ما هو التحكم في الوصول القائم على الأدوار؟

يعمل التحكم في الوصول القائم على الأدوار على الاستفادة من الأدوار والامتيازات المحددة لتقييد وصول الأنظمة ليقتصر على المستخدمين المصرح لهم. ويعتبر التحكم في الوصول القائم على الأدوار هو أساس الوصول الأقل امتيازاً، ويمكن استخدامه أيضاً في تنفيذ نماذج الوصول الأخرى، مثل التحكم في الوصول المستند إلى السمات (ABAC).

كيف يعمل التحكم في الوصول القائم على الأدوار؟

الفكرة وراء التحكم في الوصول القائم على الأدوار بسيطة: هي الحد من إمكانية وصول المستخدمين إلى الأنظمة والبيانات إلى الحد الأدنى الذي يحتاجون إليه للقيام بوظائفهم، وليس أكثر، وهو مفهوم يُعرف باسم مبدأ الحد الأدنى من الامتيازات (يختصر أحيانا باسم PoLP).

يحدد دور المستخدم داخل المنظمة في بيئة الوصول القائم على الأدوار أذونات الشبكة المحددة التي يتم منحها لهم. وهذا يعني منع الموظفين من المستوى الأدنى من الوصول إلى المعلومات والموارد شديدة الحساسية، ولكن مستويات الوصول القائمة على الأدوار عادة ما تكون أكثر دقة. عندما يتم تنفيذ التحكم في الوصول القائم على الأدوار بشكل صحيح، يجب ألا يكون المستخدمون قادرين على الوصول إلى أي موارد خارج مجالات العمل المستندة إليهم؛ على سبيل المثال، لا ينبغي أن يكون بمقدور موظفي التسويق الوصول إلى بيئات المطور، والعكس صحيح.

كذلك، يتم استخدام الوصول القائم على الأدوار لتقييد ما قد يمكن للمستخدمين القيام به مع نظام أو ملف تم منحهم حق الوصول إليه. قد يكون للمستخدم حق الوصول للقراءة فقط إلى ملفات أو أنظمة معينة، مثل قواعد البيانات، ولكن الوصول للقراءة/الكتابة إلى الآخرين.

التحكم في الوصول القائم على الأدوار مقابل التحكم في الوصول المستند إلى السمات.

يستخدم التحكم في الوصول القائم على الأدوار غالباً بشكل مترادف مع التحكم في الوصول المستند إلى السمات. في حين أن التحكم في الوصول المستند إلى السمات والتحكم في الوصول القائم على الأدوار مختلفان، وكثيراً ما يُستخدم التحكم في الوصول القائم على الأدوار جنباً إلى جنب مع التحكم في الوصول المستند إلى السمات.

التحكم في الوصول المستند إلى السمات أدق من التحكم في الوصول القائم على الأدوار ويمكن اعتباره امتداداً أو تحسيناً للوصول القائم على الأدوار. بينما يعتمد التحكم في الوصول القائم على الأدوار على دور المستخدم داخل المنظمة، في نموذج الوصول المستند إلى السمات، تعتمد حقوق وصول المستخدم على مجموعة من السمات، وليس فقط أدوار المستخدم. ويتضمن ذلك على سبيل المثال لا الحصر دور المستخدمين في المنظمة، حيث يحاولون الوصول إلى الموارد من الجهاز الذين يقومون باستخدامه، والسمات المرتبطة بالنظام أو التطبيق الذي يحاولون الوصول إليه. ويتيح ذلك للمنظمات منح إمكانية الوصول وفرض القيود وفقاً لملف تعريف المخاطر الخاص بالمستخدم الفردي.

على سبيل المثال، قد ترغب في تقييد مسؤولي تكنولوجيا المعلومات لديك من الوصول عن بُعد إلى الأنظمة الخلفية ما لم يقوموا باستخدام الشبكة الخاصة الظاهرية VPN أو مدير اتصال سطح مكتب عن بُعد، أو قد ترغب في منع جميع الموظفين من الوصول إلى موارد الشركة ما لم يستخدموا جهاز توفره الشركة.

التحكم في الوصول القائم على الأدوار مقابل قوائم التحكم بالوصول (ACL)

قائمة التحكم بالوصول هي قائمة من المستخدمين الذين لديهم إمكانية الوصول إلى مورد معين، إلى جانب الامتيازات التي يمتلكها كل مستخدم لهذا المورد (للقراءة فقط، القراءة والكتابة، وما إلى ذلك) وتعتبر قائمة التحكم بالوصول أساس نموذج التحكم في الوصول التقديري (DAC).

المثال الأكثر شيوعاً من قوائم التحكم في الوصول والتحكم في الوصول التقديري أثناء العمل هو نظام ملفات Windows، والذي يسمح للمستخدمين والمسؤولين بتعريف قائمة التحكم بالوصول الفردية لكل عنصر، مثل مستند نصي أو مجلد الملفات.

تتكون قوائم التحكم في الوصول، عادةً من عناوين IP، وتستخدم أيضاً من قبل مسؤولي الشبكة لتصفية نسبة استخدام الشبكة إلى الشبكات الخاصة الظاهرية VPN، وجداران الحماية لتطبيقات الويب (WAF)، وموجهات ومبدِّلات الشبكة. يمكن أن تحتوي قائمة التحكم بالوصول على "قائمة سماح" لعناوين IP المسموح بها أو "قائمة حظر" لعناوين IP غير المسموح بها.

إذا كنت تعتقد أن هذا يبدو مثل الكثير من العمل، فأنت على حق. حيث يُعد الاحتفاظ بقوائم السماح والحظر الضخمة مضيعة للوقت وعرضة للخطأ، وهذا هو السبب في أن قوائم التحكم في الوصول (ونموذج التحكم في الوصول التقديري) مفيدان فقط في الحالات المعزولة التي تنطوي على أعداد صغيرة من المستخدمين.

مختصر القول: بينما يحدد التحكم في الوصول القائم على الأدوار امتيازات الوصول على مستوى المجموعة، فإن قائمة التحكم بالوصول يحددها على مستوى المستخدم الفردي أو مستوي IP. هذا يجعل التحكم في الوصول القائم على الأدوار أقل كثافة في العمالة وعرضة للأخطاء من قوائم التحكم في الوصول، وبالتالي أكثر جدوى في بيئة الأعمال مع العشرات، أو المئات، أو حتى الآلاف من المستخدمين.

ما هي فوائد التحكم في الوصول القائم على الأدوار؟

هناك العديد من الفوائد لتنفيذ التحكم في الوصول القائم على الأدوار، بما في ذلك:

تعزيز الأمن

يؤدي تقييد وصول الموظفين إلى الموارد التي يحتاجون إليها فقط لتأدية وظائفهم إلى منع المطلعين المهملين أو الضارين من حذف الملفات والأصول الرقمية الأخرى، أو تسريبها، أو المساس بسلامتها، مثل قواعد البيانات وكود المصدر.

بالإضافة إلى ذلك، في حالة إذا قام ممثل تهديد خارجي بسرقة مجموعة من بيانات اعتماد تسجيل الدخول العاملة، فإن التحكم في الوصول القائم على الأدوار والوصول الأقل امتيازاً سيمنعهم من التحرك جانبياً داخل الشبكة وتصعيد الامتيازات.

كما يُعد أيضاً التحكم في الوصول القائم على الأدوار والوصول الأقل امتيازاً مكونات رئيسية لنماذج الوصول للشبكة الحديثة القائمة على بنية انعدام الثقة.

دعم مبادرات الامتثال

يمكِّن الوصول القائم على الأدوار الشركات من تحقيق متطلبات الامتثال التنظيمية والصناعية، ويشمل ذلك قانون نقل التأمين الطبي ومسؤوليته (HIPAA)، والقانون العام لحماية البيانات (GDPR) وأطر حماية وخصوصية البيانات الأخرى التي تفرض ضوابط السرية والخصوصية من أجل معلومات التعريف الشخصية والبيانات الحساسة الأخرى. ويشكل ذلك أهمية خاصة في الصناعات عالية التنظيم مثل الرعاية الصحية والمالية، فضلاً عن الوكالات الحكومية.

تخفيض التكاليف والنفقات الإدارية العامة

تعمل أدوار المستخدم المحددة مسبقاً لنموذج التحكم في الوصول القائم على الأدوار على تقليل النفقات الإدارية العامة عند إعداد أو إلغاء إعداد الموظفين، أو عندما يتولى الموظفون أدواراً جديدة أو مسؤوليات وظيفية داخل الشركة، أو عندما تحتاج المنظمة إلى منح الإذن بالوصول إلى مورد أو مقاول خارجي. يتمثل منح إذن وصول مستخدم جديد، أو تغيير إذن وصول مستخدم حالي، ببساطة في تعيين الدور(الأدوار) الصحيحة له. وكذلك عندما يغادر المستخدمون الشركة، يمكن لمسؤولي تكنولوجيا المعلومات والأمن إلغاء الوصول إلى أنظمتهم بسرعة.

من خلال منح المسؤولين القدرة على رؤية وصول المستخدم ونشاطه، يسمح التحكم في الوصول القائم على الأدوار للمنظمات من تحديد المجالات التي يمكنها فيها استخدام موارد الشبكة بشكل أكثر فعالية من حيث التكلفة، مثل النطاق الترددي والسعة التخزينية.

كيفية تنفيذ التحكم في الوصول القائم على الأدوار

1. قم بوضع استراتيجية تلبي احتياجات شركتك.

قبل اتخاذ المبادرة وتحديد الأدوار، قم بجرد أنظمتك لتحديد الموارد التي تحتاجها للتحكم في الوصول إليها. حدد الأنظمة التي تعالج أو تخزن المعلومات الحساسة، مثل قواعد بيانات العملاء وبيئات المطورين، بالإضافة إلى الأنظمة التي يحتاج الجميع إلى الوصول إليها، مثل البريد الإلكتروني للشركة وأنظمة التذاكر في مكتب المساعدة.

افحص أيضاً العمليات التجارية لشركتك، وتقنياتها وشروط الامتثال، ووضع الأمان الحالي. وحدد أي ثغرات موجودة، مثل تطبيق السياسات غير المتسقة عبر المنظمة.

ضع في اعتبارك أنك قد ترغب في استخدام التحكم في الوصول القائم على الأدوار بالتزامن مع التحكم في الوصول المستند إلى السمات أو نموذج آخر، وخاصة إذا كنت تنفذ الوصول للشبكة القائم على بنية انعدام الثقة.

2. حدد أدوار المستخدم.

حان الوقت الآن لتحليل القوى العاملة وتجميع المستخدمين لديك في الأدوار التي لها احتياجات وصول مماثلة. ابدأ بضربات عريضة – مثل النظر إلى المستخدمين حسب القسم - ثم قم بتحسين أدوار المستخدم من هناك.

تأكد من عدم تحديد الكثير من الأدوار، لأن ذلك من شأنه أن ينافي الغرض من استخدام التحكم في الوصول القائم على الأدوار. مع مراعاة استخدام تعيين فريق إلى دور، حيث يتم تعيين المستخدمين مباشرة إلى فرق، والتي يمكن بعد ذلك تعيينها بأدوار مخصصة. سيوفر ذلك الوقت، ويحسن ترابط السياسات، ويقلل من الأخطاء ويسهل على المسؤولين سياسات الوصول القائمة على الأدوار.

احترس أيضاً من المآزق الشائعة الأخرى، مثل نقص الدقة، وتداخل الأدوار، والاستثناءات المفرطة لأذونات التحكم في الوصول القائم على الأدوار.

3. إنشاء هيكل إداري مناسب.

بعد تحديد استراتيجية التحكم في الوصول القائم على الأدوار وأدوار المستخدم، تحتاج إلى طريقة لفرض سياساتك الجديدة، بالإضافة إلى إدارة عملية التغيير لتبديلها حسب تغير احتياجات عملك.

وضع سياسة مكتوبة للتحكم في الوصول تحتوي على قواعد وإرشادات لنموذج التحكم في الوصول القائم على الأدوار الخاص بك، بما في ذلك مؤشرات الأداء، واستراتيجيات إدارة المخاطر، وإجراءات إعادة تقييم الأدوار، وآليات الإنفاذ. تساعد مجموعة واضحة من القواعد على منع " انتشار الأدوار" والصراعات الداخلية بين الإدارات والمستخدمين الفردين.

4. نفذ نموذج التحكم في الوصول القائم على الأدوار الخاص بك.

قد ترغب مؤسسة كبيرة، لا سيما تلك التي ليس لديها نموذج قائم على الأدوار، في طرح الخطة الجديدة على مراحل لتجنب ارتباك المستخدم وتعطيل العمليات اليومية. توقع أنه ستكون هناك مشاكل على طول الطريق، بما في ذلك المشاكل التي تتطلب منك تعديل خطتك الأصلية. وهذا أمر طبيعي، ومن خلال طرح خطتك على مراحل، يمكنك معالجتها بسهولة أكبر.

5. حافظ على نموذج التحكم في الوصول القائم على الأدوار الخاص بك.

يأتي المستخدمون ويذهبون، وتحتاج الأعمال إلى التغيير، وتتغير التكنولوجيا، وتتغير الأسواق. وخلال كل ذلك لن تحافظ عناصر التحكم في الوصول القائمة على الأدوار على نفسها. اجمع التعقيبات من مستخدميك وراقب وضعك الأمني باستمرار، وقم بإجراء مراجعات دورية للأدوار، وتعيينات الأدوار، وسجلات الوصول لفهم ما يعمل وما يحتاج إلى تعديل.

عربى (AE) اتصل بنا