IG2 IG3

مركزة المصادقة والتفويض والتدقيق على الشبكة (AAA)

مجموعة الضابط: 12. إدارة البنية التحتية للشبكة

نوع الأصل: الشبكة

وظيفة الأمان: حماية

الوصف

مركزة المصادقة والتفويض والتدقيق على الشبكة (AAA).

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

منصة جدار حماية من الجيل التالي مع سياسات واعية بالتطبيقات ومنع التهديدات وتصفية عناوين الويب وشبكة واسعة معرّفة بالبرمجيات

Palo Alto Networks · جهاز + اشتراك

Fortinet FortiGate Gartner MQ Leader, Network Firewalls 2024

جدار حماية مؤسسي ونسيج أمني مع جدار حماية من الجيل التالي وشبكة واسعة معرّفة بالبرمجيات ونظام منع التسلل وخدمات أمنية متكاملة

Fortinet · جهاز + اشتراك

Zscaler Private Access Gartner MQ Leader, SSE 2024

منصة الوصول إلى الشبكة بنموذج انعدام الثقة تستبدل الشبكات الافتراضية الخاصة بالتقسيم الدقيق على مستوى التطبيق والوصول القائم على الهوية

Zscaler · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

مصادقة غير متسقة عبر أجهزة الشبكة

السرية

بدون AAA مركزي، يحتفظ كل جهاز شبكة بقاعدة بيانات مصادقة محلية خاصة به بسياسات كلمات مرور غير متسقة وبدون قدرة MFA وبيانات اعتماد تستمر بعد إنهاء خدمة الموظف، مما يمكن من الوصول غير المصرح به.

احتفاظ موظف منتهية خدمته بوصول لأجهزة الشبكة

السلامة

عند مغادرة الموظفين للمؤسسة، يستمر وصولهم إلى أجهزة الشبكة لأن الحسابات المحلية على الموجهات والمحولات وجدران الحماية غير مرتبطة بإدارة الهوية المركزية ويجب إزالتها فردياً من كل جهاز.

عدم وجود سجل تدقيق لإجراءات إدارة أجهزة الشبكة

السلامة

بدون محاسبة مركزية، لا يتم تسجيل الإجراءات الإدارية على أجهزة الشبكة بشكل متسق أو نسبتها إلى مستخدمين محددين، مما يجعل من المستحيل تحديد من أجرى تغييرات التكوين أو التحقيق في النشاط المشبوه.

الثغرات (عند غياب الإجراء الوقائي)

مصادقة أجهزة شبكة لامركزية

تعتمد أجهزة الشبكة على حسابات مستخدم محلية بدلاً من مصادقة مركزية (RADIUS وTACACS+ وActive Directory)، مما يخلق مئات بيانات الاعتماد المحلية غير المُدارة بدون سياسة كلمات مرور مركزية أو تدوير أو إدارة دورة حياة.

عدم وجود تفويض أو محاسبة مركزية لإدارة الشبكة

يفتقر الوصول إلى أجهزة الشبكة إلى سياسات تفويض مركزية تحدد من يمكنه تنفيذ أي أوامر، ولا تسجل محاسبة مركزية الإجراءات الإدارية، مما يمنع التحكم في الوصول القائم على الأدوار وتوليد سجل التدقيق.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة أمن الشبكة

Control 12, Control 13

الإجراءات الوقائية ذات الصلة في الضابط 12

12.1 ضمان تحديث البنية التحتية للشبكة

12.2 إنشاء وصيانة هيكل شبكة آمن

12.3 الإدارة الآمنة للبنية التحتية للشبكة

12.4 إنشاء وصيانة مخطط (مخططات) الهيكل

12.6 استخدام بروتوكولات إدارة واتصال الشبكة الآمنة

12.7 Ensure Remote Devices Utilize a VPN and are Connecting to an Enterprise’s AAA Infrastructure

12.8 إنشاء وصيانة موارد حوسبة مخصصة لجميع الأعمال الإدارية