Čo je softvér na správu identity a prístupu (IAM).

Systém Identity Access Management (IAM) uľahčuje správu elektronickej identity. Rámec zahŕňa potrebnú technológiu na podporu správy identít v cloude.

Technológia IAM sa môže použiť na automatické spúšťanie, zaznamenávanie, zaznamenávanie a spravovanie identít používateľov a ich zodpovedajúcich prístupových oprávnení. To zaisťuje, že prístupové privilégiá sú udelené podľa výkladu politiky, čím sa zaisťuje, že všetci jednotlivci a služby sú riadne overené a autorizované na prístup. Je to dôležitá súčasť zabezpečenia cloudu.

Prečo potrebujete softvér IAM

Udržiavanie potrebného toku obchodných údajov a zároveň riadenie prístupu si vždy vyžadovalo administratívnu pozornosť, a teda aj veľa času. A keďže sa podnikové IT prostredie neustále vyvíja, výzvy sa v poslednom čase zvýšili rušivé trendy, ako napríklad priniesť svoje zariadenie (BYOD), cloud computing, mobilné aplikácie a čoraz mobilnejšie pracovnej sily.

Okrem toho tam boli zvýšený počet prípadov narušenia bezpečnosti dát v cloude keďže stále viac zariadení a služieb je spravovaných ako kedykoľvek predtým, s rôznymi súvisiacimi požiadavkami na prístupové privilégiá.

Keďže zamestnanci migrujú cez rôzne roly v rámci organizácie, sledujú oveľa viac, správa identít a prístupu sa stáva náročnejšou. Bežným problémom je, že privilégiá sa udeľujú, keď sa zmenia povinnosti zamestnanca, ale eskalácia úrovne prístupu sa neodvolá, keď už nie je potrebná.

V tejto situácii zamestnanec získava nadmernú úroveň privilégií získaním dodatočného prístupu k informáciám pri zmene rolí bez toho, aby boli odvolané jeho predchádzajúce oprávnenia. Toto je známe ako 'privilégové creep'.

To vytvára bezpečnostné riziko dvoma rôznymi spôsobmi. Po prvé, zamestnanec s oprávneniami nad rámec toho, čo sa vyžaduje, môže pristupovať k aplikáciám a údajom neoprávneným a potenciálne nezabezpečeným spôsobom. Po druhé, ak útočník získa prístup k účtu používateľa s nadmernými oprávneniami, môže spôsobiť väčšie škody, ako sa očakávalo. Ktorýkoľvek z týchto scenárov môže viesť k strate alebo krádeži údajov.

Zvyčajne je akumulácia privilégií pre zamestnanca alebo organizáciu málo užitočná. V najlepšom prípade je vhodné, keď je zamestnanec požiadaný, aby vykonal neočakávané úlohy. Na druhej strane by to útočníkovi mohlo značne uľahčiť kompromitáciu firemných údajov kvôli príliš privilegovaným zamestnancom.

Zlé riadenie prístupu tiež často vedie k tomu, že jednotlivci si ponechajú svoje privilégiá aj po tom, čo už nie sú zamestnaní v spoločnosti.

Jedným z hlavných obmedzení je, že môže byť náročné získať financie na projekty IAM, pretože priamo nezvyšujú ziskovosť alebo funkčnosť. Stáva sa to aj pri iných cloudových bezpečnostných aplikáciách, ako napr Cloud Security Posture Management (CSPM) softvér.

Tento nezáujem o bezpečnosť však predstavuje značné riziko pre dodržiavanie predpisov a celkovú bezpečnosť organizácie. Tieto problémy so zlým riadením zvyšujú riziko ďalších škôd spôsobených vonkajšími aj vnútornými hrozbami.

Čo by mal obsahovať softvér IAM?

Riešenia IAM musia automatizovať spustenie, zachytenie, registráciu a správu identít používateľov a zodpovedajúcich prístupových povolení. Produkty musia zahŕňať centralizovanú adresárovú službu, ktorá sa rozširuje s rastom firmy. Tento centrálny adresár zabraňuje náhodnému prihlasovaniu poverení do súborov a poznámok, keď sa zamestnanci pokúšajú vyrovnať s nahrávaním viacerých hesiel do rôznych systémov.

Softvér IAM by preto mal zjednodušiť proces poskytovania používateľov a nastavenia účtu. Produkt by mal skrátiť čas potrebný na kontrolovaný pracovný postup, ktorý znižuje chyby a potenciálne zneužitie a zároveň umožňuje automatizované účtovníctvo. Softvér IAM by tiež mal správcom umožniť okamžité zobrazenie a zmenu prístupových práv.

Systém prístupových práv/privilégií v rámci centrálneho adresára by sa mal automaticky zhodovať s pracovným názvom zamestnancov, umiestnením a ID obchodnej jednotky, aby automaticky spracovával požiadavky na prístup. Tieto bity informácií pomáhajú klasifikovať požiadavky na prístup zodpovedajúce existujúcim pozíciám pracovníkov.

V závislosti od zamestnanca môžu byť niektoré práva spojené s jeho úlohou a poskytované automaticky, zatiaľ čo iné môžu byť povolené na požiadanie. V niektorých prípadoch môže systém vyžadovať určité revízie prístupu, zatiaľ čo iné žiadosti môžu byť zamietnuté úplne, s výnimkou prípadu zrieknutia sa práv. Napriek tomu by mal systém IAM zvládnuť všetky variácie automaticky a primerane.

Softvér IAM by mal vytvoriť pracovné postupy na správu žiadostí o prístup s možnosťou viacerých fáz kontroly s požiadavkami na schválenie pre každú žiadosť. Tento mechanizmus môže uľahčiť zriadenie rôznych procesov posudzovania zodpovedajúcich riziku pre prístup na vyššej úrovni a preskúmanie existujúcich práv, aby sa predišlo šíreniu privilégií.

Akí sú niektorí populárni poskytovatelia IAM?

Dell One Identity Manager kombinuje jednoduchosť inštalácie, konfigurácie a používania. Systém je kompatibilný s databázovými systémami Oracle a Microsoft SQL. Podľa spoločnosti Dell sa samoobslužný produkt používa tak ľahko, že zamestnanci môžu riadiť všetky fázy životného cyklu IAM bez toho, aby potrebovali pomoc od oddelenia IT. Produktový rad zahŕňa aj Cloud Access Manager, ktorý umožňuje funkcie jednotného prihlásenia pre rôzne scenáre prístupu k webovým aplikáciám.

BIG-IP Access Policy Manager od F5 Networks má vysoko cenený servis a podporu. Softvér je súčasťou viacvrstvového prepínacieho systému BIG-IP, ktorý je k dispozícii na zariadení a virtualizovaných systémoch. Policy Manager umožňuje prístup HTTPS cez všetky webové prehliadače, čím šetrí čas pri konfigurácii pracovných staníc.

SSRM (Samoobslužná správa hesla na obnovenie) od Tools4ever, je vysoko hodnotená pre jednoduchú inštaláciu, konfiguráciu, správu a servis. Nástroj umožňuje správcom vytvoriť pre používateľov vlastný odkaz „Zabudnuté heslo“ a určiť počet bezpečnostných otázok. Ukázalo sa, že tento samoobslužný nástroj na vytváranie hesiel znižuje potrebu volaní na obnovenie hesla až o 90 percent.

IBM Security Identity Manager je navrhnutý tak, aby sa dal rýchlo a jednoducho implementovať a aby bol kompatibilný s inými produktmi. Softvér podporuje Microsoft Windows Server, SUSE Linux Enterprise Server, Red Hat Enterprise Linux a IBM AIX a najbežnejšie operačné systémy, emailové systémy, ERP systémy, a cloudové aplikácie ako napr Salesforce.com.

Zahrnutá súprava nástrojov zjednodušuje integráciu vlastných aplikácií. Vytváranie a úprava používateľských oprávnení sú automatizované prostredníctvom systému založeného na pravidlách. Prístupové práva je možné pridávať alebo odoberať jednotlivým používateľom na základe zmien v obchodných funkciách automaticky. Môže tiež použiť povolenia pre skupiny.

Stojí za zmienku, že niektoré cloudové bezpečnostné softvéry obsahujú technológie IAM. Tie obsahujú Sprostredkovatelia zabezpečenia cloudového prístupu (CASB) ktoré prichádzajú s priradením poverení a prihlásením na autentifikáciu, ako aj s vytvorením profilu a tokenizáciou.

Sú aplikácie IAM pre vás?

Nedostatočne kontrolované procesy IAM môžu viesť k úniku dôverných informácií a prípadom nesúladu.

Predpokladajme napríklad, že vaša organizácia bola auditovaná a vy ste nepreukázali, že údaje vašej organizácie nie sú vystavené riziku zneužitia. V takom prípade by vám orgán auditu mohol dať pokutu, čo vás môže z dlhodobého hľadiska stáť veľa peňazí. Okrem toho skutočný útok na vašu spoločnosť, ktorý zneužil zlý IAM, povedie k skutočnej škode vám a vašim klientom.

Aj keď sa požiadavky na bezpečnosť v jednotlivých spoločnostiach líšia, musíte svoju spoločnosť a údaje svojich zákazníkov chrániť pred únikmi. Koniec koncov, vaši klienti vám zverujú svoje informácie s vedomím, že ich ochránite pred vonkajšími hrozbami.

Jedna vec je však zaručená: investícia do softvéru IAM vás ochráni pred vnútornými hrozbami a narušením súkromia – z dlhodobého hľadiska vám ušetrí peniaze a problémy.

Čo je platforma na ochranu pracovnej záťaže v cloude?

Prečítajte si ďalej

O autorovi