مستقبل خدمات الدليل محلي

نشرت: 2020-05-05

تتغير الأساليب الأساسية للأمان وإدارة الجهاز والتحكم في الوصول.

خلال الجزء الأفضل من 30 عامًا ، كانت أولويات تكنولوجيا المعلومات الأساسية هذه غير قابلة للفصل عن Active Directory و OpenLDAP ، والتي كانت حلولًا ممتازة في عصر المجال المحلي. لكن التحول الأخير إلى العمل عن بُعد يوضح أن أمان المحيط التقليدي والبنية التحتية المحلية لم تعد كافية لحماية هويات مستخدم المؤسسة والبيانات السرية في السحابة.

من أجل إدارة بيئات العمل الحديثة بشكل أفضل ، نحتاج إلى إعادة تصور الوظائف الفردية لخدمة الدليل وفصل تلك الوظائف عن المفهوم القديم للمجال ذي الأسلاك الصلبة ، والقلعة والخندق. ما يهم اليوم هو تأمين المستخدم والجهاز بغض النظر عن مكان وجودهم في العالم.

مستقبل خدمات الدليل ، إذن ، غير مؤلم. فيما يلي نظرة أكثر تفصيلاً حول كيفية وصولنا إلى هنا ، وكيف تبدو المؤسسة غير المؤمنة في الممارسة العملية ، والخطوات التي يمكن للمؤسسات اتخاذها لتحديث البنية التحتية لإدارة عمليات التشغيل (IAM) الخاصة بها.

إعادة تصور خدمات الدليل ومفهوم المجال

تم تصميم مفهوم المجال كما نعرفه بشكل أساسي في التسعينيات ، وكان حلاً ممتازًا لإدارة آمنة للمستخدم والكمبيوتر في بيئات المكاتب ذات الأسلاك الصلبة في ذلك الوقت. في حين أن معظم المجالات الأخرى لتكنولوجيا المعلومات قد تغيرت تمامًا منذ ذلك الحين ، إلا أن هذا النموذج لا يزال يدعم مناهج معظم المؤسسات في إدارة الهوية والوصول اليوم.

يعتبر العديد من محترفي تكنولوجيا المعلومات المجال أمرًا مفروغًا منه وافترضوا أن الخطوة المنطقية التالية هي تكييفه وتوسيعه ليلائم عصر السحابة عن طريق إضافة موفري تسجيل الدخول الأحادي (SSO) لتطبيق الويب وجسور الهوية الأخرى. ولكن قد يكون النهج الأكثر عملية هو إعادة النظر في المشكلات الأساسية التي تم تصميم المجال لحلها في البداية ، وتحديد أي من هذه المشكلات لا تزال ذات صلة حتى اليوم ، واستكشاف طرق جديدة لحلها باستخدام الابتكارات الحديثة.

في منتصف التسعينيات وحتى منتصف العقد الأول من القرن الحادي والعشرين ، كانت إعدادات المكتب مختلفة تمامًا. دخل العمال إلى مؤسسات من الطوب وقذائف الهاون باستخدام بطاقات المفاتيح أو المفاتيح الفعلية. ساروا إلى مكاتبهم وجلسوا أمام أجهزة الكمبيوتر الثابتة. تم ربط أجهزة الكمبيوتر هذه من خلال كابل إيثرنت ببعض مراكز البيانات الداخلية أو خزانة الخادم داخل المكتب الفعلي. من داخل هذا الموقع المركزي ، منحت وحدة التحكم بالمجال الوصول إلى موارد تكنولوجيا المعلومات داخل الشبكة المحلية. هذه الشبكة المادية ، بدورها ، كانت محمية من الهجمات الخارجية بواسطة جدار حماية ومن المبنى نفسه للوصول المادي.

في ذلك الوقت ، كان هذا الإعداد آمنًا ومباشرًا بشكل أساسي للإدارة ، وقدم تجربة مستخدم سلسة للغاية بحيث لم يضطر المستخدمون إلى إدارة كلمات مرور متعددة أو التفكير في عمليات التفويض والمصادقة التي تحدث خلف الكواليس. كانت البيئات متجانسة ، مع وجود برج مكتبي يعمل بنظام Windows و Microsoft في كل محطة عمل. كان Active Directory (AD) مناسبًا تمامًا لهذا النوع من البيئة لدرجة أنه كان قادرًا على منح المستخدمين تجربة ربما كانت أول تجربة تسجيل دخول فردي (SSO): مجموعة واحدة من بيانات الاعتماد للوصول إلى موارد تكنولوجيا المعلومات المستندة إلى Windows من خلال نظام تسجيل دخول واحد.

الآن ، تقدم سريعًا إلى الحاضر وهدم كل جدران ذلك المبنى. كانت تكنولوجيا المعلومات تتجه نحو المرونة خارج المكتب التي تم تمكينها من خلال التكنولوجيا السحابية والإنترنت اللاسلكي عالي السرعة المتاح على نطاق واسع. بدلاً من أجهزة الكمبيوتر الثابتة ذات الأبراج وشاشات الأنبوب ، يمتلك الموظفون الآن أجهزة كمبيوتر محمولة وأجهزة أخرى يمكنهم أخذها معهم في أي مكان تقريبًا والاتصال بالإنترنت والبدء في العمل. هذا هو المشروع المحلي باختصار ، وهذا هو واقعنا الحالي.

رجل wfh

ولكن في عالم يحدث فيه الكثير من العمل خارج المجال ، تضطر أقسام تكنولوجيا المعلومات إلى إعادة تقييم التحديات التي كان Active Directory يتعامل معها من تلقاء نفسه.

أوجه القصور الحديثة في نموذج المجال

كافح Active Directory للتكيف والتكامل مع الموارد السحابية الحديثة وأنظمة التشغيل التي لا تعمل بنظام Windows ، ونموذج الأمان المحيط الذي تم تصميمه من أجله لا يكفي لحماية العمال عن بُعد.

لذا يصبح السؤال هو كيفية ترجمة سير العمل الإداري المركزي وتجربة المستخدم البسيطة والآمنة التي كانت توفرها الإعلانات في وقت ما إلى بيئة حديثة تتضمن أنظمة Mac و Linux وتطبيقات الويب والخوادم السحابية والشبكات البعيدة ، وقد لا تزال قيد التشغيل أو لا. -البنية التحتية الرئيسية كذلك. يحتاج المستخدمون إلى الاتصال بموارد تكنولوجيا المعلومات الخاصة بهم بأقل قدر من الاحتكاك بغض النظر عن مكان عملهم ، ويحتاج مسؤولو تكنولوجيا المعلومات إلى أن يكونوا واثقين من حماية هويات المستخدمين وبيانات الملكية من الهجمات.

تكمن المشكلة في أن تكنولوجيا المعلومات لا تتمتع بمستوى التحكم تقريبًا في هويات المستخدم الحديثة التي كانت ستحصل عليها في بيئة مجال AD التقليدية. تم ترحيل التطبيقات من بنية قديمة للشراء مرة واحدة والتثبيت محليًا إلى نموذج اشتراك قائم على السحابة. لا تزال بعض التطبيقات مثبتة محليًا ، مع معالجة الهويات والتكوينات في السحابة عبر متصفح الويب.

إذا تُرك لإدارة هوياتهم الخاصة ، ينتهي الأمر بالمستخدمين بعشرات - إن لم يكن المئات - من كلمات المرور ، ويواجهون إغراء تجاهل إرشادات الأمان ومشاركة كلمات المرور الضعيفة أو إعادة استخدامها.

قد يميل المستخدمون أيضًا إلى إنشاء حساباتهم الخاصة للتطبيقات الجديدة على النحو الذي يرونه مناسبًا ، دون موافقة أو تنظيم تكنولوجيا المعلومات. يشكل ظل تكنولوجيا المعلومات هذا خطرًا أمنيًا غير ضروري على المؤسسة. وحتى الهويات التي يديرها قسم تكنولوجيا المعلومات قد تكون موجودة في صوامع خاصة بها ، حيث تتطلب كل هوية منفصلة عملية التزويد اليدوي وإلغاء حق الوصول الخاصة بها.

لا توجد هوية مركزية واحدة مماثلة لهوية AD السابقة. يحتاج المسؤولون إلى طريقة جديدة لتأمين الاتصالات ، والحفاظ على كل شيء بأمان ضمن اختصاص تكنولوجيا المعلومات ، وتلبية قواعد الأمان والامتثال ، وإعداد الأجهزة للعمل عن بُعد.

عندما يتعلق الأمر بالأنظمة ، فإن أنظمة MacBooks و Linux أصبحت شائعة الآن. حيث قاوم مسؤولو Microsoft المتمرسون إدخال أنظمة Mac إلى مكان العمل ، أصبحت الآن ممارسة قياسية لاستيعاب هذه الأنظمة. في مجال Active Directory التقليدي ، لن تكون إدارة نظام Mac و Linux متساوية أو آمنة بدون إضافة حلول نقاط أخرى بخلاف AD ، مثل أداة إدارة النظام أو حتى MDM.

الناس جالسين على أجهزة الكمبيوتر


بيئات المجال المبنية حول OpenLDAP ليست أفضل بكثير: تدير نطاقات وخوادم LDAP بشكل أساسي الهويات وكلمات المرور والمجموعات والوحدات التنظيمية ، ولكنها غالبًا ما تفتقر إلى إدارة النظام وفرض سياسة الأمان وقدرات تكامل التطبيقات السحابية. انتقلت موارد تكنولوجيا المعلومات من مجرد استخدام LDAP كبروتوكول مصادقة مفضل إلى الاستفادة من المعايير الحديثة مثل SAML و SCIM و OAuth و OIDC والمزيد. تتطلب بيئات LDAP القديمة أيضًا درجة عالية من الخبرة لتكوينها وصيانتها.

الطريقة المنطقية لملء الثغرات المذكورة أعلاه في الإشراف على تكنولوجيا المعلومات هي تنفيذ بنية حديثة غير مؤمنة.

ماذا يعني دومينيوم حقا في الممارسة؟

قد تبدو احتمالية الانتقال إلى النطاق المحلي مخيفًا بعض الشيء للمسؤولين ذوي الخبرة ، ولكن يمكن أن تكون البيئة غير المؤمنة التي تم تكوينها بشكل صحيح أكثر أمانًا من إعداد المجال التقليدي في مشهد تكنولوجيا المعلومات اليوم. في بيئة غير مؤمنة ، يلتف الموقف الأمني ​​للمؤسسة حول كل مستخدم فردي ، ونظام Mac أو Windows أو Linux ، والموارد التي يحتاجون إليها للوصول ، أينما يوجد كل من هذه المكونات.

كل مورد من موارد تكنولوجيا المعلومات له الآن محيطه الضيق. هذا يعني أنه بدلاً من العمل بشكل غير مؤمن داخل حدود محيط أكبر مقوى بعد المصادقة مرة واحدة ، يتم التحقق من الهويات وحقوق الوصول والتحقق منها باستمرار. يصل المستخدمون إلى مواردهم مباشرةً عبر اتصال إنترنت قياسي ، بدلاً من التوجيه عبر مجال للمصادقة. وبدلاً من وحدة تحكم المجال ، تتولى خدمة الدليل السحابي إدارة الوصول ومصادقة المستخدم وفرض الأمن.

إنه مفهوم خدمة الدليل السحابي الذي يجعل المؤسسة غير المؤمنة قابلة للتحقيق في الممارسة العملية. ولكن حتى مع انتقال العديد من الجوانب الأخرى لتكنولوجيا المعلومات بشكل فعال إلى السحابة ، فإن العديد من المسؤولين لديهم تحفظات بشأن تنفيذ مجموعة كاملة من خدمات الدليل في السحابة.

بالنسبة للجزء الأكبر ، يرجع ذلك إلى أن فكرة خدمة الدليل نفسها مرتبطة ارتباطًا وثيقًا بـ Active Directory - الأداة الحالية تمثل المشكلات الفردية التي تم حلها بمجرد حلها. والجانب الأمني ​​للمجال أكثر سهولة: الجدران النارية وأقفال الأبواب مألوفة ، وهي تمنحنا إحساسًا بالتحكم. يبدو من المنطقي أن التخلي عن النطاق يعني زيادة التعرض للهجمات وتقليل السيطرة على الأمن.

ولكن الحقيقة هي أنه حتى مع وجود إجراءات مثل جدران الحماية واكتشاف الشبكة واكتشاف نقطة النهاية والاستجابة لها ، لا تزال المؤسسات تتعرض للانتهاك. بعد وصول كل هجوم ناجح جديد إلى دورة الأخبار ، يعيد مجتمع تكنولوجيا المعلومات التركيز على كيفية فرض إصدار أفضل وأقوى من نفس النهج للأمان. من الواضح أن الطريقة القديمة في فعل الأشياء لا تعمل. لقد حان الوقت لنهج جديد يركز على السحابة بشكل أساسي.

الوظائف الأساسية لخدمة الدليل السحابي

تُستخدم عبارة خدمة الدليل السحابي لوصف مجموعة متنوعة من الحلول التي تتناسب بشكل فضفاض مع فئة IAM ، ولكن من الصعب تحديد ما تعنيه هذه العبارة حقًا من بائع إلى بائع.

نادرًا ما تقدم حلول دليل السحابة المختلفة وظائف قابلة للمقارنة ، ولا يكرر أي منها تقريبًا النطاق الكامل لإدارة النظام الأصلي لـ AD ، والمصادقة ، وقدرات التحكم في الوصول كمزود هوية أساسي للمؤسسة. ولكن هذا هو بالضبط ما تحتاجه خدمة الدليل السحابي من أجل دعم وتأمين بنية حديثة غير مؤمنة.

خدمات الدليل السحابي

في الواقع ، يجب أن تتجاوز خدمة الدليل السحابي الجديرة بالاهتمام النطاق الأصلي لـ AD من خلال إدارة الوصول إلى تطبيقات الطرف الثالث وأنظمة التشغيل التي لا تعمل بنظام Windows ، وكل ذلك من نظام أساسي واحد.

هذا التمييز مهم في مقارنة خدمة الدليل السحابي الحقيقية بمنصة SSO لتطبيق الويب ، والتي تمنح المستخدمين هوية واحدة للوصول إلى تطبيقات SaaS الخاصة بهم ولكن قد لا يتمكنون من إدارة الوصول إلى الجهاز أو الخطوط الأساسية للأمان أو مصادقة المستخدمين على القديم أو المحلي الموارد باستخدام بروتوكولات المصادقة المفضلة لديهم. وبهذا المعنى ، فإن SSO المستند إلى SAML هو مكون واحد فقط لخدمة الدليل السحابي ؛ الشروط غير قابلة للتبديل.

بدلاً من إنشاء ترجمة فردية لنموذج مجال AD الذي تم إنشاؤه في السحابة ، تقسم خدمة الدليل السحابي المناسبة وظائف AD إلى الأجزاء المكونة لها وتعيد تخيل كل جزء من هذه الأجزاء. إذا تمكنا من فصل المشكلات الفردية عن الحل الذي نأخذه كأمر مسلم به ، فيمكننا الوصول إلى طرق جديدة لحلها.

تعد الميزات الأساسية التالية ضرورية لخدمة الدليل السحابي المصممة للمؤسسة غير المؤمنة:

  • هوية مستخدم واحدة وآمنة للوصول إلى الأجهزة والتطبيقات وشبكات WiFi / VPN والخوادم والبنية التحتية للتطوير ، سواء في مكان العمل أو في السحابة وبغض النظر عن البائع
  • القدرة على دمج هويات المستخدمين ودمجها من الخدمات الأخرى بما في ذلك G Suite و Office 365 و AWS و AD / Azure وأنظمة الموارد البشرية / الرواتب
  • القدرة على إدارة حسابات المستخدمين وإلغاء حق الوصول المؤتمتة
  • إدارة النظام عن بُعد مع التحكم في نهج يشبه GPO في أنظمة Mac و Windows و Linux وإعداد تقارير عميقة عن حالة النظام والسمات
  • المصادقة متعددة العوامل (MFA) عند تسجيل الدخول إلى نظام Mac و Windows و Linux والوصول إلى جميع موارد تكنولوجيا المعلومات الأخرى تقريبًا ، بالإضافة إلى إمكانية إدارة مفاتيح SSH
  • إدارة مرنة وآلية من خلال البرمجة النصية أو API أو PowerShell
  • البيانات التفصيلية وتسجيل الأحداث لدعم احتياجات التدقيق والامتثال

لا تعود العديد من حالات الفشل الأمني ​​إلى الغياب التام لأي من المكونات المذكورة أعلاه ، ولكن إلى عدم القدرة على تطبيقها وفرضها وتحديثها بشكل موحد عبر المؤسسة. مع أخذ ذلك في الاعتبار ، تصبح قيمة خدمة الدليل السحابي المركزية واضحة.

مفاتيح الانتقال إلى النطاق المحلي: ثقة الجهاز و MFA

على الرغم من أن العديد من حلول IAM السحابية تعتمد بالكامل على المتصفح ، إلا أنها تفتقد إلى مفتاح الأمان الحديث غير المؤلم: الجهاز. لا يزال المستخدمون بحاجة إلى بوابة فعلية لعملهم ، سواء كانت هذه البوابة عبارة عن كمبيوتر محمول أو جهاز لوحي أو هاتف ذكي. يجب أن يتعامل الجهاز مع قدر كبير من التحقق المستمر المطلوب لتأمين بيئة غير مؤمنة ، وذلك باستخدام إطار عمل يمكننا اعتباره ثقة في الجهاز .

الفكرة هي أن يقوم المستخدم بتسجيل الدخول إلى الجهاز مرة واحدة ، باستخدام مزيج من كلمة المرور أو بيانات اعتماد بدون كلمة مرور بالإضافة إلى MFA ، ثم يحصل على وصول آمن إلى جميع موارد تكنولوجيا المعلومات الخاصة به. يتم تأمين كل معاملة وتشفيرها على المستوى الذري ، بحيث يمكن إجراء العمل بأمان عبر اتصال إنترنت قياسي.

تشبه تجربة المستخدم تجربة الدخول الموحّد (SSO) لتسجيل الدخول إلى جهاز سطح المكتب في أواخر التسعينيات / أوائل منتصف العقد الأول من القرن العشرين الميلادي ، ولكن ما يحدث وراء الكواليس أكثر تعقيدًا ، واتساع نطاق موارد تكنولوجيا المعلومات المتاحة للوصول هو أكبر بكثير.

mfa

لكي تقوم خدمة الدليل السحابي بإنشاء علاقة موثوقة مع الجهاز ، يجب استيفاء العديد من المعايير وإعادة تأكيدها باستمرار. يتم تبسيط هذه المعايير للتحقق مما يلي:

  • المستخدم الصحيح هو الوصول إلى الجهاز وهذا المستخدم هو من يقول
  • يطلب الجهاز الصحيح الوصول
  • يتم طلب الوصول من الموقع الصحيح
  • يتم فرض الأذونات الصحيحة للمستخدم / الجهاز داخل مورد معين

هذا هو المكان الذي يتوسع فيه مفهوم MFA إلى ما وراء التدابير التي تواجه المستخدم مثل الرموز المميزة لـ TOTP ومفاتيح أمان WebAuthn. يمكن تأكيد المتطلبات المذكورة أعلاه بين الجهاز وخدمة الدليل السحابي ، وإنشاء عوامل المصادقة الثالثة والرابعة والخامسة والمزيد من المصادقة التي سيكون من المستحيل تقريبًا على المهاجم نسخها معًا.

تم تغيير فكرة اختراق الشبكة بشكل جذري من خلال هذه المصادقة متعددة العوامل المتكررة: لم تعد هناك منطقة غير آمنة يمكن اجتيازها خلال جلسة مفتوحة بعد مصادقة أولية واحدة فقط. هذا لأنه في النموذج غير المؤلم ، يحدث الأمان والتحكم في الوصول بشكل فعال في كل مستوى بدلاً من مستوى الشبكة فقط. فقط الشخص المناسب ، مع الجهاز المناسب ، الذي يمكنه الوصول من الموقع الصحيح مع الأذونات المناسبة ، يمكنه الوصول إلى البيانات والتطبيقات.

تنشئ خدمة الدليل السحابي ثقة الجهاز من خلال مجموعة من حوكمة النظام الشبيهة بـ GPO ، والبرامج المبنية على مبدأ الامتياز الأقل ، وتشفير جميع البيانات أثناء النقل وفي حالة الراحة. هناك طريقة أخرى للتفكير في هذا الأسلوب وهي ضمن سياق أمان الثقة الصفرية .

أمان الثقة الصفرية في الممارسة

أمان الثقة الصفرية يعني أن خدمة الدليل المكلفة بالمصادقة لا تأخذ أبدًا شرعية مستخدم أو جهاز أو تطبيق أو مصدر تكنولوجيا معلومات آخر كأمر مسلم به. يتم تحقيق ذلك من خلال تأمين المجالات الأربعة التالية: الموظفون والأنظمة والتطبيقات والشبكة.

الموظفين

يوجد نظام للتحقق من هويتهم الحقيقية من خلال تأكيد كلمة المرور الخاصة بهم (شيء يعرفونه) ورمز MFA الخاص بهم (شيء لديهم) مقابل قاعدة بيانات الدليل ، والتي تعمل كمصدر موثوق للحقيقة.

الأنظمة

يجب أن يكون النظام ، الذي يُحتمل أن يكون جهازًا صادرًا عن الشركة ، والذي يستخدمه شخص تم التحقق من صحته للوصول إلى موارد تكنولوجيا المعلومات ، نظيفًا ، ويجب أن يكون لدى الشخص حق الوصول إلى هذا الجهاز. من الناحية العملية ، يعني هذا نوعًا من الآلية لضمان معرفة الجهاز ، وفرض السياسات والإعدادات معايير الأمان ، ودرجة عالية من اليقين من أن المستخدم هو من يقولون. يتم فحص برنامج الأمان وتحديثه. يساعد نظام القياس عن بُعد في ضمان عدم تعرض الجهاز نفسه للخطر.

التطبيقات

من الأهمية بمكان أن الأشخاص المناسبين فقط ، على الأنظمة الموثوقة ، هم من يصلون إلى التطبيقات. الامتداد المنطقي لما سبق هو التحقق من أن المستخدم والجهاز لهما حقوق التطبيق والشبكة التي يعمل بها التطبيق ، وللتحقق من أمان هذه الشبكة. هذا هو المكان الذي لا يزال بإمكان VPN في بعض الأحيان أن تلعب فيه دورًا حاسمًا في المؤسسة غير المؤمنة ، كنفق آمن لتطبيق أو مورد.

شبكة الاتصال

مهما كانت الشبكة التي يعمل عليها المستخدم ، يجب أن تكون آمنة قدر الإمكان ، ولكن حتى إذا لم تكن آمنة تمامًا ، يمكن للمستخدم إنشاء منطقة آمنة داخل تلك الشبكة باستخدام VPN. بالإضافة إلى ذلك ، يمكن تأمين الشبكات من خلال وسائل إضافية مثل MFA وحتى تجزئة VLAN.

الخطوات الأولى نحو تنفيذ بنية غير مؤلمة

إن فكرة البنية غير المؤمنة هذه التي تم تمكينها بواسطة خدمة الدليل السحابي وأمن الثقة الصفرية ليست فلسفية بحتة أو طموح بعيد المنال للمستقبل: إنها هنا الآن ، ويمكن لفرق تكنولوجيا المعلومات البدء في تنفيذها على الفور ، إما بالكامل أو في نهج تدريجي يتناسب مع بنيتهم ​​التحتية الحالية.

بالنسبة للمؤسسات التي تستثمر بعمق في مجال AD فعال ، يمكن لخدمة الدليل السحابي أن تغلف مثيل AD ، مما يوفر العديد من مزايا النموذج المحلي ويعمل كنقطة انطلاق لنموذج السحابة بالكامل.

ستتمتع خدمة الدليل السحابي القوية بالقدرة على الوقوف بمفردها كمزود هوية أساسي ، لذلك حتى المؤسسات غير المستعدة للانطلاق بنسبة 100٪ في النطاق المحلي لديها الآن خيار الانتقال بسلاسة بعيدًا عن AD عندما يكون هذا الترحيل منطقيًا.

إذا كنت تريد معرفة المزيد ، فاستكشف معلومات حول خدمات الدليل السحابي على G2.