کنترل دسترسی (Access Control) | ضرورت و انواع روش های کنترل دسترسی

کنترل دسترسی (access control) نوعی فرایند امنیت شبکه است که سازمان‌ها را قادر می‌سازد تا مشخص کنند که هر فردی به چه بخش‌ها، داده‌ها و منابعی در شبکه سازمان دسترسی دارد و به چه بخش‌ها، داده‌ها و منابعی دسترسی ندارد.

در فرایند کنترل دسترسی از سیاست‌های سخت‌گیرانه‌ای استفاده می‌شود تا سطوح مختلفی از دسترسی در شبکه سازمان به وجود بی‌آید و هر کاربری، تنها به بخش‌ها، داده‌ها و منابعی که واقعا نیاز است، دسترسی داشته باشد. در ادامه، مؤلفه‌های اصلی کنترل دسترسی را نام خواهیم برد و مراحل و روش‌های ایجاد کنترل روی دسترسی کاربران مختلف در شبکه سازمان را برای شما مخاطبان گرامی سایبرنو توضیح خواهیم داد. با ما همراه باشید.

عناوینی که در ادامه می‌خوانید:

• کنترل دسترسی (Access Control) چیست؟
• چرا کنترل دسترسی مهم است؟
• ۵ مؤلفه اصلی کنترل دسترسی
• ۲ نوع اصلی کنترل دسترسی
• ۴ نوع سیستم کنترل دسترسی

کنترل دسترسی (Access Control) چیست؟

همانطور که در بالا گفتیم، منظور از کنترل دسترسی در امنیت سایبری، تعریف سیاست‌ها و بکارگیری روش‌هایی برای ایجاد سطوح مختلف دسترسی به بخش‌ها، داده‌ها و منابع شبکه سازمان برای کاربران مختلف است. در واقع، کنترل دسترسی تعیین می‌کند که هر کاربری در چه سطحی از دسترسی قرار داد و می‌تواند به چه بخش‌ها، داده‌ها و منابعی از شبکه سازمان دسترسی داشته باشد و کدام بخش‌ها، داده‌ها و منابع از دسترس آن کاربر خارج هستند.

معمولا، کنترل دسترسی برای هر سازمانی در هر اندازه‌ای، از سازمان‌های کوچک گرفته تا سازمان‌های بسیار بزرگ و حتی برای سازمان‌هایی که از حساسیت بالایی نیز برخوردار نیستند، بسیار ضروری است. در فرایند کنترل دسترسی، هویت کاربران بررسی و میزان دسترسی آن‌ها بر اساس نقش‌هایی که دارند، مشخص می‌شود. بدین ترتیب، کاربران متفرقه نمی‌توانند به هر بخش، داده یا منبعی در شبکه سازمان دسترسی پیدا کنند و در نتیجه، خطر نقض داده و دیگر انواع حملات هکری به حداقل می‌رسد.

چرا کنترل دسترسی مهم است؟

هر سازمانی برای اینکه بتواند کارهای داخلی و خدمات‌‌دهی به مشتریان یا ارباب‌رجوعان را انجام دهد، باید امکان دسترسی به بخش‌ها، داده‌ها و منابع شبکه خودش را برای کاربران مختلف (پرسنل، ارباب‌رجوعان، مشتریان یا ...) فراهم آورد. با این حال، همه کاربران نباید دسترسی یکسانی به شبکه داشته باشند زیرا دسترسی بدون محدودیت، مشکلاتی مثل نقض داده یا هک شدن سامانه‌های سازمان را ایجاد می‌کند که می‌توانند به صورت عمدی یا غیرعمدی رخ دهند.

در واقع، هر کاربر باید تنها دسترسی‌هایی را که لازم دارد، داشته باشد. از سوی دیگر، محدودیت شدید و غیراصولی در دسترسی به شبکه سازمان، سبب می‌شود تا کارهای داخلی و خدمات‌دهی سازمان به درستی انجام نشود.

برای مثال، یک سازمان دولتی را در نظر بگیرید که تنها تعامل آن با افراد متفرقه خارج از سازمان، انتشار بیانیه‌هایی در وبسایت، برای اطلاع‌رسانی عمومی است. در این صورت، تنها مجوزی که افراد متفرقه و خارج از سازمان باید داشته باشند، امکان بازدید از صفحات عمومی وبسایت برای مشاهده اطلاعیه‌ها است. وبسایت چنین سازمانی، هرگز نباید امکان ساخت حساب کاربری یا آپلود هر نوع فایلی را برای عموم بازدیدکنندگان (افراد متفرقه‌ای که پرسنل سازمان نیستند) فراهم آورد چون هیچ ضرورتی برای آن وجود ندارد.

به عبارت دیگر، زمانی که سازمانی، دسترسی غیرضروری برای کاربران فراهم می‌آورد، به عبارتی، «سطح حمله» (attack surface) را بدون دلیل موجه، افزایش می‌دهد و ریسک نقض داده یا هک شدن را بالا می‌برد. یکی از مؤلفه‌های اصلی در امن سازی سازمان‌ها، کاهش سطح حمله است.

گذشته از اهمیت کنترل دسترسی برای جلوگیری از هک شدن شبکه‌ و سیستم‌های سازمان و پیشگیری از نقض داده، سازمان‌ها باید برای انطباق با دستورالعمل‌های امنیتی سازمان‌های نظارتی (که معمولا برای محافظت از داده‌های کاربران صادر می‌شوند) باید کنترل دسترسی سخت‌گیرانه‌ای داشته باشند.

۵ مؤلفه اصلی کنترل دسترسی

کنترل دسترسی در امنیت سایبری از پنج مؤلفه اصلی تشکیل می‌شود که هر یک از آن‌ها نقشی حیاتی در کنترل دسترسی و حفاظت از شبکه سازمان شما دارد. این پنج مؤلفه به شرح زیر هستند:

۱- احراز هویت: در این فرایند، هویت کاربر مشخص می‌شود. هر کاربری که به شبکه متصل می‌شود باید هویت خودش را اثبات کند. احراز هویت می‌تواند خیلی ساده، فقط از یک ترکیب نام کاربری و گذرواژه تشکیل شود یا می‌‌تواند مثل روش‌های بیومتریک و احراز هویت دو عاملی کمی پیچیده‌تر و مطمئن‌تر باشد.

۲- مجوزدهی: منظور از مجوزدهی یا authorization، دسترسی دادن به شبکه است. نوع مجوزی که به هر کاربر اعطا می‌شود، تعیین می‌کند که آن کاربر به کدام بخش، کدام داده‌ها و کدام منابع در شبکه سازمان، دسترسی داشته باشد. برای مثال، یک نوع مجوز ساده می‌تواند امکان ایجاد رابط کاربری در یک وبسایت باشد اما همان کاربر نتواند رابط کاربری خود را حذف کند.

۳- دسترسی: منظور از دسترسی در فرایند کنترل دسترسی کاملا مشخص است و به میزان دسترسی هر کاربر بخش‌ها، منابع و داده‌های مختلف در شبکه سازمان اشاره دارد. برای مثال، یک ادمین رده بالای شبکه باید به تمامی بخش‌های شبکه و سرورها دسترسی داشته باشد اما دسترسی به بخش‌های حساس شبکه برای پرسنل معمولی سازمان ضروری نیست و نباید این دسترسی در اختیار آن‌ها قرار بگیرد تا سطح حمله به حداقل برسد.

۴- مدیریت دسترسی: یکی از مهم‌ترین بخش‌های کنترل دسترسی، مدیریت دسترسی است. ادمین‌های شبکه باید بر اساس نیازمندی‌های سازمان، کاربران مختلف را در چندین سطح دسته‌بندی کنند و به هر سطح، بر اساس میزان نیازمندی‌هایش، دسترسی‌های لازم و ضروری را ببخشند تا کارهای سازمان پیش برود و در عین حال، سطح حمله در حداقل میزان ممکن، باقی بماند.

۵- بازرسی: شبکه سازمان باید به صورت دوره‌ای، از نظر دسترسی مورد بازرسی قرار بگیرد تا مشخص شود که هر کاربری، به چه مواردی دسترسی دارد و دسترسی‌های غیرضروری، قطع شود. برای مثال، اگر یکی از کارکنان از سازمان جدا شده است، باید دسترسی او به سامانه‌های سازمان قطع شود.
به یاد داشته باشید که کنترل دسترسی، نوعی فرایند است و به مجموعه‌ای از تکنولوژی‌های شبکه محدود مي‌شود. همچنین، کنترل دسترسی باید فرایندی دائمی باشد و بازرسی‌ها و بروزرسانی‌ دسترسی‌ها، اهمیت بسیار زیادی دارد.

۲ نوع اصلی کنترل دسترسی

فرایند کنترل دسترسی را می‌توان به دو نوع زیر تقسیم‌بندی کرد:

• کنترل دسترسی فیزیکی: همانطور که در مقاله «اهمیت حفاظت فیزیکی در امنیت سایبری» گفته شده است، امنیت سایبری وابستگی زیادی به حفاظت فیزیکی دارد. در واقع، حتی اگر گران‌قیمت‌ترین راهکارهای امنیت شبکه را در سازمان خود مستقر کنید اما یک فرد نفوذی بتواند به راحتی به اتاق سرور شما وارد شود، تمام هزینه‌‌هایی که کرده‌اید، بر باد خواهد رفت. بنابراین، ضرورت دارد که سازمان‌ها، روی دسترسی فیزیکی در سازمان نیز کنترل داشته باشند و هر فردی نتواند به هر بخشی از سازمان که می‌خواهد، وارد شود. به عنوان مثال، ضرورتی ندارد که کارمند واحد حسابداری سازمان به اتاق سرور دسترسی داشته باشد. از جمله روش‌های کنترل دسترسی فیزیکی می‌توان به موارد زیر اشاره کرد:
  • کارت ورود
  • قفل و کلید فیزیکی
  • سیستم‌های کنترل ورود با سنجش بیومتریک
  • دوربین‌های حفاظتی
• کنترل دسترسی منطقی: منظور از کنترل دسترسی منطقی، کنترل کردن دسترسی به زیرساخت‌های شبکه و داده‌ها سازمان است که می‌تواند شامل روش‌های نرم‌افزاری برای بخش‌بندی شبکه، احراز هویت کاربران، مجوزدهی و ... باشد.

۴ نوع سیستم کنترل دسترسی

• انواع سیستم اکسس کنترل (access control) برای امنیت شبکه به شرح زیر هستند:
• کنترل دسترسی اختیاری (DAC): در این روش، سیاست‌های کنترل دسترسی هر بخشی از شبکه توسط ادمین آن بخش تعیین می‌شود و ادمین می‌تواند به هر کاربری که بخواهد، هر نوع دسترسی را برای آن بخش از شبکه تعریف کند.
• کنترل دسترسی اجباری (MAC): در این روش، سیاست‌های کنترل دسترسی به صورت متمرکز مشخص می‌شود و یک مسئول یا قسمت مرکزی، مشخص می‌کند که هر کاربری، چه دسترسی‌هایی داشته باشد. این روش کنترل دسترسی، در سازمان‌های حساس، رایج‌تر است.
• کنترل دسترسی بر مبنای نقش (RBAC): در این روش، دسترسی هر کاربری، بر اساس نقشی که در سازمان دارد و صرف نظر از هویت یا ارشدیت، تعیین می‌شود.
• کنترل دسترسی ویژگی-محور (ABAC): در این روش، کنترل دسترسی انعطاف پذیر‌تر است و به مجموعه‌ای از ویژگی‌ها و عوامل محیطی، مثل زمان و مکان بستگی دارد. برای مثال، مدیر یک وبسایت می‌تواند از دسترسی کاربران دارای بعضی از IPها به آن وبسایت، جلوگیری کند.