Video: Hvorfor velge marinteknisk drift? (Oktober 2024)
Identitetstyveri er et stort tema for alle, men spesielt for de med IT-sikkerhet. For å bekjempe dette problemet, trenger selskaper en sterk, men nøye styrt og kontrollert tilnærming til identitetsstyring. Det er spesielt vanskelig fordi det innebærer nøye å administrere hvem som har tilgang til applikasjoner og tjenester, og sørge for at informasjon blir korrekt registrert og lett tilgjengelig for de som trenger den. Hvis noen uautoriserte går på akkord med den virtuelle private nettverk (VPN) -porten som selskapet bruker for ekstern tilgang, må du starte fiksen ved å vite nøyaktig hvem som har tilgang til porten og nøyaktig hvilke rettigheter hver av disse brukerne kontrollerer.
Identitetsstyring innebærer også å være i samsvar med forskrifter som regulerer personvern for data, inkludert lov om helseforsikringens transportabilitet og ansvarlighet (HIPAA) for helseomsorgsdata og EUs generelle databeskyttelsesforordning (GDPR). GDPR krever at identiteter blir verifisert og multifaktorautentisering (MFA) blir innført for alle som får tilgang til all personlig identifiserbar informasjon (PII). Sterk identitetsstyring betyr også å ta en hybrid tilnærming til identitetsstyring (IDM) i skyen og på stedet. Denne hybrid tilnærmingen til styring krever bruk av en enhetlig prosess, ifølge Darren Mar-Elia, produktansvarlig hos enterprise IDM-leverandør Semperis. På den siste Hybrid Identity Protection Conference i New York City fanget PCMag opp Mar-Elia for å få tak i beste praksis innen identitetsstyring.
PCMag (PCM): Hva innebærer hybrid IDM?
Darren Mar-Elia (DME): Et hybrid IDM-system er bare et identitetssystem som har blitt utvidet fra lokale til skyen, og vanligvis er det for å gi tilgang til skybaserte applikasjoner.
DME: Mange selskaper driver AD og har kjørt det i mange år. Det er der brukernavnene og passordene dine holdes, og det er der gruppemedlemskapene dine holdes. Alle de tingene kan komme seg opp i skyen, eller du kan opprette kontoer fra grunnen av i skyen og fremdeles ha lokal AD. Nå har du et skybasert identitetssystem som gir tilgang til skyapper, og det er bare en måte å gi identitet på. Hvem er jeg og hva får jeg med andre ord tilgang til i et skymiljø, enten det er Microsoft Azure eller Amazon, eller hva det måtte være.
PCM: Hvor brukes egentlig programvare-dashbordet for å administrere den typen styring?
DME: Microsoft gir selvfølgelig en styringsportal for å håndtere skyidentiteter. Det finnes også et stykke på stedet som lar deg gjøre den synkroniseringen opp til Microsoft Azure Active Directory; så du kontrollerer det stykket. Det er et stykke programvare som du vil kjøre og administrere, sørg for at den fungerer og alt det der. Avhengig av hvor mye fleksibilitet du trenger, kan du gjøre mest fra portalen deres. Det kjører tydeligvis i Microsofts sky, og det gir deg utsikt over leietakeren din. Så du har en leietaker som definerer alle brukerne dine og all din tilgang til apper.
PCM: Til hvilke typer apper trenger du for å administrere tilgang?
DME: Når det gjelder Microsoft, kan du administrere tilgang til Office-apper som Exchange, SharePoint og OneDrive. Det er appene du vanligvis vil administrere i det miljøet. Og administrering betyr å gi tilgang til, la oss si, noen postkasse for å kunne sende på vegne av en annen bruker eller kunne rapportere. Du kan for eksempel se hvor mange meldinger som ble sendt gjennom systemet mitt og hvor de ble sendt til. Når det gjelder SharePoint kan det være å sette opp nettsteder som folk kan samarbeide eller spesifisere hvem som kan gi tilgang til den informasjonen.
PCM: Hva er de viktigste utfordringene med å adressere IDM i skyen kontra lokale?
DME: Jeg tror den store utfordringen er å kunne gjøre det konsekvent på tvers av både sky og lokale. Så har jeg rett tilgang lokalt og i skyen? Har jeg for mye tilgang i skyen kontra det jeg har lokale? Så den slags forskjeller mellom hva jeg kan gjøre i lokalene og det jeg kan gjøre i skyen er viktig å følge med på.
PCM: Hva er den beste måten å få balansen mellom IDM på stedet og hva jeg gjør i skyen?
DME: Enten det er brukerlevering, administrasjon av brukertilgang eller brukersertifisering, alle disse tingene må ta hensyn til det faktum at du kan være i flere skyidentiteter i tillegg til på stedet. Så hvis jeg gjør en tilgangsanmeldelse, skal det ikke bare være av de tingene jeg har tilgang til på stedet. Det skal også være, hva har jeg tilgang til i skyen hvis jeg holder på med et tilbudsarrangement? Hvis jeg er i HR-stillingsfunksjonen (HR), vil jeg ha tilgang til apper i lokaler så vel som i skyen. Når jeg får tilgang til den stillingsfunksjonen, burde jeg ha all den tilgangen gitt. Når jeg endrer jobbfunksjoner, burde jeg ha fjernet all den tilgangen til den jobbfunksjonen, og det er lokal og i skyen. Det er utfordringen.
PCM: Hvilken rolle spiller maskinlæring (ML) i IDM eller hybrid identitet?
DME: Cloud identitetsleverandører har synlighet over hvem som logger på, hvor de logger inn fra, og hvor ofte de logger seg på. De bruker ML på de store datasettene for å kunne utlede mønstre på tvers av de forskjellige leietakerne. Så for eksempel er det mistenkelige innlogginger som skjer i leietakeren din; logger brukeren seg på fra New York og deretter fem minutter senere fra Berlin? Det er egentlig et ML-problem. Du genererer mange revisjonsdata når noen logger på, og bruker maskinmodeller for å i utgangspunktet korrelere mønstre som kan være mistenkelige. Fremover tror jeg ML vil bli brukt på prosesser som tilgangsevalueringer for å kunne utlede sammenheng for en tilgangsgjennomgang i motsetning til bare å gi meg en liste over grupper jeg er i og si "ja, jeg burde være i denne gruppen "eller" nei, jeg skulle ikke være i den gruppen. " Jeg tror det er et høyere ordensproblem som sannsynligvis vil bli løst etter hvert, men det er et område der jeg tror at ML vil hjelpe.
PCM: For så vidt ML hjelper med hybrid IDM, betyr det at det hjelper både på stedet og i skyen?
DME: Til en viss grad er det sant. Det er spesielle teknologiprodukter der ute som vil samle for eksempel revisjons- eller AD-interaksjonsdata mellom lokal AD og også skyidentitetsdata, og kunne overflate det med samme type risikoliste der mistenkelige innlogginger er lokale AD eller i skyen. Jeg tror ikke det er perfekt i dag. Du vil male et bilde som viser en sømløs kontekstuell endring. Hvis jeg er en bruker i et lokalt AD, er sjansen stor for at hvis jeg er kompromittert, kan det hende at jeg blir kompromittert i både lokal og Azure AD. Jeg vet ikke at dette problemet er løst helt ennå.
PCM: Du har snakket om "fødselsrettbestemmelse." Hva er dette, og hvilken rolle spiller dette i hybrid IDM?
DME: Fødselsrettsbestemmelse er ganske enkelt tilgangen nye ansatte får når de blir medlem av et selskap. De får tilbudt en konto og hvilken tilgang de får, og hvor de blir avsatt. Når jeg går tilbake til mitt forrige eksempel, hvis jeg er en HR-person som melder seg inn i selskapet, får jeg en annonse. Jeg vil sannsynligvis få et Azure AD, kanskje gjennom synkronisering, men kanskje ikke, og jeg vil få tilgang til et sett med ting for å gjøre jobben min. De kan være apper, de kan være fildelinger, de kan være SharePoint-nettsteder, eller de kan være Exchange-postbokser. Alt det tilbudet og tilgangsbevilgningen skal skje når jeg blir med. Det er fødselsrett tilveiebringelse hovedsakelig.
PCM: Du har også snakket om et konsept som heter "gummistempling." Hvordan fungerer det?
DME: Forskrift for mange børsnoterte selskaper sier at de må gjennomgå tilgang til kritiske systemer som inneholder ting som personlig informasjon, kundedata og sensitiv informasjon. Så du må gjennomgå tilgang med jevne mellomrom. Vanligvis er det kvartalsvis, men det avhenger av reguleringen. Men typisk slik det fungerer, har du en app som genererer disse tilgangsanmeldelsene, sender en liste over brukere i en bestemt gruppe til en leder som er ansvarlig for den gruppen eller appen, og så må den personen bekrefte at alle brukerne fortsatt hører hjemme i den gruppen. Hvis du genererer mange av disse og en leder er overarbeidet, er det en ufullkommen prosess. Du vet ikke at de vurderer det. Gjennomgår de det så grundig de trenger? Er det virkelig slik at disse menneskene fortsatt trenger tilgang? Og det er det som stempler gummi. Så hvis du ikke virkelig legger merke til det, har det en tendens til å være en sjekk som indikerer "Ja, jeg har gjort anmeldelsen, den er ferdig, jeg har fått den ut av håret mitt, " i motsetning til virkelig å forstå om tilgangen er fortsatt nødvendig.
PCM: Er tilgang til gummistemplinger et problem, eller er det bare et spørsmål om effektivitet?
DME: Jeg tror det er begge deler. Folk er overarbeidet. De får mange ting kastet på dem, og jeg mistenker at det er en vanskelig prosess å holde på toppen av i tillegg til hva annet gjør. Så jeg tror det er gjort av forskriftsmessige årsaker, noe jeg er helt enig i og jeg forstår. Men jeg vet ikke om det nødvendigvis er den beste tilnærmingen eller den beste mekaniske metoden for å gjøre tilgangsanmeldelser.
PCM: Hvordan adresserer selskaper rolleoppdagelse?
DME: Rollebasert tilgangsadministrasjon er denne ideen som du tildeler tilgang basert på en brukers rolle i organisasjonen. Kanskje er det den enkeltes forretningsfunksjon eller personens jobb. Det kan være basert på individets tittel. Rollefunn er prosessen med å prøve å oppdage hvilke roller som naturlig kan finnes i organisasjonen basert på hvordan identitetstilgang gis i dag. Jeg kan for eksempel si at denne HR-personen er medlem av disse gruppene; HR-personrollen bør derfor ha tilgang til disse gruppene. Det er verktøy som kan hjelpe med dette, og i utgangspunktet bygge roller basert på den eksisterende tilgangen som er gitt i miljøet. Og det er rolleoppdagelsesprosessen som vi går gjennom når du prøver å bygge et rollebasert tilgangsstyringssystem.
PCM: Har du noen tips du kan gi for små til mellomstore bedrifter (SMB) om hvordan du tilnærmer deg hybrid IDM?
DME: Hvis du er en SMB, tror jeg målet er å ikke leve i en hybrid identitetsverden. Målet er å komme til en sky-bare identitet og prøve å komme dit så raskt som mulig. For en SMB er ikke kompleksitetene i å håndtere hybrididentitet en virksomhet de vil være i. Det er en sport for virkelig store bedrifter som må gjøre det fordi de har så mye lokale ting. I en SMB-verden tror jeg at målet bør være "Hvordan kommer jeg til et skyidentitetssystem før og senere? Hvordan kommer jeg ut av lokal virksomhet før og senere?" Det er sannsynligvis den mest praktiske tilnærmingen.
PCM: Når vil selskaper bruke hybrid kontra bare lokale eller bare sky?
DME: Jeg tror den største grunnen til at hybrid eksisterer er fordi vi har større organisasjoner med mye arvteknologi i lokale identitetssystemer. Hvis et selskap startet fra bunnen av i dag… distribuerer de ikke AD som et nytt selskap; de snurrer opp Google AD med Google G Suite, og nå bor de helt i skyen. De har ingen lokal infrastruktur. For mange større organisasjoner med teknologi som har eksistert i mange år, er det bare ikke praktisk. Så de må leve i denne hybridverdenen. Hvorvidt de noen gang kommer til sky-bare, det avhenger sannsynligvis av deres forretningsmodell og hvor mye av det er prioritert for dem og hvilke problemer de prøver å løse. Alt som går inn i det. Men jeg tror for de organisasjonene at de vil være i en hybridverden i lang tid.
PCM: Hva ville være et forretningskrav som ville presse dem til skyen?
DME: En typisk en er som en forretningsapp som er i skyen, en SaaS-app som Salesforce, Workday eller Concur. Og disse appene forventer å tilby en skyidentitet for å kunne gi tilgang til dem. Du må ha den skyidentiteten et sted, og det er typisk slik. Microsoft er et perfekt eksempel. Hvis du vil bruke Office 365, må du oppgi identiteter til Azure AD. Det er ikke noe valg med det. Så det presser folk til å få Azure AD, og når de først er der, kanskje de bestemmer seg for at de vil gjøre enkel pålogging til andre nettapper, andre SaaS-apper i skyen, og nå er de i skyen.
- 10 viktige trinn for å beskytte identiteten din online 10 viktige trinn for å beskytte identiteten din på nettet
- De beste løsningene for identitetsadministrasjon for 2019 De beste løsningene for identitetsadministrasjon for 2019
- 7 trinn for å minimere administrerende direktør svindel og identitetssviking 7 trinn for å minimere administrerende direktør svindel og identitetssviking
PCM: Noen store spådommer for fremtiden til IDM eller styring?
DME: Folk tenker ennå ikke på hybrid identitetsstyring eller hybrid IDM som en eneste ting. Jeg tror det må skje, enten de blir presset dit av forskrifter eller leverandørene trapper opp og gir den endeløs identitetsstyringsløsningen for disse hybridverdene. Jeg tror at en av dem uunngåelig vil måtte skje, og at folk må løse problemer som pliktskille på tvers av hybrid identitet og tilgangsstyring. Jeg tror det er sannsynligvis det mest uunngåelige utfallet som vil skje før heller enn senere.
