ما هو نظام التحكم في الوصول إلى الشبكة وكيف يستعمل
نظام التحكم في الوصول إلى الشبكة (NAC) مسؤول عن تخزين سياسات الوصول الخاصة بالمؤسسة وتطبيقها على كل طلب يتم تقديمه. ويتم ذلك عادةً من خلال عملية من مرحلتين، المصادقة والترخيص. في حالة فشل أي من الخطوتين، يتم حظر الطلب للحفاظ على أمان الشبكة. وهذا ما يُعرف باسم أمان الثقة الصفرية.
أثناء المصادقة، يطالب نظام (NAC) المستخدم بإدخال بيانات الاعتماد للتحقق من هويته. ويمكن القيام بذلك إما من خلال التحقق من اسم المستخدم / كلمة المرور أو الفحص البيومتري. وبعد اكتمال المصادقة، ينتقل نظام (NAC) إلى مرحلة التفويض، حيث يستشير سياسات الوصول المحلية ويتحقق ممّا إذا كان طلب المستخدم قد تمت الموافقة عليه أم لا.
لماذا من المهم أن يكون لدينا حل NAC
مع اضطرار المؤسسات الآن إلى حساب النمو الهائل للأجهزة المحمولة التي تصل إلى شبكاتها والمخاطر الأمنية التي تجلبها، فمن الأهمية بمكان امتلاك الأدوات التي توفر الرؤية والتحكم في الوصول وقدرات الامتثال المطلوبة لتعزيز البنية التحتية لأمان الشبكة.
يمكن لنظام (NAC) التحكم في وصول الشبكة إلى الأجهزة ورفض حركات المرور غير المتوافقة أو وضعها في منطقة معزولة أو تقييد وصولها إلى موارد الحوسبة، بحيث تمنع العقد غير الآمنة من الإضرار بالشبكة.
ما هي القدرات العامة لحل NAC
تساعد حلول NAC المؤسسات على التحكم في الوصول إلى شبكاتها من خلال الإمكانات التالية:
- التوصيف والرؤية: يتعرف على المستخدمين وأجهزتهم ويقومون بتوصيفهم قبل أن تتسبب التعليمات البرمجية الضارة في حدوث ضرر.
- الوصول إلى شبكة الضيف: إدارة الضيوف من خلال بوابة خدمة ذاتية قابلة للتخصيص تحتوي تسجيل الضيف ومصادقة الضيف ورعاية الضيف وبوابة إدارة الضيف.
- فحص الموقف الأمني: يقيم الامتثال لسياسة الأمان حسب نوع المستخدم ونوع الجهاز ونظام التشغيل.
- الاستجابة للحوادث: يتم الآن بناء منتجات (NAC) الأحدث على رأس تقنيات الذكاء الاصطناعي والتعلم الآلي. وما يعنيه هذا بالنسبة لفرق تكنولوجيا المعلومات هو أنه يمكن أتمتة أجزاء معينة من عملية الاستجابة للحوادث. وبدلاً من إضاعة الجهد في محاولة عزل المشكلة ومنعها من الانتشار، يمكن الآن التركيز على إعادة الأنظمة إلى طاقتها الكاملة.
- التكامل ثنائي الاتجاه: التكامل مع حلول الأمان والشبكات الأخرى من خلال واجهة برمجة التطبيقات المفتوحة.
- إدارة السياسات: تفرض السياسات لجميع سيناريوهات التشغيل دون الحاجة إلى منتجات منفصلة أو وحدات نمطية إضافية.
حالات الاستخدام للتحكم في الوصول إلى الشبكة
- (NAC) للضيوف / المقاولين: سواء كانت المحاسبة للمقاولين أو الزوار أو الشركاء، فإن المؤسسات تستخدم حلول (NAC) للتأكد من أن غير الموظفين لديهم امتيازات الوصول إلى الشبكة المنفصلة عن تلك الخاصة بالموظفين.
- (NAC) لـجميع الأجهزة المملوكة (BYOD): تتبنى الغالبية العظمى من الشركات اليوم سياسة (BYOD) للسماح للموظفين باستخدام أجهزتهم الشخصية في العمل بدلاً من إهدار الأموال لشراء أجهزتهم المخصصة لكل شخص. ولكن هذا يجعل مهمة أمان تكنولوجيا المعلومات أكثر صعوبة نظرًا لعدم تمتع المعني بالتحكم الكامل في كيفية عمل الأجهزة على شبكته.
- (NAC) لإنترنت الأشياء: أجهزة إنترنت الأشياء، سواء كانت خاصة في التصنيع أو الرعاية الصحية أو غيرها، تتطور بشكل سريع، حيث تعمل كمجموعة نقاط دخول إضافية للمهاجمين لدخول الشبكة. ويمكن أن تقلل (NAC) من هذه المخاطر في أجهزة إنترنت الأشياء من خلال تطبيق سياسات التنميط والوصول المحددة لفئات الأجهزة المختلفة.
- (NAC)للاستجابة للحوادث: يتم الآن بناء منتجات (NAC) الأحدث على رأس تقنيات الذكاء الاصطناعي والتعلم الآلي. ما يعنيه هذا بالنسبة لفرق تكنولوجيا المعلومات هو أنه يمكن أتمتة أجزاء معينة من عملية الاستجابة للحوادث. بدلاً من إضاعة الجهد في محاولة عزل المشكلة ومنعها من الانتشار، حيث يمكن الآن التركيز على إعادة الأنظمة إلى طاقتها الكاملة. على سبيل المثال، لنفترض أن أحد المتطفلين تمكن من اختطاف مستشعر إنترنت الأشياء الموجود داخل شبكة الشركة، ستكون أداة (NAC) قادرة على تحديد أن هذا الجزء من الأجهزة قد تم اختراقه وتعطيل وصوله تلقائيًا للحد من نطاق الهجوم.
- (NAC) للأجهزة الطبية: نظرًا لوجود المزيد من الأجهزة الطبية عبر الإنترنت، فمن الأهمية بمكان تحديد الأجهزة التي تدخل شبكة متقاربة. يمكن أن تساهم حلول (NAC) في حماية السجلات والأجهزة من التهديدات وتعزيز أمن الرعاية الصحية وتحسين حماية برامج الفدية.
كيفية إنشاء قائمة التحكم في الوصول إلى الشبكة
قد يكون إعداد قائمة (NAC) لأول مرة أمرًا مملًا بعض الشيء. حيث سيحتاج الشخص المعني إلى إلقاء نظرة على كل قطعة من الأجهزة داخل شبكته وكل مستخدم داخل مؤسسته لفهم كيفية تكوين الأمان. ولحسن الحظ، هناك بعض أفضل الممارسات التي يمكنه اتباعها لجعل العملية أكثر كفاءة.
أولاً، اعتماد هيكل قائم على الدور لقائمة (NAC) الخاصة به. وهذا يعني أنه بدلاً من إعداد سياسات لكل مستخدم، فإنه يقوم بتجميع الموظفين في أدوار بناءً على وظيفتهم وبناء سياسات الوصول بهذه الطريقة. وتتمثل الخطوة الرئيسية الأخرى في استخدام مبدأ الامتياز الأقل (POLP) الذي يوجه فرق تقنية المعلومات إلى تزويد المستخدمين بمستويات الوصول التي يحتاجونها تمامًا للوفاء بواجباتهم.
خطوات تنفيذ حلول NAC
1. جمع البيانات
قبل تنفيذ حل (NAC) بنجاح، يجب إجراء مسح شامل لكل نقطة نهاية داخل الشبكة. ويتضمن ذلك كل جهاز وخادم وقطعة من المعدات التي يجب أن تتفاعل مع الموارد الرقمية.
2. إدارة الهويات
بعد ذلك، يجب أن يقرر الشخص المعني كيف سيدير هويات المستخدمين داخل مؤسسته. وهذا يعود إلى موضوع المصادقة والترخيص. ويجب إعداد أنظمة الدليل الموجودة لديه للتحقق من هويات المستخدمين، وبعد ذلك يمكنه البدء في تحديد كيفية تكوين أدوار الأذونات.
3. تحديد الأذونات
يجب على الشخص المعني تذكر قواعد (POLP) عند إنشاء سياسات الأذونات، حيث منح حق الوصول فقط على المستوى المطلوب تمامًا للفرد لأداء واجباته. وخلاف ذلك، فإنه سيخاطر بفتح أنظمته للهجوم من خلال الثغرات الأمنية التي لم يكن يعلم بوجودها.
4. تطبيق الأذونات
ضمن أداة (NAC) الخاصة به، يجب أن يكون قادرًا على دمج نظام الدليل الحالي أو استيراد سياسات الأذونات الخاصة به مباشرةً. ويجب تسجيل كل موظف وشريك وبائع في نظام (NAC) كمستخدم حتى يمكن تتبع مستويات وصولهم ونشاطهم.
5. التحديث حسب الحاجة
يجب على الشخص المعني أن يضع في اعتباره دائمًا أن إدارة عناصر التحكم في الوصول إلى الشبكة ليست مهمة لمرة واحدة، حيث يجب أن يستمر فريق تكنولوجيا المعلومات لديه في مراقبة عمليات الأمان وإجراء تعديلات على سياسات الأذونات بناءً على كيفية تطور المؤسسة بمرور الوقت.