مدیریت هویت و دسترسی (IAM) چیست؟
مدیریت هویت و دسترسی (IAM) یا( IdAM) روشی ست برای تشخیص اینکه کاربر چه کسی است و مجاز به انجام چه کاری است. IAM مانند نگهبان درب یک کنسرت است و لیستی از افراد مجاز ، غیر مجاز و افراد دارای امکان دسترسی به منطقه VIP را دارد. IAM را مدیریت هویت (IdM) نیز می نامند.
به عبارت فنی تر ، IAM وسیله ای برای مدیریت مجموعه معینی از هویت دیجیتالی کاربران و امتیازات مربوط به هر هویت است. این یک مفهوم کلی است که تعدادی از محصولات مختلف را شامل می شود که همه این عملکرد اصلی را انجام می دهند. در یک سازمان ، IAM ممکن است یک محصول واحد باشد، یا ممکن است ترکیبی از فرآیندها ، محصولات نرم افزاری ، خدمات ابری و سخت افزاری باشد که به مدیران امکان مشاهده و کنترل داده های سازمانی را می دهد که کاربران جداگانه می توانند به آنها دسترسی داشته باشند. IAM محصولی برای امنیت ابر و شبکه می باشد.
هویت در زمینه محاسبات چیست؟
کل هویت یک شخص قابل بارگذاری و ذخیره در رایانه نیست، بنابراین “هویت” در یک زمینهی محاسباتی به معنای مجموعه خاصی از خصوصیات است که به راحتی و به صورت دیجیتالی قابل اندازه گیری و ضبط است. به یک کارت شناسایی یا گذرنامه فکر کنید: هر واقعیتی در مورد شخص در کارت شناسایی او ثبت نمیشود، اما دارای مشخصات شخصی کافی است که میتوان هویت فرد را به سرعت با کارت شناسایی مطابقت داد.
برای تأیید هویت، یک سیستم رایانهای کاربر را از نظر خصوصیاتی که مخصوص اوست ارزیابی میکند. در صورت مطابقت، هویت کاربر تأیید میشود. این ویژگیها به عنوان “عوامل احراز هویت” نیز شناخته میشوند، زیرا به تأیید اعتبار کاربر همان گونه که او ادعا دارد کمک میکنند.
سه عامل احراز هویت که به طور گسترده مورد استفاده قرار می گیرند:
- چیزی که کاربر میداند
- چیزی که کاربر دارد
- چیزی که کاربر است
چیزی که کاربر می داند
این فاکتور بخشی از اطلاعاتی است که فقط یک کاربر باید داشته باشد، مانند نام کاربری و رمز عبور. تصور کنید که جان (مثلاً) میخواهد ایمیل کار خود را از خانه بررسی کند. برای این کار، ابتدا باید با شناسایی هویت خود به حساب ایمیل خود وارد شود، زیرا اگر شخصی که جان نبود به ایمیل جان دسترسی پیدا میکرد، دادههای شرکت به خطر می افتاد. جان با وارد کردن ایمیل خود، john@company.com و رمز عبوری که فقط او میداند وارد سیستم میشود – به عنوان مثال “۵jt * 2) f12؟ y”. احتمالاً هیچ کس دیگری به جز جان این رمز را نمیداند، بنابراین سیستم ایمیل جان را میشناسد و به او اجازه میدهد به حساب ایمیل خود دسترسی پیدا کند. اگر شخص دیگری با وارد کردن آدرس ایمیل او به عنوان “john@company.com” سعی در جعل هویت جان داشته باشد، بدون دانستن اینکه “۵jt * 2) f12؟ y” را به عنوان گذرواژه تایپ کند، موفق نخواهد شد.
چیزی که کاربر در اختیار دارد
این عامل به داشتن یک توکن فیزیکی اشاره دارد که برای کاربران مجاز صادر میشود. ابتداییترین مثال برای این فاکتور احراز هویت استفاده از کلید خانه برای ورود فیزیکی به خانه است. فرض این است که فقط شخصی که صاحب خانه است، آن را اجاره کرده یا مانند آن، به خانه راه پیدا میکند، دارای یک کلید است.
در زمینه محاسبات، جسم فیزیکی میتواند یک fob key، یک دستگاه USB یا حتی یک تلفن هوشمند باشد. فرض کنید که سازمان جان با بررسی دو فاکتور احراز هویت به جای یک عامل، میخواست مطمئن شود که همه کاربران واقعاً همان چیزی هستند که گفتهاند. حال، جان به جای اینکه فقط رمز ورود مخفی خود را وارد کند – فاکتوری که کاربر آن را میداند – باید به سیستم ایمیل نشان دهد کهشی دیگری را در اختیار دارد که شخص دیگری در اختیار ندارد. جان تنها شخصی در جهان است که تلفن هوشمند شخصیاش را در اختیار دارد، بنابراین سیستم ایمیل برای او یک کد یکبار ارسال میفرستد و جان برای نشان دادن در اختیار داشتن تلفن، کد را تایپ میکند.
چیزی که کاربر است
این مربوط به ویژگی فیزیکی بدن فرد است. یک نمونه معمول از این فاکتور احراز هویت، Face ID است، ویژگی ارائه شده توسط بسیاری از تلفنهای هوشمند مدرن. اسکن اثر انگشت مثال دیگری است. روشهای کمتر متداول استفاده شده توسط برخی از سازمانهای با امنیت بالا شامل اسکن شبکیه و آزمایش خون است.
تصور کنید که سازمان جان تصمیم میگیرد تا با تأیید کاربران به جای دو عامل، با سه عامل امنیت را افزایش دهد (این امر نادر است). اکنون قبل از اینکه سیستم ایمیل تأیید کند که او واقعاً جان است، باید رمز ورود خود را وارد کند، مالکیت تلفن هوشمند خود را تأیید کند و اثر انگشت خود را اسکن کند.
به طور خلاصه: در دنیای واقعی ، هویت فرد ترکیبی پیچیده از خصوصیات شخصی ، تاریخ ، مکان و سایر عوامل است. در دنیای دیجیتال ، هویت کاربر از برخی یا از هر سه عامل احراز هویت تشکیل شده است که به صورت دیجیتالی در یک پایگاه داده هویت ذخیره می شود. برای جلوگیری از جعل هویت کاربران واقعی ، سیستم های رایانه ای هویت کاربر را در برابر پایگاه داده هویت بررسی می کنند.
تعریفی از مدیریت هویت و دسترسی (IAM)
“دسترسی” به اطلاعاتی که کاربر میتواند ببیند و فعالیتهایی که میتواند به محض ورود به سیستم انجام دهد اشاره دارد. وقتی جان وارد ایمیل خود شد، میتواند همه ایمیلهای ارسال شده و دریافت شده را مشاهده کند. با این حال، او نباید قادر به دیدن ایمیلهای ارسالی و دریافت شده توسط همکارش، تریسی باشد.
به عبارت دیگر، فقط به این دلیل که هویت کاربر تأیید میشود، به این معنی نیست که آنها باید بتوانند به هر آنچه که میخواهند در یک سیستم یا شبکه دسترسی داشته باشند. به عنوان مثال، یک کارمند سطح پایین در یک شرکت باید بتواند به حساب ایمیل شرکت خود دسترسی پیدا کند، اما او نمیتواند به سوابق حقوق و دستمزد یا اطلاعات محرمانه منابع انسانی دسترسی داشته باشند.
مدیریت دسترسی فرآیند کنترل و ردیابی دسترسی است. هر کاربر درون یک سیستم بر اساس نیازهای فردی خود دارای امتیازات مختلفی در آن سیستم خواهد بود. یک حسابدار واقعاً نیاز به دسترسی و ویرایش سوابق حقوق و دستمزد دارد، بنابراین پس از تأیید هویت خود، باید بتواند آن سوابق را مشاهده و به روزرسانی کند و همچنین به حساب ایمیل خود دسترسی پیدا کند.
چرا مدیریت هویت و دسترسی (IAM) برای رایانش ابری بسیار مهم است؟
در رایانش ابری، دادهها از راه دور ذخیره میشوند و از طریق اینترنت قابل دسترسی هستند. از آنجا که کاربران تقریباً از هر مکان و هر دستگاهی میتوانند به اینترنت متصل شوند، بیشتر سرویسهای ابری مستقل از دستگاه و مکان هستند. دیگر کاربران برای دسترسی به فضای ابری نیازی به حضور در دفتر یا دستگاه متعلق به شرکت ندارند. و در حقیقت، دورکاری رایجتر میشوند.
در نتیجه، هویت مهمترین نقطه کنترل دسترسی میشود، نه محیط شبکه. هویت کاربر، نه دستگاه یا مکان آنها، تعیین میکند به چه دادههای ابری میتوانند دسترسی پیدا کنند و آیا اصلاً میتوانند دسترسی داشته باشند یا خیر.
برای درک اهمیت هویت مثالی می زنیم. فرض کنید یک مجرم اینترنتی می خواهد به پرونده های حساس در مرکز داده یک شرکت دسترسی پیدا کند. در روزهای قبل از اینکه رایانش ابری به طور گسترده مورد استفاده قرار بگیرد، مجرم اینترنتی مجبور بود از طریق فایروال از شبکه داخلی یا با ورود به ساختمان یا رشوه دادن به یک کارمند داخلی ، به سرور دسترسی فیزیکی داشته باشد. هدف اصلی مجرم عبور از محیط شبکه است.
با این حال، با استفاده از رایانش ابری، پروندههای حساس در یک سرور ابری از راه دور ذخیره میشوند. از آنجا که کارمندان این شرکت نیاز به دسترسی به پروندهها دارند، این کار را با ورود به سیستم از طریق مرورگر یا برنامه انجام میدهند. اکنون اگر یک مجرم سایبری بخواهد به پروندهها دسترسی پیدا کند، تنها چیزی که نیاز دارد اطلاعات ورود به سیستم کارمندان (مانند نام کاربری و رمز عبور) و اتصال به اینترنت است. مجرم نیازی به عبور از محیط شبکه ندارد. IAM کمک میکند تا از حملات مبتنی بر هویت و نقض دادهها که ناشی از تشدید امتیازات است (زمانی که کاربر غیر مجاز دسترسی بیش از حد دارد) جلوگیری شود. بنابراین، سیستمهای IAM برای محاسبات ابری و مدیریت تیمهای از راه دور ضروری است.
محیط شبکه به لبههای یک شبکه داخلی اشاره دارد. این یک مرز مجازی است که شبکه داخلی مدیریت شده ایمن را از اینترنت کنترل نشده و بدون امنیت جدا میکند. همه رایانههای یک دفتر، به علاوه دستگاههای متصل مانند چاپگرهای اداری، در این محیط قرار دارند، اما یک سرور از راه دور در یک مرکز داده در سراسر جهان چنین نیست.
مدیریت هویت و دسترسی (IAM) کجای معماری ابری قرار می گیرد؟
IAM غالباً یک سرویس ابری است که کاربران برای دسترسی به بقیه زیرساختهای ابری سازمان باید از طریق آن عبور کنند. همچنین میتواند در محل سازمان در شبکه داخلی مستقر شود. سرانجام، برخی از فروشندگان ابر عمومی ممکن است مدیریت هویت و دسترسی (IAM) را در دستهی سایر خدمات خود قرار دهند.
مشاغل با استفاده از معماری ابر multicloud یا ترکیبی ممکن است در عوض از یک فروشنده جداگانه برای IAM استفاده کنند. جدا کردن IAM از سایر خدمات ابری عمومی یا خصوصی انعطاف پذیری بیشتری به آنها میدهد: در صورت تعویض فروشندگان ابر، آنها هنوز میتوانند هویت خود را حفظ کرده و به پایگاه داده خود دسترسی پیدا کنند.
ارائه دهنده هویت (IdP) چیست؟
ارائه دهنده هویت (IdP) محصول یا خدماتی است که به مدیریت هویت کمک میکند. IdP اغلب مراحل واقعی ورود را کنترل میکند. ارائه دهندههای Single sign-on (SSO) در این گروه قرار میگیرند. IdP ها میتوانند بخشی از چارچوب IAM باشند، اما معمولاً به مدیریت دسترسی کاربر کمک نمیکنند.
Identity-as-a-Service)IDaaS) چیست؟
Identity-as-a-Service (IDaaS) یک سرویس ابری است که هویت را تأیید میکند. این یک پیشنهاد SaaS از یک فروشنده ابر است، روشی برای برون سپاری بخشی از مدیریت هویت. در برخی موارد، IDaaS و IdP اساساً قابل تعویض هستند – اما در موارد دیگر، فروشنده IDaaS قابلیتهای اضافی علاوه بر تأیید و مدیریت هویت را ارائه میدهد. بسته به قابلیتهای ارائه شده توسط فروشنده IDaaS، IDaaS میتواند بخشی از یک چارچوب IAM باشد، یا میتواند کل سیستم IAM باشد.