تحديث الهوية على نطاق واسع

تتولى وكالة حكومية كبيرة متخصصة في خدمات تكنولوجيا المعلومات إدارة شؤون الهوية والوصول لأكثر من 145,000 مستخدم في عشرات الهيئات الحكومية، بما في ذلك وكالات إنفاذ القانون التي يتعين أن تستوفي أنظمتها المتطلبات الأمنية الصارمة لخدمات معلومات العدالة الجنائية (CJIS).  

بصفتها عميلاً قديمًا لشركة RSA، كانت الوكالة تعتمد منذ سنوات على حلول RSA SecurID و«Authentication Manager» لحماية بيئتها المحلية. وما احتاجت إليه بعد ذلك هو مسار للمضي قدمًا: طريقة لتوسيع نطاق تلك القاعدة الموثوقة لتشمل بيئة Microsoft تعتمد على السحابة في المقام الأول، والتخلص من عبء مكتب الدعم الفني الذي تزايد مع نمو قاعدة مستخدميها، وبناء نظام مصادقة مقاوم للتصيد الاحتيالي ولا يعتمد على كلمات المرور، وهو ما تتطلبه استراتيجيتها القائمة على نهج «الصفر ثقة» (Zero Trust). 

وقد وجدت الوكالة هذا المسار مع RSA. وبدلاً من استبدال ما كان لديها، قامت الوكالة بتحديث قدراتها، حيث وسعت نطاق منصة RSA الحالية لتشمل السحابة باستخدام RSA ID Plus، وأضافت ميزات الخدمة الذاتية وأتمتة دورة الحياة باستخدام RSA ID Plus Prime، ونشرت RSA Help Desk Live Verify لإغلاق إحدى أكثر الثغرات الأمنية استغلالاً في أي مؤسسة كبيرة: مكتب الدعم الفني نفسه. وكانت النتيجة منصة هوية معتمدة من FedRAMP ومتوافقة مع FIPS 140-3 ومتوافقة مع معايير CJIS، تعمل بالتنسيق مع Microsoft Entra Identity، لحماية الموارد السحابية والهجينة والمحلية من خلال وحدة تحكم واحدة وموحدة. 

تعمل مؤسسات تكنولوجيا المعلومات التابعة لحكومات الولايات على نطاق واسع يجعل تحديث أنظمة الهوية مسألة ملحة ومعقدة في آن واحد. فهذه الوكالة وحدها تدير ما يزيد عن 145,000 هوية مستخدم موزعة على عشرات الكيانات، لكل منها ملامح مخاطر مختلفة، والتزامات امتثال، واحتياجات مصادقة. وقد نمت البنية التحتية لـ Microsoft، التي تشكل قلب البنية التحتية للوكالة، بشكل كبير، حيث يتولى كل من Microsoft 365 وMicrosoft Entra Identity الآن إدارة الوصول إلى أحمال العمل المستندة إلى السحابة على مستوى المؤسسة بأكملها. وفي الوقت نفسه، ظلت الأنظمة المحلية، والوصول إلى الشبكة المتصلة بـ RADIUS، والتطبيقات القديمة، والبيئات عالية الأمان التي لم يكن من الممكن نقلها إلى السحابة، ضرورية للعمليات اليومية. 

توفر منصة Microsoft قدرات قوية في مجال إدارة الهوية ضمن نظامها البيئي الخاص، لكن المجالات التي تعاني فيها منصة Entra من قيود كانت هي نفسها المجالات التي تركزت فيها مخاطر هذه الوكالة: أحمال العمل الهجينة والمحلية، والتطبيقات القديمة التي تتطلب المصادقة باستخدام الرموز المادية، والبيئات المعزولة أو المعتمدة على نموذج RADIUS، وحالات الاستخدام عالية الضمان التي تتطلب الامتثال لمعايير FIPS وCJIS. وكان سد هذه الثغرات الأمنية يتطلب منصة مصممة خصيصًا لتوسيع نطاق تغطية Microsoft إلى ما وراء حدودها. وكانت RSA ID Plus، باعتبارها مكملًا معتمدًا من FedRAMP لـ Microsoft Entra، هي تلك المنصة. 

كانت البنية التحتية الحالية للهوية في الوكالة تعمل على إصدار قديم من حل المصادقة RSA المُثبَّت محليًّا. وكان ذلك الحل القديم يدعم ما يقارب 109,000 رمز برمجي و 36,000 رمز مادي. ورغم أنها كانت موثوقة، إلا أنها لم تعد كافية لتلبية الاحتياجات المتزايدة للوكالة. فقد ظهرت عدة مشكلات حاسمة بالنسبة لأعمال الوكالة: 

• عبء مكتب الدعم الفني: كانت عمليات إعادة تعيين بيانات الاعتماد وطلبات التسجيل الجديدة تتسبب في تلقي ما يقارب 2,500 مكالمة لمكتب الدعم الفني شهريًّا. وكانت تجربة الخدمة الذاتية المرتبطة بالحل القديم توفر إمكانيات تخصيص محدودة، ولم تكن هناك أي وسيلة لتقليل هذا الحجم. والأسوأ من ذلك، أن مكتب الدعم نفسه كان يمثل ثغرة أمنية: فقد كانت هجمات الهندسة الاجتماعية التي تنتحل صفة المستخدمين الشرعيين للوصول عبر قنوات الدعم تشكل خطرًا لم يتم معالجته. 
• نموذج «الثقة الصفرية» والتوثيق متعدد العوامل المقاوم للتصيد الاحتيالي: تطلبت مبادرة «صفر ثقة» (Zero Trust) التي أطلقتها الوكالة وجود آلية مصادقة مقاومة للتصيد الاحتيالي في جميع البيئات، وليس فقط في الأنظمة السحابية الأصلية. ولم تستطع العمليات التقليدية القائمة على كلمة المرور لمرة واحدة (OTP) وكلمة المرور تلبية هذا المطلب، لذا احتاجت الوكالة إلى التوسع لتشمل وسائل المصادقة عبر الإشعارات الفورية، والبيانات البيومترية، ورموز QR، وأجهزة المصادقة المعتمدة وفقًا لمعايير FIDO2 وFIDO، مع الحفاظ على استثماراتها الحالية في الرموز المميزة دون تغيير. 
• الامتثال والاعتماد: طلبت الجهات المعنية بإنفاذ القانون داخل الوكالة تطبيق نظام مصادقة متوافق مع معايير CJIS، مع توفير سجلات تدقيق مركزية وتقارير في الوقت الفعلي. وأشارت متطلبات التوافق مع المعايير الفيدرالية إلى الحاجة إلى حلول معتمدة من برنامج FedRAMP. كما تطلبت حالات الاستخدام عالية الأمان استخدام أجهزة مصادقة حاصلة على شهادة FIPS 140-3.
• التقارير والحوكمة: لم تكن عملية إعداد التقارير اليدوية القائمة على جداول البيانات قادرة على التوسع لتلبية متطلبات التدقيق والامتثال في جميع أنحاء 145,000 مستخدم. كانت الوكالة بحاجة إلى رؤية آلية في الوقت الفعلي لأحداث المصادقة، وحالة دورة حياة الرموز المميزة، وأنشطة المستخدمين. 

كان على عملية التحديث أن تعالج كل هذه الجوانب في آن واحد، وأن تفعل ذلك دون فرض عملية استبدال كاملة كانت ستؤدي إلى تعطيل قوة عاملة تبلغ 145,000 مستخدم على دراية مسبقة بمصادقة RSA. 

حصلت RSA ID Plus على ترخيص FedRAMP، وقد صُممت خصيصًا من أجل شديدة التعقيد البيئات المختلطة. يتكامل مع Microsoft Entra الهوية عبر SAML و OpenID Connect، مما يتيح توسيع نطاق سياسة المصادقة الموحدة لتشمل Microsoft 365 والتطبيقات المستضافة في السحابة والأنظمة المحلية, دون الحاجة إلى استبدال طبقة الهوية Microsoft أو إلزام الوكالة بإدارة وحدتي تحكم منفصلتين. ففي حين تغطي Entra السحابة Microsoft، تغطي RSA كل ما عدا ذلك: RADIUS، والتطبيقات القديمة، والبيئات المعزولة شبكيًّا، وأحمال العمل التي تتطلب مستوى ضمان أعلى مما توفره الأدوات السحابية الأصلية. 

“لم تضطر الوكالة إلى الاختيار بين حماية بيئة Microsoft الخاصة بها والحفاظ على استثماراتها في RSA. فقد أتاح نظام RSA ID Plus تحقيق كلا الأمرين في آن واحد.”

كما قدمت RSA ما لا يمكن لأي حل مخصص أن يقدمه: حلاً شاملاً لمشكلة مكتب الدعم الفني. يوفر نظام «RSA Help Desk Live Verify» (قيد التسجيل للحصول على براءة اختراع) ضمانًا ثنائي الاتجاه للهوية بدون كلمة مرور في تفاعلات مكتب الدعم الفني، مما يمكّن موظفي مكتب الدعم الفني والمستخدمين من التحقق من هويات بعضهم البعض دون الحاجة إلى أرقام التعريف الشخصية (PIN) أو الأسرار المشتركة أو الأسئلة المعرفية التي يمكن البحث عنها أو التلاعب بها عبر الهندسة الاجتماعية. بالنسبة لوكالة تدير 145,000 مستخدم عبر عشرات الكيانات، عالجت خدمة «Help Desk Live Verify» ثغرة أمنية منهجية لم يكن من الممكن سدها بمجرد توسيع نطاق المصادقة متعددة العوامل (MFA) وحدها. 

بالنسبة لحالات الاستخدام التي تتطلب أعلى مستويات الضمان لدى الوكالة، والبيئات الخاضعة لنظام CJIS، وأنظمة إنفاذ القانون، والأدوار التي تتطلب أجهزة معتمدة وفقًا لمعيار FIPS، قدمت شركة RSA سلسلة RSA iShield Key 2: أجهزة مصادقة حاصلة على شهادة FIDO2 وشهادة FIPS 140-3 من المستوى 3، تدعم المصادقة المقاومة للتصيد الاحتيالي والتي لا تعتمد على كلمات المرور، والتي تتوافق مع الأمر التنفيذي 14028، و OMB M-22-09، و M-24-14. لم يتمكن أي مورد آخر في عملية التقييم من توفير هذا المستوى من ضمان الأجهزة إلى جانب النطاق الهجين الذي قدمته RSA. 

وقد تم تيسير عملية الخطوبة من خلال تقنية ثاندركات بصفته موزعًا للحلول و شركة كاراهوفت للتكنولوجيا بصفتهما موزعين، حيث يسهم كلاهما بخبرة عميقة في مجال المشتريات في القطاع العام في هذا البرنامج. وقد وفرت شركة «RSA Professional Services» مستشارًا مقيمًا متفرغًا بنصف دوام لمدة اثني عشر شهرًا، حيث عمل ضمن بيئة الوكالة، وكان مسؤولاً عن التصميم والتنفيذ ونقل المعرفة طوال فترة العمل. 

تم تنفيذ عملية النشر على مرحلتين. في المرحلة الأولى، تم نشر RSA ID Plus في نموذج سحابة هجينة، حيث تم ربط حل المصادقة القديم الخاص بالوكالة من RSA بمنصة RSA السحابية من خلال أجهزة توجيه الهوية المدمجة. وتم نقل الرموز المميزة (التوكنات) الحالية، سواء كانت أجهزة أو برامج، دون الحاجة إلى إعادة التسجيل. وتم دمج Microsoft Active Directory و LDAP كمصادر للهوية. كما تم توسيع نطاق سياسات المصادقة لتشمل Microsoft Entra و Microsoft 365 عبر SAML و OIDC. تم تمكين المجموعة الكاملة من أدوات المصادقة الحديثة، مثل الإشعارات الفورية، والبيانات البيومترية، ورموز QR، وFIDO2، والأجهزة المعتمدة من FIDO، جنبًا إلى جنب مع مجموعة الرموز المميزة القديمة. ونشرت الوكالة أول بوابة لها للتسجيل الدخول الموحد (SSO).  

في المرحلة الثانية، تم دمج نظام RSA ID Plus Prime في المنصة. وحلت بوابة الخدمة الذاتية الخاصة بـ Prime محل وحدة التحكم القديمة في Authentication Manager، حيث تم تهيئتها لتعكس سير العمل الحالي، مما جعل عملية الانتقال تتطلب الحد الأدنى من إعادة التدريب. وقد وفرت بوابة إدارة مكتب المساعدة لموظفي الدعم واجهة مخصصة، في حين عملت خدمة RSA Help Desk Live Verify على تأمين تلك التفاعلات ضد الهندسة الاجتماعية. واستبدل إطار عمل تكامل Prime AMIS إعداد التقارير اليدوية بقدرات آلية في الوقت الفعلي تتعلق بواجهة برمجة التطبيقات (API) وسير العمل والتدقيق. أدى التحقق من الهوية عبر بوابة Prime Identity Verification Portal باعتبارها الواجهة الأمامية لـ Socure ID Proofing (حل التحقق من الهوية الحالي للوكالة) إلى تأمين وتبسيط عمليات إدماج المستخدمين الجدد وسير عمل استعادة بيانات الاعتماد دون الحاجة إلى تدخل مكثف من قسم تكنولوجيا المعلومات مع المستخدمين النهائيين. 

وقد حقق التحديث نتائج في ثلاثة مجالات: الوضع الأمني، والكفاءة التشغيلية، والجاهزية للامتثال. 

الأمن والامتثال 

• التوثيق متعدد العوامل (MFA) المقاوم للتصيد الاحتيالي على مستوى المؤسسة: انتقلت الوكالة من نظام كلمة المرور لمرة واحدة (OTP) التقليدي إلى مجموعة كاملة من وسائل المصادقة المقاومة للتصيد الاحتيالي، بما في ذلك الإشعارات الفورية، والبيانات البيومترية، ورموز QR، ونظام FIDO2، والأجهزة المعتمدة وفقًا لمعيار FIPS 140-3، والتي تُدار من خلال وحدة تحكم واحدة عبر البيئات السحابية والمختلطة والمحلية. وقد استوفى ذلك متطلبات نموذج «الثقة الصفرية» (Zero Trust) وتلبية متطلبات نظام المعلومات الجنائية (CJIS) الخاصة بالمصادقة عالية الضمان في أنظمة إنفاذ القانون.
• التوافق بين FedRAMP و FIPS: وقد وفرت ترخيص FedRAMP الخاص بـ RSA ID Plus معيار الامتثال الفيدرالي الذي تطلبته الوكالة. وبالنسبة لحالات الاستخدام التي تتطلب أعلى مستويات الضمان، استوفت شهادة FIPS 140-3 من المستوى 3 التي حصل عليها RSA iShield Key 2 المتطلبات المنصوص عليها في الأمر التنفيذي EO 14028 و OMB M-22-09، في حين لم تتوفر أي ميزة مكافئة في مجموعة الأدوات الأصلية لـ Microsoft. 
• تم القضاء على مخاطر الهندسة الاجتماعية في مكتب الدعم الفني: نجح نظام «RSA Help Desk Live Verify» في سد ثغرة الهجوم على مكتب الدعم الفني من خلال استبدال عملية التحقق القائمة على قاعدة المعرفة بنظام تأكيد الهوية ثنائي الاتجاه الذي لا يعتمد على كلمات المرور، مما يضمن عدم إمكانية استغلال المستخدمين أو موظفي الدعم عن طريق الهندسة الاجتماعية لتسريب بيانات اعتمادهم. 

التحسينات التشغيلية 

• انخفاض حجم الطلبات الواردة إلى مكتب الدعم الفني: أتاحت بوابة «برايم» للخدمة الذاتية للمستخدمين إدارة بيانات اعتمادهم، وتسجيل أجهزة المصادقة، وإتمام عملية التسجيل دون تدخل من قسم تكنولوجيا المعلومات. وتتوقع الوكالة تقليل عدد المكالمات الواردة إلى مكتب الدعم الفني بمقدار 2,500 مكالمة شهريًّا فيما يتعلق بالطلبات المتعلقة بالهوية.
• إعداد التقارير في الوقت الفعلي والاستعداد للتدقيق: استبدل إعداد التقارير الآلي عبر منصة Prime AMIS العمليات اليدوية، مما أتاح لفرق الامتثال رؤية فورية لأحداث المصادقة، وحالة دورة حياة الرموز المميزة، وأنشطة المستخدمين، وهو أمر بالغ الأهمية للوفاء بالتزامات تدقيق نظام المعلومات الجنائية (CJIS) في جميع كيانات إنفاذ القانون التابعة للوكالة. 
• التحديث دون تعطيل: تم الحفاظ على 109,000 رمز برمجي و36,000 رمز مادي تابعين للوكالة ونقلها إلى النظام الجديد. ولم تكن هناك حاجة إلى إعادة التسجيل بالنسبة لـ 145,000 مستخدم. وتم تهيئة بوابة الخدمة الذاتية الجديدة بحيث تعكس سير العمل الحالي. واعتبر المستخدمون النهائيون عملية الانتقال تحسناً وليس اضطراباً. 
• توافر عالٍ على نطاق واسع: وقد كفلت البنية الهجينة عالية التوافر المرونة عبر جميع مسارات المصادقة، سواء في السحابة أو في المواقع المحلية أو في بيئة RADIUS، دون الحاجة إلى إضافة أي بنية تحتية. 

تعزيز بيئة Microsoft 

• RSA باعتبارها طبقة الأمان التي احتاجتها Entra: قامت RSA بتوسيع نطاق سياسة المصادقة ID Plus لتشمل Microsoft 365 وأحمال عمل Azure والأنظمة المحلية من خلال تكامل واحد، مما أضاف التغطية الهجينة وضمان الأجهزة وعمق الامتثال الذي لم يكن بإمكان Microsoft Entra وحدها توفيره. وقد حافظ تكامل طريقة المصادقة الخارجية (EAM) بين RSA وMicrosoft Entra على الاستثمار الحالي في Microsoft سليمًا، مع رفع مستوى الأمان في البيئة المدمجة. 
• تجربة موحدة عبر المنصتين: وفرت بوابة RSA My Page SSO للمستخدمين واجهة مصادقة موحدة، سواء كان عملهم موجودًا في Microsoft 365 أو في نظام محلي. وكانت السياسات تصاحب المستخدم أينما ذهب، بغض النظر عن البيئة. 

تم تصميم المنصة التي تعمل عليها الوكالة حاليًا بحيث تتيح التوسع. وتستطيع البنية الهجينة استيعاب وكالات ومستخدمين وحالات استخدام جديدة دون الحاجة إلى إعادة تصميم البنية. كما تتوفر قدرات FIDO2 والتحقق من الهوية والأجهزة المعتمدة وفقًا لمعايير FIPS لدعم متطلبات الدخول بدون كلمة مرور مع توسع نطاق تطبيقها عبر الكيانات الحكومية. ويضمن نقل المعرفة المدمج في برنامج الإقامة التابع لـ RSA Professional Services أن يتمكن موظفو الوكالة أنفسهم من تشغيل المنصة وتوسيع نطاقها بشكل مستقل. 

بالنسبة لمؤسسة حكومية تابعة للولاية كانت تثق في شركة RSA لسنوات طويلة، وكانت بحاجة إلى التحديث دون الحاجة إلى البدء من الصفر، فإن الطريق إلى الأمام مر مباشرة عبر الشراكة التي كانت تربطها بها بالفعل، ومن خلال بيئة Microsoft التي أصبحت الآن أكثر أمانًا بشكل ملحوظ بفضل هذه الشراكة. 

تم تنفيذ هذا المشروع بالشراكة مع الرعدCفي شركة «تكنولوجي»، وهي إحدى الشركات الرائدة في مجال إعادة بيع التكنولوجيا للقطاع العام، وشركة «كاراهسوفت تكنولوجي كورب»، وهي واحدة من أكبر موزعي تكنولوجيا المعلومات للحكومة في الولايات المتحدة. الرعدCفي كما ساهمت خبرة شركة «كاراهسوفت» في التعامل مع قنوات المشتريات على مستوى الولايات وعلى المستوى الفيدرالي في إبرام عقد هذا البرنامج التحديثي بكفاءة, كما أن مشاركتهم المستمرة في منظومة RSA تدعم المبادرات الجارية في مجال الهوية في القطاع العام في جميع أنحاء البلاد.