کنترل دسترسی (access control)
مقالات تخصصی

کنترل دسترسی (access control) چیست؟

بوسیله تحریریه سپنتا 0

کنترل دسترسی (access control) اصطلاحی امنیتی است که اشاره به مجموعه‌ای از سیاست‌های محدود کننده در دسترسی به اطلاعات، ابزارها و مکان‌های فیزیکی دارد.

کنترل دسترسی (access control) فیزیکی چیست؟

اگرچه تمرکز ما بر کنترل دسترسی به اطلاعات متمرکز است، اما کنترل دستیابی فیزیکی یک مقایسه مفید برای درک مفهوم کلی آن است. کنترل دسترسی فیزیکی مجموعه‌ای از سیاست‌ها برای کنترل دسترسی به مکان فیزیکی به افرادی است که مجاز هستند. نمونه‌های واقعی کنترل دستیابی فیزیکی شامل موارد زیر است:

  • نگهبان‌های کنسرت
  • تورنستیل های مترو
  • نمایندگان گمرک فرودگاه
  • اسکنر کارت کلید یا badge در دفاتر شرکت‌ها

در همه این مثال‌ها، شخص یا دستگاه مجموعه‌ای از سیاست‌ها را دنبال می‌کند تا تصمیم بگیرد چه کسی به یک مکان فیزیکی محدود دسترسی پیدا کند. به عنوان مثال، اسکنر کارت کلیدهای هتل فقط به مهمانان مجاز که دارای کلید هتل هستند اجازه دسترسی می‌دهد.

کنترل دسترسی (access control) اطلاعات چیست؟

کنترل دسترسی اطلاعات دسترسی به داده‌ها و نرم افزاری را که برای کار با آن داده‌ها استفاده می‌شود محدود می‌کند. مثال‌ها شامل موارد زیر است:

  • ورود به لپ تاپ با استفاده از رمز عبور
  • باز کردن قفل تلفن هوشمند با اسکن اثر انگشت
  • دسترسی از راه دور به شبکه داخلی کارفرما با استفاده از VPN

در همه این موارد، از نرم افزار برای تأیید اعتبار و اعطای مجوز به کاربرانی که نیاز به دسترسی به اطلاعات دیجیتالی دارند، استفاده می‌شود. احراز هویت و مجوز از اجزای جدایی ناپذیر کنترل دسترسی به اطلاعات هستند.

تفاوت بین احراز هویت و مجوز چیست؟

احراز هویت عمل امنیتی تأیید این است که شخص، همان فردی است که ادعا می‌کند، در حالی که مجوز فرآیند تعیین سطح دسترسی هر کاربر است. به عنوان مثال، به مسافری فکر کنید که در هتل حضور می‌یابد. هنگامی که آنها در پذیرش ثبت نام می‌کنند، از آنها خواسته می‌شود گذرنامه ارائه دهند تا تأیید شود شخص کسی است که نام خود را در رزرو ذکر کرده است. این نمونه‌ای از احراز هویت است. پس از احراز هویت مهمان توسط کارمند هتل، مهمان یک کارت کلید با امتیازات محدود دریافت می‌کند. این یک نمونه مجوز است. کارت ویزیت مهمان به آنها امکان دسترسی به اتاق، آسانسور مهمان و استخر را می‌دهد – اما نه اتاق‌های دیگر مهمانان یا آسانسور ویژه‌ی خدمه و بار رسانی. از طرف دیگر، کارمندان هتل مجاز به دسترسی به مناطق بیشتری از هتل نسبت به مهمانان هستند.

سیستم های رایانه ای و شبکه ای دارای کنترل های احراز هویت و مجوز مشابه هستند.

هنگامی که یک کاربر وارد ایمیل یا حساب بانکی آنلاین خود می‌شود، از یک ترکیب لاگین و رمز عبور استفاده می‌کند که فقط آنها می‌خواهند بدانند. این نرم افزار از این اطلاعات برای تأیید اعتبار کاربر استفاده می‌کند. برخی از برنامه‌ها نیاز به مجوز سختگیرانه تری نسبت به بقیه دارند. در حالی که رمز عبور برای برخی کافی است، برخی دیگر ممکن است احتیاج به احراز هویت دو عاملی یا تأیید بیومتریک داشته باشد، مانند اثر انگشت یا اسکن چهره.
پس از احراز هویت، یک کاربر فقط می‌تواند اطلاعاتی را که مجاز به دسترسی به آنها است مشاهده کند. در مورد حساب بانکی آنلاین، کاربر فقط می‌تواند اطلاعات مربوط به حساب بانکی شخصی خود را مشاهده کند. در همین حال، یک مدیر صندوق در بانک می‌تواند به همان برنامه وارد شود و داده‌های موجودی کل دارایی بانک را ببیند. از آنجا که بانک اطلاعات شخصی بسیار حساس را مدیریت می‌کند، کاملاً ممکن است هیچ کس بدون محدودیت به داده‌ها دسترسی نداشته باشد. حتی رئیس بانک یا رئیس حراست بانک ممکن است برای دستیابی به اطلاعات کامل تک تک مشتریان نیاز به عبور از پروتکل امنیتی داشته باشند.

انواع اصلی کنترل دسترسی کدامند؟

پس از اتمام مراحل احراز هویت، می‌توان مجوز کاربر را به یکی از چندین روش تعیین کرد:
کنترل دسترسی اجباری (MAC): کنترل دسترسی اجباری سیاست‌های امنیتی سختگیرانه ای را برای تک تک کاربران و منابع، سیستم‌ها یا داده‌هایی که اجازه دسترسی به آنها را دارند ایجاد می‌کند. این سیاست‌ها توسط یک مدیر کنترل می‌شود. به تک تک کاربران اجازه تعیین، تغییر یا لغو مجوزها را نمی‌دهد به گونه‌ای که با سیاست‌های موجود مغایرت داشته باشد.
تحت این سیستم، هم موضوع (کاربر) و هم شی (داده‌ها، سیستم یا منابع دیگر) باید ویژگی‌های امنیتی مشابه داشته باشند تا بتوانند با یکدیگر تعامل داشته باشند. با بازگشت به مثال قبلی، رئیس بانک برای دسترسی به پرونده‌های داده مشتری نه تنها به مجوز امنیتی صحیح نیاز دارد، بلکه مدیر سیستم باید مشخص کند که این پرونده‌ها توسط رئیس قابل مشاهده و تغییر است یا خیر؟ اگرچه ممکن است این فرآیند زائد به نظر برسد، اما این اطمینان را می‌دهد که کاربران نمی‌توانند صرفاً با دستیابی به داده‌ها یا منابع خاص اقدامات غیرمجاز انجام دهند.

 

کنترل دسترسی مبتنی بر نقش (RBAC): کنترل دسترسی مبتنی بر نقش، مجوزها را بر اساس گروه‌ها (مجموعه‌های مشخص شده از کاربران، مانند کارمندان بانک) و نقش‌ها (مجموعه‌هایی از اقدامات تعریف شده، مانند مواردی که یک بانکدار یا یک مدیر شعبه ممکن است انجام دهد) ایجاد می‌کند. افراد می‌توانند هر عملی را که به نقش آنها اختصاص یافته انجام دهند و در صورت لزوم ممکن است چندین نقش به آنها اختصاص داده شود. مانند MAC، کاربران مجاز به تغییر سطح کنترل دسترسی که به نقش آنها اختصاص داده شده نیستند.

به عنوان مثال ، ممکن است به هر کارمند بانکی که به عنوان بانکدار منصوب می شود ، اجازه پردازش معاملات حساب و افتتاح حساب های جدید مشتری داده شود. از طرف دیگر ، یک مدیر شعبه ممکن است چندین نقش را داشته باشد ، به آنها اجازه پردازش معاملات حساب ، باز کردن حساب های مشتری ، انتصاب نقش بانکدار به یک کارمند جدید و غیره را بدهد.

کنترل دسترسی اختیاری (DAC): به محض اینکه به کاربر اجازه دسترسی به یکشی داده شود (معمولاً توسط یک مدیر سیستم یا از طریق یک لیست کنترل دسترسی موجود)، وی می‌تواند به صورت مورد نیاز اجازه دسترسی به سایر کاربران را بدهد. با این حال ممکن است آسیب پذیری های امنیتی را ایجاد کند، زیرا کاربران قادر به تعیین تنظیمات امنیتی و به اشتراک گذاری مجوزها بدون نظارت دقیق از طرف مدیر سیستم هستند.
هنگام ارزیابی اینکه کدام روش مجوز کاربر برای سازمان مناسب‌تر است، باید نیازهای امنیتی در نظر گرفته شود. به طور معمول، سازمان‌هایی که به سطح بالایی از محرمانه بودن داده‌ها نیاز دارند (به عنوان مثال سازمان‌های دولتی، بانک‌ها و غیره) اشکال سختگیرانه تری برای کنترل دسترسی مانند MAC انتخاب می‌کنند، در حالی که سازمان‌هایی که از انعطاف پذیری بیشتر و مجوزهای مبتنی بر کاربری یا نقش استفاده می‌کنند، به سمت سیستم‌های RBAC و DAC گرایش دارند.

چند روش برای اجرای کنترل دسترسی (access control)

چند روش برای اجرای کنترل دسترسی (access control) چیست؟

یک ابزار محبوب برای کنترل دسترسی به اطلاعات، یک شبکه خصوصی مجازی (VPN) است. VPN سرویسی است که به کاربران از راه دور امکان دسترسی به اینترنت را می‌دهد، همانند اینکه به شبکه خصوصی متصل شده‌اند. شبکه‌های سازمانی معمولاً از VPN برای مدیریت کنترل دسترسی به شبکه داخلی خود در یک فاصله جغرافیایی استفاده می‌کنند.
به عنوان مثال، اگر شرکتی دفتری در سانفرانسیسکو و دفتری دیگر در نیویورک داشته باشد، و همچنین کارمندان از راه دور که در سراسر جهان پراکنده شده‌اند، آنها می‌توانند از VPN استفاده کنند تا همه کارمندان آنها بدون در نظر گرفتن مکان فیزیکی خود، بتوانند به طور ایمن وارد شبکه داخلی شوند. اتصال به VPN همچنین در صورت اتصال کارمندان به یک شبکه WiFi عمومی به شما در برابر حملات موجود در مسیر محافظت می‌کند.
VPN ها با اشکالاتی نیز همراه هستند. به عنوان مثال، VPN ها تأثیر منفی بر عملکرد دارند. هنگام اتصال به VPN، هر بسته داده‌ای که کاربر می‌فرستد یا دریافت می‌کند، قبل از رسیدن به مقصد باید مسافت بیشتری را طی کند، زیرا هر درخواست و پاسخ باید قبل از رسیدن به مقصد، به سرور VPN برسد. این روند اغلب تأخیر را افزایش می‌دهد.
VPN ها به طور کلی رویکرد همه یا هیچ را برای امنیت شبکه فراهم می‌کنند. VPN ها در تأیید اعتبار بسیار عالی هستند، اما در ارائه کنترل‌های مجوز گرانولار عالی نیستند. اگر سازمانی می‌خواهد سطوح مختلفی از دسترسی را به کارمندان مختلف اعطا کند، مجبور است از چندین VPN استفاده کنند. این کار پیچیدگی زیادی ایجاد می‌کند و هنوز هم نیازهای امنیت zero trust را برآورده نمی‌کند.

تحریریه سپنتا 140 پست 0 دیدگاه

مجله تخصصی سپنتا آغازی متفاوت برای ارائه آموزش‌های تخصصی در حوزه های مرتبط با شبکه و زیرساخت‌های راه‌اندازی و نگهداری از سرور و دوربین مدار بسته می باشد.

ممکن است شما دوست داشته باشید بیشتر از نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.