کنترل دسترسی (access control) چیست؟بررسی اجزا و نحوه عملکرد|هر آنچه که باید بدانید

از آنجایی که با گذشت زمان و حرکت تکنولوژی به سمت پیچیدگی، تعداد بیشتری از سازمان‌ها عملیات خود را به ابر انتقال می دهند و دورکاری یا سیستم ترکیبی را مستقر می کنند، به نظر می رسد که کنترل دسترسی بیش از پیش اهمیت پیدا کرده است. اهمیت کنترل دسترسی زمانی پر رنگ تر می شود که بحث جلوگیری از حملات سایبری به میان می آید تا تعیین شود چه کسی امکان دسترسی به شبکه، سیستم یا داده را دارد و همچنین مجاز به انجام چه کاری است.

تعریف کنترل دسترسی

کنترل دسترسی یک فرآیند امنیت داده است که سازمان ها را قادر می سازد تا کسانی را که مجاز به دسترسی به داده ها و منابع شرکت هستند را مدیریت کنند. کنترل دسترسی ایمن از پالیسی‌هایی استفاده می‌کند که تأیید می‌کند که آیا کاربران آن‌چه که ادعا می‌کنند، هستند و همچنین اعطا سطوح دسترسی کنترلی مناسب برای کاربران را نیز تضمین می‌کند.

پیاده سازی کنترل دسترسی یکی از اجزای حیاتی امنیت اپلیکیشن های وب است که تضمین می کند تنها کاربران مجاز، سطح مناسبی از دسترسی به منابع مورد نیاز را دارند. این فرآیند برای کمک به سازمان‌ها برای جلوگیری از نقض داده‌ها و مبارزه با بردارهای حمله، مانند حملات سرریز بافر (buffer overflow attack)، حملات KRACK، حملات on-Path و یا حملات فیشینگ حیاتی است.

اجزای کنترل دسترسی چیست؟

مدیریت کنترل دسترسی از طریق چندین مولفه انجام می شود که در ادامه آن ها را بررسی خواهیم کرد:

احراز هویت

احراز هویت، اولین قدم در فرایند تعیین هویت یک کاربر است. به عنوان مثال، هنگامی که کاربر با ترکیب نام کاربری و پسورد، وارد سرویس ایمیل یا حساب بانکی آنلاین خود می شود، هویت او احراز شده است. با این حال، صرف احراز هویت، برای محافظت از داده های سازمانی کافی نخواهد بود.

احراز دسترسی

احراز دسترسی یک لایه امنیتی اضافی به فرایند احراز هویت اضافه می کند و با تبیین حقوق و امتیازات دسترسی به منابع، تعیین می کند آیا کاربر مجاز به دسترسی به داده یا انجام تراکنش خاصی است یا نه.

به عنوان مثال، یک سرویس ایمیل یا حساب بانکی آنلاین می‌تواند ارائه احراز هویت دو مرحله‌ای (2FA) را از کاربران مطالبه کند؛ احراز هویت دو مرحله‌ای معمولاً ترکیبی از این موارد است: چیزی که می‌دانند (مانند پسورد)، چیزی که دارند (مانند توکن) یا چیزی که هستند (مانند تأیید بیومتریک). این اطلاعات را می‌توان از طریق اپلیکیشن موبایل احراز هویت دو مرحله‌ای یا اسکن اثر انگشت در گوشی های هوشمند نیز تایید کرد.

دسترسی

هنگامی که کاربر مراحل احراز هویت و احراز دسترسی را انجام داد، هویت وی تأیید می شود؛ در نتیجه دسترسی به منابعی که قصد لاگ کردن به آن ها را داشت به وی اعطا می شود.

مدیریت

سازمان ها می توانند سیستم کنترل دسترسی خود را با افزودن و حذف احراز هویت و احراز دسترسی کاربران و سیستم های خود مدیریت کنند. مدیریت این سیستم‌ها در محیط‌های تکنولوژی اطلاعات مدرن که شامل سرویس‌های ابری و سیستم‌های محلی هستند، می‌تواند پیچیده باشد.

ممیزی

سازمان ها می توانند اصل حداقل امتیاز را از طریق فرآیند ممیزی کنترل دسترسی اعمال کنند. از این طریق آن‌ها امکان خواهند داشت داده‌ها را در مورد فعالیت کاربر جمع‌آوری کرده و با آنالیز آن اطلاعات، نقض‌های دسترسی احتمالی را کشف کنند.

کنترل دسترسی چگونه کار می کند؟

از کنترل دسترسی برای تایید هویت کاربرانی که قصد لاگین به منابع دیجیتال را دارند استفاده می شود. برای اعطای دسترسی به ساختمان‌های فیزیکی و دستگاه‌های فیزیکی نیز از کنترل دسترسی استفاده می‌شود. کنترل دسترسی (Access Control) به فرآیندی اشاره دارد که در آن محدودیت‌ها و قوانین مشخصی برای دسترسی کاربران به منابع یا سیستم‌های خاص تعیین می‌شود. هدف اصلی آن اطمینان از این است که تنها افراد مجاز به منابع حساس یا حیاتی دسترسی پیدا کنند. این فرآیند به طور معمول شامل سه مرحله‌ی اصلی است: احراز هویت (Authentication)، مجوزدهی (Authorization)، و نظارت (Auditing).

کنترل دسترسی فیزیکی

نمونه های رایج کنترل کننده های دسترسی فیزیکی از این قرار هستند:

دربان های بیمارستان

دربان های بیمارستان ها می توانند یک لیست کنترل دسترسی برای تأیید کارت های شناسایی ایجاد کنند و اطمینان حاصل کنند که افرادی که وارد بخش بستری برای ملاقات بیماران می شوند بالاتر از 7 سال داشته باشند.

گیت های مترو

از کنترل دسترسی در گیت های مترو استفاده می شود تا تنها به افراد تأیید شده اجازه استفاده از سیستم های مترو را بدهد. با اسکن کارت‌های مترو، کاربران بلافاصله شناسایی می شوند و تأیید می شود که اعتبار کافی برای استفاده از این سرویس را دارند یا خیر.

اسکنر کارت کلید یا نشان در دفاتر شرکت

سازمان ها می توانند از دفاتر خود با استفاده از اسکنرهایی که کنترل دسترسی اجباری را ارائه می دهند، محافظت کنند. کارمندان قبل از دسترسی به ساختمان باید کارت کلید یا نشان خود را اسکن کنند تا هویتشان تأیید شود.

کنترل دسترسی منطقی/اطلاعات

کنترل دسترسی منطقی شامل ابزارها و پروتکل هایی است که برای شناسایی، احراز هویت و احراز دسترسی کاربران در سیستم های کامپیوتری استفاده می شود. سیستم کنترل کننده دسترسی اقداماتی را برای داده ها، فرآیندها، برنامه ها و سیستم ها اعمال می کند.

لاگین به لپ تاپ با استفاده از پسورد

یکی از رایج ترین اشکال از دست دادن داده، گم شدن یا دزدیده شدن دستگاه ها است. کاربران می توانند با استفاده از پسورد، داده های شخصی و شرکتی خود را ایمن نگه دارند.

باز کردن قفل گوشی هوشمند با اسکن اثر انگشت

تلفن های هوشمند را نیز می توان محافظت کرد؛ کنترل های دسترسی فقط به مالک گوشی اجازه ی ورود به دستگاه را می دهد. کاربران می توانند با استفاده از ویژگی های بیومتریک، مانند اسکن اثر انگشت، تلفن های هوشمند خود را ایمن کنند تا از دسترسی غیرمجاز به دستگاه های خود جلوگیری کنند.

تفاوت بین احراز هویت و احراز دسترسی چیست؟

احراز هویت و احراز دسترسی برای کنترل دسترسی در امنیت بسیار مهم هستند. احراز هویت فرآیند لاگینگ به سیستم مانند آدرس ایمیل، سرویس بانکداری آنلاین یا حساب رسانه های اجتماعی است. احراز دسترسی فرآیند تایید هویت کاربر برای ارائه یک لایه امنیتی اضافی جهت تایید ادعای کاربر است.

اهمیت کنترل دسترسی در انطباق با مقررات

کنترل دسترسی برای کمک به سازمان ها برای رعایت مقررات مختلف حریم خصوصی داده ها بسیار مهم است. این موارد عبارتند از:

PCI DSS

PCI DSS یک استاندارد امنیتی است که از اکوسیستم کارت پرداخت محافظت می کند. سیستم کنترل دسترسی برای اجازه یا رد تراکنش ها و اطمینان از هویت کاربران بسیار مهم است.

HIPAA

HIPAAبرای محافظت از اطلاعات سلامت بیمار در برابر افشای بدون رضایت آن ها ایجاد شده است. کنترل دسترسی برای محدود کردن دسترسی به کاربران مجاز، حصول اطمینان از اینکه افراد نمی توانند به داده هایی که فراتر از سطح امتیاز آنها است دسترسی داشته باشند و جلوگیری از نقض داده ها ضروری است.

SOC 2

SOC 2 یک روش حسابرسی است که برای ارائه دهندگان خدمات طراحی شده است که داده های مشتری را در فضای ابری ذخیره کرده و تضمین می‌کند که ارائه‌دهندگان از حریم خصوصی مشتریان خود محافظت می‌کنند و سازمان‌ها را ملزم می‌کند تا پالیسی ها و رویه‌های سخت‌گیرانه‌ای را در مورد داده‌های مشتریان اجرا و دنبال کنند. سیستم های کنترل دسترسی برای اجرای این فرآیندهای امنیتی دقیق داده، بسیار مهم هستند.

ISO 27001

سازمان بین المللی استاندارد (ISO)، استانداردهای امنیتی تعریف می کند که سازمان ها در تمام صنایع باید از آن پیروی کنند تا به مشتریان خود نشان دهند که امنیت برای آن ها جدی است. ISO 27001 استاندارد طلایی ISO برای امنیت اطلاعات و گواهینامه انطباق با قوانین است. اجرای کنترل های دسترسی برای رعایت این استاندارد امنیتی بسیار مهم است.

انواع مختلف کنترل های دسترسی چیست؟

انواع مختلفی از کنترل های دسترسی وجود دارد که سازمان ها می توانند برای حفاظت از داده ها و کاربران خود پیاده سازی کنند. این موارد عبارتند از:

کنترل دسترسی مبتنی بر ویژگی (ABAC)

ABAC یک پالیسی داینامیک و مبتنی بر کانتِکست (context) است که دسترسی را بر اساس پالیسی های اعطا شده به کاربران تعریف می‌کند. این سیستم در چارچوب های مدیریت هویت و دسترسی (IAM) استفاده می شود.

کنترل دسترسی اختیاری (DAC)

مدل‌های DAC به مالک داده اجازه می‌دهند تا با اختصاص دسترسی به قوانینی که کاربران مشخص می‌کنند، کنترل دسترسی را تعیین کنند. هنگامی که به یک کاربر اجازه دسترسی به یک سیستم داده می‌شود، این مدل ها می‌توانند آنطور که مناسب می بینند به سایر کاربران دسترسی فراهم کنند.

کنترل دسترسی اجباری (MAC)

MAC پالیسی‌های سخت‌گیرانه‌ای را بر روی کاربران انفرادی و داده‌ها، منابع و سیستم‌هایی که می‌خواهند به آنها دسترسی داشته باشند، اعمال می‌کند. مدیریت پالیسی‌ها به عهده ی مدیر یک سازمان می باشد و کاربران نمی توانند مجوزها را تغییر، لغو یا تنظیم کنند.

کنترل دسترسی مبتنی بر نقش (RBAC)

RBAC مجوزها را بر اساس گروه‌هایی از کاربران، نقش‌هایی که دارند و اقداماتی که انجام می‌دهند، ایجاد می‌کند. کاربران قادر به انجام هر عمل فعال شده برای نقش خود هستند و نمی توانند سطح کنترل دسترسی اختصاص یافته به خود را تغییر دهند.

کنترل دسترسی ساختارشکن (Break-glass)

کنترل دسترسی ساختارشکن دربرگیرنده ایجاد یک حساب اضطراری است که مجوزهای معمولی را دور می زند. در مواقع اضطراری، به کاربر اجازه دسترسی فوری به سیستم یا حسابی داده می‌شود که معمولاً مجاز به استفاده از آن نیست.

کنترل دسترسی مبتنی بر قانون

یک رویکرد مبتنی-بر-قانون که در آن، یک مدیر سیستم قوانین حاکم به دسترسی به منابع شرکت را تعریف می کند. این قوانین معمولاً بر اساس شرایطی مانند مکان یا زمانی از روز که کاربران به منابع دسترسی دارند، تدوین می شوند.

چند روش برای اجرای کنترل دسترسی چیست؟

یکی از رایج ترین روش ها برای پیاده سازی کنترل های دسترسی، استفاده از VPN است که به کاربران امکان می دهد تا به طور ایمن و از راه دور به منابع دسترسی داشته باشند؛ این موضوع زمانی که افراد دور از دفتر فیزیکی کار می کنند بسیار مهم است. هنگامی که کارکنان در مکان‌های مختلف در سراسر جهان مستقر هستند، شرکت‌ها می‌توانند از وی پی ان برای ارائه دسترسی ایمن به شبکه‌های خود استفاده کنند. در حالی که به دلایل امنیتی، استفاده از وی پی ان ایده آل است، اما گاه می تواند منجر به برخی مشکلات عملکردی نظیر تاخیر نیز شود.

سایر روش‌های کنترل دسترسی شامل مخازن هویت، اپلیکیشن های نظارت و گزارش‌دهی، ابزارهای مدیریت پسورد، ابزارهای تأمین و سرویس های اجرای پالیسی های امنیتی هستند.

چالش های کنترل دسترسی

بسیاری از چالش های کنترل دسترسی از ماهیت بسیار پراکنده تکنولوژی اطلاعات مدرن نشات می گیرد. از آنجاییکه دارایی ها هم از نظر فیزیکی و هم از نظر منطقی، دائماً در حال تغییر و تحول هستند، ردیابی آن ها دشوار است. موارد زیر نمونه هایی از چالش ها فرارو هستند:

مدیریت داینامیک محیط های آی تی توزیع شده
چالش های تعدد پسورد
مشاهده انطباق با قوانین از طریق گزارش دهی منسجم
متمرکز کردن دایرکتوری های کاربر و اجتناب از سیلوهای مختص به اپلیکیشن
مدیریت داده و دید از طریق گزارش دهی منسجم

بسیاری از استراتژی‌های کنترل دسترسی قدیمی، در محیط‌های استاتیک که دارایی‌های محاسباتی یک شرکت در محل (نه ابر) نگهداری می‌شد، به خوبی کار می‌کردند ولی در محیط‌های آی تی پراکنده امروزی کارایی ندارند. محیط‌های آی تی مدرن از چندین استقرار مبتنی-بر-ابر و ترکیبی تشکیل شده‌اند که دارایی‌ها را در مکان‌های فیزیکی و انواع دستگاه‌های منحصربه‌فرد توزیع کرده اند و در نتیجه به استراتژی‌های کنترل دسترسی داینامیک نیاز دارند. کاربران می توانند در محل، راه دور یا حتی خارج از سازمان مثلا یک شریک خارجی باشند.

یکی از زمینه‌های سردرگمی این است که احتمالا سازمان‌ها برای درک تفاوت بین احراز هویت و احراز دسترسی، دچار چالش شوند. احراز هویت فرآیند تأیید این موضوع است که آیا افراد همان کسانی که ادعا می کنند، هستند؛ این کار با استفاده از مواردی مانند پسورد، شناسایی بیومتریک و احراز هویت چند عاملی انجام می شود. ماهیت توزیع شده دارایی ها، سازمان ها را قادر می سازد تا با روش های فراوانی هویت یک فرد را احراز کنند.

به نا به تعریف، احراز دسترسی عبارت است از اعطا دسترسی صحیح داده به افراد بر اساس هویت احراز شده ی آن ها. از یک لیست کنترل دسترسی (ACL) برای تخصیص احراز دسترسی صحیح به هر هویت استفاده می شود.

یکی از نقطه ضعف های احراز دسترسی این است که با وجود ترک کار، فرد همچنان به دارایی های شرکت دسترسی داشته باشد. این موضوع حفره‌های امنیتی ایجاد می‌کند زیرا دارایی‌ای که فرد برای کار از آن استفاده می‌کرد، مثلا گوشی هوشمندی که نرم‌افزار شرکتی در آن نصب شده است، بدون نظارت (زیرا فرد شرکت را ترک کرده است) همچنان به زیرساخت داخلی شرکت متصل است. در صورت عدم رسیدگی، این امر می تواند مشکلات امنیتی بزرگی برای سازمان ایجاد کند. برای مثال، اگر دستگاه یک کارمند سابق هک شود، یک مهاجم می تواند به داده های حساس شرکت دسترسی پیدا کند، پسورد را تغییر دهد یا اطلاعات اکانت کارمند یا داده های شرکت را بفروشد.

یکی از راهکارهای این مشکل، نظارت دقیق و گزارش دهی در مورد افرادی است که به منابع محافظت شده دسترسی دارند. در صورت رخداد تغییری، شرکت فوراً مطلع می شود و با به‌روزرسانی مجوزها، تغییرات را اعمال می کند. اتوماسیون سازی حذف مجوز، یکی دیگر از محافظت های مهم است.

ZTNA یا اعتماد صفر رویکردی مدرن برای کنترل دسترسی است. در معماری بدون اعتماد، هر منبع باید تمام درخواست‌های دسترسی را احراز هویت کند. هیچ دسترسی ای صرفاً نسبت به مکان دستگاه در محیط قابل اعتماد اعطا نمی شود.

از آنجاییکه سرویس‌های ابری اغلب خارج از یک محدوده قابل اعتماد واقع می شوند، چالش‌های کنترل دسترسی منحصربه‌فردی را ایجاد می‌کنند؛ چرا که احتمالا در یک اپلیکیشن وب عمومی مورد استفاده قرار بگیرند. در صورت عدم ایمن سازی صحیح، ممکن است به طور تصادفی اجازه دسترسی عمومی به اطلاعات محرمانه را بدهند. به عنوان مثال، تنظیمات نامناسب Amazon S3 bucket به سرعت می تواند منجر به هک شدن داده های سازمانی شود.

تجربه کاربر یکی دیگر از چالش‌های کنترل دسترسی است که اغلب نادیده گرفته می‌شود. اگر استفاده از یک تکنولوژی مدیریت دسترسی دشوار باشد، کارمندان احتمالا از آن اشتباه استفاده کنند یا با دور زدن کامل آن، حفره‌های امنیتی و شکاف‌های انطباق با قوانین ایجاد کنند. اگر استفاده از اپلیکیشن گزارش‌دهی یا نظارت دشوار باشد، ممکن است گزارش‌دهی به دلیل اشتباه یک کارمند به خطر بیفتد و منجر به شکاف امنیتی شود؛ چرا که یک تغییر مجوز مهم یا آسیب‌پذیری امنیتی گزارش نشده است.

سخن پایانی

در نهایت، پیاده‌سازی صحیح کنترل دسترسی نه تنها از داده‌ها و منابع سازمانی در برابر تهدیدات سایبری محافظت می‌کند، بلکه به بهبود کارایی و بهره‌وری کلی نیز کمک می‌کند. کنترل دسترسی با ایجاد توازن بین امنیت و دسترسی کاربران، به سازمان‌ها این امکان را می‌دهد تا ضمن حفظ حریم خصوصی و انطباق با مقررات، از نوآوری و توسعه تکنولوژی نیز بهره‌مند شوند. با انتخاب مدل‌های مناسب کنترل دسترسی و به‌روزرسانی مستمر سیستم‌های امنیتی، می‌توان به یک دفاع قدرتمند در برابر حملات سایبری و تهدیدات داخلی دست یافت.

سوالات متداول

کنترل دسترسی چیست؟

کنترل دسترسی یک فرآیند امنیت داده است که سازمان ها را قادر می سازد تا مدیریت کنند که چه کسانی مجاز به دسترسی به داده ها و منابع شرکت هستند.

انواع مختلف کنترل دسترسی چیست؟

کنترل دسترسی مبتنی-بر-ویژگی (ABAC)

کنترل دسترسی اختیاری (DAC)

کنترل دسترسی اجباری (MAC)

کنترل دسترسی مبتنی-بر-نقش (RBAC)

کنترل دسترسی ساختارشکن (Break-glass)

کنترل دسترسی مبتنی-بر-قانون

چرا کنترل دسترسی مهم است؟

کنترل های دسترسی به طور قابل توجهی خطر نقض امنیت اطلاعات را کاهش می دهد. تفاوتی ندارد که نقض به صورت تعمدی انجام بگیرد یا غیرعمدی، کنترل دسترسی به مقابله با تهدید داخلی کمک می کند و از موارد غیرمجاز نظیر تغییرات، انتقال داده و حذف اطلاعات جلوگیری می کند.

هدف اصلی کنترل دسترسی چیست؟

هدف اصلی کنترل دسترسی، ارائه یک محیط امن است. سیستم های کنترل دسترسی فیزیکی تعیین می کنند که چه کسانی اجازه ورود به مناطق، ساختمان ها یا اتاق های خاص را دارند. خاطر نشان می شود که این موضوع تنها برای دور نگه داشتن افراد غیرمجاز صدق نمی کند؛ بلکه در مورد مدیریت و نظارت بر جریان افراد و دارایی ها در مناطق تحت کنترل نیز است.