تقوية المصادقة والوصول المشروط

مع تسبب بيانات الاعتماد المسروقة في 36% من حوادث السحابة، المصادقة القوية هي خط دفاعك الأول. وصل اعتماد MFA إلى 53% في المؤسسات (2024)، لكن جودة التنفيذ تختلف بشكل كبير.

المصادقة متعددة العوامل (MFA)

أنواع MFA وقوتها

النوع	مستوى الأمان	حالة الاستخدام
مفتاح أمان مادي (FIDO2)	الأعلى	حسابات Root، المديرين
رمز TOTP مادي	عالي	البيئات المنظمة
تطبيق المصادقة (TOTP)	متوسط	المستخدمين العامين
رموز SMS/Email	منخفض (تجنب)	قديم فقط، يتم التخلص منه
إشعار الدفع	متوسط	توازن الراحة

تكوين AWS MFA

حساب Root (إلزامي):

# MFA مادي لـ root حرج - CIS Benchmark 1.5
aws iam create-virtual-mfa-device --virtual-mfa-device-name root-mfa

# تفعيل لمستخدم root
aws iam enable-mfa-device \
    --user-name root \
    --serial-number arn:aws:iam::123456789012:mfa/root-mfa \
    --authentication-code-1 123456 \
    --authentication-code-2 654321

مستخدمي IAM مع فرض السياسة:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAllExceptListedIfNoMFA",
      "Effect": "Deny",
      "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:GetUser",
        "iam:ListMFADevices",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice",
        "sts:GetSessionToken"
      ],
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "aws:MultiFactorAuthPresent": "false"
        }
      }
    }
  ]
}

الوصول المشروط Azure

Azure يوفر تحكماً متطوراً في الوصول يتجاوز MFA البسيط:

سياسة MFA أساسية:

{
  "displayName": "Require MFA for All Users",
  "state": "enabled",
  "conditions": {
    "users": {
      "includeUsers": ["All"]
    },
    "applications": {
      "includeApplications": ["All"]
    }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["mfa"]
  }
}

الوصول المشروط المبني على المخاطر:

{
  "displayName": "Block High Risk Sign-ins",
  "state": "enabled",
  "conditions": {
    "users": {
      "includeUsers": ["All"]
    },
    "signInRiskLevels": ["high", "medium"]
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["block"]
  }
}

القيود المبنية على الموقع:

{
  "displayName": "Admin Access from Named Locations Only",
  "conditions": {
    "users": {
      "includeRoles": [
        "62e90394-69f5-4237-9190-012177145e10"
      ]
    },
    "locations": {
      "includeLocations": ["All"],
      "excludeLocations": ["TrustedOfficeLocations"]
    }
  },
  "grantControls": {
    "builtInControls": ["block"]
  }
}

الوصول الواعي بالسياق GCP

# مستوى وصول يتطلب امتثال الجهاز
accessLevels:
  - name: "accessPolicies/123/accessLevels/corporate_devices"
    basic:
      conditions:
        - devicePolicy:
            requireCorpOwned: true
            osConstraints:
              - osType: DESKTOP_CHROME_OS
                minimumVersion: "100"
        - ipSubnetworks:
            - "10.0.0.0/8"

أمان الجلسة

حدود مدة الجلسة

المزود	الافتراضي	الموصى به
AWS IAM	12 ساعة	1-4 ساعات للمديرين
Azure	قابل للتكوين	1 ساعة للعمليات الحساسة
GCP	12 ساعة	جلسات قصيرة، إعادة مصادقة متكررة

AWS: تحديد مدة جلسة الدور:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"AWS": "arn:aws:iam::123456789012:user/dev"},
    "Action": "sts:AssumeRole",
    "Condition": {
      "NumericLessThan": {
        "sts:MaxSessionDuration": "3600"
      }
    }
  }]
}

الوصول في الوقت المناسب (JIT)

Azure Privileged Identity Management (PIM):

• المستخدمون يطلبون وصولاً مرتفعاً
• سير عمل الموافقة يبدأ
• الوصول يُمنح لوقت محدود
• مسار تدقيق كامل

# تفعيل دور PIM (Azure CLI)
az rest --method POST \
    --uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests" \
    --body '{
        "principalId": "user-guid",
        "roleDefinitionId": "admin-role-guid",
        "directoryScopeId": "/",
        "action": "SelfActivate",
        "scheduleInfo": {
            "expiration": {
                "type": "afterDuration",
                "duration": "PT4H"
            }
        }
    }'

تنفيذ الثقة الصفرية

نموذج الثقة الصفرية: "لا تثق أبداً، تحقق دائماً."

المبادئ الأساسية

المبدأ	التنفيذ
التحقق الصريح	MFA، امتثال الجهاز، الموقع
أقل صلاحيات	في الوقت المناسب، وصول كافٍ فقط
افتراض الاختراق	التجزئة الدقيقة، المراقبة

معمارية الثقة الصفرية

┌─────────────────────────────────────────────────────────┐
│                    قرار الوصول                           │
├─────────────────────────────────────────────────────────┤
│  هوية المستخدم → صحة الجهاز → الموقع → السياق           │
│       ↓              ↓             ↓          ↓         │
│  مصادقة قوية     امتثال      سياج جغرافي   الوقت/المخاطر │
│       ↓              ↓             ↓          ↓         │
│  ──────────────── محرك السياسة ────────────────        │
│                        ↓                                │
│              سماح / رفض / مصادقة إضافية                  │
└─────────────────────────────────────────────────────────┘

قائمة تدقيق المصادقة

الضابط	الحالة	الأولوية
حسابات Root/admin لديها MFA مادي	☐	حرج
جميع المستخدمين يتطلبون MFA	☐	عالي
سياسات الوصول المشروط منشورة	☐	عالي
مهل الجلسات مكونة	☐	متوسط
كشف السفر المستحيل مفعّل	☐	متوسط
وصول JIT للأدوار المميزة	☐	متوسط
امتثال الجهاز مطلوب	☐	متوسط
المصادقة القديمة محظورة	☐	عالي

الوحدة التالية: سنؤمن خدمات التخزين السحابي—المصدر الأكثر شيوعاً لكشف البيانات. :::