שיעור 17: ניהול זהויות וגישה (IAM)
בשיעור הקודם פתחנו את הקופסה השחורה של ההצפנה. עכשיו נעבור לצד השני של אותו מטבע: איך יודעים בכלל מי מנסה לגשת למידע? IAM (ניהול זהויות וגישה) הוא המסגרת שמבטיחה שרק מי שמורשה מקבל גישה — בזמן הנכון ובהרשאות המתאימות. נכיר את מודל ה-AAA (אימות, הרשאה, תיעוד), את שלושת גורמי האימות ואת הטכנולוגיות שמ
בקיצור: IAM עונה על השאלה 'מי אתה, ומה מותר לך'. מודל ה-AAA מפרק את זה לשלושה: אימות (להוכיח מי אתה), הרשאה (לקבוע מה מותר), ותיעוד (לרשום מה קרה בפועל). אימות נשען על שלושה סוגי הוכחה: משהו שאתה יודע (סיסמה), משהו שיש לך (טלפון), ומשהו שאתה (טביעת אצבע) — MFA משלב לפחות שניים. זהות דיגיטלית עוברת מחזור חיים: הצטרפות (Provisioning), שינוי תפקיד (שדורש עדכון הרשאות, לא רק הוספה), ועזיבה (חובה לנתק הכל, מיד). וארכיטקטורות כמו SSO (כניסה אחת לכל המערכות) ו-PAM (כספת דיגיטלית לסיסמאות מנהל) הופכות את כל זה לניתן לניהול בקנה מידה.
- IAM ומודל AAA
- IAM הוא מסגרת תהליכית וטכנולוגית המבטיחה שרק משתמשים מורשים מקבלים גישה למשאבים, בזמן הנכון ובהרשאות המתאימות — ה'שער' המרכזי כשהרשת עצמה כבר אינה סגורה. כל מערכת IAM נשענת על שלושה מרכיבים: אימות (Authentication — הוכחת זהות), הרשאה (Authorization — קביעת מה מותר, בדרך כלל לפי תפקיד), ותיעוד (Accounting — רישום בלתי ניתן לשינוי של מה שנעשה בפועל).
- פרדוקס הגישה
- המתח התמידי בכל ארגון: הצורך העסקי דורש גישה מהירה ונטולת חיכוך, בעוד הצורך האבטחתי דורש מחסומים (סיסמאות, אימות דו-שלבי, אישורים). ככל שמעלים אבטחה, פוגעים בנוחות; ואם מקילים על המשתמשים, חושפים את הארגון לסיכון. תפקיד ה-IAM הוא למצוא את שביל הזהב בין השניים.
- שלושת גורמי האימות
- משהו שאתה יודע (Know — סיסמה, PIN, שאלות אבטחה מיושנות וקלות לניחוש), משהו שיש לך (Have — טלפון וקוד SMS/Push, Soft/Hard Token, FIDO Key, Smart Card, OTP תקף ל-60 שניות), ומשהו שאתה (Are — טביעת אצבע, זיהוי פנים, ביומטריה התנהגותית). MFA משמעו שילוב חובה של לפחות שני גורמים מסוגים שונים — וחוסם כ-99.9% ממתקפות ההשתלטות על חשבונות.
- אתגרי הביומטריה
- שגיאות זיהוי: False Positive (זיהוי שגוי שחוסם משתמש לגיטימי — למשל עובד המתחבר ממלון בחופשה ומסומן כ'התחברות ממיקום חריג') ו-False Negative (אי-זיהוי תוקף אמיתי). וגם: בניגוד לסיסמה, לא ניתן 'להחליף' טביעת אצבע שנגנבה — המידע הביומטרי בלתי הפיך.
- מחזור חיי זהות: JML
- Joiners (מצטרפים): קליטת עובד חדש ויצירת זהותו הדיגיטלית (Provisioning — לרוב אוטומטי מנתוני משאבי אנוש), ואז תרגום תפקידו להרשאות טכניות ספציפיות לפי עקרון הצורך (Assignment). Movers (זזים): שינוי תפקיד המחייב עדכון הרשאות — הוספת החדשות וגריעת הישנות. Leavers (עוזבים): ניתוק מיידי ומלא של כל הגישות (De-Provisioning).
- סכנת ה-Movers וגריעת משאבים
- כשעובד עובר תפקיד ומקבל הרשאות חדשות בלי שההרשאות הישנות נגרעות, הוא צובר כוח מוגזם — ועלול להחזיק בהרשאות סותרות (למשל, גם ליצור ספק וגם לאשר תשלום לו), בניגוד לעקרון הפרדת התפקידים (SoD). הפתרון: ביטול כל ההרשאות הישנות לפני מתן החדשות. בעזיבה, חשבונות שנשארים פעילים ('חשבונות זומבי') הם פרצת אבטחה חמורה — נדרש 'Kill Switch' לניתוק מיידי מכל המערכות בלחיצת כפתור אחת.
- SSO ופדרציית זהויות
- SSO (Single Sign-On): הזדהות אחת מול ספק זהויות מרכזי (IdP) מעניקה גישה לכל המערכות הארגוניות — משפרת חוויית משתמש ומפחיתה עומס על התמיכה, אך יוצרת נקודת כשל יחידה (ולכן MFA חובה). פדרציה: פרוטוקולים סטנדרטיים (SAML, OIDC) מאפשרים לארגון ליצור יחסי אמון עם שירותי צד שלישי (כמו Zoom או Salesforce), כך שעובד נכנס אליהם עם אותה זהות ארגונית בלי משתמש נפרד.
- PAM: ניהול משתמשי-על
- בעוד IAM הרגיל מנהל את כל העובדים, PAM מתמקד רק במשתמשי-העל (מנהלי מערכת, אבטחת מידע) המחזיקים 'מפתחות למלכה'. סיסמאות חזקות נשמרות בכספת דיגיטלית ואינן ידועות למשתמש עצמו; כשנדרשת עבודה על שרת, הסיסמה 'מושאלת' (Checkout) לזמן קצר, כל הפעולות מוקלטות, ומיד בסיום הכספת מחליפה את הסיסמה אוטומטית (Rotation) — כך שהסיסמה שהייתה ביד כבר לא שווה כלום.
- Zero Trust מעמיק ו-Machine Identity
- העיקרון: 'לעולם אל תסמוך, תמיד תאמת' — היות ומחובר פיזית לרשת המשרד לא מקנה שום אמון אוטומטי, והבדיקה נמשכת ברקע לאורך כל הפעילות, לא רק בכניסה. יישום: בדיקת בריאות המכשיר ומיקום לפני כל גישה, ומיקרו-סגמנטציה שמונעת תנועה רוחבית. Machine Identity: גם ישויות לא-אנושיות (חשבונות שירות בין אפליקציות) זקוקות לניהול סודות קפדני — הן נוטות להיות פחות מנוטרות ומחזיקות הרשאות גבוהות מדי.
- IAM בענן, IDaaS, ציות ועתיד ה-IAM
- IDaaS (Identity as a Service): ספק חיצוני (כמו Okta) מנהל את הזהויות דרך שלושה שחקנים — המשתמש, המשאב (Service Provider), וספק הזהויות (Identity Provider). אחריות משותפת ל-IAM בענן: הלקוח קובע מדיניות, יוצר משתמשים וקובע הרשאות; הספק מאבטח את התשתית. ציות: GDPR מעניק 'זכות להישכח', והפרדת תפקידים (SoD) נדרשת לביקורת פיננסית. עתיד ה-IAM: CIAM (ניהול זהויות לקוחות), Self-Sovereign Identity (זהות מבוזרת בשליטת המשתמש), ובינה מלאכותית לזיהוי חריגות והמלצות הסרת הרשאות.