A személyazonosság-lopás mindenki számára nagy probléma, de különösen az informatikai biztonság területén. A probléma leküzdésére a vállalatoknak erős, mégis gondosan menedzselt és ellenőrzött megközelítésre van szükségük az identitás irányításában. Ez különösen nehéz, mert magában foglalja az alkalmazásokhoz és szolgáltatásokhoz hozzáféréssel rendelkezők gondos kezelését, valamint annak biztosítását, hogy az információkat megfelelően rögzítsék és könnyen hozzáférhetőek legyenek azok számára, akiknek szükségük van rá. Ha valaki jogosulatlanul veszélyezteti a virtuális magánhálózat (VPN) átjárót, amelyet a vállalat távoli eléréshez használ, akkor a javítást el kell kezdenie azzal, hogy pontosan tudja, ki fér hozzá az átjáróhoz, és pontosan milyen jogokat élvez az egyes felhasználók.
Az identitáskezelés magában foglalja az adatvédelemre vonatkozó rendeleteknek való megfelelést is, ideértve az egészségbiztosítási adatok egészségügyi biztosítások hordozhatóságáról és elszámoltathatóságáról szóló törvényét (HIPAA) és az EU általános adatvédelmi rendeletét (GDPR). A GDPR megköveteli az identitások ellenőrzését és a multifaktoros hitelesítés (MFA) létrehozását mindenki számára, aki bármilyen személyes információt (PII) elér. Az erős identitásszabályozás azt is jelenti, hogy hibrid megközelítést kell alkalmazni az identitáskezelés (IDM) számára a felhőben és a helyszíni környezetben. Darren Mar-Elia, a Semperis vállalati IDM gyártójának termékvezetője szerint a kormányzásnak ez a hibrid megközelítése egységes folyamatot igényel. A nemrégiben megrendezett hibrid személyazonosság-védelmi konferencián, New York City-ben a PCMag felzárkózott Mar-Elia-val, hogy átvegye az identitás irányításának legjobb gyakorlatait.
PCMag (PCM): Mit jelent a hibrid IDM?
Darren Mar-Elia (DME): A hibrid IDM rendszer csak egy azonossági rendszer, amelyet kiterjesztették a helyszíni felhőre, és általában felhőalapú alkalmazásokhoz való hozzáférést biztosítják.
DME: Nagyon sok vállalat működteti az AD-t, és évek óta működteti. Itt tartják meg felhasználóneveidet és jelszavaikat, és itt tartják meg a csoporttagságokat. Ezek a dolgok eljuthatnak a felhőhöz, vagy akár a felhőből is létrehozhatnak fiókokat, és továbbra is rendelkeznek helyszíni AD-vel. Most már van egy felhőalapú identitási rendszere, amely hozzáférést biztosít a felhőalkalmazásokhoz, és ez csak egy módja az identitás biztosításának. Más szavakkal: ki vagyok és mire tudok hozzáférni egy felhőkörnyezetben, legyen az Microsoft Azure vagy Amazon, vagy bármi más is történik.
PCM: Hol használják a tényleges szoftver irányítópultot az ilyen típusú irányítás kezelésére?
DME: A Microsoft természetesen felügyeleti portált biztosít a felhőazonosságok kezelésére. Van egy darab a helyszínen, amely lehetővé teszi a szinkronizálást a Microsoft Azure Active Directory-ig; tehát te irányítod azt a darabot Ez egy olyan szoftver, amelyet futtathat és kezelhet, ellenőrizze, hogy működik-e, és mindez. Attól függően, hogy mekkora rugalmasságot igényel, a legtöbbet megteheti a portálon. Nyilvánvalóan a Microsoft felhőében fut, és képet ad a bérlőről. Tehát van egy bérlője, amely meghatározza az összes felhasználót és az alkalmazásokhoz való minden hozzáférését.
PCM: Milyen típusú alkalmazásokhoz szükséges a hozzáférés kezelése?
DME: A Microsoft esetében kezelheti az Office alkalmazásokhoz, például az Exchange, SharePoint és OneDrive hozzáférést. Ezek azok az alkalmazások, amelyeket általában ebben a környezetben kezel. És a kezelés azt jelenti, hogy hozzáférést biztosítunk, mondjuk valaki postafiókjához, hogy egy másik felhasználó nevében tudjon küldeni vagy jelentést tudjon készíteni. Megtekintheti például, hogy hány üzenetet küldtek a rendszeremön keresztül, és hová küldték őket. A SharePoint esetében előfordulhat, hogy webhelyeket állít fel, amelyeken keresztül az emberek együttműködhetnek, vagy meghatározhatja, hogy ki adhat hozzáférést ezekhez az információkhoz.
PCM: Melyek a legfontosabb kihívások az IDM kezelésében a felhőben, szemben a helyszíni szolgáltatásokkal?
DME: Úgy gondolom, hogy a nagy kihívás az, hogy képes következetesen ezt megtenni a felhőben és a helyszínen egyaránt. Tehát van-e megfelelő hozzáférésem a helyszíni és a felhőben? Van-e túl sok hozzáférésem a felhőben, összehasonlítva azzal, ami van a helyszínen? Tehát az ilyen különbség az, hogy mit tehetek a helyiségekben, és mit tehetek a felhőben, fontos, hogy nyomon lehessen követni.
PCM: Hogyan lehet a legjobban megtalálni az egyensúlyt a helyszíni IDM és a felhőben végzett tevékenységek között?
DME: Legyen szó felhasználói felépítésről, felhasználói hozzáférés-kezelésről vagy felhasználói tanúsításról, mindezen dolgoknak figyelembe kell venniük azt a tényt, hogy a helyszíneken kívül több felhőazonosságban is részt vehetnek. Tehát, ha hozzáférés-ellenőrzést végezek, akkor nem csak azoknak a dolgoknak kell lennie, amelyekhez hozzáférhetek a helyszínen. Ugyanígy kell lennie: mire tudok hozzáférni a felhőben, ha ellátási eseményt csinálok? Ha az emberi erőforrások (HR) feladatkörében vagyok, hozzáférni fogok az alkalmazásokhoz a helyszínen és a felhőben is. Amikor bekapcsolódom ebbe a munkakörbe, meg kell kapnom a hozzáférést. Amikor megváltoztatom a munkafunkciókat, meg kell szüntetnem az összes hozzáférést ehhez a feladathoz, ez a helyszíni és a felhő. Ez a kihívás.
PCM: Milyen szerepet játszik a gépi tanulás (ML) az IDM-ben vagy a hibrid identitásban?
DME: A felhőazonosító szolgáltatók látják, ki jelentkezik be, honnan jelentkeznek, és milyen gyakran jelentkeznek be. ML-t használnak ezeken a nagy adatkészleteken, hogy következtetéseket vonhassanak le a különféle bérlők között. Tehát például vannak-e gyanús bejelentkezések a bérlőn belül; bejelentkezik a felhasználó New York-ból, majd öt perccel később Berlinből? Ez alapvetően egy ML-probléma. Sok ellenőrzési adatot generál, amikor valaki bejelentkezik, és gépes modelleket használ alapvetően a gyanús minták korrelálására. Folytatva azt gondolom, hogy az ML-t olyan folyamatokra alkalmazzák, mint például a hozzáférés-áttekintések, hogy következtetéseket vonhassanak le a hozzáférés-áttekintésről, szemben a listák megadásával nekem, amelyekben vagyok, és azt mondom, hogy „igen, ebben a csoportban kell lennem” "vagy" nem, nem kellene lennem abban a csoportban. " Azt hiszem, ez egy magasabb rendű probléma, amely valószínűleg végül megoldódik, de ez az a terület, ahol szerintem az ML segít.
PCM: Ami az ML-t segíti a hibrid IDM-ben, ez azt jelenti, hogy a helyszíni és a felhőben is segít?
DME: Bizonyos mértékben ez igaz. Vannak olyan speciális technológiai termékek, amelyek összegyűjtik például a helyszíni AD és a felhőazonosító adatok közötti ellenőrzési vagy AD-interakciós adatokat, és képesek azonos kockázati listával felfedezni azokat, ahol a gyanús bejelentkezések a helyszínen vannak. AD vagy a felhőben. Nem hiszem, hogy ma tökéletes. Olyan képet szeretne festeni, amely zavartalan kontextusváltozást mutat. Ha felhasználó vagyok egy helyszíni AD-ben, akkor esélyem van arra, hogy veszélybe kerültem mind a helyszíni, mind az Azure AD-ben. Nem tudom, hogy ez a probléma még mindig megoldódott-e.
PCM: Beszéltél a "születési jog biztosításáról". Mi ez és milyen szerepet játszik ez a hibrid IDM-ben?
DME: A szülési jog biztosítása egyszerűen az a hozzáférés, amelyet az új alkalmazottak megszereznek, amikor csatlakoznak egy vállalathoz. Leköttetést kapnak egy fiókkal, és milyen hozzáférést kapnak, és hol kapnak kiépítést. Visszatérve az előző példámhoz, ha HR-tag vagyok, csatlakozom a céghez, kapok egy AD-t. Valószínűleg megkapok egy Azure AD-t, talán szinkronizálás útján, de talán nem, és hozzáférést fogok végezni a dolgomhoz. Lehetnek alkalmazások, fájlmegosztások, SharePoint-helyek vagy Exchange-postafiókok. Az összes biztosításnak és a hozzáférés biztosításának a csatlakozáskor meg kell történnie. Ez lényegében szülői jog biztosítása.
PCM: Ön már beszélt a "gumibélyegzés" elnevezésű koncepcióról. Hogyan működik?
DME: A sok nyilvános forgalomban lévő társaság számára a szabályozás szerint felül kell vizsgálniuk a kritikus rendszerekhez való hozzáférést, amelyek olyan dolgokat tartalmaznak, mint a személyes adatok, az ügyfelek adatai és az érzékeny információk. Tehát rendszeresen felül kell vizsgálnia a hozzáférést. Általában negyedévente, de ez függ a szabályozástól. De általában úgy működik, hogy van egy alkalmazásod, amely előállítja ezeket a hozzáférési áttekintéseket, elküldi egy adott csoport felhasználói listáját az adott csoportért vagy alkalmazásért felelős kezelőhöz, majd a személynek igazolnia kell, hogy az összes felhasználó ebbe a csoportba tartoznak. Ha ezekből sokat generál, és a menedzser túlzottan dolgozik, akkor ez nem tökéletes folyamat. Nem tudja, hogy felülvizsgálják. Olyan alaposan vizsgálják felül ezt, amire szükségük van? Valóban ezeknek az embereknek továbbra is hozzáférésre van szükségük? És ez az a gumi sajtolás. Tehát, ha nem igazán fordít rá figyelmet, akkor inkább csak egy ellenőrzés, amely azt jelzi, hogy "Igen, én megtettem a felülvizsgálatot, ez kész, kihúztam a hajamból", szemben azzal, hogy valóban megérti, hogy a hozzáférés még mindig szükség van rá.
PCM: A gumibélyegzéses hozzáférés-áttekintés problémát jelent, vagy csak a hatékonyság kérdése?
DME: Azt hiszem, mindkettő. Az emberek túlzottan dolgoztak. Nagyon sok cuccot dobnak rájuk, és azt gyanítom, hogy nehéz folyamat a tetején maradni, bármi más mellett. Tehát azt hiszem, hogy szabályozási okokból készültek, amelyekkel teljesen egyetértek és megértettem. De nem tudom, hogy ez feltétlenül a legjobb megközelítés vagy a legjobb mechanikus módszer a hozzáférés-ellenőrzések elvégzéséhez.
PCM: Hogyan kezelik a vállalatok a szerep-felfedezéseket?
DME: Szerep alapú hozzáférés-kezelés ez az ötlet, hogy a hozzáférést a felhasználó szervezeten belüli szerepének alapján kell kiosztania. Lehet, hogy ez az egyén üzleti funkciója vagy a munka. Ez alapulhat az egyén címén. A szerepkör-felfedezés annak a folyamatnak a megpróbálása, amely felfedezi, hogy milyen szerepek létezhetnek a szervezetben természetesen annak alapján, hogy manapság hogyan biztosítják az identitáshoz való hozzáférést. Például azt mondanám, hogy ez a HR személy e csoportok tagja; ezért a HR személyi szerepkörnek hozzáférést kell biztosítani e csoportokhoz. Vannak olyan eszközök, amelyek segítenek ebben, alapvetően a szerepkörök építésében a környezetben meglévő hozzáférés alapján. És ez a szerep-felfedezési folyamat, amelyen keresztülmegyünk, amikor egy szerepkör-alapú hozzáférés-kezelési rendszert próbálunk felépíteni.
PCM: Van-e valamilyen tippe a kis- és középvállalkozások számára, amelyekkel a hibrid IDM-et megközelítheti?
DME: Ha kkv vagy, azt hiszem, a cél az, hogy ne hibrid identitásvilágban éljünk. A cél az, hogy csak felhőalapú identitáshoz jussanak, és megpróbálják odajutni a lehető leggyorsabban. Egy kkv-k számára a hibrid identitás kezelésének bonyolultsága nem olyan üzlet, amelyben szeretnének lenni. Ez a sport valóban nagyvállalatok számára, akiknek meg kell csinálniuk, mert annyi helyszíni cuccuk van. Egy kis- és középvállalkozások világában azt gondolom, hogy a célnak "Hogyan juthatok el felhőazonosító rendszerhez hamarabb, mint később? Hogyan tudok inkább később, mint később kijutni a helyszíni üzletből?" Ez talán a legpraktikusabb megközelítés.
PCM: Mikor használnák a vállalatok hibrid hibákat, mint a helyszíni vagy csak a felhőt?
DME: Azt hiszem, hogy a hibrid létezés legnagyobb oka az, hogy nagyobb szervezeteink vannak, ahol sok régi technológia van a helyszíni identitási rendszerekben. Ha egy cég ma a nulláról indulna… akkor nem telepítik az AD-t új társaságként; felrobbantják a Google AD-t a Google G Suite segítségével, és most már teljesen a felhőben élnek. Nincs helyszíni infrastruktúra. Sok nagyobb technológiai szervezet számára, amely évek óta működik, ez egyszerűen nem praktikus. Tehát ebben a hibrid világban kell élniük. Hogy eljutnak-e valaha csak a felhőbe, ez valószínűleg az üzleti modelltől és az, hogy mekkora prioritást jelent számukra, és milyen problémákat próbálnak megoldani. Minden, ami belemegy. De azt hiszem, hogy ezeknek a szervezeteknek sokáig hibrid világban lesznek.
PCM: Mi lenne olyan üzleti követelmény, amely ráhúzza őket a felhőbe?
DME: Egy tipikus alkalmazás olyan, mint egy felhőben lévő üzleti alkalmazás, egy SaaS-alkalmazás, például a Salesforce, a Workday vagy a Concur. És ezek az alkalmazások felhőazonosító szolgáltatást várnak el, hogy hozzáférést biztosítsanak hozzájuk. Valahol meg kell lennie annak a felhőazonosítónak, és általában ez így történik. A Microsoft tökéletes példa erre. Ha Office 365-t szeretne használni, akkor az Azure AD-ben azonosítókat kell biztosítania. Nincs választás róla. Ez arra készteti az embereket, hogy megszerezzék az Azure AD-jüket, és amint ott vannak, esetleg úgy döntenek, hogy egyszeri bejelentkezést szeretnének végrehajtani más internetes alkalmazásokhoz, más SaaS-alkalmazásokhoz a felhőben, és most a felhőben vannak.
- 10 legfontosabb lépés az identitás online védelmében 10 alapvető lépés az identitás online védelmében
- A legjobb személyazonosság-kezelési megoldások 2019-re A legjobb személyazonosság-kezelési megoldások 2019-re
- 7 lépés a vezérigazgatói csalások és az identitáshamisítás minimalizálásához 7 lépés az ügyvezető csalás és az identitáshamisítás minimalizálásához
PCM: Van valami nagy előrejelzés az IDM vagy a kormányzás jövőjéről?
DME: Az emberek még nem gondolkodnak a hibrid identitáskezelésről vagy a hibrid IDM-ről, mint egy dologról. Úgy gondolom, hogy ennek meg kell történnie, függetlenül attól, hogy a szabályozások rákényszerítik-e őket, vagy a szállítók lépnek fel, és biztosítják a végpontok közötti identitás-irányítási megoldást ezeknek a hibrid világoknak. Úgy gondolom, hogy egyiküknek elkerülhetetlenül meg kell történnie, és az embereknek olyan problémákat kell megoldaniuk, mint a feladatok szétválasztása a hibrid identitás és a hozzáférés kezelése között. Azt hiszem, ez valószínűleg a legkerülhetetlen eredmény, amely inkább hamarosan, mint később fog megtörténni.
