וִידֵאוֹ: ª (נוֹבֶמבֶּר 2024)
גניבת זהות היא סוגיה גדולה עבור כולם, אך במיוחד עבור בעלי אבטחת IT. כדי להילחם בבעיה זו, חברות זקוקות לגישה חזקה אך מנוהלת בקפידה ובקרה של ממשל זהות. זה קשה במיוחד מכיוון שזה כרוך בניהול זהיר של מי שיש לו גישה ליישומים ושירותים, ולוודא שמידע נרשם כראוי ונגיש בקלות לאלו הזקוקים לו. אם מישהו שאינו מורשה מתפשר על שער הרשת הפרטית הווירטואלית (VPN) שהחברה שלך משתמשת בה לצורך גישה מרחוק, עליך להתחיל את התיקון שלך על ידי לדעת בדיוק למי יש גישה לשער ומדויק באילו זכויות כל אחד מאותם משתמשים שולט.
ממשל זהות כרוך גם בהקפדה על תקנות המפקחות על פרטיות הנתונים, כולל חוק הניידות וחבות האחריות של ביטוח הבריאות (HIPAA) לנתוני שירותי בריאות וההוראות הכלליות של האיחוד האירופי להגנת נתונים (GDPR). ה- GDPR דורש לאמת את הזהויות ולהתבצע אימות מולטי-פקטורי (MFA) לכל מי הגישה למידע שמאפשר זיהוי אישי (PII). משילות זהות חזקה פירושה גם נקיטת גישה היברידית לניהול זהויות (IDM) בענן ובמקום. גישה היברידית זו לממשל מחייבת שימוש בתהליך אחיד, על פי דארן מר-אליה, ראש המוצר בספק IDM הארגוני Semperis. בכנס ההגנה ההיברידית ההיברידית שנערך לאחרונה בעיר ניו יורק, PCMag הדביק את מר-אליה בכדי לקבל את השימוש בשיטות המומלצות ביותר בתחום ניהול זהויות.
PCMag (PCM): מה כרוך ב- IDM היברידי?
דארן מר-אליה (DME): מערכת IDM היברידית היא רק מערכת זהות שהורחבה מהמקומית לענן, ולרוב היא מיועדת למתן גישה ליישומים מבוססי ענן.
DME: הרבה חברות מנהלות AD ומפעילות אותה במשך שנים. שם מוחזקים שמות המשתמש והסיסמאות שלך, וכאן מוחזקות החברות בקבוצה שלך. כל הדברים האלה יכולים לפלס את הענן לענן, או שתוכל ליצור חשבונות מאפס בענן ועדיין לספירה מקומית. כעת יש לך מערכת זהות מבוססת ענן המעניקה גישה ליישומי ענן, וזו פשוט דרך לספק זהות. במילים אחרות, מי אני ולמה אני מקבל גישה בסביבת ענן, בין אם זה Microsoft Azure או Amazon, או מה שזה לא יהיה.
PCM: היכן משמש לוח המחוונים של התוכנה בפועל לניהול סוג זה של ממשל?
DME: מיקרוסופט כמובן מספקת פורטל ניהול לניהול זהויות ענן. יש גם מקומי מקומי המאפשר לך לבצע את הסנכרון הזה עד ל- Microsoft Azure Active Directory; אז אתה שולט ביצירה הזו. זו חתיכת תוכנה שהיית מפעיל ומנהלת, דאג שהיא עובדת וכל זה. תלוי בכמות הגמישות שאתה צריך, אתה יכול לעשות הכי הרבה מהפורטל שלהם. ברור שהוא פועל בענן של מיקרוסופט וזה נותן לך נוף של הדייר שלך. אז יש לך דייר המגדיר את כל המשתמשים שלך ואת כל הגישה שלך לאפליקציות.
PCM: לאילו סוגים של אפליקציות אתה צריך לנהל גישה?
DME: במקרה של מיקרוסופט, אתה יכול לנהל גישה ליישומי Office כמו Exchange, SharePoint ו- OneDrive. אלה האפליקציות שבדרך כלל היית מנהל בסביבה זו. וניהול פירושו מתן גישה, נניח, לתיבת הדואר של מישהו כדי להיות מסוגל לשלוח בשם משתמש אחר או להיות מסוגל לבצע דיווח. לדוגמה, אתה יכול לראות כמה הודעות נשלחו דרך המערכת שלי ולאן נשלחו. במקרה של SharePoint, יתכן שמדובר בהגדרת אתרים דרכם אנשים יכולים לשתף פעולה או לציין מי יוכל להעניק גישה למידע זה.
PCM: מהם האתגרים העיקריים בהתמודדות עם IDM בענן לעומת מקומי?
DME: אני חושב שהאתגר הגדול הוא היכולת לעשות זאת בעקביות גם בענן וגם במקומי. אז האם יש לי גישה נכונה במקום ובענן? האם יש לי יותר מדי גישה בענן לעומת מה שיש לי במקום? לכן סוג כזה של פער בין מה שאני יכול לעשות במקום ובין מה שאני יכול לעשות בענן חשוב לעקוב אחריו.
PCM: מה הדרך הטובה ביותר ליצור איזון בין IDM מקומי לבין מה שאני עושה בענן?
DME: בין אם זה הקצאת משתמשים, ניהול גישה למשתמשים או אישור משתמשים, כל הדברים האלה צריכים לקחת בחשבון את העובדה שאתה עשוי להיות בזהויות ענן מרובות בנוסף למקומות אחרים. לכן, אם אני בודק גישה, זה לא אמור להיות רק מהדברים שיש לי גישה אליהם במקום. זה אמור להיות, למה יש לי גישה בענן אם אני מבצע אירוע הקצאה? אם אני בפונקציית העבודה של משאבי אנוש (HR), תהיה לי גישה ליישומים בחצרים כמו בענן. כשאני מקבל תנאי לפונקציה זו, הייתי צריך לקבל את כל הגישה הזו. כשאני משנה פונקציות של משרה, עלי לסלק את כל הגישה הזו לפונקציית המשרה, וזה מקומי וענן. זה האתגר.
PCM: איזה תפקיד ממלאת למידת מכונה (ID) בזהות IDM או זהות היברידית?
DME: לספקי זהות ענן יש ראות לגבי מי שמתחבר, מאיפה הם נכנסים, ובאיזו תדירות הם נכנסים. הם משתמשים ב- ML במערכות הנתונים הגדולות הללו כדי שיוכלו להסיק דפוסים על פני הדיירים השונים. כך, למשל, האם קיימים כניסות חשודות בתוך הדייר שלך; האם המשתמש מתחבר מניו יורק ואז חמש דקות מאוחר יותר מברלין? זוהי בעיית ML בעצם. אתה מייצר נתוני ביקורת בכל פעם שמישהו מתחבר, ואתה משתמש בדגמי מכונה כדי בעצם לתאם דפוסים שעלולים להיות חשודים. קדימה, אני חושב ש- ML יוחל על תהליכים כמו ביקורות על גישה בכדי שיוכלו להסיק את ההקשר לבחינת גישה לעומת סתם לתת לי רשימת קבוצות שאני נמצא בהן ולהגיד "כן, אני צריך להיות בקבוצה זו "או" לא, אני לא אמור להיות בקבוצה הזו. " אני חושב שזו בעיה בסדר גודל שככל הנראה תיפתר בסופו של דבר, אבל זה תחום שבו אני חושב ש- ML יעזור.
PCM: האם מבחינת ML עוזר ב- IDM היברידי, האם זה אומר שהוא עוזר גם במקום וגם בענן?
DME: במידה מסוימת, זה נכון. ישנם מוצרים טכנולוגיים מסוימים בחוץ שיאספו, למשל, ביקורת או אינטראקציות בין מודעות בין מודעות מקומיות לבין נתוני זהות ענן, ויוכלו להעלות את אותם המידע עם אותו סוג של רשימת סיכונים בה יש כניסות חשודות במקום. לספירה או בענן. אני לא חושב שזה מושלם היום. אתה רוצה לצייר תמונה המציגה שינוי קונטקסטואלי חלק. אם אני משתמש במודעות מקומיות מקוונות, רוב הסיכויים שאם אני מתפשרת, אני עלול להתפשר גם באתר וגם ב- Azure AD. אני לא יודע שהבעיה הזו עדיין נפתרה לגמרי.
PCM: דיברת על "הקצאת גמילה". מה זה ואיזה תפקיד זה ממלא ב- IDM היברידי?
DME: הקצאת תגלית היא פשוט הגישה שעובדים חדשים מקבלים כאשר הם מצטרפים לחברה. הם מקבלים חשבון עם חשבון ואיזו גישה הם מקבלים, ואיפה הם מקבלים הפרשה. בחזרה לדוגמה הקודמת שלי, אם אני איש משאבי אנוש שמצטרף לחברה, אני נוצר מודעות לספירה. אני כנראה אקבל Azure AD, אולי באמצעות סנכרון אבל אולי לא, ואשיג גישה למערכת של דברים שיעשו את העבודה שלי. הם עשויים להיות אפליקציות, יתכן שהם שיתופי קבצים, הם עשויים להיות אתרי SharePoint או שהם תיבות דואר של Exchange. כל ההקצאה ומתן הגישה צריכים לקרות כשאני מצטרף. זה בעצם הקצאת תגלית.
PCM: דיברת גם על מושג שנקרא "הטבעה גומי". כיצד זה פועל?
DME: התקנות של הרבה חברות הנסחרות בפומבי אומרות כי עליהן לבדוק גישה למערכות קריטיות המכילות דברים כמו מידע אישי, נתוני לקוחות ומידע רגיש. אז אתה צריך לבדוק את הגישה על בסיס תקופתי. בדרך כלל זה רבעוני אבל זה תלוי בתקנה. אך בדרך כלל הדרך שעובדת היא שיש לך אפליקציה שמייצרת את ביקורות הגישה האלה, שולחת רשימת משתמשים בקבוצה מסוימת למנהל שאחראי על אותה קבוצה או אפליקציה ואז אותו אדם צריך לאשר שכל אותם משתמשים עדיין שייכים לקבוצה ההיא. אם אתה מייצר הרבה כאלה ומנהל עובד מדי, זה תהליך לא מושלם. אתה לא יודע שהם בודקים את זה. האם הם בוחנים את זה בצורה יסודית ככל שהם צריכים? האם באמת אנשים אלה עדיין זקוקים לגישה? וזה מה שהטבעת גומי. אז אם אתם לא ממש שמים לב לזה, זה נוטה להיות רק בדיקה שמציינת "כן, עשיתי את הסקירה, זה נעשה, הוצאתי את זה מהשיער, " לעומת להבין באמת אם הגישה היא עדיין זקוק.
PCM: האם ביקורות על גוש הטבעה על גומי הן בעיה או שמא מדובר רק ביעילות?
DME: אני חושב שזה גם וגם. אנשים עובדים מדי. הם זורקים לעברם המון דברים, ואני חושד שזה תהליך קשה לשמור עליהם בנוסף לכל מה שעושה. אז אני חושב שזה נעשה מסיבות רגולטוריות, שאני מסכים איתן לחלוטין ואני מבין. אבל אני לא יודע אם זו בהכרח הגישה הטובה ביותר או השיטה המכנית הטובה ביותר לביצוע ביקורות גישה.
PCM: כיצד חברות מתמודדות עם גילוי תפקידים?
DME: ניהול גישה מבוססת תפקידים הוא רעיון זה שאתה מקצה גישה על סמך תפקיד המשתמש בארגון. אולי זה התפקיד העסקי של האדם או תפקידו של האדם. זה יכול להיות מבוסס על כותרת הפרט. גילוי תפקידים הוא תהליך הניסיון לגלות אילו תפקידים עשויים להתקיים באופן טבעי בארגון על סמך האופן בו ניתנת כיום גישה לזהות. לדוגמא, אני יכול לומר שאיש HR זה חבר בקבוצות אלה; לפיכך, לתפקיד של אנשי משאבי אנוש צריכה להיות גישה לקבוצות אלה. ישנם כלים שיכולים לעזור בזה, בעיקרון בניית תפקידים על בסיס הגישה הקיימת שניתנה בסביבה. וזה תהליך גילוי התפקידים שאנחנו עוברים כשאתה מנסה לבנות מערכת ניהול גישה מבוססת תפקידים.
PCM: האם יש לך טיפים שאתה יכול לספק לעסקים קטנים ובינוניים (SMB) כיצד לגשת ל- IDM היברידי?
DME: אם אתה SMB, אני חושב שהמטרה היא לא לחיות בעולם זהות היברידי. המטרה היא להגיע לזהות ענן בלבד ולנסות להגיע לשם כמה שיותר מהר. עבור SMB, המורכבות של ניהול זהות היברידית אינה עסק שהם רוצים להיות בו. זה ספורט עבור ארגונים גדולים באמת שצריכים לעשות את זה מכיוון שיש להם כל כך הרבה דברים מקומיים. בעולם SMB, אני חושב שהמטרה צריכה להיות "איך אוכל להגיע למערכת זהות בענן מוקדם יותר מאשר מאוחר יותר? כיצד אוכל לצאת מהעסק המקומי מוקדם יותר מאשר מאוחר יותר?" זו כנראה הגישה המעשית ביותר.
PCM: מתי חברות היו משתמשות בהיברידי לעומת רק מקומי או סתם בענן?
DME: אני חושב שהסיבה הגדולה ביותר לכך שהכלאה קיימת היא מכיוון שיש לנו ארגונים גדולים יותר עם הרבה טכנולוגיות מדור קודם במערכות זהות מקומיות. אם חברה הייתה מתחילה מההתחלה היום… היא לא פורסת את AD כחברה חדשה; הם מסובבים את Google AD באמצעות Google G Suite ועכשיו הם חיים בענן לחלוטין. אין להם תשתית מקומית. להרבה ארגונים גדולים יותר עם טכנולוגיה שקיימת כבר שנים, זה פשוט לא מעשי. אז הם צריכים לחיות בעולם ההיברידי הזה. בין אם הם יגיעו אי פעם לענן בלבד, זה כנראה תלוי במודל העסקי שלהם וכמה עדיפות היא להם ואילו בעיות הם מנסים לפתור. כל מה שנכנס לזה. אבל אני חושב שעבור הארגונים האלה הם יהיו בעולם היברידי הרבה זמן.
PCM: מה תהיה דרישה עסקית שתדחוף אותם לענן?
DME: יישום טיפוסי דומה לאפליקציה עסקית שנמצאת בענן, אפליקציית SaaS כמו Salesforce, Workday או Concur. ויישומים אלה מצפים לספק זהות ענן בכדי שיוכלו לתת להם גישה. צריך להיות זהות ענן איפשהו, וכך בדרך כלל זה קורה. דוגמה מושלמת של מיקרוסופט. אם אתה רוצה להשתמש ב- Office 365, עליך לספק זהויות ל- Azure AD. אין ברירה. אז זה דוחף אנשים לקבל את Azure AD שלהם ואז, ברגע שהם יהיו שם, אולי הם מחליטים שהם רוצים לבצע כניסה יחידה לאפליקציות אינטרנט אחרות, לאפליקציות SaaS אחרות בענן, ועכשיו הן בענן.
- 10 שלבים חיוניים להגנה על זהותך ברשת 10 שלבים חיוניים להגנה על זהותך ברשת
- הפתרונות הטובים ביותר לניהול זהויות לשנת 2019 הפתרונות הטובים ביותר לניהול זהויות לשנת 2019
- 7 שלבים למזעור הונאה ומנפיק זיוף של מנכ"ל 7 שלבים למזעור הונאה ומרמה של זיהוי מנכ"ל
PCM: תחזיות גדולות לעתיד IDM או ממשל?
DME: אנשים עדיין לא חושבים על ממשל זהות היברידית או IDM היברידי כדבר יחיד. אני חושב שזה צריך לקרות, בין אם הם נדחפים לשם על ידי תקנות ובין אם הספקים מתגברים ומספקים את אותו פיתרון ממשל זהות מקצה לקצה עבור אותם עולמות היברידיים. אני חושב שאחד מהם בהכרח יצטרך לקרות, ואנשים יצטרכו לפתור בעיות כמו הפרדת תפקידים על פני זהות היברידית וניהול גישה. אני חושב שזו כנראה התוצאה הכי בלתי נמנעת שתתרחש במוקדם ולא במאוחר.
