ما المقصود بإدارة الوصول المتميز (PAM)؟
يمكنك حماية مؤسستك من التهديدات عبر الإنترنت من خلال المراقبة والكشف ومنع الوصول المتميز غير المصرح به إلى الموارد الهامة.
ما المقصود بإدارة الوصول المتميز (PAM)؟
إدارة الوصول المتميز (PAM) هي حل أمان للهوية يساعد على حماية المؤسسات من التهديدات الإلكترونية من خلال المراقبة والكشف ومنع الوصول المتميز غير المصرح به إلى الموارد الهامة. تعمل إدارة الوصول المتميز من خلال مجموعة من الأشخاص والعمليات والتكنولوجيا ويمنحك رؤية لمعرفة من يستخدمون الحسابات المتميزة وما يفعلونه خلال تسجيل الدخول. يؤدي تحديد عدد المستخدمين الذين لديهم إمكانية الوصول إلى الوظائف الإدارية إلى زيادة أمان النظام بينما تعمل طبقات الحماية الإضافية على تخفيف انتهاكات البيانات من قبل ممثلي المخاطر.
كيف تعمل إدارة الوصول المتميز؟
يحدد حل إدارة الوصول المتميز الأشخاص والعمليات والتكنولوجيا التي تتطلب وصولاً مميزاً ويحدد النُهج التي تنطبق عليهم. يجب أن يتمتع حل إدارة الوصول المتميز الخاص بك بإمكانات دعم النُهج التي تضعها (على سبيل المثال، الإدارة التلقائية لكلمات المرور و المصادقة متعددة العوامل) ويجب أن يتمتع المسؤولون بالقدرة على أتمتة عملية إنشاء الحسابات وتعديلها وحذفها. يجب أن يقوم حل إدارة الوصول المتميز أيضاً بمراقبة الجلسات باستمرار حتى تتمكن من إنشاء تقارير لتحديد الحالات غير المألوفة وفحصها.
هناك حالتان أساسيتان لاستخدام إدارة الوصول المتميز تمنعان سرقة بيانات الاعتماد وتحقيق التوافق.
تحدث سرقة بيانات الاعتماد عندما يسرق أحد ممثلي المخاطر معلومات تسجيل الدخول للوصول إلى حساب مستخدم. بعد تسجيل الدخول، يمكنه الوصول إلى بيانات المؤسسة، وتثبيت البرامج الضارة على أجهزة مختلفة، والوصول إلى أنظمة ذات مستوى أعلى. يمكن أن يخفف حل إدارة الوصول المتميز من هذه المخاطر من خلال ضمان تطبيق نُهج الوصول الكافي وفي نفس الوقت والمصادقة متعددة العوامل على جميع هويات وحسابات المسؤولين.
مهما كانت معايير التوافق المطبقة على مؤسستك، فمن المحتمل أن تكون سياسة الوصول بأقل الامتيازات مطلوبة لحماية البيانات الحساسة مثل معلومات الحالة الصحية الشخصية أو معلومات الدفع. يمكّنك حل إدارة الوصول المتميز أيضاً من إثبات توافقك من خلال إنشاء تقارير عن نشاط المستخدم المتميز، تتضمن هوية الشخص الذي يصل إلى البيانات، وماهية تلك البيانات، والغرض من هذا الوصول.
تشمل حالات الاستخدام الإضافية أتمتة دورة حياة المستخدم (أي إنشاء الحساب وتزويده بإمكانات الوصول وإلغاء تزويده بها) ومراقبة الحسابات المتميزة وتسجيلها وتأمين الوصول عن بُعد والتحكم في وصول الجهات الخارجية. يمكن أيضاً تطبيق حلول إدارة الوصول المتميز على الأجهزة (إنترنت الأشياء) والبيئات السحابية ومشاريع DevOps.
تعد إساءة استخدام الوصول المتميز تهديداً للأمان عبر الإنترنت يمكن أن يتسبب في أضرار جسيمة وواسعة النطاق لأي مؤسسة. يوفر حل إدارة الوصول المتميز ميزات قوية تساعدك في التغلب على هذه المخاطر.
- توفير الوصول إلى الموارد الهامة في نفس الوقت
- السماح بالوصول الآمن عن بُعد باستخدام بوابات مشفرة بدلاً من كلمات المرور
- مراقبة الجلسات المتميزة لدعم عمليات التدقيق الاستقصائية
- تحليل النشاط المتميز غير المعتاد الذي قد يكون ضاراً بمؤسستك
- تسجيل أحداث الحساب المتميز لأغراض عمليات التدقيق الخاصة بالتوافق
- إنشاء تقارير عن نشاط ووصول المستخدم المتميز
- حماية DevOps باستخدام أمان كلمة المرور المتكامل
أنواع الحسابات المتميزة
حسابات المستخدمين المتميزين هي حسابات مميزة يستخدمها المسؤولون الذين لديهم وصول غير مقيد إلى الملفات والدلائل والموارد. يمكنهم تثبيت البرامج وتغيير التكوينات والإعدادات وحذف المستخدمين والبيانات.
الحسابات المتميزة
توفر الحسابات المتميزة وصولاً وامتيازات أكثر من الحسابات غير المتميزة (على سبيل المثال، حسابات المستخدمين العاديين وحسابات المستخدمين الضيوف).
حسابات مسؤول المجال
تتضمن حسابات مسؤول المجال أعلى مستوى من التحكم في النظام. تتمتع هذه الحسابات بإمكانية الوصول إلى جميع محطات العمل والخوادم عبر المجال الخاص بك والتحكم في تكوينات النظام وحسابات المسؤول وعضويات المجموعة.
حسابات المسؤولين المحليين
تتمتع حسابات المسؤولين المحليين بالتحكم الإداري في خوادم أو محطات عمل محددة وغالباً ما يتم إنشاؤها لمهام الصيانة.
حسابات مسؤولي التطبيقات
تتمتع حسابات مسؤولي التطبيقات بحق الوصول الكامل إلى تطبيقات معينة والبيانات المخزنة فيها.
حسابات الخدمة
تساعد حسابات الخدمة التطبيقات على التفاعل مع نظام التشغيل بشكل أكثر أماناً.
حسابات المستخدمين المتميزة للأعمال
تتمتع حسابات المستخدمين المتميزة للأعمال بامتيازات عالية المستوى استناداً إلى مسؤوليات الوظيفة.
حسابات الطوارئ
توفر حسابات الطوارئ للمستخدمين بدون امتيازات وصولاً إدارياً إلى الأنظمة الآمنة في حالة وقوع كارثة أو انقطاع الخدمة.
إدارة الوصول المتميز مقابل إدارة الهوية المتميزة
تساعد إدارة الوصول المتميز المؤسسات على إدارة الهويات وتجعل من الصعب على ممثلي المخاطر اختراق الشبكة والحصول على وصول متميز إلى الحساب. كما أنها توفر حماية إضافية للمجموعات المتميزة التي تتحكم في الوصول إلى أجهزة الكمبيوتر المرتبطة بالمجال والتطبيقات الموجودة على تلك الأجهزة. توفر إدارة الوصول المتميز أيضاً المراقبة والرؤية وعناصر التحكم الدقيقة حتى تتمكن من معرفة من هم المسؤولون المتميزون وكيفية استخدام حساباتهم.
توفر إدارة الهوية المتميزة (PIM) إمكانية تنشيط الأدوار استناداً إلى الموافقة والوقت للتخفيف من مخاطر الوصول المفرط أو غير الضروري أو السيئ إلى الموارد الحساسة في مؤسستك من خلال فرض الوصول في نفس الوقت وبشكل كافٍ فقط لهذه الحسابات. لتأمين هذه الحسابات المتميزة بشكل أكبر، تمكّنك إدارة الهوية المتميزة من فرض خيارات نُهج مثل المصادقة متعددة العوامل.
على الرغم من أن إدارة الوصول المتميز وإدارة الهوية المتميزة لديهما الكثير من أوجه التشابه، إلا أن "إدارة الوصول المتميز" تستخدم الأدوات والتكنولوجيا للتحكم في الوصول إلى مواردك ومراقبتها وتعتمد على العمل بمبدأ الوصول بأقل الامتيازات (مما يضمن تمتع الموظفين بوصول كافٍ يمكنهم من القيام بوظائفهم) بينما تتحكم "إدارة الهوية المتميزة" في المسؤولين والمستخدمين المتميزين الذين لديهم وصول محدد زمنياً وتعمل على حماية هذه الحسابات المتميزة.
أفضل ممارسات إدارة الوصول المتميز
أثناء التخطيط لتطبيق حل إدارة الوصول المتميز الخاص بك وتنفيذه، يجب عليك مراعاة الاستعانة بأفضل الممارسات للمساعدة في تحسين الأمان وتخفيف المخاطر في مؤسستك.
الحاجة إلى إجراء مصادقة متعددة العوامل
يمكنك إضافة طبقة من الحماية لعملية تسجيل الدخول باستخدام المصادقة متعددة العوامل. عند الوصول إلى الحسابات أو التطبيقات، يجب على المستخدمين توفير عملية تحقق إضافية من الهوية من خلال جهاز آخر تم التحقق منه.
أتمتة عمليات الأمان لديك
يمكنك تقليل مخاطر الخطأ البشري وزيادة الكفاءة من خلال أتمتة بيئة الأمان الخاصة بك. على سبيل المثال، يمكنك تقييد الامتيازات تلقائياً ومنع الإجراءات غير الآمنة أو غير المصرح بها عند اكتشاف المخاطر.
إزالة مستخدمي نقطة النهاية
تحديد وإزالة مستخدمي نقطة النهاية غير الضروريين من مجموعة المسؤولين المحليين على محطات عمل Windows الخاصة بتكنولوجيا المعلومات. يمكن لممثلي المخاطر استخدام حساب المسؤول للانتقال من محطة عمل إلى محطة عمل أخرى، وسرقة بيانات الاعتماد الأخرى، والارتقاء بامتيازاتها للتنقل عبر الشبكة.
إنشاء الخطوط الأساسية ومراقبة الانحرافات
يمكنك تدقيق نشاط الوصول المتميز لمعرفة من الأنشطة التي تجري في النظام والقائم على تلك الأنشطة وكيف يتم استخدام كلمات المرور المتميزة. تساعدك معرفة الخط الأساسي للنشاط المقبول على اكتشاف الانحرافات التي قد تعرض نظامك للاختراق.
توفير الوصول في نفس الوقت
يمكنك تطبيق سياسة الامتياز الأقل على كل شيء وكل شخص، ثم الارتقاء بالامتيازات حسب الحاجة. سيساعدك هذا في تجزئة الأنظمة والشبكات للمستخدمين والعمليات استناداً إلى مستويات الثقة والاحتياجات والامتيازات.
تجنب الوصول المتميز الدائم
ضع في اعتبارك استخدام الوصول المؤقت في نفس الوقت والوصول الكافي فقط بدلاً من الوصول المتميز الدائم. كما يساعد هذا في ضمان وجود سبب وجيه لدى المستخدمين لهذا الوصول وللمدة المطلوبة فقط.
استخدام التحكم في الوصول استناداً إلى النشاط
يمكنك منح الامتيازات فقط للموارد التي يستخدمها الشخص بالفعل استناداً إلى نشاطه واستخدامه في الماضي. اعمل على سد الفجوة بين الامتيازات الممنوحة والامتيازات المستخدمة.
أهمية إدارة الوصول المتميز
يمثل البشر النقطة الأضعف في أمان النظام وتشكل الحسابات المتميزة خطراً كبيراً على مؤسستك. تزود إدارة الوصول المتميز فرق الأمان بالأدوات التي تمكنهم من تحديد الأنشطة الضارة التي تنتج عن إساءة استخدام الامتيازات واتخاذ إجراءات فورية لمعالجة المخاطر. يمكن أن يضمن حل إدارة الوصول المتميز حصول الموظفين على مستويات الوصول الضرورية التي تمكنهم من القيام بوظائفهم.
بالإضافة إلى تحديد الأنشطة الضارة المرتبطة بإساءة استخدام الامتيازات، سيساعد حل إدارة الوصول المتميز مؤسستك على ما يلي:
- تقليل احتمالية حدوث خرق للأمان. في حالة حدوث خرق الأمان، يساعد حل إدارة الوصول المتميز في الحد من وصوله إلى نظامك.
- تقليل منافذ الدخول والمسارات لممثلي المخاطر. تحمي الامتيازات المحدودة الأشخاص والعمليات والتطبيقات من المخاطر الداخلية والخارجية.
- منع هجمات البرامج الضارة. إذا حصلت البرامج الضارة على موطئ قدم، فإن إزالة الامتيازات الزائدة يمكن أن تساعد في تقليل انتشارها.
- إنشاء بيئة تدقيق مواتية بشكل أكبر. يمكنك تحقيق استراتيجية شاملة للأمان وإدارة المخاطر باستخدام سجلات الأنشطة التي تساعدك على مراقبة النشاط المشبوه واكتشافه.
كيفية تطبيق أمان إدارة الوصول المتميز
لبدء إدارة الوصول المتميز، تحتاج إلى خطة للقيام بما يلي:
- توفير رؤية كاملة لجميع الحسابات والهويات المتميزة. يجب أن يتيح لك حل إدارة الوصول المتميز رؤية جميع الامتيازات التي يستخدمها المستخدمون البشريون وأعباء العمل. بمجرد حصولك على هذه الرؤية، يمكنك إزالة حسابات المسؤول الظاهرية وتطبيق مبدأ الامتياز الأقل.
- إدارة الوصول المتميز والتحكم فيه. ستحتاج إلى البقاء على اطلاع دائم على الوصول المتميز والتحكم في ترقية الامتيازات حتى لا تخرج عن نطاق السيطرة وتعرض أمان مؤسستك عبر الإنترنت للخطر.
- مراقبة وتدقيق الأنشطة المميزة. يمكنك ضع سياسات تحدد السلوك القانوني للمستخدمين المتميزين وتحديد الإجراءات التي تنتهك تلك السياسات.
- أتمتة حلول لإدارة الوصول المتميز. من الممكن توسيع نطاق الاستخدام ليشمل ملايين الحسابات والمستخدمين والأصول المميزة لتحسين الأمان والتوافق. أتمتة الاكتشاف والإدارة والمراقبة لتقليل المهام الإدارية والتعقيد.
بالاعتماد على قسم تكنولوجيا المعلومات لديك، قد تتمكن من استخدام حل إدارة الوصول المتميز الخاص بك فور إخراج الجهاز من الصندوق وإضافة الوحدات تدريجياً لدعم الوظائف بشكل أكبر وأفضل. تحتاج أيضاً إلى مراعاة توصيات التحكم في الأمان لاستيفاء متطلبات لوائح التوافق الخاصة بك.
من الممكن أيضًا دمج حل إدارة الوصول المتميز الخاص بك مع حل إدارة معلومات الأمان والأحداث (SIEM) .
حلول إدارة الوصول المتميز
لا تكفي التكنولوجيا وحدها لحماية مؤسستك من الهجمات الإلكترونية. يلزم الاستعانة بحل يراعي الأشخاص والعمليات والتكنولوجيا.
تعرّف على كيفية مساعدة حلول الهوية والوصول للأمان من Microsoft في حماية مؤسستك من خلال تأمين الوصول إلى العالم المتصل لجميع المستخدمين والأجهزة الذكية والخدمات.
تعرّف على المزيد حول الأمان من Microsoft
حلول الهوية والوصول
يمكنك حماية مؤسستك من خلال الوصول الآمن لجميع المستخدمين والأجهزة الذكية والخدمات.
إدارة الهوية المتميزة
تأكد من أن حماية حسابات المسؤول لديك دائماً عن طريق تقييد الوصول إلى العمليات الهامة.
الوصول المشروط
احرص على تأمين القوى العاملة لديك من خلال فرض التحكم بالوصول متعدد المستويات مع تطبيق نُهج تكيفية في الوقت الحقيقي.
الأسئلة المتداولة
-
تتكون إدارة الهوية والوصول (IAM) من القواعد والنُهج التي تتحكم في هوية الشخص الذي يصل إلى الموارد وماهيتها وموضعها ووقت الوصول وكيفيته. وتشمل هذه إدارة كلمات المرور، والمصادقة متعددة العوامل، و تسجيل الدخول الأحادي (SSO) وإدارة دورة حياة المستخدم.
إدارة الوصول المتميز (PAM) لها علاقة بالعمليات والتقنيات اللازمة لتأمين الحسابات المتميزة. إنها مجموعة فرعية من إدارة الهوية والوصول تسمح لك بالتحكم في نشاط المستخدمين المتميزين ومراقبته (الذين لديهم وصول أعلى من المستخدمين العاديين) بمجرد تسجيل دخولهم إلى النظام.
-
إدارة الجلسة القوية هي أداة أمان لإدارة الوصول المتميز تتيح لك معرفة ما يفعله المستخدمون المتميزون (الأشخاص في مؤسستك الذين لديهم حق الوصول الجذري للأنظمة والأجهزة) بمجرد تسجيل دخولهم. تنبهك مسارات التدقيق الناتجة إلى سوء الاستخدام غير المقصود أو المتعمد للوصول المتميز.
-
يمكن استخدام إدارة الوصول المتميز (PAM) لتقوية الوضع الأمني لمؤسستك. يتيح لك التحكم في الوصول إلى البنية الأساسية والبيانات الخاصة بك، وتهيئة أنظمتك، والبحث عن الثغرات الأمنية.
-
تشمل مزايا حل إدارة الوصول المتميز التخفيف من المخاطر الأمنية، وتقليل التكاليف التشغيلية والتعقيد، وتعزيز الرؤية والوعي بالموقف عبر مؤسستك، وتحسين التوافق التنظيمي.
-
عند اتخاذ قرار بشأن حل إدارة الوصول المتميز لمؤسستك، تأكد من أنه يتضمن مصادقة متعددة العوامل وميزات إدارة الجلسة والوصول في نفس الوقت والأمان المستند إلى الأدوار والإعلامات في الوقت الحقيقي والأتمتة والتدقيق وميزات إعداد التقارير.
متابعة الأمان من Microsoft