضًا. ومن خلال نشر قدرات IGA وIAM من نفس المزود، وفي الوقت نفسه، تضمن المؤسسة تغطية أمنية كاملة للهوية عبر مجالين متكاملين وهامين، دون التعرض لمخاطر الثغرات الأمنية غير الضرورية، أو مشكلات التكامل، أو غيرها من المشكلات التي قد تنجم عن النشر المتدرج.
سيناريو H3: هل يمكن إضافة IGA إلى النشر الحالي لنظام إدارة الهوية والوصول (IAM)؟ ربما.
بالنسبة للمؤسسات التي لديها بالفعل نظام إدارة الهوية والوصول (IAM) يوفر كل ما يلزم لمنح الوصول وإدارته، قد يكون من المفيد الإبقاء على هذا النظام للحفاظ على استثمارها الأولي في مجال الهوية، مع إضافة حل إدارة الهوية (IGA) في الوقت نفسه. وينجح هذا النهج بشكل جيد إذا كان حل IGA من نفس المورد. وإلا، فمن المرجح أن تكون الإدارة الشاملة لأمن الهوية أكثر تعقيدًا بكثير؛ وقد يمثل تكامل النظامين تحديًا؛ وقد تكون هناك مشكلات مستمرة في استكشاف الأخطاء وإصلاحها مرتبطة بتشغيل أنظمة متباينة.
السيناريو: الاكتفاء بنظام إدارة الهوية والوصول (IAM) فقط؟ غير موصى به.
من الممكن تطبيق نظام إدارة الهوية (IAM) دون نظام إدارة الوصول (IGA)، وهو ما تفكر بعض المؤسسات في القيام به بسبب قيود مالية أو تشغيلية. لكن هذا الأمر ليس مستحسنًا بالضرورة. صحيح أن وجود نظام إدارة الهوية والوصول (IAM) للمصادقة على المستخدمين يقلل من خطر حصول شخص غير مخول بالوصول إلى النظام على هذا الوصول بطريقة أو بأخرى. لكن هذا لا يأخذ في الاعتبار مسألة ما إذا كان الوصول الذي يتمتع به المستخدمون هو صحيح الوصول. ولهذا السبب، فإن المؤسسات التي تعتمد على نظام إدارة الهوية والوصول (IAM) وحده تتعرض لخطر ظهور مشكلات أمنية ناجمة عن تراكم امتيازات وصول مفرطة لدى المستخدمين. كما تفتقر المؤسسات التي لا تستخدم نظام إدارة الهوية والحوكمة (IGA) إلى سجلات التدقيق والأدلة الأخرى اللازمة لإثبات الامتثال في ظل الرقابة التنظيمية.
السيناريو: استخدام IGA فقط؟ هذا ليس خيارًا فعليًّا.
لا معنى لوجود نظام إدارة الامتثال (IGA) بدون نظام إدارة الهوية والوصول (IAM)، لأن تطبيق سياسات الأمان في نظام IGA يعتمد على آليات المصادقة والتفويض الأساسية التي يوفرها نظام IAM. بعبارة أخرى، بدون نظام IAM، لا يوجد ما يمكن لنظام IGA أن يبني عليه. والخيار الوحيد المتاح هو الاختيار بين نظام IAM وحده أو نظامي IAM وIGA معًا.
أمن الهوية هو عملية حماية الهويات الرقمية من خلال التحقق من الهويات وتطبيق ضوابط الوصول، بهدف منع الوصول غير المصرح به.
نعم. تجمع منصة IAM بين إدارة الهوية وإدارة الوصول لتأمين الهويات الرقمية والحماية من الوصول غير المصرح به إلى الموارد في البيئات الرقمية.
تتيح إدارة الهوية والوصول (IAM) التخزين الآمن للموارد الحساسة والوصول الآمن إليها باستخدام طرق مثل تسجيل الدخول الأحادي (SSO) والتوثيق متعدد العوامل (MFA) و بدون كلمة مرور.
يتمثل الهدف من إدارة الهوية في الحد من مخاطر الانتهاكات الأمنية من خلال ضمان أن يتمكن الأشخاص المناسبون — وفقط الأشخاص المناسبون — من الوصول إلى الموارد الآمنة.
تتيح إدارة الهوية الوصول الآمن إلى الموارد، وتدعم الامتثال للوائح التنظيمية، وتُحسّن تجربة المستخدم من خلال جعل عملية الوصول مريحة وآمنة في آن واحد.
يركز نظام إدارة الهوية (IAM) على من يمتلك حق الوصول، أي مصادقة المستخدمين وإدارة وصولهم إلى الموارد، بينما يركز نظام إدارة الأذونات (IGA) على ما إذا كان وصول المستخدم ملائمًا لدوره ومسؤولياته.