What is a user access management? ما هي إدارة وصول المستخدم؟دليل محلل الأمن السيبراني
What is a user access management? ما هي إدارة وصول المستخدم؟دليل محلل الأمن السيبراني
What is a user access management? ما هي إدارة وصول المستخدم؟دليل محلل الأمن السيبراني
ما هي إدارة وصول المستخدم؟
إدارة وصول المستخدم ، والتي تسمى أيضًا إدارة الوصول المخول (PAM) هي طريقة للتحكم في المعلومات التي يمكن لكل عضو في الفريق الوصول إليها.
هذه ليست عملية ثنائية حيث يمتلك شخص ما امتياز الوصول إلى كل شيء ، والآخر لا يفعل ذلك.
هذه عملية ذات طبقات حيث يمتلك المستخدم المتميز حق الوصول الإداري إلى مجموعة معينة من البيانات.
على سبيل المثال ، يمكنك تقسيم مجموعات كاملة من البيانات ، أو تأمين ملفات ومجلدات معينة وإعطاء كلمة المرور لأعضاء فريق معينين فقط.
إدارة وصول المستخدم
تعد مسألة إدارة الأمان لجميع أنواع الحسابات في الشبكة مهمة جدًا لإدارة المخاطر. يجب أن تؤخذ التهديدات الداخلية والخارجية في الاعتبار ، ويجب أن يوازن حل هذه التهديدات بين الحاجة إلى الأمان والوظيفة التي تتطلبها الأعمال من موارد الشبكة.
قبل المتابعة ، تحتاج عدد من المصطلحات إلى بعض التوضيح ، مثل
- الخدمات Services عبارة عن ملفات قابلة للتنفيذ يتم تشغيلها عند بدء التشغيل أو يمكن تشغيلها بواسطة أحداث أخرى أو حالات مجدولة. غالبًا ما تعمل الخدمات في الخلفية دون مطالبة المستخدم أو تفاعله كثيرًا.
- حسابات الخدمة Service accounts. ببساطة ، غالبًا ما يوصف حساب الخدمة بأنه أي حساب لا يتوافق مع شخص حقيقي. غالبًا ما تكون هذه حسابات مضمنة تستخدمها الخدمات للوصول إلى الموارد التي يحتاجونها لأداء أنشطتهم. ومع ذلك ، تتطلب بعض الخدمات حسابات مستخدمين فعلية لأداء وظائف معينة ، ولا تزال العديد من الشركات تستخدم ممارسة استخدام حسابات المجال لتشغيل الخدمات أيضًا.
- حساب إداري Administrative account. على الرغم من وجود حساب مسؤول افتراضي تم إنشاؤه على أي تثبيت جديد لبرنامج مثل Microsoft Windows أو مجال Active Directory ، فإن مصطلح حساب المسؤول غالبًا ما يستخدم بمعنى عام لوصف أي حساب تم منحه امتيازات مستوى المسؤول.
- الحسابات الحرجة Critical accounts. تستخدم هذه الوثيقة مصطلح "الحساب الهام" لوصف الحسابات الافتراضية التي تعتبر عالية المخاطر لأنها تتمتع بامتيازات عالية المستوى أو تمثل مخاطر عالية بسبب استخدامها في كل مكان.
- حساب محدود Limited account. الحساب المحدود هو أي حساب ليس عضوًا في أي مجموعة إدارية ولا يحتوي على أي امتيازات مرتفعة تساوي تلك الخاصة بحساب مسؤول محلي أو حساب مسؤول المجال. عادةً ما يكون الحساب المحدود عضوًا في مجموعة Domain Users أو مجموعة Users المحلية.
- حساب الضيف Guest Account - هو حساب للمستخدمين الذين ليس لديهم حساب دائم في الكمبيوتر أو المجال. يسمح للأشخاص باستخدام الكمبيوتر دون الوصول إلى الملفات الشخصية. لا يمكن للأشخاص الذين يستخدمون حساب الضيف تثبيت البرامج أو الأجهزة أو تغيير الإعدادات أو إنشاء كلمة مرور.
(على سبيل المثال ، حسابات المستخدمين ، حسابات الخدمة ، الحسابات المؤقتة ، الحسابات الافتراضية ، حسابات الضيوف ، انتهاء صلاحية الحساب ،
ماهي دورة حياة المستخدم في الأمن السيبراني
دورة حياة المستخدم هي مصطلح يصف تدفق العملية لكيفية إنشاء كيان مستخدم وإدارته وإنهائه في النظام بناءً على أحداث أو عوامل زمنية معينة. يمر كيان المستخدم بمراحل مختلفة في دورة الحياة. المراحل غير موجودة ومعطلة ونشطة ومحذوفة. يوضح الشكل أدناه مراحل دورة الحياة المختلفة ، وجميع التحولات الممكنة ، والعمليات التي تقوم بإعداد تلك الانتقالات
هناك إمكانية لقواعد العملية أو متطلبات العمل التي يتم تحديدها لكل انتقال لدورة حياة المستخدم. يمكنك استخدام نماذج السيناريوهات المدرجة في الجدول أدناه لإنشاء ارتباط بين انتقالات دورة حياة المستخدم وأهداف العمل باستخدام سيناريوهات نموذجية.
| الحالة الحالية | عملية | سيناريو عينة | وصف العملية |
غير موجودة Non-existent | إنشاء Create | يقوم قسم الموارد البشرية بإدخال معلومات ملف تعريف المستخدم للتوظيف الجديد. إذا لم يتم تقديم التعيين الجديد إلى النظام على الفور ، فإن الموارد البشرية تحدد تاريخ بدء مستقبلي للمستخدم. | إذا لم تكن البداية تاريخًا مستقبليًا ، فسيتم إدخال المستخدم في النظام في حالة نشطة. إذا كان تاريخ البدء في المستقبل ، فإن عملية الإنشاء تخلق المستخدم في حالة تعطيل. |
معطلة Disabled | تمكين او تفعيل Enable | تاريخ بدء المستخدم ساري المفعول. يبدأ النظام التزويد للتأجير الجديد. | تم وضع علامة على المستخدم مُمكّن في النظام ويمكن للمستخدم الآن تسجيل الدخول واستخدام النظام. بشكل افتراضي ، يتم إنشاء جميع العضويات والحسابات الضرورية كجزء من سير العمل. |
نشط Active | تعديل Modify | تمت ترقية المستخدم إلى منصب جديد. نتيجة لذلك ، تغير الموارد البشرية المسمى الوظيفي للمستخدم. | يتم توفير موارد جديدة للمستخدم ، ويتم إلغاء توفير الموارد القديمة غير ذات الصلة من المستخدم. |
نشط Active | تعطيل Disabled | يأخذ المستخدم إجازة لمدة سنة من الشركة. يقوم قسم الموارد البشرية بتعطيل المستخدم يدويًا في آخر يوم عمل للمستخدم. يعود المستخدم للانضمام إلى الشركة بعد فترة. يمكن للموارد البشرية أن تجعل المستخدم نشطًا مرة أخرى. | تم وضع علامة على المستخدم معطل في النظام ، ولم يعد المستخدم قادرًا على تسجيل الدخول إلى النظام. يمكن تنشيط المستخدمين المعاقين مرة أخرى. |
نشط Active | Delete | تقاعد المستخدم من الشركة. يقوم قسم الموارد البشرية بتعطيل المستخدم يدويًا في آخر يوم عمل للمستخدم. | تم وضع علامة على المستخدم معطل في النظام ، ولم يعد المستخدم قادرًا على تسجيل الدخول إلى النظام. بشكل افتراضي ، يتم إلغاء توفير كافة حسابات المستخدمين كجزء من سير العمل. |
يجب أن تتوافق إدارة حسابات المستخدمين أيضًا مع إدارة المجموعات وأجهزة الكمبيوتر ووحدات التحكم بالمجال والخدمات والأمان والتطبيقات والملفات وكل شيء آخر يجب إدارته على شبكة شركة نموذجية. يمكن أن تكون إدارة حسابات المستخدمين طوال عمر الحساب مرهقة وغير مرهقة. ومع ذلك ، فإن بعض الحلول تدير المستخدمين من الإنشاء ، من خلال التغييرات على وظائفهم ، إلى الإزالة عندما لم تعد هناك حاجة إلى حساب المستخدم. تطمئن هذه الأنظمة المسؤولين إلى أنه سيتم إدارة جميع حسابات المستخدمين بشكل صحيح وسيتم التعامل مع المهام اليومية لإدارة دورة حياة المستخدم.
لديك عدة أنواع من المستخدمين: داخلي وخارجي ، شخصي وتطبيقي ، دائم ومؤقت.
- المستخدمون الداخليون / الخارجيون: يجب أن يكون هؤلاء في دليل بيانات يسمح لك بإدارتها بشكل منفصل وليس على قدم المساواة. يجب أن يتم تحديد دورة حياة المستخدمين الداخليين بواسطة نظام الموارد البشرية ، فأنت لست بحاجة إلى تحديد تاريخ انتهاء الصلاحية ما لم يكونوا موظفين مؤقتين / متعاقدين. يجب أن يكون لدى المستخدمين الخارجيين سياسة محددة حول مدة بقائهم مع مستخدم داخلي يشهد على حسابهم على أساس مجدول.
- الشخص مقابل مستخدمي التطبيقPerson v. application users
- : كائن الشخص عبارة عن مصطلح EmpowerID لتدوين هوية المستخدم ، وربط كل حساب مستخدم للتطبيق (AD ، SalesForce ، Google Apps على سبيل المثال) بكائن الشخص. يجب أن تحتوي حسابات التطبيق إما على دورة حياة تحتاج إلى تصديق وشهادة أو مرتبطة بدور أو عضوية مجموعة (والتي لها أيضًا دورة حياة).
- المستخدمين الدائمين مقابل المستخدمين المؤقتين: يأتي المستخدمون المؤقتون بدورة حياة مضمنة ، فأنت تعلم أنك مخول فقط لتوظيف مقاول لمدة 3 أشهر ، ومن السهل ربط تاريخ انتهاء الصلاحية بهذا المستخدم ولكنك تحتاج سير عمل التصديق الذي يوسع المستخدم بسهولة دون الحاجة إلى إعادة منح جميع الامتيازات الخاصة به.
نصائح لإدارة وصول المستخدم الفعال
- استخدم مبدأ الامتياز الأقل
يتطلب مبدأ الامتياز الأقل أن كل مستخدم في بيئة الحوسبة يمكنه فقط الوصول إلى المعلومات والموارد اللازمة لأداء وظائف وظيفته.
إنه المبدأ الذي يشكل الأساس لإدارة وصول المستخدم.
يتم إعداد كل حساب موظف مبدئيًا بالحد الأدنى من الامتيازات. بعد ذلك ، يمكنك إضافة أو طرح امتيازات الوصول على النحو الذي تراه مناسبًا.
على سبيل المثال ، إذا احتاج الموظف إلى الوصول إلى برنامج أو ملف معين لإكمال مشروع لمرة واحدة ، فيمكنك منحه حق الوصول طوال المدة التي يستغرقها تنفيذ المشروع ثم إلغائه بمجرد اكتمال المشروع.
إذا تمت ترقية موظف وتولى مسؤوليات وظيفية جديدة ، فيمكنك إضافة طبقة جديدة من امتيازات الوصول إلى حسابه.
- تحديد أو إلغاء امتيازات وصول المستخدم المتميز super user access
"المستخدم المتميز" هو شخص لديه حق الوصول إلى جميع معلومات أنظمتك تقريبًا.
المخاطر واضحة:
يمكن لمستخدم داخلي ضار يتمتع بهذا القدر الكبير من الوصول أن يسرق الكثير من البيانات ويسبب الكثير من الضرر.
إذا تم استغلال مستخدم متميز من قبل أي عدد من تهديدات أمن تكنولوجيا المعلومات ، فسيتمكن المتسلل الخارجي الآن من الوصول إلى جميع بياناتك تقريبًا دون أن يوقفها جدار الحماية.
قد تكون امتيازات المستخدم المتميز ضرورية لأداء مهام معينة خلال فترة زمنية محددة ، ولكنها نادرًا ما تكون مطلوبة على المدى الطويل ، وعادةً ما تعرض مؤسستك لمخاطر غير ضرورية.
- امتيازات الخطة قبل الوقت
أفضل طريقة لبدء برنامج إدارة وصول المستخدم الخاص بك هي التحديد المسبق لجميع أدوار ومسؤوليات موظفيك ثم تحديد مستويات الوصول المناسبة لهم.
من الأنظمة الأساسية إلى الملفات إلى التطبيقات ، يجب عليك إدارة امتيازات وصول المستخدم وفقًا لواجبات الوظيفة والوظائف.
أيضًا ، إذا احتاج المستخدم إلى وصول إضافي ، فتأكد من فحص الطلب والموافقة عليه من قبل المدير.
- استخدم مدير كلمات المرور
يعد مدير كلمات المرور أداة ممتازة للحد من معرفة موظفيك بكلمات المرور ، مع السماح لهم في الوقت نفسه بالوصول المميز باستخدام كلمات المرور هذه.
وإليك كيف يعمل:
يقوم موظف بإنشاء حساب باستخدام مدير كلمات المرور الخاص بك
أنت تشارك كلمة مرور معهم لا يمكن لأحد الوصول إليها في حسابهم
يقوم مدير كلمات المرور بتسجيل الدخول نيابة عن الموظف دون الكشف عن كلمة المرور
حتى الآن ، لا تخاطر بتدوين الموظفين كلمات المرور أو مشاركتها مع مستخدمين آخرين لا يتمتعون بامتيازات. نظرًا لعدم تمكنهم من رؤية كلمة المرور ، يمكنهم استخدامها فقط عند تسجيل الدخول إلى حساب مدير كلمات المرور.
- مراجعة وصول المستخدم المميز
يجب أن يتمتع كل موظف بمراجعة امتيازات الوصول الخاصة به من قبل مديريه.
من الخطير جدًا "تعيينه ونسيانه" عندما يتعلق الأمر بإدارة وصول المستخدم.
يجب عليك مراقبة سلوك الموظفين بنشاط عن طريق تسجيل ضغطات المفاتيح وتسجيل عمليات تسجيل الدخول والإبلاغ عن المهام التي يتم تنفيذها ومراقبة السلوك عندما يكون لدى الموظفين إمكانية الوصول إلى البيانات الهامة.
قم بتحليل هذه المعلومات لتحديد ما إذا كان الموظفون لديك يستخدمون الموارد التي لديهم امتيازات لها أم لا ، وما إذا كان موظفوك يستخدمون المعلومات بشكل مناسب أم لا.
هذه إحدى الطرق التي يمكنك من خلالها اكتشاف النشاط الضار وتهيئة مستويات وصول المستخدم.
المصطلحات
- privileged access management = Pam وتعني امتياز إدارة الوصول
اقرأ أيضا في دليل محلل الأمن السيبراني
تكنولوجيا الإنترنت
- الشبكات
- Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
- Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
- What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
- What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
- What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟ دليل محلل الأمن السيبراني
- What is meant PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني
- What are the differences between electronic signature, digital signature and digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة
- What means access management? ماذا تعني إدارة الدخول او الوصول؟ دليل مدير الأمن السيبراني
التسميات: CyberSecurity Analyst Tourtial Guide دورة تعليمية محلل الأمن السيبراني
<< الصفحة الرئيسية