Відео: unboxing turtles slime surprise toys learn colors (Вересень 2024)
Викрадання особистих даних є великою проблемою для всіх, але особливо для тих, хто в ІТ-безпеці. Для боротьби з цією проблемою компаніям потрібен чіткий, але ретельно керований і контрольований підхід до управління ідентичністю. Це особливо складно, оскільки це передбачає ретельне управління тим, хто має доступ до додатків та послуг, та переконання, що інформація належним чином записується та є доступною для тих, хто її потребує. Якщо хтось несанкціоновано порушує шлюз віртуальної приватної мережі (VPN), який ваша компанія використовує для віддаленого доступу, то вам потрібно почати виправлення, точно дізнавшись, хто має доступ до шлюзу та які права контролює кожен з цих користувачів.
Управління ідентичністю також передбачає дотримання норм, що регулюють конфіденційність даних, включаючи Закон про переносимість медичної страховки та підзвітність (HIPAA) щодо даних про охорону здоров’я та Загальний регламент ЄС про захист даних (GDPR). GDPR вимагає, щоб особистість була перевірена і встановлено багатофакторну автентифікацію (MFA) для всіх, хто отримує доступ до будь-якої особистої інформації (PII). Потужне управління ідентичністю також означає використання гібридного підходу до управління ідентичністю (IDM) у хмарі та локально. Цей гібридний підхід до управління вимагає використання єдиного процесу, за словами Даррена Мар-Елія, керівника продукту на підприємстві постачальника IDM IDM Semperis. На нещодавній конференції з питань захисту гібридної ідентичності в Нью-Йорку, PCMag наздогнав Мар-Елію, щоб перейняти найкращі практики управління ідентичністю.
PCMag (PCM): Що означає гібридна IDM?
Даррен Мар-Елія (DME): Гібридна система IDM - це лише система ідентичності, яка поширюється від локальної до хмарної області, і зазвичай вона надає доступ до хмарних додатків.
DME: Дуже багато компаній керують AD і роблять це протягом багатьох років. Ось де зберігаються ваші імена користувачів та паролі, і саме там проводяться ваші членські групи. Весь цей матеріал може пробитися до хмари, або ви можете створювати облікові записи з нуля в хмарі і все ще мати локальну рекламу. Тепер у вас є хмарна система ідентичності, яка надає доступ до хмарних додатків, і це лише спосіб надання ідентичності. Іншими словами, хто я та до чого я можу отримати доступ у хмарному середовищі, будь то Microsoft Azure чи Amazon, або що б там не сталося.
PCM: Де використовується фактична інформаційна панель програмного забезпечення для управління таким типом управління?
DME: Microsoft, звичайно, пропонує портал управління для управління хмарними ідентифікаціями. Існує також локальний фрагмент, який дозволяє зробити цю синхронізацію до Microsoft Azure Active Directory; тож ви керуєте цим твором. Це програмне забезпечення, яке ви б запустили та керували, переконайтеся, що воно працює і все таке. Залежно від того, яка гнучкість вам потрібна, ви можете найбільше зробити з їх порталу. Він, очевидно, працює в хмарі Microsoft, і це дає вам уявлення про вашого орендаря. Отже, у вас є орендар, який визначає всіх ваших користувачів і весь ваш доступ до програм.
PCM: До яких типів додатків вам потрібно керувати доступом?
DME: У випадку з Microsoft ви можете керувати доступом до таких програм Office, як Exchange, SharePoint та OneDrive. Це програми, якими ти зазвичай керуєш у цьому середовищі. А керування означає надання доступу до, скажімо, чиєїсь поштової скриньки, щоб можна було надсилати від імені іншого користувача або мати можливість робити звіт. Наприклад, ви можете переглянути, скільки повідомлень було надіслано через мою систему та куди вони були надіслані. У випадку SharePoint це може бути налаштування сайтів, через які люди можуть співпрацювати, або вказувати, хто може надати доступ до цієї інформації.
PCM: Які основні проблеми у вирішенні IDM у хмарі порівняно з локальними?
DME: Я думаю, що велике завдання полягає в тому, щоб зробити це послідовно як у хмарі, так і локально. Отже, чи маю я правильний доступ у приміщенні та у хмарі? Чи є у мене занадто великий доступ у хмарі порівняно з тим, що я маю на місці? Тож важливо слідкувати за такою невідповідністю між тим, що я можу робити у приміщеннях, і тим, що можу робити у хмарі.
PCM: Який найкращий спосіб досягти балансу між локальним IDM та тим, що я роблю у хмарі?
DME: Незалежно від забезпечення користувачем, керування доступом до користувачів або сертифікації користувача, усі ці речі повинні враховувати той факт, що ви, можливо, перебуваєте в декількох хмарних ідентифікаціях на додаток до приміщень. Отже, якщо я роблю перевірку доступу, це не має бути лише тим, до чого я маю доступ. Крім того, має бути те, до чого я маю доступ у хмарі, якщо роблю резерв? Якщо я буду в роботі з персоналом (HR), я матиму доступ до додатків як у приміщенні, так і в хмарі. Коли я переходжу на цю функцію, я повинен мати мені весь доступ. Коли я змінюю функції завдання, у мене повинен бути видалений весь доступ до цієї функції завдання, і це локально і в хмарі. Це виклик.
PCM: Яку роль відіграє машинне навчання (ML) в IDM або гібридній ідентичності?
DME: Провайдери ідентичності хмари мають можливість бачити, хто входить, звідки вони входять, і як часто вони входять. Вони використовують ML для цих великих наборів даних, щоб мати змогу виводити шаблони для цих різних орендарів. Наприклад, чи є підозрілі входи в систему вашого орендаря; чи користувач увійшов з Нью-Йорка, а потім через п’ять хвилин з Берліна? Це по суті проблема ML. Ви генеруєте безліч аудиторських даних кожного разу, коли хтось входить, і ви використовуєте машинні моделі, щоб в основному співвіднести шаблони, які можуть бути підозрілими. Ідучи вперед, я думаю, що ML буде застосовано до таких процесів, як огляди доступу, щоб можна було зробити висновок про огляд доступу, а не просто дати мені список груп, в яких я перебуваю, і сказати "так, я повинен бути в цій групі" "або" ні, я не повинен бути в цій групі ". Я думаю, що це проблема вищого порядку, яка, ймовірно, буде вирішена врешті-решт, але це сфера, де я думаю, що ML допоможе.
PCM: Наскільки ML допомагає в гібридній IDM, чи означає це, що вона допомагає як у приміщенні, так і в хмарі?
DME: Певною мірою це правда. Існують спеціальні технологічні продукти, які збирають, наприклад, дані аудиту або взаємодії AD між локальною AD, а також хмарними ідентифікаційними даними, і зможуть викривати їх тим самим видом списку ризиків, коли підозрілі входи в локальну систему AD або в хмарі. Я не думаю, що це сьогодні ідеально. Ви хочете намалювати картину, на якій зображено безшовну зміну контексту. Якщо я користувач локальної AD, то, якщо я зірваний, то, можливо, я можу бути порушеним як в локальній, так і в Azure AD. Я не знаю, що ця проблема ще повністю вирішена.
PCM: Ви говорили про "забезпечення права народження". Що це, і яку роль відіграє ця гібридна IDM?
DME: Надання права на народження - це просто доступ, який отримують нові працівники, коли вони приєднуються до компанії. Вони отримують доступ до облікового запису та доступу, який вони отримують, і де вони отримують доступ. Повертаючись до мого попереднього прикладу, якщо я людина, яка приєднується до компанії, приєднується до компанії, я створюю AD. Я, мабуть, отримаю Azure AD, можливо, через синхронізацію, але, можливо, ні, і я отримаю доступ до набору речей, щоб виконувати свою роботу. Це можуть бути додатки, вони можуть бути спільними файлами, вони можуть бути сайтами SharePoint або поштовими скриньками Exchange. Все це надання та надання доступу має відбутися, коли я приєднаюся. Це по суті є забезпеченням первісного права.
PCM: Ви також говорили про концепцію, яка називається "штампування гумою". Як це працює?
DME: Положення для багатьох компаній, що торгуються комерційною компанією, стверджують, що вони повинні переглянути доступ до критичних систем, що містять такі речі, як особиста інформація, дані клієнтів та конфіденційна інформація. Тому вам доведеться періодично переглядати доступ. Зазвичай це щоквартально, але це залежить від регулювання. Але типово, як це працює, у вас є додаток, який генерує ці огляди доступу, надсилає список користувачів у певній групі менеджеру, який відповідає за цю групу чи додаток, і тоді ця особа повинна підтвердити, що всі ці користувачі все ще належать до тієї групи. Якщо ви генеруєте багато з них, і менеджер перевантажений, це недосконалий процес. Ви не знаєте, що вони це рецензують. Чи переглядають вони це так ретельно, як потрібно? Чи справді цим людям все ще потрібен доступ? І ось що тиснення гумою. Отже, якщо ви насправді не звертаєте на це уваги, це, як правило, лише чек із зазначенням "Так, я зробив огляд, це зроблено, я його вивів з волосся", на відміну від того, щоб зрозуміти, чи є доступ ще потрібні.
PCM: Чи оглядає доступ до штампування гуми проблемою чи це лише питання ефективності?
DME: Я думаю, що це і те, і інше. Люди перевантажені роботою. Вони на них кидають багато речей, і я підозрюю, що це важкий процес залишатися на вершині, крім того, що ще роблять. Тож я думаю, що це робиться з регуляторних причин, з якими я повністю згоден і я розумію. Але я не знаю, чи це обов'язково найкращий підхід чи найкращий механічний метод для огляду доступу.
PCM: Як компанії займаються виявленням ролей?
DME: Управління доступом на основі ролей - це ідея, яку ви призначаєте на основі ролі користувача в організації. Можливо, це ділова функція особи або робота людини. Це може базуватися на назві особи. Рольове відкриття - це процес спроби виявити, які ролі можуть природно існувати в організації на основі того, як сьогодні надається доступ до ідентичності. Наприклад, я можу сказати, що ця людина, що працює з персоналом, є членом цих груп; отже, роль людини з персоналу повинна мати доступ до цих груп. Є інструменти, які можуть допомогти у цьому, в основному будуючи ролі на основі наявного доступу, що надається в навколишньому середовищі. І це процес виявлення ролей, який ми проходимо, коли ви намагаєтесь створити систему управління доступом на основі ролей.
PCM: Чи є які-небудь поради, які ви можете надати малим та середнім підприємствам щодо підходу до гібридного IDM?
DME: Якщо ви SMB, я думаю, що мета - не жити в гібридному світі ідентичності. Мета - дістатись лише до хмарної ідентичності та спробувати якомога швидше потрапити туди. Для SMB, складність управління гібридною ідентичністю не є бізнесом, у якому вони хочуть займатися. Це спорт для дійсно великих підприємств, які мають це робити, оскільки у них стільки локальних речей. У світі SMB я думаю, що мета повинна бути "Як мені швидше, ніж пізніше потрапити до хмарної системи ідентичності? Як я можу швидше вийти з локального бізнесу?" Це, мабуть, самий практичний підхід.
PCM: Коли компанії будуть використовувати гібридні по відношенню лише до локальних або просто хмарних?
DME: Я думаю, що найбільшою причиною існування гібриду є те, що у нас є більші організації, що мають багато застарілих технологій у локальних системах ідентичності. Якщо сьогодні компанія починала з нуля … вони не розгортають AD як нову компанію; вони обертаються Google AD з Google G Suite, і тепер вони живуть у хмарі повністю. У них немає локальної інфраструктури. Для багатьох великих організацій з технологіями, які існують роками, це просто не практично. Тож їм доводиться жити в цьому гібридному світі. Чи потраплять вони лише до хмари, це, мабуть, залежить від їхньої бізнес-моделі та того, яка пріоритетність для них є та які проблеми вони намагаються вирішити. Все, що впадає в це. Але я думаю, що для цих організацій вони ще довго будуть у гібридному світі.
PCM: Яка була б бізнес-вимога, яка підштовхнула б їх до хмари?
DME: Типовий такий, як бізнес-додаток, що знаходиться у хмарі, SaaS-додаток, наприклад Salesforce, Workday або Concur. І ці програми очікують надання хмарної ідентичності, щоб мати змогу надати їм доступ. Ви повинні мати таку ідентичність хмари десь, і так зазвичай це відбувається. Microsoft - прекрасний приклад. Якщо ви хочете використовувати Office 365, вам слід вказати ідентичності в Azure AD. Вибору в цьому немає. Тож це підштовхує людей отримати Azure AD, а потім, коли вони там, можливо, вони вирішать, що хочуть зробити єдиний вхід в інші веб-програми, інші програми SaaS у хмарі, а тепер вони в хмарі.
- 10 найважливіших кроків щодо захисту вашої особистості в Інтернеті 10 важливих кроків щодо захисту вашої особистості в Інтернеті
- Найкращі рішення з управління ідентичністю на 2019 рік. Найкращі рішення з управління ідентичністю на 2019 рік
- 7 кроків до мінімізації шахрайства з підробкою генерального директора та посвідчення особи 7 кроків до мінімізації шахрайства та підробки особи
PCM: Будь-які великі прогнози щодо майбутнього IDM або управління?
DME: Люди ще не думають про гібридне управління ідентичністю або гібридний IDM як єдину річ. Я думаю, що це має відбутися, чи то їх підписуватимуть правила, чи продавці посилюються та надають це рішення про управління цілковитою ідентичністю для цих гібридних світів. Я думаю, що це станеться неминуче, і людям доведеться вирішувати такі проблеми, як розподіл обов'язків по гібридній ідентичності та управління доступом. Я думаю, що це, мабуть, самий неминучий результат, який відбудеться швидше, ніж пізніше.
