Video: The Panama Papers exposed a huge global problem. What's next? | Robert Palmer (November 2024)
Kraja identitete je veliko vprašanje za vse, še posebej pa za tiste v IT-varnosti. Za boj proti tej težavi podjetja potrebujejo močan, vendar skrbno voden in kontroliran pristop k upravljanju identitete. To je še posebej težko, ker pomeni skrbno upravljanje, kdo ima dostop do aplikacij in storitev, ter zagotavljanje, da so informacije pravilno zabeležene in lahko dostopne tistim, ki jih potrebujejo. Če nekdo nepooblaščeno ogrozi prehod navideznega zasebnega omrežja (VPN), ki ga vaše podjetje uporablja za oddaljeni dostop, morate začeti popraviti tako, da natančno veste, kdo ima dostop do prehoda in točno katere pravice nadzoruje vsak od teh uporabnikov.
Upravljanje identitete vključuje tudi skladnost s predpisi, ki urejajo zasebnost podatkov, vključno z Zakonom o prenosljivosti zdravstvenega zavarovanja in odgovornosti (HIPAA) za zdravstvene podatke in Splošno uredbo EU o varstvu podatkov (GDPR). GDPR zahteva, da se identitete preverijo in uvede večfaktorna avtentikacija (MFA) za vsakogar, ki dostopa do kakršnih koli osebno prepoznavnih podatkov (PII). Močno upravljanje identitete pomeni tudi uporabo hibridnega pristopa k upravljanju identitete (IDM) v oblaku in lokalno. Ta hibridni pristop k upravljanju zahteva uporabo enotnega postopka, pravi Darren Mar-Elia, vodja izdelka v podjetju IDM prodajalec Semperis. Na nedavni konferenci o zaščiti hibridne identitete v New Yorku se je PCMag dogovarjal z Mar-Elia, da bi izkoristil najboljše prakse upravljanja identitete.
PCMag (PCM): Kaj pomeni hibridni IDM?
Darren Mar-Elia (DME): Hibridni sistem IDM je samo identitetni sistem, ki je razširjen iz lokalnega na oblak in je ponavadi namenjen dostopom do aplikacij, ki temeljijo na oblaku.
DME: Veliko podjetij vodi AD in jih vodi že leta. Tu se hranijo vaša uporabniška imena in gesla, in tu se nahaja vaše člansko skupino. Vse te stvari lahko pridejo do oblaka ali pa ustvarite račune iz nič v oblaku in še vedno imate lokalno AD. Zdaj imate sistem identitete v oblaku, ki omogoča dostop do aplikacij v oblaku in je samo način zagotavljanja identitete. Z drugimi besedami, kdo sem in do česa lahko dostopam v oblačnem okolju, naj bo to Microsoft Azure ali Amazon ali karkoli že.
PCM: Kje se dejansko uporablja nadzorna plošča programske opreme za upravljanje te vrste upravljanja?
DME: Microsoft seveda ponuja portal za upravljanje identitet v oblaku. Na voljo je tudi lokalno delo, ki vam omogoča to sinhronizacijo do Microsoft Azure Active Directory; tako da nadzorujete ta kos. To je del programske opreme, ki bi jo zagnali in upravljali, se prepričajte, da deluje in vse to. Glede na to, koliko fleksibilnosti potrebujete, lahko največ storite na njihovem portalu. Očitno deluje v Microsoftovem oblaku in daje pogled na najemnika. Torej imate najemnika, ki določa vse vaše uporabnike in ves vaš dostop do aplikacij.
PCM: Do katere vrste aplikacij potrebujete upravljanje dostopa?
DME: V primeru Microsofta lahko upravljate dostop do aplikacij Office, kot so Exchange, SharePoint in OneDrive. To so aplikacije, ki jih običajno upravljate v tem okolju. Upravljanje pomeni dostop do, recimo, nekega poštnega predala, ki ga bo lahko poslal v imenu drugega uporabnika ali lahko poročal. Lahko si na primer ogledate, koliko sporočil je bilo poslanih prek mojega sistema in kam so bila poslana. V primeru SharePointa je to morda nastavitev spletnih mest, prek katerih lahko ljudje sodelujejo, ali določitev, kdo lahko odobri dostop do teh informacij.
PCM: Kateri so ključni izzivi pri reševanju IDM-a v oblaku v primerjavi z lokalnimi?
DME: Mislim, da je velik izziv to, da ga dosledno izvajamo tako v oblaku kot na lokalni ravni. Ali imam pravi dostop do lokacij in v oblaku? Ali imam preveč oblaka v oblaku glede na to, kar imam v lokalu? Torej je takšno neskladje med tem, kar lahko počnem v prostorih, in tistim, kar lahko počnem v oblaku, pomembno, da to spremljamo.
PCM: Kakšen je najboljši način za vzpostavitev ravnovesja med lokalnim IDM-om in tistim, kar počnem v oblaku?
DME: Ne glede na to, ali gre za zagotavljanje uporabnikov, upravljanje dostopa do uporabnika ali potrjevanje uporabnika, vse te stvari morajo upoštevati dejstvo, da ste poleg prostorov morda v več identitetah v oblaku. Če torej pregledujem dostop, to ne bi smelo biti samo od tistih, do katerih imam lokalni dostop. Prav tako bi moralo biti, do česa imam dostop v oblaku, če izvajam prireditev? Če bom v službi za človeške vire (HR), bom imel dostop do aplikacij v prostorih in tudi v oblaku. Ko se vključim v to delovno funkcijo, bi moral imeti ves dostop do mene. Ko spremenim funkcije opravila, bi moral biti ves ta dostop do te funkcije opravila odstranjen, in to lokalno in v oblaku. To je izziv.
PCM: Kakšno vlogo igra strojno učenje (ML) pri IDM ali hibridni identiteti?
DME: Ponudniki identitete v oblaku so vidni, kdo se prijavlja, od kod se prijavljajo in kako pogosto se prijavljajo. Uporabljajo ML v teh velikih naborih podatkov, da lahko sklepajo na vzorce teh različnih najemnikov. Na primer, ali se znotraj vašega najemnika dogajajo sumljive prijave; se uporabnik prijavi iz New Yorka in nato pet minut kasneje iz Berlina? To je v bistvu težava ML. Ko se kdo prijavi, ustvarjate veliko revizijskih podatkov in uporabljate modele strojev, da v bistvu korelirate vzorce, ki so morda sumljivi. Če grem naprej, mislim, da se bo ML uporabil pri procesih, kot so pregledi dostopa, da bom lahko sklepal na kontekst za pregled dostopa, v nasprotju s tem, da mi bo dal seznam skupin, v katerih sem, in rekel: "da, moral bi biti v tej skupini "ali" ne, ne bi smel biti v tej skupini. " Mislim, da gre za problem višjega reda, ki ga bo verjetno mogoče rešiti sčasoma, vendar je to področje, kjer mislim, da bo ML pomagal.
PCM: Ali ML pomaga pri hibridnem IDM-u, ali to pomeni, da pomaga tako v lokalnem kot v oblaku?
DME: Do neke mere je to res. Zunaj obstajajo posebni tehnološki izdelki, ki bodo na primer zbirali podatke o reviziji ali interakciji AD med lokalnimi AD in tudi identitetnimi podatki v oblaku ter jih lahko prekrili z enakim seznamom tveganj, kjer so sumljive prijave na lokalni ravni AD ali v oblaku. Mislim, da danes ni popoln. Želite naslikati sliko, ki prikazuje brezhibno kontekstualno spremembo. Če sem uporabnik lokalnega AD-ja, potem obstaja velika verjetnost, da sem lahko ogrožen tako v lokalnem kot v Azure AD-ju. Ne vem, da ta problem še ni bil popolnoma rešen.
PCM: Govorili ste o "zagotavljanju rojstnih pravic". Kaj je to in kakšno vlogo ima ta v hibridnem IDM-u?
DME: Zagotavljanje rojstnih pravic je preprosto dostop, ki ga dobijo novi zaposleni, ko se pridružijo podjetju. Omogočajo jim dostop do računa in dostopa, kje dobijo dostop. Če se vrnem na prejšnji primer, če sem človek, ki se pridružuje podjetju, ustvarim AD. Verjetno bom dobil Azure AD, morda s sinhronizacijo, lahko pa tudi ne, in dobil bom dostop do nabora stvari, ki opravljajo svoje delo. Lahko so aplikacije, lahko so skupne rabe datotek, lahko so spletna mesta SharePoint ali pa so nabiralniki Exchange. Vse to zagotavljanje in odobritev dostopa se mora zgoditi, ko se pridružim. To je v bistvu določba rojstne pravice.
PCM: Govorili ste tudi o konceptu, imenovanem "žigosanje z gumo." Kako to deluje?
DME: Predpisi za veliko javnih delniških družb pravijo, da morajo pregledati dostop do kritičnih sistemov, ki vsebujejo stvari, kot so osebni podatki, podatki o strankah in občutljive informacije. Zato morate občasno pregledati dostop. Običajno je četrtletna, vendar je odvisno od uredbe. Običajno je tako, če imate aplikacijo, ki ustvarja te ocene pregledov, pošlje seznam uporabnikov v določeni skupini upravitelju, ki je odgovoren za to skupino ali aplikacijo, nato pa mora ta oseba potrditi, da so vsi ti uporabniki še vedno spadajo v to skupino. Če veliko teh ustvarjate in je upravnik prezaposlen, je to nepopoln postopek. Ne veste, da ga pregledajo. Ali ga pregledajo tako temeljito, kot je treba? Je res, da ti ljudje še vedno potrebujejo dostop? In to je tiskanje gumija. Če na to resnično niste pozorni, je to ponavadi samo ček, ki navaja "Da, pregled sem naredil, naredil sem ga iz las", v nasprotju z resnično razumevanjem, ali je dostop še vedno potreben.
PCM: Ali je pregled težav z žigosanjem z gumo težava ali gre le za učinkovitost?
DME: Mislim, da je oboje. Ljudje so prezaposleni. Na njih se vrže veliko stvari, in sumim, da je to težaven proces, ki ga lahko spremljajo poleg vsega drugega. Zato mislim, da je to storjeno iz regulativnih razlogov, s čimer se popolnoma strinjam in razumem. Ne vem pa, ali je to nujno najboljši pristop ali najboljša mehanska metoda za pregledovanje dostopa.
PCM: Kako se podjetja lotevajo odkrivanja vlog?
DME: Upravljanje dostopa na podlagi vlog je ta ideja, ki ji dodelite dostop glede na vlogo uporabnika v organizaciji. Mogoče gre za poslovno funkcijo posameznika ali delo osebe. Temelji lahko na naslovu posameznika. Odkrivanje vlog je postopek poskusa razkritja, kakšne vloge lahko v naravi obstajajo v organizaciji glede na to, kako je danes omogočen dostop do identitete. Na primer, lahko bi rekel, da je človek s področja človekovih pravic član teh skupin; zato bi morala imeti vloga človekove pravice dostop do teh skupin. Obstajajo orodja, ki lahko pomagajo pri tem, v bistvu gradijo vloge na podlagi obstoječega dostopa, ki je bil odobren v okolju. In to je postopek odkrivanja vlog, ki ga preživimo, ko poskušate sestaviti sistem upravljanja dostopa na podlagi vlog.
PCM: Ali imate kakšne nasvete, ki jih lahko ponudite malim in srednje velikim podjetjem, kako pristopiti do hibridnega IDM-a?
DME: Če ste SMB, mislim, da cilj ni živeti v hibridnem svetu identitete. Cilj je priti do identitete samo v oblaku in poskušati priti čim hitreje. Za mala in srednje velika podjetja zapletenost upravljanja hibridne identitete ni posel, v katerem želijo sodelovati. To je šport za resnično velika podjetja, ki to potrebujejo, ker imajo toliko lokalnih stvari. V svetu SMB mislim, da bi moral biti cilj: "Kako prej kot slej pridem do sistema identitete v oblaku? Kako se prej kot slej umaknem iz lokalnega podjetja?" To je verjetno najbolj praktičen pristop.
PCM: Kdaj bi podjetja uporabljala hibrid v primerjavi z lokalnimi ali samo oblačnimi?
DME: Mislim, da je največji razlog, da hibrid obstaja, ker imamo večje organizacije z veliko starejše tehnologije v lokalnih sistemih identitete. Če bi danes podjetje začelo od začetka… AD-ja ne nameščajo kot novo podjetje; vrtijo Google AD s programom Google G Suite in zdaj v celoti živijo v oblaku. Nimajo lokalne infrastrukture. Za veliko večjih organizacij s tehnologijo, ki so že leta, to preprosto ni praktično. Tako morajo živeti v tem hibridnem svetu. Ali se bodo kdaj podali samo v oblak, je verjetno odvisno od njihovega poslovnega modela in od tega, koliko prednostne naloge je za njih in katere težave poskušajo rešiti. Vse, kar sodi vanjo. Ampak mislim, da bodo te organizacije dolgo časa v hibridnem svetu.
PCM: Kaj bi bila poslovna zahteva, ki bi jih potisnila v oblak?
DME: Tipična je kot poslovna aplikacija v oblaku, aplikacija SaaS, kot je Salesforce, Workday ali Concur. In te aplikacije pričakujejo, da bodo zagotovile identiteto v oblaku, da bodo lahko do njih dostopale. Takšno identiteto v oblaku morate imeti nekje, in tako se običajno zgodi. Microsoft je odličen primer. Če želite uporabljati Office 365, morate v Azure AD določiti identitete. Ni izbire o tem. Tako to potisne ljudi, da dobijo svoj Azure AD in se potem, ko so tam, morda odločijo, da želijo enotno prijavo v druge spletne aplikacije, druge aplikacije SaaS v oblaku in zdaj so v oblaku.
- 10 bistvenih korakov za zaščito vaše identitete na spletu 10 bistvenih korakov za zaščito vaše identitete na spletu
- Najboljše rešitve za upravljanje identitete za leto 2019 Najboljše rešitve za upravljanje identitete za leto 2019
- 7 korakov za zmanjšanje goljufij in ponarejanja identitete izvršnega direktorja 7 korakov za zmanjšanje goljufij in ponarejanja identitet
PCM: Kakšna velika napovedi za prihodnost IDM-a ali upravljanja?
DME: Ljudje o hibridnem upravljanju identitete ali hibridnem IDM-u še ne razmišljajo kot o eni stvari. Mislim, da se mora to zgoditi, ne glede na to, ali jih bodo na to potiskali predpisi ali pa bodo prodajalci pospešili in zagotovili to celovito rešitev upravljanja identitete za te hibridne svetove. Mislim, da se bo to neizogibno moralo zgoditi, ljudje pa bodo morali reševati težave, kot so ločevanje nalog po hibridni identiteti in upravljanje dostopa. Mislim, da je to verjetno najbolj neizogiben izid, ki se bo zgodil slej ko prej.
