Video: Weekly Wrap: Industry Insights (Lokakuu 2024)
Henkilöllisyysvarkaudet ovat suuri ongelma kaikille, mutta etenkin niille, joilla on tietoturva. Tämän ongelman torjumiseksi yritykset tarvitsevat vahvan, mutta huolellisesti hallitun ja kontrolloidun lähestymistavan identiteetin hallintaan. Se on erityisen vaikeaa, koska se edellyttää huolellista hallintaa kenelle on pääsy sovelluksiin ja palveluihin, sekä huolehtimista siitä, että tiedot on asianmukaisesti tallennettu ja helposti saatavilla niille, jotka sitä tarvitsevat. Jos joku luvattomasti vaarantaa yrityksesi etäkäyttöön käyttämän virtuaalisen yksityisen verkon (VPN) yhdyskäytävän, sinun on aloitettava korjaaminen tietämällä tarkalleen, kenellä on pääsy yhdyskäytävään ja millaisia oikeuksia nämä käyttäjät käyttävät.
Henkilöllisyyden hallintaan sisältyy myös tietosuojaa säätelevien asetusten noudattaminen, mukaan lukien sairausvakuutusten siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (HIPAA) terveydenhuollotiedoista ja EU: n yleinen tietosuoja-asetus (GDPR). GDPR vaatii henkilöllisyyden todentamista ja monitekijän todennuksen (MFA) perustamista jokaiselle, joka käyttää henkilökohtaisesti tunnistettavia tietoja (PII). Vahva henkilöllisyyshallinto tarkoittaa myös hybridiä lähestymistapaa identiteetin hallintaan (IDM) pilvessä ja paikan päällä. Tämä hybridi lähestymistapa hallintoon vaatii yhtenäisen prosessin käyttämistä, IDR-jälleenmyyjän Semperiksen tuotejohtaja Darren Mar-Elia toteaa. Äskettäisessä New Yorkin hybridi-henkilöllisyyden suojakonferenssissa PCMag tarttui Mar-Eliaan saadakseen parhaansa käytänteisiin identiteetin hallinnassa.
PCMag (PCM): Mitä hybridi-IDM tarkoittaa?
Darren Mar-Elia (DME): Hybridi IDM-järjestelmä on vain identiteettijärjestelmä, jota on laajennettu paikan päältä pilveen, ja yleensä se on tarkoitettu pääsyyn pilvipohjaisiin sovelluksiin.
DME: Monet yritykset johtavat AD: tä ja ovat hoitaneet sitä vuosia. Siellä käyttäjätunnuksesi ja salasanasi pidetään, ja tässä ryhmäjäsenyytesi pidetään. Kaikki nämä asiat voivat saada matkan pilveen saakka tai voit luoda tilejä tyhjästä pilvessä ja saada silti paikalliseen AD: hen. Nyt sinulla on pilvipohjainen identiteettijärjestelmä, joka antaa pääsyn pilvisovelluksiin, ja se on vain tapa tarjota identiteetti. Toisin sanoen, kuka minä olen ja mihin saan pääsyn pilviympäristössä, on se sitten Microsoft Azure tai Amazon tai mitä tahansa tapahtuu.
PCM: Missä todellista ohjelmiston hallintapaneelia käytetään tämän tyyppisen hallinnan hallitsemiseksi?
DME: Microsoft tarjoaa tietysti hallintaportaalin pilviidentiteettien hallintaan. Paikalla on myös pala, jonka avulla voit suorittaa synkronoinnin Microsoft Azure Active Directoryan asti; joten hallitset sitä kappaletta. Se on ohjelmisto, jota voit käyttää ja hallita, varmista, että se toimii ja kaikki niin. Riippuen siitä, kuinka paljon joustavuutta tarvitset, voit tehdä suurimman osan heidän portaalistaan. Se ilmeisesti toimii Microsoftin pilvessä ja antaa sinulle kuvan vuokralaisestasi. Joten sinulla on vuokralainen, joka määrittelee kaikki käyttäjät ja kaikki käyttöoikeutesi sovelluksiin.
PCM: Millaisiin sovelluksiin tarvitset pääsyn hallitsemiseksi?
DME: Microsoftin tapauksessa voit hallita pääsyä Office-sovelluksiin, kuten Exchange, SharePoint ja OneDrive. Nämä ovat sovelluksia, joita yleensä hallitset tässä ympäristössä. Ja hallinta tarkoittaa sitä, että annetaan käyttöoikeus jonkun postilaatikkoon voidakseen lähettää toisen käyttäjän puolesta tai tehdä raportointia. Voit esimerkiksi nähdä, kuinka monta viestiä lähetettiin järjestelmän kautta ja mihin ne on lähetetty. SharePointin tapauksessa se saattaa olla perustaa sivustoja, joiden kautta ihmiset voivat tehdä yhteistyötä, tai määrittelemään, kuka voi myöntää pääsyn kyseisiin tietoihin.
PCM: Mitkä ovat keskeisimmät haasteet käsitellessään IDM pilvessä verrattuna paikan päällä?
DME: Mielestäni iso haaste on kyky tehdä se johdonmukaisesti sekä pilvessä että paikan päällä. Joten, minulla on oikea käyttöoikeus tiloissa ja pilvissä? Onko minulla liian paljon pääsyä pilvessä verrattuna paikalla olevaan? Joten sellainen ero, mitä voin tehdä tiloissa ja mitä voin tehdä pilvessä, on tärkeää seurata.
PCM: Mikä on paras tapa löytää tasapaino paikallisen IDM: n ja pilvessä tekemäni välillä?
DME: Olipa kyse sitten käyttäjän järjestämisestä, käyttäjän käyttöoikeuksien hallinnasta tai käyttäjän sertifioinnista, kaikkien näiden asioiden on otettava huomioon se tosiasia, että saatat olla useissa pilvi-identiteetteissä tilojen lisäksi. Joten jos tarkastelen pääsyn tarkistusta, sen ei pitäisi olla vain niistä asioista, joilla minulla on pääsy paikan päällä. Pitäisi myös olla, mitä minulla on pääsy pilveen, jos teen varmistustapahtumaa? Jos työskentelen henkilöstöhallinnossa (HR), minulla on pääsy sovelluksiin sekä tiloissa että pilvessä. Kun saan varauksen kyseiseen tehtävään, minulla olisi oltava kaikki käyttöoikeudet, jotka minulle on annettu. Kun muutan työtehtäviä, minulla olisi oltava kaikki kyseisen työtoiminnon käyttöoikeudet poistettu, ja se on paikalla ja pilvessä. Se on haaste.
PCM: Mitä roolia koneoppimisella (ML) on IDM: ssä tai hybridi-identiteetissä?
DME: Pilvipalveluntarjoajat näkevät, ketkä kirjautuvat sisään, mistä he kirjautuvat sisään ja kuinka usein he kirjautuvat sisään. He käyttävät ML: tä noissa suurissa tietojoukkoissa voidakseen päätellä malleja näiden eri vuokralaisten välillä. Joten esimerkiksi vuokralaisesi sisällä tapahtuu epäilyttäviä kirjautumisia; kirjautuuko käyttäjä sisään New Yorkista ja sitten viisi minuuttia myöhemmin Berliinissä? Se on olennaisesti ML-ongelma. Luodaan paljon tarkastustietoja aina kun joku kirjautuu sisään, ja käytät konemalleja korreloimaan periaatteessa epäilyttäviä malleja. Jatkossa luulen, että ML: ää käytetään prosessissa, kuten pääsyarvioinnissa, jotta voidaan päätellä käyttöoikeusarvioinnin kontekstia sen sijaan, että anntaisin vain luettelon ryhmistä, joissa olen ja sanon "kyllä, minun pitäisi olla tässä ryhmässä "tai" ei, minun ei pitäisi olla siinä ryhmässä. " Mielestäni kyse on korkeamman asteen ongelmasta, joka todennäköisesti ratkaistaan lopulta, mutta se on alue, jolla mielestäni ML auttaa.
PCM: Mikäli ML auttaa hybridi-IDM: ää, tarkoittaako tämä, että se auttaa sekä paikan päällä että pilvessä?
DME: Jossain määrin, se on totta. Siellä on tiettyjä teknologiatuotteita, jotka keräävät esimerkiksi tilintarkastus- tai AD-vuorovaikutustietoja paikan päällä sijaitsevan AD: n ja myös pilvetunnistustietojen välillä ja pystyvät käsittelemään saman tyyppisellä riskiluettelolla, jossa epäilyttävät kirjautumiset ovat paikan päällä AD tai pilvessä. En usko, että se on täydellinen tänään. Haluat maalata kuvan, joka näyttää saumattoman kontekstuaalimuutoksen. Jos olen käyttäjä paikan päällä olevassa AD: ssä, mahdollisuudet ovat, jos minua vaarannetaan, minua saatetaan vaarantaa sekä paikan päällä että Azure AD: ssä. En tiedä, että tämä ongelma on vielä ratkaistu kokonaan.
PCM: Olet puhunut "syntymäoikeuden järjestämisestä". Mikä tämä on ja mitä roolia tällä on hybridi-IDM: ssä?
DME: Syntymäoikeuksien tarjoaminen on yksinkertaisesti pääsy, jonka uudet työntekijät saavat liittyessään yritykseen. Heille tehdään tili ja mitä käyttöoikeuksia he saavat ja missä heidät varmistetaan. Palataan edelliseen esimerkkiini, jos olen HR-henkilö liittymässä yritykseen, saan luodun AD: n. Saan todennäköisesti Azure AD: n, ehkä synkronoinnin kautta, mutta ehkä ei, ja saan pääsyn joukkoon tehtäviäni tehtäviä. Ne voivat olla sovelluksia, tiedostojakoja, SharePoint-sivustoja tai Exchange-postilaatikoita. Kaikkien näiden varausten ja käyttöoikeuksien myöntämisen pitäisi tapahtua liittyessään. Se on syntymäoikeuden tarjoaminen käytännössä.
PCM: Olet puhunut myös käsitteestä nimeltään "kumileimaus". Miten tuo toimii?
DME: Monien julkisesti noteerattujen yritysten säännösten mukaan niiden on tarkistettava pääsy kriittisiin järjestelmiin, jotka sisältävät esimerkiksi henkilökohtaisia tietoja, asiakastietoja ja arkaluontoisia tietoja. Joten sinun on tarkistettava käyttöoikeudet säännöllisesti. Yleensä se tapahtuu neljännesvuosittain, mutta se riippuu asetuksesta. Mutta yleensä niin, että se toimii, sinulla on sovellus, joka tuottaa nämä käyttöoikeusarvostelut, lähettää tietyn ryhmän käyttäjien luettelon johtajalle, joka vastaa kyseisestä ryhmästä tai sovelluksesta, ja sitten henkilön on todistettava, että kaikki nämä käyttäjät edelleen kuulua siihen ryhmään. Jos tuot paljon näitä ja manager on ylityöllistetty, se on epätäydellinen prosessi. Et tiedä, että he tarkistavat sitä. Tarkastelevatko he sitä niin perusteellisesti kuin tarvitaan? Onko todellakin, että nämä ihmiset tarvitsevat edelleen pääsyä? Ja juuri se kumileimaus. Joten jos et oikein kiinnitä siihen huomiota, se on yleensä vain tarkistus, joka osoittaa "Kyllä, tein uudelleen, se on tehty, sain sen hiuksistani", toisin kuin ymmärtääkö todella, onko käyttöoikeus tarvitaan edelleen.
PCM: Onko kumileimaus pääsyn tarkistuksiin ongelma vai onko kyse vain tehokkuudesta?
DME: Minusta se on molemmat. Ihmiset ovat ylityöllistettyjä. He heittävät paljon tavaraa heitetään heihin, ja epäilen, että on vaikea prosessi pitää yllä kaiken muun tekemisen lisäksi. Joten mielestäni se on tehty sääntelyn syistä, jotka olen täysin samaa mieltä ja ymmärrän. Mutta en tiedä onko se välttämättä paras lähestymistapa vai paras mekaaninen menetelmä pääsyarviointien tekemiseen.
PCM: Kuinka yritykset käsittelevät roolin löytämistä?
DME: Roolipohjainen käyttöoikeuksien hallinta on tämä idea, jonka mukaan käyttöoikeudet määritetään käyttäjän roolin perusteella organisaatiossa. Ehkä se on yksilön liiketoiminta tai henkilön työ. Se voisi perustua yksilön otsikkoon. Roolien löytäminen on prosessi, jolla yritetään selvittää, mitkä roolit voisivat luonnollisesti esiintyä organisaatiossa perustuen siihen, miten identiteetin käyttöoikeudet myönnetään tänään. Voisin esimerkiksi sanoa, että tämä HR-henkilö on näiden ryhmien jäsen; siksi HR-henkilöroolilla tulisi olla pääsy näihin ryhmiin. On työkaluja, jotka voivat auttaa tässä, rakentamalla periaatteessa rooleja ympäristössä myönnetyn nykyisen käyttöoikeuden perusteella. Ja se on roolin löytämisprosessi, jonka käymme läpi, kun yrität rakentaa rooliperustaista pääsynhallintajärjestelmää.
PCM: Onko sinulla vinkkejä pienille ja keskisuurille yrityksille, kuinka lähestyä hybridi-IDM: ää?
DME: Jos olet pk-yritys, mielestäni tavoitteena on olla asuminen hybridi-identiteettimaailmassa. Tavoitteena on päästä vain pilviseen identiteettiin ja yrittää päästä sinne mahdollisimman nopeasti. Pk-yritykselle hybridi-identiteetin hallinnan monimutkaisuus ei ole liiketoimintaa, jossa he haluavat olla. Se on urheilu todella suurille yrityksille, jotka joutuvat tekemään se, koska niillä on niin paljon paikan päällä olevia tavaroita. Pk-yritysten maailmassa mielestäni tavoitteen pitäisi olla "Kuinka pääsen pilvikäyttöjärjestelmään ennemmin kuin myöhemmin? Kuinka pääsen pois paikalla olevasta liiketoiminnasta ennemmin kuin myöhemmin?" Se on luultavasti käytännöllisin lähestymistapa.
PCM: Milloin yritykset käyttäisivät hybridiä verrattuna vain paikan päällä tai vain pilveyn?
DME: Mielestäni suurin hybridi olemassaolon syy on se, että meillä on suurempia organisaatioita, joilla on paljon vanhaa tekniikkaa paikan päällä olevissa identiteettijärjestelmissä. Jos yritys aloittaisi tyhjästä tänään, he eivät ota AD: tä käyttöön uudena yrityksenä; he kehrävät Google AD: tä Google G Suite -sovelluksella, ja nyt he elävät kokonaan pilvessä. Heillä ei ole mitään paikalla olevaa infrastruktuuria. Useille suuremmille organisaatioille, joiden tekniikka on ollut olemassa jo vuosia, se ei vain ole käytännöllistä. Joten heidän täytyy elää tässä hybridi maailmassa. Pääsetkö he koskaan vain pilvipalveluihin, se todennäköisesti riippuu heidän liiketoimintamallistaan ja siitä, kuinka suuri prioriteetti heille on ja mitä ongelmia he yrittävät ratkaista. Kaikki se menee siihen. Mutta uskon näiden organisaatioiden kannalta, että he ovat pitkään hybridi-maailmassa.
PCM: Mikä olisi yritysvaatimus, joka työnisi heidät pilveen?
DME: Tyypillinen on kuin pilvessä oleva yrityssovellus, SaaS-sovellus, kuten Salesforce, Workday tai Concur. Ja nämä sovellukset odottavat tarjoavan pilviidentiteetin voidakseen antaa pääsyn niihin. Sinulla on oltava kyseinen pilviidentiteetti jossain, ja niin yleensä tapahtuu. Microsoftin täydellinen esimerkki. Jos haluat käyttää Office 365: tä, sinun on annettava identiteetit Azure AD: hen. Siitä ei ole valintaa. Joten työntää ihmisiä hakemaan Azure AD: n ja sitten he ovat siellä, kun he ovat siellä, ehkä he päättävät haluavansa tehdä kertakirjautumisen muihin Web-sovelluksiin, muihin SaaS-sovelluksiin pilvessä ja nyt he ovat pilvessä.
- 10 välttämätöntä vaihetta henkilöllisyytesi suojaamiseksi verkossa 10 välttämätöntä vaihetta henkilöllisyytesi suojaamiseksi verkossa
- Paras henkilöllisyyden hallintaratkaisut vuodelle 2019 Parhaat henkilöllisyyden hallintaratkaisut vuodelle 2019
- 7 vaihetta toimitusjohtajan petoksen ja identiteetin huijauksen minimoimiseksi 7 vaihetta toimitusjohtajan petoksen ja identiteetin huijauksen minimoimiseksi
PCM: Onko suuria ennusteita IDM: n tai hallinnon tulevaisuudelle?
DME: Ihmiset eivät vielä ajattele hybridi-identiteettihallintaa tai hybridi-IDM: ää yhtenä asiana. Mielestäni sen on tapahduttava niin, että heidät viedään sinne säännösten avulla vai toimittajat astuvat eteenpäin ja tarjoavat kokonaisvaltaisen identiteetinhallintaratkaisun niille hybridi maailmoille. Mielestäni jommankumman on välttämättä tapahduttava, ja ihmisten on ratkaistava ongelmia, kuten tehtävien erottaminen hybridi-identiteetin ja käyttöoikeuksien hallinnan välillä. Mielestäni se on todennäköisesti väistämättä lopputulos, joka tapahtuu ennemmin kuin myöhemmin.
