کنترل دسترسی (access control) چیست؟
کنترل دسترسی (access control) اصطلاحی امنیتی است که اشاره به مجموعهای از سیاستهای محدود کننده در دسترسی به اطلاعات، ابزارها و مکانهای فیزیکی دارد.
کنترل دسترسی (access control) فیزیکی چیست؟
اگرچه تمرکز ما بر کنترل دسترسی به اطلاعات متمرکز است، اما کنترل دستیابی فیزیکی یک مقایسه مفید برای درک مفهوم کلی آن است. کنترل دسترسی فیزیکی مجموعهای از سیاستها برای کنترل دسترسی به مکان فیزیکی به افرادی است که مجاز هستند. نمونههای واقعی کنترل دستیابی فیزیکی شامل موارد زیر است:
- نگهبانهای کنسرت
- تورنستیل های مترو
- نمایندگان گمرک فرودگاه
- اسکنر کارت کلید یا badge در دفاتر شرکتها
در همه این مثالها، شخص یا دستگاه مجموعهای از سیاستها را دنبال میکند تا تصمیم بگیرد چه کسی به یک مکان فیزیکی محدود دسترسی پیدا کند. به عنوان مثال، اسکنر کارت کلیدهای هتل فقط به مهمانان مجاز که دارای کلید هتل هستند اجازه دسترسی میدهد.
کنترل دسترسی (access control) اطلاعات چیست؟
کنترل دسترسی اطلاعات دسترسی به دادهها و نرم افزاری را که برای کار با آن دادهها استفاده میشود محدود میکند. مثالها شامل موارد زیر است:
- ورود به لپ تاپ با استفاده از رمز عبور
- باز کردن قفل تلفن هوشمند با اسکن اثر انگشت
- دسترسی از راه دور به شبکه داخلی کارفرما با استفاده از VPN
در همه این موارد، از نرم افزار برای تأیید اعتبار و اعطای مجوز به کاربرانی که نیاز به دسترسی به اطلاعات دیجیتالی دارند، استفاده میشود. احراز هویت و مجوز از اجزای جدایی ناپذیر کنترل دسترسی به اطلاعات هستند.
تفاوت بین احراز هویت و مجوز چیست؟
احراز هویت عمل امنیتی تأیید این است که شخص، همان فردی است که ادعا میکند، در حالی که مجوز فرآیند تعیین سطح دسترسی هر کاربر است. به عنوان مثال، به مسافری فکر کنید که در هتل حضور مییابد. هنگامی که آنها در پذیرش ثبت نام میکنند، از آنها خواسته میشود گذرنامه ارائه دهند تا تأیید شود شخص کسی است که نام خود را در رزرو ذکر کرده است. این نمونهای از احراز هویت است. پس از احراز هویت مهمان توسط کارمند هتل، مهمان یک کارت کلید با امتیازات محدود دریافت میکند. این یک نمونه مجوز است. کارت ویزیت مهمان به آنها امکان دسترسی به اتاق، آسانسور مهمان و استخر را میدهد – اما نه اتاقهای دیگر مهمانان یا آسانسور ویژهی خدمه و بار رسانی. از طرف دیگر، کارمندان هتل مجاز به دسترسی به مناطق بیشتری از هتل نسبت به مهمانان هستند.
سیستم های رایانه ای و شبکه ای دارای کنترل های احراز هویت و مجوز مشابه هستند.
هنگامی که یک کاربر وارد ایمیل یا حساب بانکی آنلاین خود میشود، از یک ترکیب لاگین و رمز عبور استفاده میکند که فقط آنها میخواهند بدانند. این نرم افزار از این اطلاعات برای تأیید اعتبار کاربر استفاده میکند. برخی از برنامهها نیاز به مجوز سختگیرانه تری نسبت به بقیه دارند. در حالی که رمز عبور برای برخی کافی است، برخی دیگر ممکن است احتیاج به احراز هویت دو عاملی یا تأیید بیومتریک داشته باشد، مانند اثر انگشت یا اسکن چهره.
پس از احراز هویت، یک کاربر فقط میتواند اطلاعاتی را که مجاز به دسترسی به آنها است مشاهده کند. در مورد حساب بانکی آنلاین، کاربر فقط میتواند اطلاعات مربوط به حساب بانکی شخصی خود را مشاهده کند. در همین حال، یک مدیر صندوق در بانک میتواند به همان برنامه وارد شود و دادههای موجودی کل دارایی بانک را ببیند. از آنجا که بانک اطلاعات شخصی بسیار حساس را مدیریت میکند، کاملاً ممکن است هیچ کس بدون محدودیت به دادهها دسترسی نداشته باشد. حتی رئیس بانک یا رئیس حراست بانک ممکن است برای دستیابی به اطلاعات کامل تک تک مشتریان نیاز به عبور از پروتکل امنیتی داشته باشند.
انواع اصلی کنترل دسترسی کدامند؟
پس از اتمام مراحل احراز هویت، میتوان مجوز کاربر را به یکی از چندین روش تعیین کرد:
کنترل دسترسی اجباری (MAC): کنترل دسترسی اجباری سیاستهای امنیتی سختگیرانه ای را برای تک تک کاربران و منابع، سیستمها یا دادههایی که اجازه دسترسی به آنها را دارند ایجاد میکند. این سیاستها توسط یک مدیر کنترل میشود. به تک تک کاربران اجازه تعیین، تغییر یا لغو مجوزها را نمیدهد به گونهای که با سیاستهای موجود مغایرت داشته باشد.
تحت این سیستم، هم موضوع (کاربر) و هم شی (دادهها، سیستم یا منابع دیگر) باید ویژگیهای امنیتی مشابه داشته باشند تا بتوانند با یکدیگر تعامل داشته باشند. با بازگشت به مثال قبلی، رئیس بانک برای دسترسی به پروندههای داده مشتری نه تنها به مجوز امنیتی صحیح نیاز دارد، بلکه مدیر سیستم باید مشخص کند که این پروندهها توسط رئیس قابل مشاهده و تغییر است یا خیر؟ اگرچه ممکن است این فرآیند زائد به نظر برسد، اما این اطمینان را میدهد که کاربران نمیتوانند صرفاً با دستیابی به دادهها یا منابع خاص اقدامات غیرمجاز انجام دهند.
کنترل دسترسی مبتنی بر نقش (RBAC): کنترل دسترسی مبتنی بر نقش، مجوزها را بر اساس گروهها (مجموعههای مشخص شده از کاربران، مانند کارمندان بانک) و نقشها (مجموعههایی از اقدامات تعریف شده، مانند مواردی که یک بانکدار یا یک مدیر شعبه ممکن است انجام دهد) ایجاد میکند. افراد میتوانند هر عملی را که به نقش آنها اختصاص یافته انجام دهند و در صورت لزوم ممکن است چندین نقش به آنها اختصاص داده شود. مانند MAC، کاربران مجاز به تغییر سطح کنترل دسترسی که به نقش آنها اختصاص داده شده نیستند.
به عنوان مثال ، ممکن است به هر کارمند بانکی که به عنوان بانکدار منصوب می شود ، اجازه پردازش معاملات حساب و افتتاح حساب های جدید مشتری داده شود. از طرف دیگر ، یک مدیر شعبه ممکن است چندین نقش را داشته باشد ، به آنها اجازه پردازش معاملات حساب ، باز کردن حساب های مشتری ، انتصاب نقش بانکدار به یک کارمند جدید و غیره را بدهد.
کنترل دسترسی اختیاری (DAC): به محض اینکه به کاربر اجازه دسترسی به یکشی داده شود (معمولاً توسط یک مدیر سیستم یا از طریق یک لیست کنترل دسترسی موجود)، وی میتواند به صورت مورد نیاز اجازه دسترسی به سایر کاربران را بدهد. با این حال ممکن است آسیب پذیری های امنیتی را ایجاد کند، زیرا کاربران قادر به تعیین تنظیمات امنیتی و به اشتراک گذاری مجوزها بدون نظارت دقیق از طرف مدیر سیستم هستند.
هنگام ارزیابی اینکه کدام روش مجوز کاربر برای سازمان مناسبتر است، باید نیازهای امنیتی در نظر گرفته شود. به طور معمول، سازمانهایی که به سطح بالایی از محرمانه بودن دادهها نیاز دارند (به عنوان مثال سازمانهای دولتی، بانکها و غیره) اشکال سختگیرانه تری برای کنترل دسترسی مانند MAC انتخاب میکنند، در حالی که سازمانهایی که از انعطاف پذیری بیشتر و مجوزهای مبتنی بر کاربری یا نقش استفاده میکنند، به سمت سیستمهای RBAC و DAC گرایش دارند.
چند روش برای اجرای کنترل دسترسی (access control) چیست؟
یک ابزار محبوب برای کنترل دسترسی به اطلاعات، یک شبکه خصوصی مجازی (VPN) است. VPN سرویسی است که به کاربران از راه دور امکان دسترسی به اینترنت را میدهد، همانند اینکه به شبکه خصوصی متصل شدهاند. شبکههای سازمانی معمولاً از VPN برای مدیریت کنترل دسترسی به شبکه داخلی خود در یک فاصله جغرافیایی استفاده میکنند.
به عنوان مثال، اگر شرکتی دفتری در سانفرانسیسکو و دفتری دیگر در نیویورک داشته باشد، و همچنین کارمندان از راه دور که در سراسر جهان پراکنده شدهاند، آنها میتوانند از VPN استفاده کنند تا همه کارمندان آنها بدون در نظر گرفتن مکان فیزیکی خود، بتوانند به طور ایمن وارد شبکه داخلی شوند. اتصال به VPN همچنین در صورت اتصال کارمندان به یک شبکه WiFi عمومی به شما در برابر حملات موجود در مسیر محافظت میکند.
VPN ها با اشکالاتی نیز همراه هستند. به عنوان مثال، VPN ها تأثیر منفی بر عملکرد دارند. هنگام اتصال به VPN، هر بسته دادهای که کاربر میفرستد یا دریافت میکند، قبل از رسیدن به مقصد باید مسافت بیشتری را طی کند، زیرا هر درخواست و پاسخ باید قبل از رسیدن به مقصد، به سرور VPN برسد. این روند اغلب تأخیر را افزایش میدهد.
VPN ها به طور کلی رویکرد همه یا هیچ را برای امنیت شبکه فراهم میکنند. VPN ها در تأیید اعتبار بسیار عالی هستند، اما در ارائه کنترلهای مجوز گرانولار عالی نیستند. اگر سازمانی میخواهد سطوح مختلفی از دسترسی را به کارمندان مختلف اعطا کند، مجبور است از چندین VPN استفاده کنند. این کار پیچیدگی زیادی ایجاد میکند و هنوز هم نیازهای امنیت zero trust را برآورده نمیکند.