У дома Бизнес Професионален поглед: управление на идентичността и защо ви е необходимо

Професионален поглед: управление на идентичността и защо ви е необходимо

Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноември 2024)

Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноември 2024)
Anonim

Кражбата на самоличност е голям проблем за всички, но особено за тези в ИТ сигурността. За да се борят с този проблем, компаниите се нуждаят от силен, но внимателно управляван и контролиран подход за управление на идентичността. Това е особено трудно, тъй като включва внимателно управление на достъпа до приложения и услуги и осигуряване на правилна запис на информация и достъп до тези, които се нуждаят от нея. Ако някой неоторизирано компрометира шлюза на виртуалната частна мрежа (VPN), който вашата компания използва за отдалечен достъп, тогава трябва да започнете поправянето си, като знаете точно кой има достъп до шлюза и какви точно права контролира всеки от тези потребители.

Управлението на идентичността включва и спазване на регламентите, уреждащи поверителността на данните, включително Закона за преносимост на здравно осигуряване и отчетност (HIPAA) за здравни данни и Общия регламент на ЕС за защита на данните (GDPR). GDPR изисква идентичността да бъде проверена и да се установи мултифакторно удостоверяване (MFA) за всеки, който има достъп до информация, идентифицираща лично (PII). Силното управление на идентичността означава също така да се използва хибриден подход за управление на идентичността (IDM) в облака и локално. Този хибриден подход към управлението изисква използване на единен процес, според Дарън Мар-Елия, ръководител на продукта в предприятието доставчик на IDM Semperis. На неотдавнашната конференция за защита на хибридната идентичност в Ню Йорк, PCMag настигна Мар-Елия, за да се възползва от най-добрите практики в управлението на идентичността.

PCMag (PCM): Какво включва хибридния IDM?

Дарън Мар-Елия (DME): Хибридната IDM система е само система за идентичност, която е разширена от локални до облака и обикновено е за предоставяне на достъп до облачни базирани приложения.

PCM: Как хибридният IDM се свързва с Active Directory (AD), Microsoft Office 365 и облака?

DME: Много компании управляват AD и го управляват от години. Там се съхраняват вашите потребителски имена и пароли и там се провеждат вашите членски групи. Всички тези неща могат да стигнат до облака или можете да създадете акаунти от нулата в облака и пак да имате локално AD. Сега имате облачна система за идентичност, която предоставя достъп до облачни приложения и това е просто начин за предоставяне на идентичност. С други думи, кой съм аз и до какво получавам достъп в облачна среда, независимо дали е Microsoft Azure или Amazon, или каквото и да се случи.

PCM: Къде се използва действителното софтуерно табло за управление на този тип управление?

DME: Microsoft, разбира се, предоставя портал за управление за управление на облачни идентичности. Има и локално парче, което ви позволява да направите тази синхронизация до Microsoft Azure Active Directory; така че контролирате това парче. Това е софтуер, който бихте стартирали и управлявали, уверете се, че работи и всичко това. В зависимост от това колко гъвкавост ви трябва, можете да направите най-много от техния портал. Очевидно работи в облака на Microsoft и ви дава представа за вашия наемател. Така че имате наемател, който дефинира всички ваши потребители и целия ви достъп до приложения.

PCM: До какви типове приложения са ви необходими, за да управлявате достъпа?

DME: В случая на Microsoft можете да управлявате достъпа до приложения на Office като Exchange, SharePoint и OneDrive. Това са приложенията, които обикновено управлявате в тази среда. А управлението означава да се даде достъп, да речем, до нечия пощенска кутия, която да може да изпраща от името на друг потребител или да може да прави отчет. Например можете да видите колко съобщения са изпратени през моята система и до къде са изпратени. В случай на SharePoint може да се създават сайтове, чрез които хората могат да си сътрудничат или да посочат кой може да предостави достъп до тази информация.

PCM: Кои са основните предизвикателства за справяне с IDM в облака спрямо локалните?

DME: Мисля, че голямото предизвикателство е да го постигнем последователно както в облака, така и на място. И така, имам ли правилен достъп на място и в облака? Имам ли твърде много достъп в облака спрямо това, което имам на място? Така че това несъответствие между това, което мога да направя в помещенията, и това, което мога да правя в облака, е важно да се следи.

PCM: Кой е най-добрият начин за постигане на баланс между локалния IDM и това, което правя в облака?

DME: Независимо дали става въпрос за предоставяне на потребители, управление на достъпа на потребители или сертифициране на потребителя, всички тези неща трябва да вземат предвид факта, че може да сте в множество облачни идентичности в допълнение към помещенията. Така че, ако правя преглед на достъпа, това не трябва да е само от нещата, до които имам достъп до помещенията. Трябва също така да има какво да имам достъп в облака, ако правя събитие за резервиране? Ако съм във функцията за работа с човешки ресурси (HR), ще имам достъп до приложения в помещения, както и в облака. Когато се възползвам от тази функция на работа, трябваше да ми бъде предоставен този достъп. Когато сменям задачите си, трябва да премахна целия този достъп за тази функция, и това е локално и в облака. Това е предизвикателството.

PCM: Каква роля играе машинното обучение (МЛ) в IDM или хибридна идентичност?

DME: Доставчиците на облачна идентичност имат видимост от това кой влиза, откъде влизат и колко често влизат. Използват ML в тези големи набори от данни, за да могат да извеждат модели при тези различни наематели. Например, има ли подозрителни влизания във вашия наемател; потребителят влиза в Ню Йорк и след това пет минути от Берлин? Това по същество е проблем с ML. Генерирате много данни от одит всеки път, когато някой влезе в системата, и използвате модели на машини, за да съпоставите основно модели, които може да са съмнителни. Напред, мисля, че ML ще бъде приложен към процеси като прегледи за достъп, за да мога да извеждам контекст за преглед на достъп, а не просто да ми давам списък с групи, в които съм и да казвам „да, би трябвало да съм в тази група "или" не, не бива да бъда в тази група. " Мисля, че това е проблем от по-висок ред, който вероятно ще бъде решен в крайна сметка, но това е област, в която смятам, че ML ще помогне.

PCM: Що се отнася до подпомагането на ML в хибридния IDM, това означава ли, че помага както на място, така и в облака?

DME: До известна степен това е вярно. Има конкретни технологични продукти, които ще събират например данни за одит или взаимодействие на AD между локалния AD и също данни за идентифициране в облака и ще могат да обработват това със същия вид рискови списъци, когато има съмнителни данни AD или в облака. Не мисля, че днес е идеално. Искате да нарисувате картина, която показва безпроблемна контекстуална промяна. Ако съм потребител в локален AD, тогава има вероятност, ако съм компрометиран, бих могъл да бъда компрометиран както в локални, така и в Azure AD. Не знам, че този проблем все още е напълно решен.

РСМ: Говорихте за „осигуряване на първородство“. Какво е това и каква роля играе тази хибридна IDM?

DME: Предоставянето на права на раждане е просто достъпът, който новите служители получават, когато се присъединят към компания. Те получават провизия с акаунт и какъв достъп получават, и къде получават уговорка. Връщайки се към предишния си пример, ако съм HR човек, който се присъединява към компанията, получавам създаден AD. Вероятно ще получа Azure AD, може би чрез синхронизация, но може би не, и ще получа достъп до набор от неща, за да си върша работата. Те могат да бъдат приложения, те могат да бъдат файлови споделяния, могат да бъдат сайтове на SharePoint или могат да бъдат пощенски кутии за Exchange. Цялото това предоставяне и предоставяне на достъп трябва да се случи, когато се присъединя. Това по същество е осигуряването на раждане.

PCM: Говорихте и за концепция, наречена „гумено щамповане“. Как става това?

DME: Правилата за много публично търгувани компании казват, че те трябва да преглеждат достъпа до критични системи, които съдържат неща като лична информация, клиентски данни и чувствителна информация. Затова трябва да преглеждате достъпа периодично. Обикновено е на тримесечие, но зависи от регулацията. Но обикновено начина, по който работи, имате приложение, което генерира тези прегледи за достъп, изпраща списък на потребители в определена група до мениджър, който отговаря за тази група или приложение, и след това този човек трябва да удостовери, че всички тези потребители все още принадлежат към тази група. Ако генерирате много от тях и мениджърът е преуморен, това е несъвършен процес. Не знаете, че го преглеждат. Преглеждат ли го толкова задълбочено, колкото е необходимо? Наистина ли тези хора все още се нуждаят от достъп? И точно това е щамповането с гуми. Така че, ако всъщност не му обръщате внимание, това е обикновено проверка, обозначаваща „Да, направих прегледа, свършен е, извадих го от косата си“, за разлика от наистина разбирането дали достъпът е все още е необходимо.

PCM: Прегледите за достъп до печат на гуми са проблем или това е просто въпрос на ефективност?

DME: Мисля, че и двете. Хората са преуморени. В тях се хвърлят много неща и подозирам, че е труден процес да се поддържаш над всичко друго. Така че смятам, че е направено по регулаторни причини, с което съм напълно съгласен и разбирам. Но не знам дали това е непременно най-добрият подход или най-добрият механичен метод за извършване на прегледи за достъп.

PCM: Как компаниите се занимават с откриването на роли?

DME: Управлението на достъпа на базата на роли е тази идея, на която възлагате достъп въз основа на ролята на потребителя в организацията. Може би това е бизнес функцията на индивида или работата на човека. Може да се основава на заглавието на индивида. Откриването на роли е процесът на опит да се открие какви роли могат естествено да съществуват в организацията въз основа на това как се предоставя достъп до идентичност днес. Например, бих могъл да кажа, че човекът по човешки ресурси е член на тези групи; следователно ролята на лицата по човешки ресурси трябва да има достъп до тези групи. Има инструменти, които могат да ви помогнат в това, основно изграждайки роли въз основа на съществуващия достъп, предоставен в околната среда. И това е процесът на откриване на роли, който преминаваме, когато се опитвате да изградите система за управление на достъпа, базирана на роли.

PCM: Имате ли някакви съвети, които можете да дадете на малки и средни предприятия (SMBs) за това как да се приближат до хибридния IDM?

DME: Ако сте SMB, мисля, че целта е да не живеете в хибриден свят на идентичност. Целта е да стигнете до само облачна идентичност и да се опитате да стигнете до там възможно най-бързо. За SMB сложността на управлението на хибридната идентичност не е бизнес, в който искат да участват. Това е спорт за наистина големи предприятия, които трябва да го правят, тъй като имат толкова много вътрешни неща. В един SMB свят мисля, че целта трябва да бъде „Как да стигна до облачната система за идентичност по-скоро, отколкото по-късно? Как да изляза от локалния бизнес по-рано, отколкото по-късно?“ Това вероятно е най-практичният подход.

PCM: Кога компаниите биха използвали хибридни срещу просто локални или просто облачни?

DME: Мисля, че най-голямата причина за съществуването на хибрида е, че имаме по-големи организации с много наследени технологии в локалните системи за идентичност. Ако една компания започваше от нулата днес… те не въвеждат AD като нова компания; те въртят Google AD с Google G Suite и сега живеят изцяло в облака. Те нямат локална инфраструктура. За много по-големи организации с технологии, които съществуват от години, това просто не е практично. Така че те трябва да живеят в този хибриден свят. Дали някога ще стигнат само до облака, вероятно зависи от техния бизнес модел и колко приоритет е за тях и какви проблеми се опитват да решат. Всичко, което влиза в него. Но мисля, че за тези организации те ще бъдат в хибриден свят дълго време.

PCM: Какво би било бизнес изискване, което да ги тласне към облака?

DME: Типичното е като бизнес приложение, което е в облака, SaaS приложение като Salesforce, Workday или Concur. И тези приложения очакват да предоставят облачна идентичност, за да могат да дават достъп до тях. Трябва да имате тази облачна идентичност някъде и обикновено това се случва. Microsoft е перфектен пример. Ако искате да използвате Office 365, тогава трябва да предоставите идентичности в Azure AD. Няма избор за това. Така че това тласка хората да получат Azure AD и след това, след като са там, може би решават, че искат да направят единичен вход в други уеб приложения, други SaaS приложения в облака и сега те са в облака.

  • 10 основни стъпки за защита на вашата самоличност онлайн 10 основни стъпки за защита на вашата самоличност онлайн
  • Най-добрите решения за управление на идентичността за 2019 г. Най-добрите решения за управление на идентичността за 2019 г.
  • 7 стъпки за минимизиране на измами с главен изпълнителен директор и идентичност 7 стъпки за намаляване на измамите и идентичността на изпълнителния директор

PCM: Някакви големи прогнози за бъдещето на IDM или управление?

DME: Хората все още не мислят за хибридно управление на идентичността или хибриден IDM като едно цяло. Мисля, че това трябва да се случи, независимо дали те са притиснати от там с регулации или доставчиците се активизират и предоставят това решение за управление на идентичността от край до край за тези хибридни светове. Мисля, че или едно неизбежно ще трябва да се случи и хората ще трябва да решават проблеми като разделяне на задълженията между хибридната идентичност и управлението на достъпа. Мисля, че това вероятно е най-неизбежният резултат, който ще се случи по-скоро, отколкото по-късно.

Професионален поглед: управление на идентичността и защо ви е необходимо