Asmens tapatybės vagystės yra didelė problema visiems, bet ypač tiems, kurie turi IT saugumą. Norėdami kovoti su šia problema, įmonėms reikia stipraus, tačiau kruopščiai valdomo ir kontroliuojamo požiūrio į tapatybės valdymą. Tai ypač sunku, nes reikia atidžiai valdyti, kas turi prieigą prie programų ir paslaugų, ir įsitikinti, kad informacija yra tinkamai įrašoma ir lengvai prieinama tiems, kuriems jos reikia. Jei kas nors neteisėtai sugadina virtualiojo privataus tinklo (VPN) šliuzą, kurį jūsų įmonė naudoja nuotolinei prieigai, tada turite pradėti savo taisymą tiksliai žinodami, kas turi prieigą prie šliuzo ir kokias teises turi kiekvienas iš šių vartotojų.
Tapatybės valdymas taip pat reiškia, kad laikomasi taisyklių, reglamentuojančių duomenų privatumą, įskaitant Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymą (HIPAA), skirtą sveikatos priežiūros duomenims, ir ES bendrąjį duomenų apsaugos reglamentą (GDPR). GDPR reikalauja, kad būtų patikrintos tapatybės ir įvestas daugiafaktoris autentifikavimas (MFA) kiekvienam, turinčiam prieigą prie bet kokios asmeniškai identifikuojamos informacijos (PII). Stiprus tapatybės valdymas taip pat reiškia mišrų požiūrį į tapatybės valdymą (IDM) „debesyje“ ir „vietoje“. Šis hibridinis požiūris į valdymą reikalauja naudoti vieningą procesą, teigia įmonės IDM pardavėjo „Semperis“ produkto vadovas Darrenas Mar-Elia. Neseniai vykusioje hibridinės tapatybės apsaugos konferencijoje Niujorke, PCMag susitiko su Mar-Elia, kad galėtų įsitraukti į geriausią tapatybės valdymo praktiką.
PCMag (PCM): ką reiškia hibridinis IDM?
Darrenas Mar-Elia (DME): Hibridinė IDM sistema yra tik tapatybės sistema, išplėsta iš vietinių į debesis ir paprastai skirta suteikti prieigą prie debesų paremtų programų.
DME: Daugybė kompanijų valdo AD ir jos vadovauja daugelį metų. Čia laikomi jūsų vartotojo vardai ir slaptažodžiai, kur vyksta narystė grupėje. Visi šie dalykai gali pasirodyti debesyje arba galite sukurti paskyras nuo nulio debesyje ir vis tiek turėti vietinę AD. Dabar jūs turite debesimis pagrįstą tapatybės sistemą, suteikiančią prieigą prie debesies programų, ir tai tik būdas suteikti tapatybę. Kitaip tariant, kas aš esu ir ką aš galiu pasiekti debesies aplinkoje, nesvarbu, ar tai „Microsoft Azure“, ar „Amazon“, ar kas nutiks.
PCM: Kur yra tikroji programinės įrangos informacijos suvestinė, naudojama tokio tipo valdymui valdyti?
DME: „ Microsoft“, be abejo, teikia valdymo portalą, skirtą debesies tapatybėms valdyti. Vietoje taip pat yra gabalas, leidžiantis sinchronizuoti iki „Microsoft Azure Active Directory“; taigi jūs kontroliuojate tą gabalą. Tai programinės įrangos dalis, kurią galėtumėte paleisti ir valdyti, įsitikinkite, kad ji veikia ir viskas. Atsižvelgiant į tai, kiek reikia lankstumo, galite padaryti daugiausiai iš jų portalo. Akivaizdu, kad jis veikia „Microsoft“ debesyje ir suteikia jums vaizdą apie jūsų nuomininką. Taigi jūs turite nuomininką, kuris apibūdina visus jūsų vartotojus ir visas jūsų galimybes naudotis programomis.
PCM: Kokio tipo programas reikia norint valdyti prieigą?
DME: „ Microsoft“ atveju galite valdyti prieigą prie „Office“ programų, tokių kaip „Exchange“, „SharePoint“ ir „OneDrive“. Tai yra programos, kurias paprastai valdysite toje aplinkoje. Tvarkyti reiškia suteikti prieigą prie, tarkime, kažkieno pašto dėžutės, kad ji galėtų išsiųsti kito vartotojo vardu arba galėtų pranešti. Pvz., Galite peržiūrėti, kiek pranešimų buvo išsiųsta per mano sistemą ir kur jie buvo išsiųsti. „SharePoint“ atveju tai gali būti svetainių, kuriose žmonės gali bendradarbiauti, nustatymas arba nurodyti, kas gali suteikti prieigą prie tos informacijos.
PCM: Kokie yra pagrindiniai iššūkiai sprendžiant IDM debesyje, palyginti su įmonėse?
DME: Manau, kad didelis iššūkis yra sugebėti tai padaryti nuosekliai tiek debesyje, tiek vietoje. Taigi, ar aš turiu tinkamą prieigą vietoje ir debesyje? Ar turiu per daug prieigos debesyje, palyginti su tuo, ką turiu įmonėje? Taigi tokį neatitikimą tarp to, ką aš galiu padaryti patalpose, ir to, ką galiu padaryti debesyje, svarbu stebėti.
PCM: koks yra geriausias būdas rasti pusiausvyrą tarp vietinio IDM ir to, ką darau „debesyje“?
DME: nesvarbu, ar tai paslaugų teikimas vartotojui, vartotojo prieigos valdymas ar vartotojo sertifikavimas, į visus šiuos dalykus reikia atsižvelgti į tai, kad galbūt esate ne tik patalpose, bet ir keliose debesies tapatybėse. Taigi, jei aš peržiūriu prieigą, tai neturėtų būti tik medžiaga, kurią turiu prieigą vietoje. Taip pat turėtų būti, ką aš galiu pasiekti debesyje, jei darau atidėjimo renginį? Jei atlieku žmogiškųjų išteklių (HR) darbo funkciją, turėsiu prieigą prie programų patalpose ir debesyje. Kai pasirinksiu šią darbo funkciją, turėčiau naudotis visa man suteikta prieiga. Kai keisčiau darbo funkcijas, turėčiau pašalinti visą prieigą prie tos darbo funkcijos, tai yra vietoje ir debesyje. Tai iššūkis.
PCM: kokį vaidmenį automatinis mokymasis (ML) vaidina IDM ar hibridinėje tapatybėje?
DME: „ Debesies tapatybės“ teikėjai supranta, kas prisijungia, iš kur prisijungia ir kaip dažnai prisijungia. Jie naudoja ML tuose dideliuose duomenų rinkiniuose, kad galėtų nustatyti modelius tarp tų skirtingų nuomininkų. Taigi, pavyzdžiui, ar jūsų nuomininkui yra įtartinų prisijungimų; ar vartotojas prisijungia iš Niujorko, o po penkių minučių - iš Berlyno? Iš esmės tai yra ML problema. Kuriate daug audito duomenų, kai tik kas nors prisijungia, o jūs naudojate mašinos modelius, kad iš esmės koreliuotumėte modelius, kurie gali būti įtartini. Ateityje manau, kad ML bus pritaikytas tokiems procesams kaip prieigos peržiūros, kad būtų galima daryti prielaidą apie prieigos peržiūros kontekstą, o ne tik pateikti man grupių sąrašą, kuriose esu, ir pasakyti „taip, aš turėčiau būti šioje grupėje“. "arba" ne, aš neturėčiau būti toje grupėje ". Manau, kad tai aukštesnės eilės problema, kuri greičiausiai bus išspręsta ilgainiui, tačiau manau, kad šioje srityje ML padės.
PCM: Ar tai reiškia, kad ML padeda hibridiniam IDM, tai padeda ir vietoje, ir debesyje?
DME: Tam tikru mastu tai tiesa. Ten yra tam tikrų technologijos produktų, kurie surinks, pavyzdžiui, audito ar AD sąveikos duomenis tarp vietoje esančių AD, taip pat debesų tapatybės duomenis, ir sugebės pateikti tą patį rizikos sąrašą ten, kur vietoje yra įtartini prisijungimai. AD arba debesyje. Nemanau, kad šiandien tobula. Norite nupiešti paveikslėlį, kuriame parodytas vientisas konteksto pokytis. Jei aš naudojuosi vietinėje AD, tada, jei nesu kompromituotas, gali būti, kad aš galiu būti pažeistas tiek vietoje, tiek „Azure AD“. Nežinau, kad ši problema dar nėra visiškai išspręsta.
PCM: Jūs kalbėjote apie „gimimo teisės suteikimą“. Kas tai yra ir kokį vaidmenį tai vaidina hibridiniame IDM?
DME: Teisių įmokų suteikimas pirmenybėse yra tiesiog prieiga, kurią nauji darbuotojai gauna prisijungdami prie įmonės. Jiems suteikiama sąskaita ir kokia prieiga prie jų suteikiama ir kur jie aprūpinami. Grįžtant prie ankstesnio pavyzdžio, jei aš esu HR asmuo, prisijungiantis prie įmonės, gaunu AD sukurtą. Tikriausiai gausiu Azure AD, galbūt sinchronizuodamas, bet galbūt ne, ir gausiu prieigą prie dalykų, kuriuos reikia atlikti savo darbui. Tai gali būti programos, tai gali būti failų bendrinimas, „SharePoint“ svetainės arba „Exchange“ pašto dėžutės. Visas tas aprūpinimas ir prieigos suteikimas turėtų įvykti, kai aš prisijungsiu. Iš esmės tai yra pirmagimio teisė.
PCM: Jūs taip pat kalbėjote apie sąvoką, vadinamą „gumos štampavimu“. Kaip tai veikia?
DME: Daugybė viešai parduodamų kompanijų taisyklių sako, kad jos turi peržiūrėti prieigą prie kritinių sistemų, kuriose yra tokie dalykai kaip asmeninė informacija, klientų duomenys ir neskelbtina informacija. Taigi jūs turite periodiškai peržiūrėti prieigą. Paprastai tai vyksta kas ketvirtį, bet tai priklauso nuo reguliavimo. Bet paprastai taip, kaip veikia, turite programą, kuri generuoja tas prieigos peržiūras, siunčia tam tikros grupės vartotojų sąrašą valdytojui, kuris yra atsakingas už tą grupę ar programą, o tada tas asmuo turi patvirtinti, kad visi šie vartotojai vis tiek priklausyti tai grupei. Jei sugeneruojate daug tokių ir vadovas yra per daug dirbęs, tai netobulas procesas. Jūs nežinote, kad jie tai peržiūri. Ar jie tai peržiūri taip nuodugniai, kaip reikia? Ar tikrai šiems žmonėms vis dar reikia prieigos? Štai ir gumos štampavimas. Taigi, jei jūs iš tikrųjų nekreipiate į tai dėmesio, tai dažniausiai būna tikrinimas, nurodantis „Taip, aš peržiūrėjau, tai padaryta, aš iškišau jį iš plaukų“, o ne iš tikrųjų suprantu, ar prieiga yra prieiga vis tiek reikėjo.
PCM: Ar guminis štampavimo būdas peržiūrai yra problema, ar tai tik efektyvumo klausimas?
DME: Manau, kad tai abu. Žmonės yra per daug dirbę. Jiems išmesta daugybė daiktų, ir aš įtariu, kad be kitų dalykų, kuriuos reikia išlaikyti, yra sunkus procesas. Taigi aš manau, kad tai padaryta dėl reguliavimo priežasčių, su kuriomis visiškai sutinku ir suprantu. Bet aš nežinau, ar tai yra geriausias būdas ar geriausias mechaninis būdas atlikti prieigos apžvalgas.
PCM: Kaip įmonės sprendžia vaidmens atradimus?
DME: Role pagrįstas prieigos valdymas yra ši idėja, kad jūs priskiriate prieigą pagal vartotojo vaidmenį organizacijoje. Galbūt tai yra asmens verslo funkcija ar asmens darbas. Tai galėtų būti pagrįsta asmens pavadinimu. Vaidmenų atradimas yra bandymas išsiaiškinti, kokie vaidmenys gali natūraliai egzistuoti organizacijoje, atsižvelgiant į tai, kaip šiandien suteikiama prieiga prie tapatybės. Pvz., Galiu pasakyti, kad šis HR asmuo yra šių grupių narys; todėl vyriausiasis žmogaus vaidmuo turėtų būti prieinamas toms grupėms. Tam gali padėti įrankiai, iš esmės kuriant vaidmenis atsižvelgiant į esamą prieigą, kuri suteikiama aplinkoje. Ir tai yra vaidmens aptikimo procesas, kurį mes išgyvename, kai bandote sukurti vaidmenimis pagrįstą prieigos valdymo sistemą.
PCM: ar turite patarimų, kaip mažoms ir vidutinėms įmonėms (SMB) pateikti patarimus, kaip kreiptis į hibridinį IDM?
DME: Jei esate SMB, manau, kad tikslas yra negyventi hibridiniame tapatybės pasaulyje. Tikslas yra pasiekti tapatybę tik iš debesies ir stengtis ten patekti kuo greičiau. MVĮ hibridinio identiteto tvarkymo sudėtingumas nėra verslas, kuriame jie nori įsitraukti. Tai iš tikrųjų didelių įmonių, kurios turi tai padaryti, sportas, nes jos turi tiek daug vietos atsargų. SVV pasaulyje aš manau, kad tikslas turėtų būti „Kaip greičiau, nei vėliau patekti į debesų tapatybės sistemą? Kaip greičiau, nei vėliau išeiti iš verslo vietos įmonėse?“ Tai turbūt pats praktiškiausias požiūris.
PCM: kada įmonės naudotų hibridinius, palyginti su vietiniais ar tiesiog debesimis?
DME: Manau, kad didžiausia hibridų egzistavimo priežastis yra ta, kad turime didesnių organizacijų, turinčių daugybę senų technologijų vietinėse tapatybės sistemose. Jei įmonė šiandien pradėtų nuo nulio… jie netaiko AD kaip nauja įmonė; jie suaktyvina „Google AD“ naudodami „Google G Suite“ ir dabar visiškai gyvena debesyje. Jie neturi jokios vietinės infrastruktūros. Daugeliui didesnių organizacijų, turinčių technologijas, kurios gyvuoja jau metus, tai tiesiog nėra praktiška. Taigi jie turi gyventi šiame hibridiniame pasaulyje. Ar jie kada nors pateks tik į debesis, tikriausiai priklauso nuo jų verslo modelio ir to, koks jiems yra prioritetas ir kokias problemas jie bando išspręsti. Viskas, kas į tai eina. Bet aš manau, kad toms organizacijoms jos ilgai bus hibridiniame pasaulyje.
PCM: Koks būtų verslo reikalavimas, kuris pastūmėtų juos į debesis?
DME: tipiška programa yra tarsi debesyje esanti verslo programa, „SaaS“ programa, tokia kaip „Salesforce“, „Workday“ ar „Concur“. Ir tos programos tikisi pateikti debesies tapatybę, kad galėtų suteikti prieigą prie jų. Jūs turite kažkur turėti tą debesies tapatybę, taigi paprastai taip nutinka. „Microsoft“ yra puikus pavyzdys. Jei norite naudoti „Office 365“, turite pateikti tapatybes į „Azure AD“. Nėra jokio pasirinkimo. Tai verčia žmones gauti savo Azure AD ir tada, kai jie ten yra, galbūt jie nusprendžia, kad nori vieną kartą prisijungti prie kitų žiniatinklio programų, kitų „SaaS“ programų debesyje ir dabar yra debesyje.
- 10 svarbiausių žingsnių, norint apsaugoti jūsų tapatybę internete 10 pagrindinių žingsnių, siekiant apsaugoti jūsų tapatybę internete
- Geriausi asmens tapatybės valdymo sprendimai 2019 m. Geriausi asmens tapatybės valdymo sprendimai 2019 m
- 7 žingsniai, siekiant sumažinti generalinio direktoriaus sukčiavimą ir tapatybės klastotę 7
PCM: Ar yra kokių nors didelių IDM ar valdymo ateities prognozių?
DME: Žmonės dar negalvoja apie hibridinį tapatybės valdymą ar hibridinį IDM kaip apie vieną dalyką. Manau, kad tai turi įvykti, nesvarbu, ar juos ten stumia reglamentai, ar pardavėjai pasitraukia ir pateikia tą hibridinių pasaulių galutinį tapatybės valdymo sprendimą. Manau, kad bet kuris iš jų neišvengiamai turės įvykti, ir žmonės turės spręsti tokias problemas, kaip hibridinės tapatybės pareigų atskyrimas ir prieigos valdymas. Manau, kad tai greičiausiai neišvengiamas rezultatas, kuris įvyks greičiau nei vėliau.
