ניהול גישה - Access Management

PAM ACCESS MANAGEMENT

הזדהות משתמשים ובקרת הגישה למשאבי הארגון

גישות למערכות הארגון והזדהות המשתמשים הנדרשת כדי לאפשר אותן, הינן תנאי הכרחי לכל ארגון מודרני המעוניין לשמור על הנתונים שלו ולמנוע גישה מגורמים המעונינים להזיק ולגנוב מידע. בתחום אבטחת המידע, כמו בתחום האבטחה הפיזית, אבן היסוד ליצירת מעטפת אבטחה נאותה היא לשים את המשאבים הרגישים מאחורי מנעול ובריח, ולהעמיד שומר בכניסה, שידרוש מכל מי שמבקש להיכנס, להוכיח את זהותו באמצעים שהוגדרו כמספקים דיים.

הגבלה מכוונת של גישה למקום או משאב, יהיה זה בסיס צבאי או אפליקציה ארגונית, נקראת בקרת גישה (Access Management או בקיצור AM). בעולם המחשוב, שם המשתמש והסיסמא הם בעצם המנעול והשומר הניצבים בכניסה.

מי יכול להיכנס ולאן?

זוהי שאלת השאלות שמונחת בבסיסם של כל המנגנונים לאבטחת מידע בכלל ובקרת גישה בפרט. לשמחתנו, ישנם רק שני מרכיבים וודאיים שמגדירים מי יכול לגשת ולאיזה מידע. אלו הם: 

  • זיהוי המשתמש בכניסה למחשב / לאפליקציה / לרשת (Authentication).
  • הרשאות הגישה של המשתמש בכל רגע נתון (Authorization / Permissions / Access Rights).

המתודה לניהול זיהוי המשתמש ביחד עם הרשאות הגישה נקראת Identity & Access Management או בקיצור IAM.  כדי לעשות קצת סדר בין שלל המושגים של עולם ניהול זהויות והרשאות, בחרנו להפריד ולהתמקד במאמר זה במרכיב הראשון של זיהוי משתמש לקוח ובקרת גישה.

מהי בקרת גישה (Access Management) ?

אפשר להגדיר בקרת גישה כתהליך של זיהוי, מעקב, פיקוח וניהול של גישת משתמשים ליישומים הארגוניים, או במילים פשוטות אחרות – זהו התהליך שמעניק גישה למשתמשים מורשים, ומונע את הגישה מאלו שאינם מורשים.

זהו תחום שמתמקד באינטראקציה הראשונה של המשתמש עם המערכת – בזמן שהוא גולש לאתר הארגוני, ברגע שבו הוא פותח אפליקציה ובמהלך פעולות ניהוליות אחרות הדורשות הזדהות בכדי לבצע אותן.

עם התפתחות הטכנולוגיות והשינויים בתחום המידע והאינטרנט נוצר אוסף של נהלים, מתודולוגיות וכלים העומדים לרשות אחראי אבטחת המידע  ומסייעים להם לנהל באופן קל ובטוח את בקרת הגישה למשתמשים. נציין כמה מהעיקריים ביניהם.

4 כלים מרכזיים לבקרת גישה

גישה לכל מערכת דורשת לרוב איזשהו אמצעי של הזדהות (Authentication). מערכות Access  Management בעצם באות לאכוף שיטות הזדהות חזקה (Strong Authentication) ליישומים רגישים במיוחד, או לכלל היישומים הארגוניים. אספנו עבורכם את 4 הכלים המרכזיים ביותר בתחום בקרת הגישה-

1. הזדהות רב-אמצעית (MFA – Multi Factor Authentication) – בהזדהות רב-אמצעית מקובל לחלק את אמצעי ההזדהות השונים לשלוש קבוצות (Factors) שהן: (1) משהו שהמשתמש יודע – לדוגמא שם משתמש וסיסמא, (2) משהו בבעלות המשתמש – לדוגמא ייצור סיסמא חד פעמית (OTP – One Time Password) , כרטיס חכם (Token)  וכד’, (3) משהו שייחודי למשתמש עצמו – כאן הכוונה לאמצעי זיהוי ביומטרים. הזדהות חזקה תכלול שילוב של מזהים השייכים לפחות לשתי קבוצות (FA2) מתוך השלוש (FA3). לדוגמא, כאשר המשתמש גולש לאתר, למערכת ERP או לחשבון הבנק שלו, בשלב הראשון הוא מספק שם משתמש (קב’ 1) ובשלב שני המערכת מחוללת ושולחת לו סיסמא חד פעמית (קב’ 2).

2. Step-up Authentication – מאפשר גישה פשוטה וקלה יותר לשכבה אחת של משאבים, וגישה הדוקה ומאובטחת יותר לשכבות אחרות של משאבים שהם רגישים יותר. באופן כזה, בשלב הראשון, המערכת אולי תסתפק בלזהות את העובד באמצעות שם משתמש וסיסמא, ואח”כ, תוך כדי עבודה, אם פתאום העובד מבקש לגשת למידע שהוא קצת יותר רגיש, אז המערכת תעצור אותו ותבקש לאמת את הזהות שלו באמצעי יותר חזק, כמו מזהה ביומטרי, סיסמא חד-פעמית או אמצעי זיהוי אחר.

3. Fraud Detectionכלי נוסף ששייך לתחום בקרת הגישה אם כי במהותו הוא קצת שונה, היות והוא נכנס לפעולה לאחר הזדהות מוצלחת בה המשתמש נתן, לדוגמא, שם משתמש וסיסמא נכונה. באמצעות טכניקות ניתוח נתונים של לימוד מכונה (Machine Learning) וטכניקות נוספות, המערכת בודקת את מה שהמשתמש עושה ומחפשת התנהגויות חשודות או לא הגיוניות. זה יכול להיות משהו בצורת ההקלדה, משהו במסלול שהמשתמש מטייל בין המסכים של האפליקציה, משהו בזמן שהוא עובד – אם העובד בדר”כ פעיל בימי א’-ה’ בין 9:00 ל- 16:00 ופתאום הוא עובד בשמונה הערב, זה לא נראה הגיוני. אם המיקום של העובד הוא ברוב המקרים מהמשרד בתל-אביב ופתאום הוא במיקום אחר, זה גם מחשיד. במקרים כאלו המערכת של Fraud Detection תעצור את המשתמש ותבקש אמצעי זיהוי נוספים או חזקים יותר. באופן כזה, נכנסים גם היבטים של ניהול סיכונים למערך האבטחה – בודקים שההתנהגויות הן נורמליות, שדברים הם מקובלים, ואם יש חריגה נדרשת הזדהות נוספת.

4. הזדהות אחידה, Single Sign On, או בשמה הקצר והמוכר – SSO, היא שיטת הזדהות המאפשרת הזדהות אחת כלפי מספר מערכות ללא צורך בהזדהות נפרדת עבור כל מערכת. זוהי בעצם שכבת בקרה רוחבית המוטמעת מעל כל היישומים האירגוניים, והמשתמשים מנותבים דרכה וממנה לתוך היישומים הארגוניים.

בשכבת ה- SSO או RSO (Reduced Sign On) ניתן להגדיר כיצד לזהות את המשתמש, מתי ולאיזה יישומים לאפשר לו להיכנס ללא הזדהות נוספת, ולאילו יישומים המשתמש מנוע מלהיכנס כלל.מטרת השיטה היא בעיקר להקל על הקושי האנושי בלזכור מספר רב של סיסמאות ולחסוך את הסרבול והזמן שמשתמש מבזבז בהקלדה חוזרת ונשנית של סיסמאות. שיטת SSO אכן מאפשרת כניסה מהירה ליישומים ושיפור משמעותי בפרודוקטיביות של הארגון, אך מצד שני, השיטה עשויה להגביר את הסיכון בחשיפה של מערכות רבות, היה ומשתמש לא מורשה אכן הצליח להשיג סיסמא אחת.

יחד עם זאת, הדעה הרווחת בעולם אבטחת המידע היא שהיתרונות המגיעים בהטמעה של SSO עולים בחשיבותם ובתרומתם מאשר הסיכונים והאילוצים ש SSO מביא עמו. אין ספק בכך שתכנון והטמעה של רכיב SSO מחייב מעורבות של גורם מומחה ומקצועי על מנת למזער סיכונים ולקצור את היתרונות בו בעת.

לפרולינק ניסיון רב בתכנון, ליווי והטמעה של פרויקטים בתחום ה- Access Management בעיקר עם המוצרים RSA SecurID Access, GLUU ו-GlobalSign, כאשר כל אחד מהמוצרים מספק מענה שונה בתחום.