Identity Access Management (IAM) süsteem hõlbustab elektroonilist identiteedihaldust. Raamistik sisaldab pilves identiteedihalduse toetamiseks vajalikku tehnoloogiat.
IAM-tehnoloogiat saab kasutada kasutaja identiteedi ja neile vastavate juurdepääsulubade automaatseks algatamiseks, hõivamiseks, salvestamiseks ja haldamiseks. See tagab juurdepääsuõiguste andmise vastavalt poliitika tõlgendusele, tagades, et kõik isikud ja teenused on nõuetekohaselt autentitud ja juurdepääsuks volitatud. See on pilveturbe oluline osa.
Miks vajate IAM-i tarkvara?
Vajaliku äriandmete voo säilitamine ja juurdepääsu haldamine on alati nõudnud administratiivset tähelepanu ja seega palju aega. Ja kuna ettevõtte IT-keskkond areneb pidevalt, on väljakutsed viimasel ajal ainult suurenenud häirivad suundumused, näiteks tooge oma seade (BYOD), pilvandmetöötlus, mobiilirakendused ja üha mobiilsemad tööjõudu.
Lisaks on olnud pilveturbe andmete rikkumiste sagenenud juhtumid kuna üha rohkem seadmeid ja teenuseid hallatakse kui kunagi varem, millega kaasnevad erinevad juurdepääsuõigused.
Kuna töötajatel on organisatsioonis erinevaid rolle läbides palju rohkem jälgida, muutub identiteetide ja juurdepääsu haldamine keerulisemaks. Levinud probleem on see, et töötaja tööülesannete muutumisel antakse privileege, kuid juurdepääsutaseme tõstmist ei tühistata, kui seda enam ei vajata.
Sellises olukorras omandab töötaja liigseid privileege, saades täiendava juurdepääsu teabele, kui nad vahetavad rolle ilma eelnevaid volitusi tühistamata. Seda tuntakse kui "privileegide hiilimist".
See tekitab turvariski kahel erineval viisil. Esiteks, töötaja, kellel on nõutavast suuremad õigused, pääseb rakendustele ja andmetele juurde volitamata ja potentsiaalselt ebaturvalisel viisil. Teiseks, kui ründaja pääseb ligi kasutajakontole liigsete õigustega, võib ta tekitada oodatust rohkem kahju. Kõik need stsenaariumid võivad põhjustada andmete kadumise või varguse.
Tavaliselt on privileegide kogumisest töötajale või organisatsioonile vähe kasu. Parimal juhul on mugav, kui töötajal palutakse ootamatuid ülesandeid teha. Teisest küljest võib see palju lihtsamaks muuta ründaja jaoks ettevõtte andmete kahjustamise üleprivilegeeritud töötajate tõttu.
Halb juurdepääsuhaldus viib sageli ka selleni, et inimesed säilitavad oma privileegid pärast seda, kui nad enam ettevõttes ei tööta.
Üks peamisi takistusi on see, et IAM-projektide rahastamise saamine võib olla keeruline, kuna need ei suurenda otseselt kasumlikkust ega funktsionaalsust. See juhtub ka teiste pilveturberakendustega, näiteks rakendusega Cloud Security Posture Management (CSPM) tarkvara.
Selline huvi puudumine turbe vastu seab aga olulisi riske nõuetele vastavusele ja organisatsiooni üldisele turvalisusele. Need halva juhtimisega seotud probleemid suurendavad nii välis- kui ka siseohtudest tuleneva täiendava kahju ohtu.
Mida peaks IAM-i tarkvara sisaldama?
IAM-lahendused peavad automatiseerima kasutajatunnuste ja vastavate juurdepääsulubade algatamise, hõivamise, registreerimise ja haldamise. Tooted peavad sisaldama tsentraliseeritud kataloogiteenust, mis laieneb ettevõtte kasvades. See keskne kataloog takistab mandaatide juhuslikku sisselogimist failidesse ja kleepmärkmetesse, kui töötajad püüavad toime tulla mitme parooli eri süsteemidesse üleslaadimisega.
Seetõttu peaks IAM-tarkvara muutma kasutajate ettevalmistamise ja konto seadistamise lihtsaks. Toode peaks vähendama kuluvat aega kontrollitud töövooga, mis vähendab vigu ja võimalikku kuritarvitamist, võimaldades samas automatiseeritud raamatupidamist. IAM-tarkvara peaks võimaldama ka administraatoritel juurdepääsuõigusi koheselt vaadata ja muuta.
Juurdepääsuõiguste/privileegide süsteem keskkataloogis peaks automaatselt ühtima töötajate ametinimetuse, asukoha ja äriüksuse ID-ga, et juurdepääsutaotlusi käsitleda automaatselt. Need teabebitid aitavad klassifitseerida juurdepääsutaotlusi, mis vastavad olemasolevatele töötajate ametikohtadele.
Olenevalt töötajast võivad mõned õigused olla tema rollile omased ja ette nähtud automaatselt, samas kui teised võidakse nõudmisel lubada. Mõnel juhul võib süsteem nõuda juurdepääsu muutmist, samas kui teised taotlused võidakse täielikult tagasi lükata, välja arvatud loobumise korral. Sellegipoolest peaks IAM-süsteem käsitlema kõiki variatsioone automaatselt ja asjakohaselt.
IAM-tarkvara peaks looma töövood juurdepääsutaotluste haldamiseks, võimaldades ülevaatuste mitut etappi koos iga päringu heakskiitmisnõuetega. See mehhanism võib hõlbustada erinevate riskidele vastavate ülevaatusprotsesside loomist kõrgema taseme juurdepääsu jaoks ja olemasolevate õiguste läbivaatamist, et vältida privileegide hiilimist.
Millised on populaarsed IAM-i pakkujad?
Dell One'i identiteedihaldur ühendab endas paigaldamise, seadistamise ja kasutamise lihtsuse. Süsteem ühildub Oracle ja Microsoft SQL andmebaasisüsteemidega. Delli sõnul on iseteenindustoode nii lihtne kasutada, et töötajad saavad hallata kõiki IAM-i elutsükli etappe ilma IT-osakonna abita. Tootevalikusse kuulub ka Cloud Access Manager, mis võimaldab ühekordse sisselogimise võimalusi erinevate veebirakenduste juurdepääsustsenaariumide jaoks.
BIG-IP juurdepääsupoliitika haldur F5 Networks on kõrgelt hinnatud teenindust ja tuge. Tarkvara on osa BIG-IP mitmekihilisest lülitussüsteemist, mis on saadaval nii seadmes kui ka virtualiseeritud süsteemides. Policy Manager võimaldab HTTPS-i juurdepääsu kõigi veebibrauserite kaudu, säästes aega tööjaamade seadistamiseks.
Tools4everi SSRM (self-service Reset Password Management), on kõrgelt hinnatud lihtsa paigaldamise, seadistamise, haldamise ja teenindamise eest. Tööriist võimaldab administraatoritel luua kasutajatele oma "Unustasid parooli" lingi ja määrata turvaküsimuste arvu. See iseteeninduslik paroolitööriist vähendab parooli lähtestamise kõnede vajadust kuni 90 protsenti.
IBM Security Identity Manager on loodud nii, et seda oleks kiire ja lihtne rakendada ning see ühilduks teiste toodetega. Tarkvara toetab Microsoft Windows Serverit, SUSE Linux Enterprise Serverit, Red Hat Enterprise Linuxit ja IBM-i AIX ja enamlevinud operatsioonisüsteemid, meilisüsteemid, ERP-süsteemid ja pilverakendused, nagu Salesforce.com.
Kaasasolev tööriistakomplekt lihtsustab kohandatud rakenduste integreerimist. Kasutajaõiguste loomine ja muutmine on automatiseeritud reeglipõhise süsteemi kaudu. Juurdepääsuõigusi saab lisada või eemaldada üksikute kasutajate jaoks vastavalt ärifunktsioonide muudatustele automaatselt. See võib taotleda ka rühmade jaoks õigusi.
Tasub mainida, et mõni pilveturbetarkvara sisaldab IAM-tehnoloogiaid. Need sisaldavad Cloud Access Security Brokers (CASB) millega kaasneb mandaatide määramine ja sisselogimine autentimiseks, samuti profiili loomine ja tokeniseerimine.
Kas IAM-i rakendused sobivad teile?
Halvasti kontrollitud IAM-protsessid võivad põhjustada konfidentsiaalse teabe andmelekkeid ja mittevastavuse juhtumeid.
Oletagem näiteks, et teie organisatsiooni auditeeriti ja te ei tõestanud, et teie organisatsiooni andmeid ei ähvarda väärkasutamine. Sel juhul võib auditeerimisasutus teile trahvi määrata, mis võib teile pikas perspektiivis palju raha maksma minna. Lisaks põhjustab tegelik rünnak teie ettevõtte vastu, mis kasutas ära kehva IAM-i, tõelist kahju teile ja teie klientidele.
Kuigi turvanõuded on ettevõteteti erinevad, peate oma ettevõtet ja klientide andmeid kaitsma lekete eest. Lõppude lõpuks usaldavad teie kliendid oma teabe teile, teades, et hoiate seda väliste ohtude eest kaitstuna.
Üks asi on aga garanteeritud: IAM-tarkvarasse investeerimine kaitseb teid siseringi ohtude ja privaatsusrikkumiste eest – säästate pikas perspektiivis raha ja vaeva.
Mis on pilve töökoormuse kaitse platvorm?
Loe edasi
Seotud teemad
- Turvalisus
- Küberturvalisus
Autori kohta
Aleksei on MUO turvasisu kirjutaja. Ta on pärit sõjaväelisest taustast, kus ta omandas kire küberturvalisuse ja elektroonilise sõja vastu.
Liituge meie uudiskirjaga
Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!
Tellimiseks klõpsake siin