استخدام هوية كمنصة خدمة
يحتاج كل تطبيق سحابي تقريبا إلى العمل مع هويات المستخدمين. الهوية هي أساس ممارسات الأمان الحديثة مثل انعدام الثقة، وهوية المستخدم للتطبيقات هي جزء مهم من بنية الحل الخاص بك.
بالنسبة لمعظم الحلول، نوصي بشدة باستخدام النظام الأساسي للهوية كخدمة (IDaaS)، وهو حل هوية يستضيفه ويديره موفر متخصص، بدلا من بناء أو تشغيل الخاص بك. في هذه المقالة، نصف تحديات بناء أو تشغيل نظام الهوية الخاص بك.
التوصيات
هام
باستخدام IDaaS، مثل معرف Microsoft Entra أو Azure AD B2C أو نظام آخر مشابه، يمكنك التخفيف من العديد من المشكلات الموضحة في هذه المقالة. نوصي بهذا النهج حيثما أمكن ذلك.
قد تقودك متطلبات الحل إلى استخدام إطار عمل أو حل هوية جاهز تستضيفه وتشغله بنفسك. أثناء استخدام نظام أساسي للهوية تم إنشاؤه مسبقا يخفف من بعض المشكلات الموضحة في هذه المقالة، فإن التعامل مع العديد من هذه المشكلات لا يزال مسؤوليتك عن مثل هذا الحل.
يجب تجنب استخدام نظام هوية تقوم ببناءه من البداية.
تجنب تخزين بيانات الاعتماد
عند تشغيل نظام الهوية الخاص بك، يجب عليك تخزين قاعدة بيانات بيانات الاعتماد.
يجب عدم تخزين بيانات الاعتماد في نص واضح، أو حتى كبيانات مشفرة. بدلا من ذلك، قد تفكر في تجزئة بيانات الاعتماد وتملحها بشكل مشفر قبل تخزينها، ما يجعلها أكثر صعوبة في الهجوم. ومع ذلك، حتى بيانات الاعتماد المجزوفة والمملحة عرضة لعدة أنواع من الهجمات.
بغض النظر عن كيفية حماية بيانات الاعتماد الفردية، فإن الحفاظ على قاعدة بيانات بيانات الاعتماد يجعلك هدفا للهجمات. وقد أظهرت السنوات الأخيرة أن كل من المؤسسات الكبيرة والصغيرة لديها قواعد بيانات الاعتماد الخاصة بها مستهدفة للهجوم.
ضع في اعتبارك أن تخزين بيانات الاعتماد مسؤولية وليس أصلا. باستخدام IDaaS، يمكنك الاستعانة بمصادر خارجية لمشكلة تخزين بيانات الاعتماد للخبراء الذين يمكنهم استثمار الوقت والموارد في إدارة بيانات الاعتماد بأمان.
تنفيذ بروتوكولات الهوية والاتحاد
بروتوكولات الهوية الحديثة معقدة. صمم خبراء الصناعة OAuth 2 وOpenID Connect وبروتوكولات أخرى لضمان التخفيف من الهجمات والثغرات الأمنية في العالم الحقيقي. تتطور البروتوكولات أيضا للتكيف مع التغييرات في التقنيات واستراتيجيات الهجوم وتوقعات المستخدم. يعد أخصائيو الهوية، الذين يتمتعون بخبرة في البروتوكولات وكيفية استخدامها، في أفضل وضع لتنفيذ الأنظمة التي تتبع هذه البروتوكولات والتحقق من صحتها. لمزيد من المعلومات حول البروتوكولات والنظام الأساسي، راجع OAuth 2.0 وOpenID Connect (OIDC) في النظام الأساسي للهويات في Microsoft.
من الشائع أيضا توحيد أنظمة الهوية. بروتوكولات اتحاد الهوية معقدة لإنشاء وإدارة وصيانة، وتتطلب معرفة وخبرة متخصصة. يوفر موفرو IDaaS عادة قدرات الاتحاد في منتجاتهم لاستخدامها. لمزيد من المعلومات حول الاتحاد، راجع نمط الهوية الموحدة.
اعتماد ميزات الهوية الحديثة
يتوقع المستخدمون أن يحتوي نظام الهوية على مجموعة من الميزات المتقدمة، بما في ذلك:
المصادقة بدون كلمة مرور، التي تستخدم أساليب آمنة لتسجيل الدخول التي لا تتطلب من المستخدمين إدخال بيانات الاعتماد. تعد Passkeys مثالا على تقنية المصادقة بدون كلمة مرور.
تسجيل الدخول الأحادي (SSO)، والذي يسمح للمستخدمين بتسجيل الدخول باستخدام هوية من صاحب العمل أو المدرسة أو مؤسسة أخرى.
المصادقة متعددة العوامل (MFA)، والتي تطالب المستخدمين بالمصادقة على أنفسهم بطرق متعددة. على سبيل المثال، قد يقوم المستخدم بتسجيل الدخول باستخدام كلمة مرور وأيضا باستخدام تطبيق مصدق على جهاز محمول أو رمز يتم إرساله عبر البريد الإلكتروني.
التدقيق، الذي يتعقب كل حدث يحدث في النظام الأساسي للهوية، بما في ذلك محاولات تسجيل الدخول الناجحة والفشل والإجهاض. يتطلب فحص الطب الشرعي لمحاولة تسجيل الدخول لاحقا هذه السجلات التفصيلية.
الوصول المشروط، الذي ينشئ ملف تعريف مخاطر حول محاولة تسجيل الدخول التي تستند إلى عوامل مختلفة. قد تتضمن العوامل هوية المستخدم وموقع محاولة تسجيل الدخول ونشاط تسجيل الدخول السابق وحساسية البيانات أو التطبيق الذي يحاول المستخدم الوصول إليه.
التحكم في الوصول في الوقت المناسب، والذي يسمح مؤقتا للمستخدمين بتسجيل الدخول استنادا إلى عملية الموافقة، ثم يزيل التخويل تلقائيا.
إذا كنت تقوم ببناء مكون هوية بنفسك كجزء من حل عملك، فمن غير المحتمل أن تتمكن من تبرير العمل الذي ينطوي عليه تنفيذ هذه الميزات - وفي الحفاظ عليها. تتطلب بعض هذه الميزات أيضا عملا إضافيا، مثل التكامل مع موفري المراسلة لإرسال رموز المصادقة متعددة العوامل وتخزين سجلات التدقيق والاحتفاظ بها لفترة زمنية كافية.
يمكن أن توفر أنظمة IDaaS الأساسية أيضا مجموعة محسنة من ميزات الأمان التي تستند إلى حجم طلبات تسجيل الدخول التي تتلقاها. على سبيل المثال، تعمل الميزات التالية على أفضل نحو عندما يكون هناك عدد كبير من العملاء الذين يستخدمون نظام أساسي واحد للهوية:
- الكشف عن أحداث تسجيل الدخول الخطرة، مثل محاولات تسجيل الدخول من شبكات الروبوت
- الكشف عن السفر المستحيل بين أنشطة المستخدم
- الكشف عن بيانات الاعتماد الشائعة، مثل كلمات المرور التي يستخدمها المستخدمون الآخرون بشكل متكرر، والتي تخضع بالتالي لخطر متزايد من الاختراق
- استخدام تقنيات التعلم الآلي لتصنيف محاولات تسجيل الدخول على أنها صالحة أو غير صالحة
- مراقبة ما يسمى بالويب المظلم لبيانات الاعتماد المسربة ومنع استغلالها
- المراقبة المستمرة لمشهد التهديد والخطوط المتجهة الحالية التي يستخدمها المهاجمون
إذا قمت بإنشاء أو تشغيل نظام الهوية الخاص بك، فلا يمكنك الاستفادة من هذه الميزات.
استخدام نظام هوية موثوق به وعالي الأداء
نظرا لأن أنظمة الهوية هي جزء رئيسي من التطبيقات السحابية الحديثة، يجب أن تكون موثوقة. إذا كان نظام الهوية الخاص بك غير متوفر، فقد يتأثر باقي الحل الخاص بك وإما أن يعمل بطريقة متدهورة أو يفشل في العمل على الإطلاق. باستخدام IDaaS مع اتفاقية مستوى الخدمة، يمكنك زيادة ثقتك في أن نظام الهوية الخاص بك سيظل قيد التشغيل عندما تحتاج إليه. على سبيل المثال، يقدم معرف Microsoft Entra اتفاقية مستوى الخدمة لوقت التشغيل لمستويات الخدمة الأساسية والمتميزة، والتي تغطي كل من عمليات تسجيل الدخول وإصدار الرمز المميز. لمزيد من المعلومات، راجع اتفاقيات مستوى الخدمة (SLA) للخدمات عبر الإنترنت.
وبالمثل، يجب أن يعمل نظام الهوية بشكل جيد وأن يكون قادرا على التوسع إلى مستوى النمو الذي قد يواجهه نظامك. اعتمادا على بنية التطبيق الخاص بك، من الممكن أن يتطلب كل طلب التفاعل مع نظام الهوية الخاص بك، وستبدو أي مشكلات في الأداء للمستخدمين. يتم تحفيز موفري IDaaS لتوسيع نطاق الأنظمة الأساسية الخاصة بهم لاستيعاب أحمال المستخدم الكبيرة. وهي مصممة لاستيعاب كميات كبيرة من حركة المرور، بما في ذلك حركة المرور الناتجة عن أشكال مختلفة من الهجمات.
اختبار الأمان وتطبيق عناصر تحكم مشددة
إذا قمت بتشغيل نظام هوية، تقع على عاتقك مسؤولية الحفاظ على أمانه. تتضمن أمثلة عناصر التحكم التي تحتاج إلى النظر في تنفيذها ما يلي:
- اختبار الاختراق الدوري، والذي يتطلب خبرة متخصصة.
- فحص الموظفين وأي شخص آخر له حق الوصول إلى النظام.
- تحكم محكم في جميع التغييرات على الحل الخاص بك مع جميع التغييرات التي راجعها الخبراء.
غالبا ما تكون عناصر التحكم هذه مكلفة ويصعب تنفيذها.
استخدام عناصر التحكم في الأمان السحابية الأصلية
عند استخدام معرف Microsoft Entra كموفر هوية الحل الخاص بك، يمكنك الاستفادة من ميزات الأمان السحابية الأصلية مثل الهويات المدارة لموارد Azure.
إذا اخترت استخدام نظام أساسي منفصل للهوية، فستحتاج إلى التفكير في كيفية استفادة تطبيقك من الهويات المدارة وميزات Microsoft Entra الأخرى مع التكامل في الوقت نفسه مع النظام الأساسي للهوية الخاص بك.
التركيز على القيمة الأساسية الخاصة بك
من المكلف والمعقد الحفاظ على نظام أساسي آمن وموثوق به وسريع الاستجابة للهوية. في معظم الحالات، لا يعد نظام الهوية مكونا يضيف قيمة إلى الحل الخاص بك، أو يميزك عن منافسيك. من الجيد الاستعانة بمصادر خارجية لمتطلبات الهوية الخاصة بك إلى نظام تم إنشاؤه من قبل الخبراء. وبهذه الطريقة، يمكنك التركيز على تصميم وبناء مكونات الحل الخاص بك التي تضيف قيمة تجارية لعملائك.
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- جون داونز | مهندس البرامج الرئيسي
مساهمون آخرون:
- جيل درويتس | مهندس العملاء الرئيسي، FastTrack ل Azure
- لابرينا لافنج | مدير هندسة العملاء الأساسي، FastTrack لـAzure
- غاري مور | مبرمج/ كاتب
- Arsen Vladimirskiy | مهندس العملاء الرئيسي، FastTrack for Azure
لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.
الخطوات التالية
- ما هو معرف Microsoft Entra؟
- ما هو Azure Active Directory B2C؟
- استكشاف الهوية ومعرف Microsoft Entra
- تصميم استراتيجية أمان الهوية
- تنفيذ هوية Microsoft
- إدارة الهوية والوصول في معرف Microsoft Entra