آشنایی با انواع و اجزای کنترل دسترسی + روش پیاده سازی در شبکه

تعریف کنترل دسترسی

کنترل دسترسی یک فرآیند امنیت داده است که به سازمان‌ها امکان می‌دهد تعیین کنند چه افرادی مجاز به دسترسی به داده‌ها و منابع سازمانی هستند. کنترل دسترسی ایمن از سیاست‌هایی استفاده می‌کند که هویت کاربران را تأیید کرده و اطمینان حاصل می‌نماید که سطوح مناسب دسترسی به آن‌ها اعطا شده است.

اجرای کنترل دسترسی یکی از اجزای حیاتی امنیت برنامه‌های وب محسوب می‌شود، چرا که تضمین می‌کند تنها کاربران صحیح، با سطح دسترسی مناسب، به منابع صحیح دسترسی داشته باشند. این فرآیند نقش مهمی در کمک به سازمان‌ها برای جلوگیری از نقض داده‌ها و مقابله با بردارهای حمله‌ای مانند حملات سرریز بافر (Buffer Overflow)، حملات KRACK، حملات در مسیر (On-path) و حملات فیشینگ دارد.

اجزای کنترل دسترسی چیست؟

کنترل دسترسی از طریق چند مؤلفه مختلف مدیریت می‌شود:

۱. احراز هویت (Authentication)

احراز هویت اولین مرحله در فرآیند تأیید هویت یک کاربر است. برای مثال، زمانی که کاربر با ترکیب نام کاربری و رمز عبور وارد سرویس ایمیل یا حساب بانکی آنلاین خود می‌شود، هویت او احراز شده است.
با این حال، احراز هویت به‌تنهایی برای محافظت از داده‌های سازمان کافی نیست.

۲. مجوزدهی (Authorization)

مجوزدهی یک لایه امنیتی اضافی به فرآیند احراز هویت اضافه می‌کند. این مرحله، حقوق دسترسی و مجوزهای کاربر به منابع را مشخص می‌کند تا تعیین شود آیا کاربر باید به داده‌ای دسترسی داشته باشد یا اجازه انجام یک تراکنش خاص را دارد یا نه.

برای مثال، سرویس ایمیل یا حساب بانکی آنلاین ممکن است از کاربران بخواهد احراز هویت دومرحله‌ای (2FA) را انجام دهند؛ که معمولاً ترکیبی است از:

• چیزی که کاربر می‌داند (مانند رمز عبور)،

• چیزی که در اختیار دارد (مانند توکن)،

• یا چیزی که هست (مانند تأیید بیومتریک).

این اطلاعات می‌تواند از طریق اپلیکیشن موبایل 2FA یا اسکن اثر انگشت در گوشی هوشمند تأیید شود.

۳. دسترسی (Access)

پس از اینکه کاربر مراحل احراز هویت و مجوزدهی را با موفقیت طی کرد، هویت او تأیید می‌شود و به منبعی که قصد دسترسی به آن را دارد، اجازه ورود داده می‌شود.

۴. مدیریت (Manage)

سازمان‌ها می‌توانند سیستم کنترل دسترسی خود را از طریق افزودن یا حذف مجوزها و اعتبارنامه‌های کاربران و سیستم‌ها مدیریت کنند.
در محیط‌های مدرن فناوری اطلاعات که ترکیبی از خدمات ابری و سامانه‌های محلی (on-premises) هستند، مدیریت این سیستم‌ها می‌تواند بسیار پیچیده شود.

۵. حسابرسی (Audit)

سازمان‌ها می‌توانند از طریق فرآیند حسابرسی در کنترل دسترسی، اصل حداقل سطح دسترسی (Least Privilege) را پیاده‌سازی کنند.
این کار به آن‌ها اجازه می‌دهد تا داده‌هایی درباره فعالیت‌های کاربران جمع‌آوری کرده و آن را تحلیل کنند تا تخلفات احتمالی در دسترسی‌ها را شناسایی نمایند.

کنترل دسترسی چگونه کار می‌کند؟

کنترل دسترسی برای تأیید هویت کاربرانی که قصد ورود به منابع دیجیتال دارند مورد استفاده قرار می‌گیرد، اما همچنین در ورود به ساختمان‌ها و تجهیزات فیزیکی نیز کاربرد دارد.

کنترل دسترسی فیزیکی (Physical Access Control)

نمونه‌های رایج از کنترل‌کننده‌های دسترسی فیزیکی عبارت‌اند از:

۱. مسئول ورودی باشگاه‌ها (Barroom Bouncers)

این افراد می‌توانند لیستی از افراد مجاز تهیه کرده و با بررسی کارت شناسایی، اطمینان حاصل کنند که افراد ورودی دارای سن قانونی هستند.

۲. گیت‌های مترو (Subway Turnstiles)

در ایستگاه‌های مترو، کنترل دسترسی برای اطمینان از این است که فقط افراد مجاز وارد شوند. کاربران کارت‌هایی را اسکن می‌کنند که بلافاصله هویت آن‌ها را تشخیص داده و بررسی می‌کند آیا اعتبار کافی برای استفاده از خدمات دارند یا نه.

۳. اسکنرهای کارت یا نشان در دفاتر سازمانی

سازمان‌ها از اسکنرهایی استفاده می‌کنند که دسترسی اجباری ایجاد می‌کنند. کارکنان باید کارت شناسایی یا نشان خود را اسکن کنند تا هویت‌شان پیش از ورود به ساختمان تأیید شود.

کنترل دسترسی منطقی / اطلاعاتی (Logical or Information Access Control)

کنترل دسترسی منطقی شامل ابزارها و پروتکل‌هایی است که برای شناسایی، احراز هویت و مجوزدهی کاربران در سیستم‌های رایانه‌ای به کار می‌روند. سیستم کنترل دسترسی، اقدامات حفاظتی برای داده‌ها، فرآیندها، برنامه‌ها و سامانه‌ها را اجرا می‌کند.

۴. ورود به لپ‌تاپ با رمز عبور

یکی از رایج‌ترین موارد از دست رفتن داده، گم‌شدن یا دزدیده شدن دستگاه‌هاست. کاربران می‌توانند با استفاده از رمز عبور، داده‌های شخصی و سازمانی خود را ایمن نگه دارند.

۵. باز کردن قفل گوشی هوشمند با اسکن اثر انگشت

گوشی‌های هوشمند نیز با کنترل‌های دسترسی محافظت می‌شوند و فقط به کاربر اجازه باز کردن دستگاه را می‌دهند. کاربران می‌توانند با استفاده از بیومتریک، مانند اثر انگشت، مانع دسترسی غیرمجاز شوند.

۶. دسترسی از راه دور به شبکه داخلی شرکت با استفاده از VPN

کاربران می‌توانند با استفاده از VPN، به‌صورت ایمن از راه دور به شبکه داخلی کارفرمای خود متصل شوند. این دسترسی‌ها معمولاً نیازمند احراز هویت چندمرحله‌ای و تأیید هویت دقیق هستند.

تفاوت بین احراز هویت و مجوزدهی چیست؟

احراز هویت (Authentication) و مجوزدهی (Authorization) دو عنصر حیاتی در کنترل دسترسی و امنیت سیستم‌ها هستند.

• احراز هویت فرآیند ورود به یک سیستم است؛ مانند ورود به ایمیل، سرویس بانکداری آنلاین یا حساب کاربری در شبکه‌های اجتماعی. هدف آن این است که تأیید شود کاربر واقعاً همان کسی است که ادعا می‌کند.

• مجوزدهی مرحله‌ای است که پس از احراز هویت انجام می‌شود و سطح دسترسی کاربر به منابع را مشخص می‌کند. یعنی بررسی می‌کند که کاربر مجاز به انجام چه فعالیت‌هایی یا مشاهده چه اطلاعاتی است.

اهمیت کنترل دسترسی در تطابق با مقررات قانونی (Regulatory Compliance)

کنترل دسترسی برای کمک به سازمان‌ها در رعایت مقررات مرتبط با حریم خصوصی داده‌ها بسیار حیاتی است. برخی از مهم‌ترین استانداردها و قوانین عبارت‌اند از:

PCI DSS

استاندارد امنیت اطلاعات صنعت کارت‌های پرداخت، برای حفاظت از اکوسیستم پرداخت الکترونیکی طراحی شده است.
سیستم کنترل دسترسی در این چارچوب نقش کلیدی دارد؛ زیرا تعیین می‌کند که چه کسی اجازه انجام تراکنش را دارد یا ندارد و هویت کاربران تأیید می‌شود.

HIPAA

قانون قابلیت انتقال و پاسخ‌گویی بیمه سلامت (Health Insurance Portability and Accountability Act)، با هدف محافظت از داده‌های سلامت بیماران ایجاد شده است.
کنترل دسترسی تضمین می‌کند فقط کاربران مجاز به داده‌های پزشکی حساس دسترسی داشته باشند و مانع از افشای ناخواسته اطلاعات می‌شود.

SOC 2

کنترل سازمان خدمات نوع دوم (Service Organization Control 2) یک فرآیند حسابرسی برای ارائه‌دهندگانی است که داده‌های مشتری را در فضای ابری ذخیره می‌کنند.
این استاندارد الزام می‌کند که شرکت‌ها سیاست‌ها و رویه‌های سختگیرانه‌ای در خصوص حفاظت از داده مشتری پیاده‌سازی و اجرا کنند. کنترل دسترسی در اجرای این الزامات نقش حیاتی دارد.

ISO 27001

استاندارد بین‌المللی سازمان ISO برای امنیت اطلاعات که سازمان‌ها در همه صنایع باید برای اثبات تعهد خود به امنیت، با آن تطابق داشته باشند.
ISO 27001 به‌عنوان استاندارد طلایی امنیت اطلاعات شناخته می‌شود، و پیاده‌سازی کنترل دسترسی یکی از ارکان اساسی تطابق با این استاندارد است.

انواع مختلف کنترل دسترسی چیست؟

سازمان‌ها می‌توانند از انواع گوناگونی از کنترل‌های دسترسی برای محافظت از داده‌ها و کاربران خود استفاده کنند. این انواع شامل موارد زیر است:

1. کنترل دسترسی مبتنی بر ویژگی (Attribute-Based Access Control – ABAC)

ABAC یک سیاست پویا و زمینه‌محور است که بر اساس ویژگی‌ها و سیاست‌های تعیین‌شده برای کاربران، دسترسی را مشخص می‌کند.
این مدل معمولاً در چارچوب‌های مدیریت هویت و دسترسی (IAM) استفاده می‌شود.

2. کنترل دسترسی اختیاری (Discretionary Access Control – DAC)

در این مدل، مالک داده تعیین می‌کند چه کسی و چگونه می‌تواند به اطلاعات دسترسی داشته باشد.
زمانی که کاربر به یک سامانه دسترسی پیدا می‌کند، ممکن است خودش بتواند آن دسترسی را به سایر کاربران نیز بدهد.

3. کنترل دسترسی اجباری (Mandatory Access Control – MAC)

در این مدل، سیاست‌های سخت‌گیرانه‌ای برای کاربران و منابع تعریف می‌شود.
سیاست‌ها توسط مدیر سازمان تعریف و مدیریت می‌شوند و کاربران اجازه تغییر، لغو یا تعیین مجوزها را ندارند.

4. کنترل دسترسی مبتنی بر نقش (Role-Based Access Control – RBAC)

در این مدل، مجوزها بر اساس نقش کاربران و وظایفی که دارند تنظیم می‌شود.
کاربران تنها می‌توانند کارهایی انجام دهند که برای نقش آن‌ها تعریف شده است و نمی‌توانند سطح دسترسی خود را تغییر دهند.

5. کنترل دسترسی اضطراری (Break-Glass Access Control)

در این روش، یک حساب اضطراری ایجاد می‌شود که محدودیت‌های معمول را نادیده می‌گیرد.
در مواقع بحرانی، کاربر می‌تواند فوراً به سیستمی دسترسی پیدا کند که در شرایط عادی مجاز به استفاده از آن نیست.

6. کنترل دسترسی مبتنی بر قانون (Rule-Based Access Control)

در این مدل، مدیر سیستم قوانینی را تعریف می‌کند که تعیین می‌کنند چه کسی و چه زمانی به منابع سازمانی دسترسی داشته باشد.
این قوانین اغلب بر اساس شرایطی مانند موقعیت مکانی یا زمان دسترسی تعریف می‌شوند.

روش‌هایی برای پیاده‌سازی کنترل دسترسی

برای پیاده‌سازی کنترل دسترسی، سازمان‌ها می‌توانند از ابزارها و فناوری‌های مختلفی استفاده کنند. در ادامه، چند روش متداول معرفی می‌شود:

استفاده از VPN (شبکه خصوصی مجازی)

یکی از رایج‌ترین روش‌ها برای پیاده‌سازی کنترل دسترسی، استفاده از VPN است.
VPN به کاربران اجازه می‌دهد تا از راه دور و به‌صورت ایمن به منابع سازمانی دسترسی پیدا کنند.
این روش به‌ویژه برای کارمندان دورکار یا کسانی که خارج از محیط فیزیکی دفتر فعالیت می‌کنند بسیار ضروری است.

با اینکه استفاده از VPN به لحاظ امنیتی بسیار مؤثر است، اما ممکن است باعث بروز مشکلاتی در عملکرد مانند تاخیر در اتصال (Latency) شود.

مخازن هویت (Identity Repositories)

این سامانه‌ها اطلاعات کاربران را ذخیره می‌کنند و در هنگام احراز هویت یا صدور مجوز، اطلاعات آن‌ها را بررسی می‌نمایند.
مثال: Active Directory یا LDAP

نرم‌افزارهای نظارت و گزارش‌گیری (Monitoring and Reporting Tools)

این ابزارها فعالیت کاربران را تحت نظر قرار می‌دهند و برای تشخیص رفتارهای مشکوک یا تخلفات احتمالی، گزارش‌هایی تولید می‌کنند.
نقش مهمی در اجرای اصل کمترین سطح دسترسی (Least Privilege) دارند.

ابزارهای مدیریت رمز عبور (Password Management Tools)

این ابزارها به کاربران کمک می‌کنند تا رمزهای عبور ایمن تولید کرده، آن‌ها را ذخیره و به‌روزرسانی کنند.
همچنین نقش مهمی در احراز هویت امن دارند.

ابزارهای تخصیص دسترسی (Provisioning Tools)

ابزارهایی که به‌طور خودکار نقش‌ها و سطوح دسترسی را به کاربران اختصاص داده یا حذف می‌کنند.
مثال: اختصاص سطح دسترسی خاص به کارمند جدید بر اساس موقعیت شغلی او.

خدمات اجرای سیاست‌های امنیتی (Security Policy Enforcement Services)

این سرویس‌ها اطمینان حاصل می‌کنند که تمام کاربران و سیستم‌ها از سیاست‌های امنیتی تعریف‌شده پیروی می‌کنند.
مثال: اعمال اجباری رمز عبور قوی، یا بستن دسترسی پس از مدت زمان بی‌فعالیتی.

نقش فایروال پیاده سازی کنترل دسترسی

کنترل دسترسی یکی از اساسی‌ترین وظایف فایروال‌ها در تأمین امنیت شبکه است.
فایروال به‌عنوان دروازه‌بان شبکه، تصمیم می‌گیرد که چه کسی، از کجا، و به چه منابعی در شبکه دسترسی داشته باشد — دقیقاً همان کاری که یک سیستم کنترل دسترسی انجام می‌دهد.

 فایروال چگونه کنترل دسترسی را اجرا می‌کند؟

 مثال ساده

یک کاربر می‌خواهد از خانه به نرم‌افزار حسابداری شرکت متصل شود:

1. VPN فایروال ارتباط را ایجاد می‌کند.

2. فایروال از طریق احراز هویت Active Directory هویت کاربر را تأیید می‌کند.

3. اگر کاربر در گروه مالی باشد، فایروال طبق سیاست RBAC اجازه دسترسی به سرور مالی را می‌دهد.

4. تمام جزئیات این دسترسی در گزارش لاگ فایروال ثبت می‌شود.

جمع‌بندی

کنترل دسترسی یکی از اصول بنیادین امنیت اطلاعات در عصر دیجیتال است که هدف آن، تضمین این است که تنها کاربران مجاز، آن هم با سطح دسترسی مشخص، به داده‌ها و منابع دسترسی داشته باشند. این فرآیند از پنج مؤلفه اصلی تشکیل شده است: احراز هویت، مجوزدهی، دسترسی، مدیریت و حسابرسی.

در دنیای واقعی، کنترل دسترسی هم در فضای فیزیکی (مانند دسترسی به ساختمان‌ها) و هم در فضای دیجیتال (مانند ورود به سامانه‌ها یا شبکه‌های سازمانی) کاربرد دارد. به‌ویژه در شبکه‌های پیچیده و سازمان‌های بزرگ، اجرای دقیق کنترل دسترسی برای جلوگیری از نشت اطلاعات، سوءاستفاده کاربران داخلی، و حملات سایبری امری ضروری است.

کنترل دسترسی نه‌تنها ضامن امنیت اطلاعات است، بلکه شرط اساسی برای انطباق با استانداردهای بین‌المللی مانند PCI DSS، HIPAA، SOC 2 و ISO 27001 به‌شمار می‌رود. این تطابق از نظر قانونی و اعتبار سازمانی اهمیت بالایی دارد.

سازمان‌ها می‌توانند با استفاده از مدل‌های متنوع مانند ABAC، RBAC، MAC، DAC و ابزارهایی نظیر VPN، مخازن هویت، نرم‌افزارهای مدیریت رمز و سامانه‌های مانیتورینگ، کنترل دسترسی را به‌طور کارآمد پیاده‌سازی کنند.

در این میان، فایروال‌ها نقشی محوری در اجرای کنترل دسترسی ایفا می‌کنند. فایروال‌های نسل جدید نه‌تنها ترافیک را فیلتر می‌کنند، بلکه می‌توانند با اتصال به سامانه‌های هویتی (مانند Active Directory)، احراز هویت کاربران، مجوزدهی مبتنی بر نقش، ثبت لاگ، و اعمال سیاست‌های امنیتی را به‌صورت یکپارچه انجام دهند.

به‌بیان ساده، فایروال‌ها امروز تنها یک ابزار دفاعی نیستند؛ بلکه به عنوان مرکز کنترل دسترسی در سازمان‌ها عمل می‌کنند و حلقه‌ای حیاتی بین امنیت زیرساخت و دسترسی هوشمندانه به منابع به‌شمار می‌آیند.