Video: Джей Браднер: Открытые исследования рака (Noiembrie 2024)
Furtul de identitate este o problemă importantă pentru toată lumea, dar mai ales pentru cei aflați în securitate IT. Pentru a combate această problemă, companiile au nevoie de o abordare puternică, dar atent gestionată și controlată a guvernării identității. Acest lucru este deosebit de dificil, deoarece presupune gestionarea cu atenție a persoanelor care au acces la aplicații și servicii și asigurarea faptului că informațiile sunt înregistrate în mod corespunzător și ușor accesibile pentru cei care au nevoie. Dacă cineva neautorizat compromite gateway-ul rețelei virtuale private (VPN) pe care compania dvs. îl folosește pentru acces la distanță, atunci trebuie să începeți remedierea știind exact cine are acces la gateway și exact ce drepturi controlează fiecare dintre acești utilizatori.
Guvernanța identității implică, de asemenea, respectarea reglementărilor care reglementează confidențialitatea datelor, inclusiv Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA) pentru datele de îngrijire a sănătății și Regulamentul general privind protecția datelor (GDPR) al UE. GDPR solicită ca identitățile să fie verificate și să fie introdusă autentificarea cu mai multe factori (MFA) pentru oricine accesează orice informație de identificare personală (PII). O guvernare puternică a identității înseamnă, de asemenea, adoptarea unei abordări hibride a managementului identității (IDM) în cloud și la fața locului. Această abordare hibridă a guvernării necesită utilizarea unui proces unificat, în conformitate cu Darren Mar-Elia, șeful de produs al furnizorului IDM al întreprinderii Semperis. La recenta conferință de protecție a identității hibride din New York, PCMag a luat legătura cu Mar-Elia pentru a-și asuma cele mai bune practici în guvernarea identității.
PCMag (PCMag): Ce presupune IDM-ul hibrid?
Darren Mar-Elia (DME): Un sistem IDM hibrid este doar un sistem de identitate extins de la local la cloud, și de obicei este pentru a oferi acces la aplicațiile bazate pe cloud.
DME: Multe companii administrează AD și o conduc de ani buni. Acolo sunt deținute numele de utilizator și parolele dvs. și de aici sunt deținute apartenențele la grup. Toate aceste lucruri se pot îndrepta spre cloud sau puteți crea conturi de la zero în cloud și mai aveți AD-on-local. Acum aveți un sistem de identitate bazat pe cloud care acordă acces la aplicațiile cloud și este doar un mod de a oferi identitate. Cu alte cuvinte, cine sunt eu și la ce am acces într-un mediu cloud, indiferent dacă este vorba despre Microsoft Azure sau Amazon, sau orice s-ar întâmpla.
PCM: Unde se utilizează tabloul de bord al software-ului pentru administrarea acelui tip de guvernare?
DME: Microsoft, desigur, oferă un portal de gestionare pentru gestionarea identităților cloud. Există, de asemenea, o piesă locală care vă permite să faceți această sincronizare până la Microsoft Azure Active Directory; deci controlezi acea piesă. Acesta este un software pe care l-ar rula și gestiona, asigurați-vă că funcționează și toate astea. În funcție de câtă flexibilitate ai nevoie, poți face cel mai mult din portalul lor. Se rulează, evident, în cloud-ul Microsoft și vă oferă o imagine asupra locatarului. Așadar, aveți un chiriaș care vă definește toți utilizatorii și accesul dvs. la aplicații.
PCM: În ce tipuri de aplicații aveți nevoie pentru a gestiona accesul?
DME: în cazul Microsoft, puteți gestiona accesul la aplicațiile Office precum Exchange, SharePoint și OneDrive. Acestea sunt aplicațiile pe care le gestionați de obicei în acel mediu. Iar gestionarea înseamnă a da acces la căsuța poștală a cuiva pentru a putea trimite în numele altui utilizator sau pentru a putea face raportări. De exemplu, puteți vedea câte mesaje au fost trimise prin sistemul meu și unde au fost trimise. În cazul SharePoint, s-ar putea să se creeze site-uri prin care oamenii să poată colabora sau să specifice cine poate acorda acces la informațiile respective.
PCM: Care sunt provocările cheie în abordarea IDM în cloud față de local?
DME: Cred că marea provocare este să o poți face în mod constant atât în cloud cât și în local. Deci, am accesul corect la fața locului și în cloud? Am prea mult acces în cloud față de ceea ce am la fața locului? Așadar, este important să urmăresc acest tip de diferență între ceea ce pot face în spații și ceea ce pot face în cloud.
PCM: Care este cea mai bună metodă de a atinge echilibrul între IDM local și ce fac în cloud?
DME: Fie că este vorba despre furnizarea utilizatorilor, gestionarea accesului utilizatorului sau certificarea utilizatorului, toate aceste lucruri trebuie să ia în considerare faptul că s-ar putea să aveți mai multe identități cloud, pe lângă premise. Deci, dacă fac o recenzie de acces, nu ar trebui să fie doar din lucrurile la care am acces la fața locului. Ar trebui să fie, de asemenea, la ce am acces în cloud dacă fac un eveniment de aprovizionare? Dacă mă ocup de funcția de resurse umane (HR), voi avea acces la aplicații atât în spații, cât și în cloud. Când am primit provizorii în acea funcție de job, ar trebui să îmi acorde tot acel acces. Când modific funcțiile de job, ar trebui să am tot accesul la acea funcție de job, care este locală și în cloud. Aceasta este provocarea.
PCM: Ce rol joacă învățarea automată (ML) în IDM sau identitate hibridă?
DME: Furnizorii de identitate cloud au vizibilitate cu privire la cine se conectează, de unde se loghează și cât de des se conectează. Folosește ML pe acele seturi mari de date pentru a putea deduce tiparele dintre acești locatari diferiți. Deci, de exemplu, există autentificări suspecte în chiriaș; utilizatorul se conectează din New York și apoi cinci minute mai târziu de la Berlin? Aceasta este o problemă de ML, în esență. Generați o mulțime de date de audit de fiecare dată când cineva se conectează și utilizați modele de mașini pentru a corela practic modele care pot fi suspecte. Mergând mai departe, cred că ML va fi aplicat proceselor precum recenziile de acces pentru a putea deduce contextul pentru o recenzie de acces, spre deosebire de a-mi oferi doar o listă de grupuri în care sunt și spun „da, ar trebui să fiu în acest grup „sau„ nu, nu ar trebui să fiu în grupul respectiv ”. Cred că este o problemă de ordin superior, care probabil va fi rezolvată până la urmă, dar acesta este un domeniu în care cred că ML va ajuta.
PCM: În măsura în care ML ajută la IDM-ul hibrid, asta înseamnă că ajută atât la fața locului, cât și în cloud?
DME: într-o oarecare măsură, este adevărat. Există produse tehnologice particulare acolo care vor colecta, de exemplu, date de interacțiune sau de interacțiune AD între AD-ul local și, de asemenea, datele de identitate în cloud și care vor putea suprafeța cu același tip de listă de riscuri, în care conectările suspecte sunt la fața locului. AD sau în nor. Nu cred că este perfect azi. Vrei să pictezi o imagine care arată o schimbare contextuală perfectă. Dacă sunt utilizator într-un AD local, atunci șansele sunt, dacă sunt compromis, aș putea fi compromis atât în AD local, cât și în Azure AD. Nu știu că încă această problemă a fost rezolvată complet.
PCM: Ați vorbit despre „acordarea dreptului la naștere”. Ce este acesta și ce rol joacă acest lucru în IDM-ul hibrid?
DME: Procesul de tip Birthright este pur și simplu accesul pe care noii angajați îl au atunci când se alătură unei companii. Aceștia primesc provizii cu un cont și ce acces au și unde sunt aprovizionate. Revenind la exemplul meu anterior, dacă sunt o persoană de HR care se alătură companiei, am creat un AD. Probabil că voi primi un AD Azure, poate prin sincronizare, dar poate nu, și voi avea acces la un set de lucruri care să-mi facă treaba. Pot fi aplicații, pot fi partajări de fișiere, pot fi site-uri SharePoint sau pot fi căsuțe poștale Exchange. Toate aceste acordări și acordări de acces ar trebui să se întâmple când mă alătur. Asta este în esență o prevedere de drept.
PCM: Ați vorbit și despre un concept numit „ștampilarea cauciucului”. Cum funcționează?
DME: Regulamentele pentru multe companii tranzacționate public spun că trebuie să revizuiască accesul la sisteme critice care conțin lucruri precum informații personale, date despre clienți și informații sensibile. Așadar, trebuie să revizuiți accesul periodic. De obicei este trimestrial, dar depinde de reglementare. Dar, în mod obișnuit, modul în care funcționează este: aveți o aplicație care generează acele recenzii de acces, trimite o listă de utilizatori dintr-un anumit grup către un manager care este responsabil pentru acel grup sau aplicație, iar acea persoană trebuie să certifice că toți acei utilizatori încă aparțin grupului respectiv. Dacă generați multe dintre acestea și un manager este suprasolicitat, este un proces imperfect. Nu știi că o analizează. Îl revizuiesc la fel de amănunțit cum trebuie? Este într-adevăr că acești oameni mai au nevoie de acces? Și asta este ștanțarea cauciucului. Așadar, dacă nu ești cu adevărat atent la asta, tinde să fie doar un control care să indice „Da, am făcut recenzia, s-a făcut, l-am scos din păr”, spre deosebire de a înțelege cu adevărat dacă accesul este încă mai era nevoie.
PCM: Accesul la ștampilarea cauciucului este o problemă sau este doar o problemă de eficiență?
DME: Cred că este ambele. Oamenii sunt suprasolicitați. Primesc o mulțime de chestii aruncate asupra lor și bănuiesc că este un proces greu de păstrat în plus, pe lângă orice alt lucru. Deci cred că este făcut din motive de reglementare, cu care sunt total de acord și înțeleg. Dar nu știu dacă este neapărat cea mai bună abordare sau cea mai bună metodă mecanică pentru a face recenzii de acces.
PCM: Cum abordează companiile descoperirea rolului?
DME: Managementul accesului bazat pe roluri este această idee că atribuiți acces pe baza rolului utilizatorului în organizație. Poate este funcția de afaceri a individului sau slujba persoanei. Ar putea fi bazat pe titlul individului. Descoperirea rolurilor este procesul de a încerca să descoperi ce roluri ar putea exista în mod natural în organizație pe baza modului în care se acordă accesul la identitate astăzi. De exemplu, aș putea spune că această persoană umană este un membru al acestor grupuri; prin urmare, rolul persoanei umane trebuie să aibă acces la aceste grupuri. Există instrumente care vă pot ajuta, construind roluri bazate pe accesul existent care a fost acordat în mediu. Și acesta este procesul de descoperire a rolului prin care trecem atunci când încercați să construiți un sistem de gestionare a accesului bazat pe roluri.
PCM: Aveți sfaturi pe care le puteți oferi întreprinderilor mici și mijlocii (IMM-uri) cu privire la modul de abordare a IDM-ului hibrid?
DME: Dacă ești un SMB, cred că obiectivul este să nu trăiești într-o lume cu identitate hibridă. Scopul este să ajungi la o identitate exclusivistă în cloud și să încerci să ajungi cât mai repede posibil. Pentru o IMM, complexitatea gestionării identității hibride nu este o afacere în care doresc să fie. Este un sport pentru întreprinderile cu adevărat mari, care trebuie să o facă pentru că au atât de multe lucruri la fața locului. Într-o lume a IMM-urilor, cred că obiectivul ar trebui să fie "Cum ajung la un sistem de identitate cloud mai devreme decât mai târziu? Cum pot ieși din afacerea locală mai devreme decât mai târziu?" Aceasta este probabil cea mai practică abordare.
PCM: Când ar folosi companiile hibride versus doar local sau doar cloud?
DME: Cred că cel mai mare motiv pentru care există hibrid este că avem organizații mai mari, cu multă tehnologie veche în sistemele de identitate locale. Dacă o companie ar începe de la zero astăzi… nu vor implementa AD ca o nouă companie; se învârt pe Google AD cu Google G Suite, iar acum trăiesc în cloud în întregime. Nu au nicio infrastructură la fața locului. Pentru o mulțime de organizații mai mari, cu tehnologie care există de ani buni, asta nu este practic. Deci trebuie să trăiască în această lume hibridă. Fie că vor ajunge vreodată la cloud-uri, depinde probabil de modelul lor de afaceri și de cât de prioritate este pentru ei și de ce probleme încearcă să rezolve. Tot ce merge în ea. Dar cred că pentru acele organizații, acestea vor fi într-o lume hibridă mult timp.
PCM: Care ar fi o cerință de afaceri care să-i împingă în cloud?
DME: Una obișnuită este ca o aplicație de business care se află în cloud, o aplicație SaaS precum Salesforce, Workday sau Concur. Iar acele aplicații se așteaptă să furnizeze o identitate cloud pentru a le putea accesa. Trebuie să aveți acea identitate de cloud undeva și așa se întâmplă de obicei așa. Microsoft este un exemplu perfect. Dacă doriți să utilizați Office 365, atunci trebuie să furnizați identități în Azure AD. Nu este de ales în acest sens. Așadar, asta îi împing pe oameni să-și obțină AD Azure și apoi, odată ce sunt acolo, poate ei decid că vor să facă o singură conectare la alte aplicații web, la alte aplicații SaaS din cloud și acum sunt în cloud.
- 10 pași esențiali pentru protejarea identității tale online 10 pași esențiali pentru protejarea identității tale online
- Cele mai bune soluții de gestionare a identității pentru 2019 Cele mai bune soluții de gestionare a identității pentru 2019
- 7 pași pentru minimizarea fraudei CEO și spargerea identității 7 pași pentru minimizarea fraudei CEO și spargerea identității
PCM: Există mari predicții pentru viitorul IDM sau guvernare?
DME: Oamenii nu se gândesc încă la guvernarea identității hibride sau la IDM-ul hibrid ca pe un singur lucru. Cred că asta trebuie să se întâmple, fie că sunt împinși acolo de regulamente sau vânzătorii cresc și furnizează acea soluție de guvernare a identității end-to-end pentru acele lumi hibride. Cred că oricare dintre cele două va trebui să se întâmple în mod inevitabil, iar oamenii vor trebui să rezolve probleme precum separarea atribuțiilor între identitatea hibridă și gestionarea accesului. Cred că acesta este probabil cel mai inevitabil rezultat care se va întâmpla mai devreme decât mai târziu.
