7.3 גישות מקובלות בבקרת גישה
העקרונות של אימות, הרשאה וחשבונאות (AAA Authentication, Authorization, & Accounting) מהווים את עמוד השדרה של אבטחת הרשת, השולטים בגישה למשאבי רשת ולשירותים. AAA מבטיח שרק משתמשים מאומתים ומורשים ניגשים לשירותי רשת תוך שמירה על רישום של פעילויות המשתמש.
זהות (Identification)
זהות היא תהליך של זיהוי אדם או קבוצה. זהו שלב ראשון בתהליך האימות, אשר מבטיח שהאדם או הקבוצה הזו הם אכן מי שהם טוענים להיותם.
ישנן דרכים רבות לבצע זיהוי. אחת הדרכים הנפוצות ביותר היא שימוש במסמכי זיהוי, כגון תעודת זהות, רישיון נהיגה או דרכון. דרכים אחרות כוללות שימוש במידע ביומטרי, כגון טביעות אצבע, תמונות פנים או זיהוי קולי.
קיימים שני סוגים עיקריים של זהות:
- זהות עובדתית: זהות זו מבוססת על מידע עובדתי, כגון שם, תאריך לידה, כתובת מגורים, מספר תעודת זהות וכו'.
- זהות סובייקטיבית: זהות זו מבוססת על תפיסה עצמית, כגון ערכים, אמונות, השקפות וכו'.
חשיבות הזיהוי
זיהוי חשוב במגוון רחב של מצבים, כגון:
- אבטחה: זיהוי משמש כדי למנוע מאנשים לא מורשים לגשת למקומות או למשאבים.
- אזהרה: זיהוי משמש כדי לזהות אנשים שעשויים להיות בסיכון או שעשויים להיות מסוכנים.
- שירות: זיהוי משמש כדי להבטיח שאנשים מקבלים את השירותים המתאימים להם.
דוגמאות לזיהוי
- במעבר גבול: בעת מעבר גבול, אדם צריך להציג מסמכי זיהוי כדי להוכיח את זהותו.
- בכניסה לבניין: בעת כניסה לבניין, אדם עשוי להידרש להציג תעודת זהות או כרטיס מבקרים.
- בשימוש בשירותים מקוונים: בעת שימוש בשירותים מקוונים, אדם עשוי להידרש להזין פרטים אישיים כגון שם משתמש וסיסמה כדי להוכיח את זהותו.
הבדלים בין זיהוי לאימות
זיהוי הוא תהליך של זיהוי אדם או קבוצה. אימות הוא תהליך של אימות זהות שהוגדרה מראש.
ההבדל העיקרי בין זיהוי לאימות הוא שבזיהוי, האדם או הקבוצה אינם ידועים מראש. לעומת זאת, באימות, האדם או הקבוצה ידועים מראש, והאימות בודק האם הם אכן מי שהם טוענים להיותם.
לדוגמה, כאשר אדם מגיש בקשה לקבלת אשראי, הבנק צריך לבצע זיהוי של האדם כדי לוודא שהוא אכן האדם ששמו מופיע על הבקשה. לאחר מכן, הבנק צריך לבצע אימות של האדם כדי לוודא שהוא מסוגל לעמוד בתשלומי האשראי.
אימות זהות (Authentication)
אימות זהות הוא תהליך של אימות זהות של משתמש המבקש לגשת למשאב. אימות זהות הוא שלב הכרחי בבקרת גישה, מכיוון שהוא מונע מאנשים לא מורשים לגשת למשאבים.
- אימות רב-גורמי (MFA): משפר את האבטחה על ידי דרישת צורות אימות מרובות, כגון משהו שהמשתמש יודע (סיסמה), משהו שיש למשתמש (אסימון אבטחה או מכשיר נייד), ומשהו שהמשתמש הוא (אימות ביומטרי).
- אימות ביומטרי: משתמש במאפיינים פיזיים או התנהגותיים ייחודיים, כגון טביעות אצבע או זיהוי פנים, כדי לאמת את זהות המשתמש, ומציעה רמה גבוהה של אבטחה.
ישנן מספר טכניקות אימות זהות מקובלות, כגון:
- סיסמאות: סיסמאות הן הטכניקה הנפוצה ביותר לאימות זהות. סיסמאות צריכות להיות חזקות מספיק כדי לעמוד בפני פריצה, אך גם פשוטות מספיק לזכור.
- זיהוי פנים: זיהי פנים היא טכניקה מתקדמת יותר לאימות זהות. זיהי פנים משתמשת בתוכנה כדי לזהות את המשתמש על סמך פניו.
- טביעות אצבע: טביעות אצבע הן טכניקה נוספת לאימות זהות. טביעות אצבע משתמשות במכשיר אופטי כדי לזהות את המשתמש על סמך טביעת אצבעו.
- כרטיסי חכם: כרטיסי חכם הם כרטיסים קטנים המכילים שבב מחשב. כרטיסי חכם משתמשים בשבב כדי לאמת את זהות המשתמש.
האימות הוא פעולת "אימות טענת זהות": כשג'ון דו נכנס לבנק לבצע משיכה, הוא אומר לנציג הבנק שהוא ג'ון דו, וזוהי "טענת זהות". נציג הבנק מבקש לראות תעודת זהות, ולכן הוא מוסר את רישיון הנהיגה שלו. נציג הבנק בודק את הרישיון כדי לוודא שהוא על שם ג'ון דו ומשווה את התצלום ברישיון מול האדם הטוען שהוא ג'ון דו. אם התצלום והשם תואמים את האדם, הנציג מאשר שג'ון דו הוא מי שהוא לטענתו. באופן דומה, על ידי הזנת הסיסמה הנכונה, המשתמש מביא הוכחות לכך שהוא האדם אליו שייך שם המשתמש.
הזיהוי הוא קביעה של מי הוא מישהו או מה משהו. הזנת שם משתמש היא טענת "אני האדם ששם המשתמש שייך אליו".
סוגי מידע לצורכי אימות:
- מה שאתה יודע: דברים כמו מספר זיהוי אישי, סיסמא או למשל - שם הנעורים של ההורה.
- מה שיש לך: רישיון נהיגה או כרטיס החלקה מגנטי
- מה שאתה: ביומטריה, כולל הדפסי כף יד, טביעות אצבע, הדפסים קוליים וסריקות רשתית (עיניים)
אימות חזק מחייב לספק יותר מסוג אחד של מידע אימות (אימות דו-גורמי). שם המשתמש הוא צורת הזיהוי הנפוצה ביותר במערכות מחשב כיום והסיסמה היא צורת האימות הנפוצה ביותר. שמות משתמש וסיסמאות שימשו את מטרתם, אך הם הולכים וגדלים. שמות משתמש וסיסמאות מוחלפים אט אט או משלימים אותם באמצעות מנגנוני אימות מתוחכמים יותר.
הרשאה (Authorization)
לאחר אימות, ההרשאה קובעת את רמת וסוג הגישה שיש להעניק לישות המאומתת. הוא מקצה הרשאות והרשאות, מגדיר לאילו משאבים המשתמש יכול לגשת ואילו פעולות הוא יכול לבצע, בהתבסס על מדיניות מוגדרת מראש. הרשאות גישה קובעות מה המשתמשים יכולים לעשות עם המשאבים.
לאחר שאדם, תוכנית או מחשב זוהו ואושרו בהצלחה, יש לקבוע לאילו משאבי מידע הם רשאים לגשת ולאילו פעולות יורשו לבצע (להפעיל, להציג, ליצור, למחוק או לשנות). התהליך נקרא הרשאה. הרשאה לגישה למידע ושירותי מחשוב אחרים מתחילה במדיניות ונהלים. המדיניות קובעת לאילו שירותי מידע ומחשוב ניתן לגשת, על ידי מי ובאילו תנאים. לאחר מכן מוגדרים מנגנוני בקרת הגישה לאכיפת מדיניות זו. מערכות מחשוב שונות מצוידות בסוגים שונים של מנגנוני בקרת גישה.
בהמשך נפרט לעומק מודלים שונים של הרשאה, כגון: הרשאה מבוססת שיקול דעת (DAC): הרשאות גישה מוגדרות על ידי המשתמשים או על ידי קבוצות משתמשים, הרשאה מנדטורית (MAC): הרשאות גישה מוגדרות מראש על ידי מדיניות אבטחה, הרשאה מבוססת תפקידים (RBAC): הרשאות גישה מוגדרות על סמך התפקיד של המשתמש בארגון, ועוד.
ניהול חשבון (Accounting)
ניהול חשבון הוא תהליך של ניהול חשבונות המשתמשים, כולל מעקב אחר פעילויות הגישה שלהם. מעקב אחר פעילויות הגישה יכול לעזור לארגונים לזהות חריגות בהתנהגות המשתמשים, אשר עשויות להצביע על פריצה או על שימוש לרעה בזכויות גישה. הוא אוסף נתונים על שימוש במשאבים, משך הפעלה ושירותים שניגשים אליהם, ומאפשר למנהלי רשת לפקח, לבקר ולנתח את התנהגות המשתמש וביצועי הרשת.
ישנם מספר נתונים שניתן לעקוב אחריהם במסגרת ניהול חשבון, כגון:
- זמן הגישה: זמן התחלה וזמן סיום של הגישה למשאב.
- מקור הגישה: כתובת ה-IP או שם המחשב שממנו בוצעה הגישה.
- משך הגישה: משך הזמן שהמשתמש גישה למשאב.
- פעולות שנעשו: פעולות שבוצעו על ידי המשתמש במהלך הגישה.
ניהול חשבון ההרשאות כולל:
- ניהול יומנים: כולל איסוף, אחסון וניתוח נתוני יומן כדי לנטר את פעילויות המשתמש, לזהות חריגות ולהבטיח עמידה במדיניות ובתקנות האבטחה.
- ניתוח תנועה: בוחן דפוסי תעבורה ושימוש ברשת כדי לייעל את ביצועי הרשת, לזהות איומי אבטחה ולהבטיח ניצול יעיל של משאבים.
גישות מקובלות בבקרת גישה
הגישות לבקרת גישה הן:
- גישה מבוססת על "אמצעים הנמצאים בידי המשתמש", או:
- גישה המבוססת על "רשימות מורשי גישה".
במודל הראשון, המשתמש מחזיק באמצעי מהימן מספיק ואמצעי זה שהוא שמאפשר את הגישה למערכת או ליישום שעבורם מפעילים את בקרת הגישה. באנלוגיה לעולם הפיזי, נתייחס למצב שבו הכניסה סגורה בדלת נעולה ולמשתמש יש את המפתחות הפיזיים לפתיחתה. בגישה זו, העברת ההרשאה מתבצעת על ידי העברת האמצעי בתווך מאובטח.
במודל הרשימה של מורשי גישה, הגישה ניתנת למשתמשים שזהותם מופיעה ברשימה. שינויים בזכויות הגישה מתבצעים על ידי עדכון רשימת המורשים. בגישה זו יש חשיבות רבה לגורם שמוסמך לאשר את רשימות המשתמשים ולעדכנן.
בשני המודלים, ההרשאות הקבוצתיות נמסרות במספר מנגנונים שונים. אחת הדרכים הנפוצות לניהול בקרת גישה ברשתות מחשבים גדולות היא גישת Active Directory של מיקרוסופט.
מערכות בקרת גישה מספקות את השירותים החיוניים ובכלל זה הרשאות, הזדהות ואימות, אישורי גישה ושיוך משתמשים לפעילויות.
הקשר ההדדי של רכיבי AAA:
הסינרגיה של אימות, הרשאה וחשבונאות יוצרת מסגרת חזקה לבקרת גישה לרשת. אימות מבסס אמון על ידי אימות זהויות; ההרשאה אוכפת מדיניות על ידי הענקת רמות גישה מתאימות, והנהלת חשבונות שומרת על שקיפות על ידי רישום פעילויות הרשת. יחד, הם מספקים גישה רב-שכבתית לגישה מאובטחת לרשת ולהגנה על מידע רגיש.
שיקולי יישום:
בעת יישום AAA, חיוני לקחת בחשבון את דרישות האבטחה, חווית המשתמש ומגבלות המשאבים של סביבת הרשת. שימוש במנגנוני אימות חזקים, הגדרת מדיניות גישה ברורה ושמירה על רישומים חשבונאיים מקיפים הם צעדים חיוניים ביישום AAA יעיל.
- הגדרת מדיניות ואכיפה: מדיניות מוגדרת בבירור ואכיפה בעקביות היא הבסיס ליישום AAA יעיל. הם קובעים את זכויות הגישה, התנהגות המשתמש וניצול המשאבים, ומבטיחים אבטחה ותאימות.
- חינוך והדרכה למשתמשים: חינוך משתמשים לגבי שיטות עבודה מומלצות לאבטחה, פרוטוקולי גישה ושימוש אחראי במשאבים הוא חיוני לשמירה על סביבת רשת מאובטחת ולמזעור הסיכון לאירועי אבטחה.
מגמות האבולוציה והעתיד:
ההתפתחות המתמשכת של טכנולוגיות רשת ונופי איומים מחייבת את התקדמות AAA. טכנולוגיות מתפתחות כמו Machine Learning ובלוקצ'יין משפיעות על AAA, ומציעות פתרונות חדשניים לאימות זהות, ניהול גישה ומעקב אחר פעילות.
- אימות אדפטיבי: משתמש ב-Machine Learning כדי לנתח התנהגות משתמשים ותכונות סביבתיות כדי להעריך סיכונים ולהתאים את דרישות האימות באופן דינמי.
- בלוקצ'יין לניהול זהויות: ממנף את האופי המבוזר והבלתי ניתן לשינוי של טכנולוגיית הבלוקצ'יין כדי ליצור פתרונות ניהול זהויות מאובטחים וניתנים לאימות.
עבור למאמר הבא