Video: Nationalism vs. globalism: the new political divide | Yuval Noah Harari (Listopad 2024)
Krádež identity je velkým problémem pro všechny, ale zejména pro ty, kteří mají zabezpečení IT. Pro boj s tímto problémem společnosti potřebují silný, ale pečlivě řízený a kontrolovaný přístup k řízení identity. To je zvláště obtížné, protože to vyžaduje pečlivé řízení toho, kdo má přístup k aplikacím a službám, a zajištění toho, aby informace byly řádně zaznamenány a snadno přístupné těm, kteří je potřebují. Pokud někdo neoprávněný ohrožuje bránu virtuální privátní sítě (VPN), kterou vaše společnost používá pro vzdálený přístup, musíte začít s opravou přesně tím, kdo přesně ví, kdo má přístup k bráně a přesně jaká práva má každý z těchto uživatelů pod kontrolou.
Správa identity zahrnuje také dodržování předpisů upravujících soukromí údajů, včetně zákona o přenositelnosti a odpovědnosti za zdravotní pojištění (HIPAA) pro údaje o zdravotní péči a obecného nařízení EU o ochraně údajů (GDPR). GDPR požaduje, aby byly totožnosti ověřeny a aby bylo pro každého, kdo má přístup k jakýmkoli osobně identifikovatelným informacím (PII), zavedeno multifaktorové ověřování. Silná správa identit také znamená zaujmout hybridní přístup ke správě identit (IDM) v cloudu a na místě. Tento hybridní přístup k řízení vyžaduje použití sjednoceného procesu, říká Darren Mar-Elia, vedoucí produktu u dodavatele IDM Semperis. Na nedávné konferenci o ochraně hybridních identit v New Yorku se PCMag dohnal s Mar-Elií, aby využil osvědčených postupů v oblasti správy identit.
PCMag (PCM): Co znamená hybridní IDM?
Darren Mar-Elia (DME): Hybridní systém IDM je pouze systém identity, který byl rozšířen z místního prostředí do cloudu, a obvykle slouží k poskytování přístupu k cloudovým aplikacím.
DME: Mnoho společností provozuje reklamu a provozuje ji roky. To je místo, kde jsou vaše uživatelská jména a hesla, a to je místo, kde se konají vaše členství ve skupině. Všechny tyto věci se mohou dostat do cloudu, nebo si můžete vytvořit účty od nuly v cloudu a stále mít místní AD. Nyní máte cloudový systém identity, který poskytuje přístup k cloudovým aplikacím, a je to pouze způsob, jak poskytnout identitu. Jinými slovy, kdo jsem a co získám přístup v cloudovém prostředí, ať už se jedná o Microsoft Azure nebo Amazon, nebo o cokoli se stane.
PCM: Kde se používá skutečný softwarový panel ke správě tohoto typu správy?
DME: Microsoft samozřejmě poskytuje portál pro správu pro správu identit cloudu. K dispozici je také kus na místě, který vám umožní provést tuto synchronizaci až do Microsoft Azure Active Directory; takže ovládáte ten kus. To je kus softwaru, který byste provozovali a spravovali, ujistěte se, že funguje a tak dále. V závislosti na tom, jak velkou flexibilitu potřebujete, můžete ze svého portálu udělat maximum. Je zřejmé, že běží v cloudu společnosti Microsoft a dává vám pohled na vašeho nájemce. Máte tedy nájemce, který definuje všechny vaše uživatele a veškerý přístup k aplikacím.
PCM: K jakým typům aplikací potřebujete spravovat přístup?
DME: V případě společnosti Microsoft můžete spravovat přístup k aplikacím sady Office, jako jsou Exchange, SharePoint a OneDrive. To jsou aplikace, které byste v tomto prostředí obvykle spravovali. A správa znamená zpřístupnění, řekněme, něčí poštovní schránky, aby bylo možné odesílat jménem jiného uživatele nebo aby bylo možné provádět hlášení. Můžete například zobrazit, kolik zpráv bylo odesláno mým systémem a kam byly odeslány. V případě služby SharePoint to může být nastavení webů, prostřednictvím kterých mohou lidé spolupracovat, nebo určení, kdo může udělit přístup k těmto informacím.
PCM: Jaké jsou klíčové výzvy při řešení IDM v cloudu versus na místě?
DME: Myslím, že velkou výzvou je to, že to dokážeme důsledně provádět v cloudu i v provozovně. Mám tedy správný přístup v areálu i v cloudu? Mám příliš mnoho přístupu v cloudu proti tomu, co mám na místě? Je tedy důležité sledovat tento druh rozdílu mezi tím, co mohu dělat v prostorách, a tím, co mohu dělat v cloudu.
PCM: Jaký je nejlepší způsob, jak dosáhnout rovnováhy mezi místním IDM a tím, co dělám v cloudu?
DME: Ať už se jedná o zajišťování uživatelů, správu přístupu uživatelů nebo certifikaci uživatelů, všechny tyto věci musí brát v úvahu skutečnost, že kromě místního prostředí můžete mít více identit cloudu. Takže pokud provádím kontrolu přístupu, nemělo by to být jen z věcí, ke kterým mám přístup přímo na místě. Mělo by také být, k čemu mám přístup v cloudu, když dělám událost zajišťování? Pokud pracuji v oblasti lidských zdrojů (HR), budu mít přístup k aplikacím v prostorách i v cloudu. Když se do této pracovní funkce dostanu, měl bych mít přístup ke všem těmto přístupům. Když změním funkce úlohy, měl bych mít veškerý přístup k této úloze odstraněn, a to v místě i v cloudu. To je výzva.
PCM: Jakou roli hraje strojové učení (ML) v IDM nebo hybridní identitě?
DME: Poskytovatelé cloudové identity mají přehled o tom, kdo se přihlašuje, odkud se přihlašují a jak často se přihlašují. Používají ML na těchto velkých souborech dat, aby mohli odvodit vzorce mezi různými nájemníky. Tak například se ve vašem nájemci děje podezřelá přihlášení; přihlašuje se uživatel z New Yorku a poté o pět minut později z Berlína? To je v podstatě problém ML. Generujete spoustu údajů o auditu, kdykoli se někdo přihlásí, a používáte modely strojů k tomu, abyste v zásadě korelovali vzory, které mohou být podezřelé. Do budoucna se domnívám, že ML bude aplikováno na procesy, jako jsou recenze přístupu, aby bylo možné odvodit kontext pro kontrolu přístupu, namísto toho, aby mi poskytl seznam skupin, ve kterých jsem, a řekl: „Ano, měl bych být v této skupině "nebo" ne, neměl bych být v té skupině. " Myslím, že to je problém vyššího řádu, který se pravděpodobně nakonec vyřeší, ale to je oblast, kde si myslím, že ML pomůže.
PCM: Pokud jde o pomoc ML v hybridním IDM, znamená to, že pomáhá jak v areálu, tak v cloudu?
DME: Do jisté míry je to pravda. Existují konkrétní technologické produkty, které budou shromažďovat například údaje o auditu nebo interakci AD mezi místními AD a také cloudovými identifikačními daty a budou moci vysledovat to se stejným druhem rizika, kde jsou podezřelá přihlášení na místě AD nebo v cloudu. Nemyslím si, že je to dnes perfektní. Chcete namalovat obrázek, který ukazuje bezproblémovou změnu kontextu. Pokud jsem uživatel v místním AD, je pravděpodobné, že pokud dojde ke kompromitaci, mohl bych být ohrožen v místním i Azure AD. Nevím, že tento problém byl dosud vyřešen úplně.
PCM: Mluvil jsi o „zajištění prvorozenství“. Co je to a jakou roli to hraje v hybridním IDM?
DME: Zajištění narození je jednoduše přístup, který získají noví zaměstnanci, když vstoupí do společnosti. Dostanou dotaci s účtem a jaký přístup získají a kde získají dotaci. Když se vracím k předchozímu příkladu, pokud se připojím k personálnímu oddělení, získám AD. Pravděpodobně dostanu Azure AD, možná synchronizací, ale možná ne, a dostanu přístup k řadě věcí, abych mohl dělat svou práci. Mohou to být aplikace, mohou to být sdílené soubory, mohou to být weby SharePoint nebo to mohou být poštovní schránky Exchange. Když se připojím, mělo by se to všechno poskytnout a poskytnout přístup. To je v zásadě zajišťování prvorozenství.
PCM: Také jste hovořil o konceptu zvaném „gumové razítko“. Jak to funguje?
DME: Předpisy pro mnoho veřejně obchodovaných společností říkají, že musí přezkoumat přístup ke kritickým systémům, které obsahují věci, jako jsou osobní informace, zákaznická data a citlivé informace. Musíte tedy pravidelně kontrolovat přístup. Obvykle je to čtvrtletní, ale záleží to na regulaci. Funguje to však tak, že máte aplikaci, která generuje tyto přístupové recenze, odešle seznam uživatelů v konkrétní skupině manažerovi, který je za tuto skupinu nebo aplikaci zodpovědný, a pak musí tato osoba potvrdit, že všichni tito uživatelé stále patří do této skupiny. Pokud jich generujete hodně a manažer je přepracovaný, je to nedokonalý proces. Nevíte, že to přezkoumávají. Přezkoumávají to tak důkladně, jak potřebují? Opravdu tito lidé stále potřebují přístup? A to je to, co gumové ražby. Takže pokud tomu opravdu nevěnujete pozornost, má to tendenci být jen kontrola označující „Ano, udělal jsem kontrolu, je hotovo, mám to z mých vlasů“, na rozdíl od skutečného pochopení, zda je přístup stále potřeba.
PCM: Je kontrola přístupu pomocí gumového razítka problémem, nebo je to jen otázka efektivity?
DME: Myslím, že jsou to oba. Lidé jsou přepracovaní. Dostanou na ně spoustu věcí a mám podezření, že je to těžký proces držet se na vrcholu kromě toho, co dělají ostatní. Takže si myslím, že se to dělá z regulačních důvodů, se kterými naprosto souhlasím a rozumím jim. Ale nevím, jestli je to nutně nejlepší přístup nebo nejlepší mechanická metoda pro provádění kontroly přístupu.
PCM: Jak se společnosti zabývají objevováním rolí?
DME: Správa přístupu na základě rolí je tato myšlenka, že přiřadíte přístup na základě role uživatele v organizaci. Možná je to obchodní funkce jednotlivce nebo práce dané osoby. Mohlo by to být založeno na názvu jednotlivce. Zjišťování rolí je proces, který se snaží zjistit, jaké role by v organizaci mohly přirozeně existovat, na základě toho, jak je dnes poskytován přístup k identitě. Mohl bych například říci, že tento člověk je členem těchto skupin; Proto by role osob s lidskými právy měla mít přístup k těmto skupinám. Existují nástroje, které s tím mohou pomoci, v zásadě budování rolí na základě existujícího přístupu, který byl udělen v prostředí. A to je proces zjišťování rolí, kterým procházíme, když se pokoušíte vybudovat systém správy přístupu založený na rolích.
PCM: Máte nějaké tipy, které můžete poskytnout malým a středním podnikům (SMB) ohledně přístupu k hybridnímu IDM?
DME: Pokud jste SMB, myslím si, že cílem není žít v hybridním světě identity. Cílem je dostat se k cloudové identitě a pokusit se tam dostat co nejrychleji. Pro malé a střední podniky není složitost správy hybridní identity záležitostí, v níž chtějí být. Je to sport pro opravdu velké podniky, které to musí dělat, protože mají tolik místního vybavení. Ve světě SMB si myslím, že cílem by mělo být: „Jak se dostanu k systému cloudové identity dříve než později? Jak se dostanu z místního podnikání dříve než později?“ To je pravděpodobně nejpraktičtější přístup.
PCM: Kdy by společnosti používaly hybrid versus pouze v místě nebo jen cloud?
DME: Myslím, že největším důvodem, proč hybrid existuje, je to, že máme větší organizace s mnoha starými technologiemi v místních identifikačních systémech. Kdyby dnes společnost začala od nuly… nezavádějí AD jako novou společnost; oni točí se Google AD s Google G Suite, a nyní žijí v cloudu úplně. Nemají žádnou místní infrastrukturu. Pro mnoho větších organizací s technologií, která existuje už roky, to prostě není praktické. Musí tedy žít v tomto hybridním světě. Ať už se někdy dostanou do cloudu, záleží to pravděpodobně na jejich obchodním modelu a na tom, jak velkou prioritu pro ně mají a jaké problémy se snaží vyřešit. Všechno, co do toho jde. Ale myslím, že pro tyto organizace budou na dlouhou dobu v hybridním světě.
PCM: Jaký by byl obchodní požadavek, který by je tlačil do cloudu?
DME: Typická je jako obchodní aplikace, která je v cloudu, aplikace SaaS jako Salesforce, Workday nebo Concur. A tyto aplikace očekávají, že poskytnou cloudovou identitu, která jim umožní přístup. Někde tu cloudovou identitu musíte mít, a tak se to obvykle stává. Microsoft je dokonalý příklad. Pokud chcete používat Office 365, musíte do Azure AD zadat totožnosti. Na tom není na výběr. To nutí lidi, aby si získali Azure AD, a pak, jakmile tam budou, možná se rozhodnou, že chtějí udělat jednotné přihlášení k jiným webovým aplikacím, dalším aplikacím SaaS v cloudu a nyní jsou v cloudu.
- 10 základních kroků pro ochranu vaší identity online 10 základních kroků pro ochranu vaší identity online
- Nejlepší řešení správy identit pro rok 2019 Nejlepší řešení správy identit pro rok 2019
- 7 kroků k minimalizaci podvodů a identitních podvodů generálních ředitelů 7 kroků k minimalizaci podvodů a identifikačních podvodů generálních ředitelů
PCM: Jaké jsou velké předpovědi pro budoucnost IDM nebo správy?
DME: Lidé dosud nemyslí na správu hybridní identity nebo hybridní IDM jako na jednu věc. Myslím, že k tomu musí dojít, ať už se tam dostanou nařízeními nebo se prodejci posílí a poskytují toto komplexní řešení správy identit pro tyto hybridní světy. Myslím, že se buď nevyhnutelně musí stát, a lidé budou muset řešit problémy, jako je oddělení povinností napříč hybridní identitou a řízení přístupu. Myslím, že je to pravděpodobně nevyhnutelný výsledek, k němuž dojde dříve než později.
