Co je software pro správu identit a přístupu (IAM).

Systém správy přístupu k identitě (IAM) usnadňuje správu elektronické identity. Rámec obsahuje nezbytnou technologii pro podporu správy identit v cloudu.

Technologie IAM může být použita k automatickému inicializaci, zachycení, záznamu a správě uživatelských identit a jejich odpovídajících přístupových oprávnění. To zajišťuje, že přístupová oprávnění jsou udělena v souladu s výkladem zásad, což zajišťuje, že všichni jednotlivci a služby jsou řádně autentizováni a oprávněni k přístupu. Je důležitou součástí zabezpečení cloudu.

Proč potřebujete software IAM

Udržování nezbytného toku obchodních dat a zároveň správa přístupu vždy vyžadovalo administrativní pozornost, a tedy spoustu času. A protože podnikové IT prostředí se neustále vyvíjí, problémy se v poslední době zvýšily rušivé trendy, jako je přinést své zařízení (BYOD), cloud computing, mobilní aplikace a stále mobilnější pracovní síla.

Kromě toho došlo k zvýšený počet případů narušení bezpečnosti cloudových dat protože stále více zařízení a služeb je spravováno než kdykoli předtím, s různými souvisejícími požadavky na přístupová oprávnění.

Vzhledem k tomu, že při migraci zaměstnanců přes různé role v rámci organizace lze sledovat mnohem více, je správa identit a přístupu náročnější. Běžným problémem je, že oprávnění jsou udělena, když se změní povinnosti zaměstnance, ale eskalace úrovně přístupu není odvolána, když již není potřeba.

V této situaci zaměstnanec získává nadměrnou úroveň oprávnění tím, že získává další přístup k informacím, když mění role, aniž by jeho předchozí oprávnění byla zrušena. Toto je známé jako 'privilege creep'.

To vytváří bezpečnostní riziko dvěma různými způsoby. Za prvé, zaměstnanec s oprávněními nad rámec toho, co je požadováno, může přistupovat k aplikacím a datům neoprávněným a potenciálně nezabezpečeným způsobem. Za druhé, pokud útočník získá přístup k uživatelskému účtu s nadměrnými oprávněními, může způsobit větší škody, než se očekávalo. Kterýkoli z těchto scénářů může vést ke ztrátě dat nebo krádeži.

Obvykle je akumulace oprávnění pro zaměstnance nebo organizaci málo užitečná. V nejlepším případě je vhodné, když je zaměstnanec požádán o neočekávané úkoly. Na druhou stranu by to útočníkovi mohlo výrazně usnadnit kompromitaci firemních dat kvůli příliš privilegovaným zaměstnancům.

Špatná správa přístupu také často vede k tomu, že si jednotlivci ponechají svá privilegia poté, co již nejsou zaměstnáni ve společnosti.

Jedním z hlavních omezení je, že může být náročné získat financování pro projekty IAM, protože přímo nezvyšují ziskovost nebo funkčnost. To se také děje s jinými cloudovými bezpečnostními aplikacemi, jako je např Cloud Security Posture Management (CSPM) software.

Tento nezájem o zabezpečení však představuje značná rizika pro dodržování předpisů a celkovou bezpečnost organizace. Tyto problémy se špatným řízením zvyšují riziko dalších škod způsobených vnějšími i vnitřními hrozbami.

Co by měl obsahovat software IAM?

Řešení IAM musí automatizovat iniciaci, zachycení, registraci a správu uživatelských identit a odpovídajících přístupových oprávnění. Produkty musí zahrnovat centralizovanou adresářovou službu, která se přizpůsobuje růstu firmy. Tento centrální adresář zabraňuje náhodnému přihlášení přihlašovacích údajů do souborů a poznámek, když se zaměstnanci snaží vyrovnat se s nahráváním více hesel do různých systémů.

Software IAM by proto měl usnadnit proces zřizování uživatelů a nastavení účtu. Produkt by měl zkrátit čas potřebný s kontrolovaným pracovním postupem, který omezuje chyby a potenciální zneužití a zároveň umožňuje automatizované účtování. Software IAM by měl také správcům umožnit okamžité zobrazení a změnu přístupových práv.

Systém přístupových práv/privilegií v rámci centrálního adresáře by se měl automaticky shodovat s pracovním zařazením, umístěním a ID obchodní jednotky zaměstnanců, aby žádosti o přístup zpracovával automaticky. Tyto bity informací pomáhají klasifikovat požadavky na přístup odpovídající stávajícím pozicím pracovníků.

V závislosti na zaměstnanci mohou být některá práva inherentní k jeho roli a zajišťována automaticky, zatímco jiná mohou být povolena na vyžádání. V některých případech může systém vyžadovat některé revize přístupu, zatímco jiné požadavky mohou být zcela zamítnuty, s výjimkou případu zřeknutí se práv. Systém IAM by však měl zpracovávat všechny varianty automaticky a vhodně.

Software IAM by měl vytvořit pracovní postupy pro správu žádostí o přístup s možností více fází kontroly s požadavky na schválení pro každou žádost. Tento mechanismus může usnadnit zavedení různých rizikových procesů kontroly pro přístup na vyšší úrovni a kontrolu stávajících práv, aby se zabránilo plížení oprávnění.

Jací jsou někteří oblíbení poskytovatelé IAM?

Dell One Identity Manager kombinuje snadnou instalaci, konfiguraci a použití. Systém je kompatibilní s databázovými systémy Oracle a Microsoft SQL. Podle společnosti Dell je samoobslužný produkt tak snadno použitelný, že zaměstnanci mohou spravovat všechny fáze životního cyklu IAM, aniž by potřebovali pomoc od IT oddělení. Produktová řada také zahrnuje Cloud Access Manager, který umožňuje funkce jednotného přihlášení pro různé scénáře přístupu k webovým aplikacím.

BIG-IP Access Policy Manager od F5 Networks má vysoce ceněné služby a podporu. Software je součástí vícevrstvého přepínacího systému BIG-IP, který je k dispozici na zařízení a virtualizovaných systémech. Policy Manager umožňuje přístup HTTPS prostřednictvím všech webových prohlížečů, což šetří čas při konfiguraci pracovních stanic.

SSRM (samoobslužná správa resetovacího hesla) od Tools4ever, je vysoce hodnocen pro snadnou instalaci, konfiguraci, správu a servis. Nástroj umožňuje správcům vytvořit pro uživatele vlastní odkaz „Zapomenuté heslo“ a určit počet bezpečnostních otázek. Ukázalo se, že tento samoobslužný nástroj pro vytváření hesel snižuje potřebu volání na resetování hesla až o 90 procent.

IBM Security Identity Manager je navržen tak, aby se dal rychle a snadno implementovat a byl kompatibilní s ostatními produkty. Software podporuje Microsoft Windows Server, SUSE Linux Enterprise Server, Red Hat Enterprise Linux a IBM AIX a nejběžnější operační systémy, emailové systémy, ERP systémy a cloudové aplikace jako např Salesforce.com.

Zahrnutá sada nástrojů zjednodušuje integraci vlastních aplikací. Vytváření a úpravy uživatelských oprávnění jsou automatizovány prostřednictvím systému založeného na pravidlech. Přístupová práva lze přidávat nebo odebírat jednotlivým uživatelům na základě změn v obchodních funkcích automaticky. Může také použít oprávnění pro skupiny.

Za zmínku stojí, že některý cloudový bezpečnostní software zahrnuje technologie IAM. Tyto zahrnují Cloud Access Security Brokers (CASB) které přicházejí s přiřazením pověření a přihlášením pro ověření, stejně jako vytvoření profilu a tokenizace.

Jsou aplikace IAM pro vás?

Špatně kontrolované procesy IAM mohou vést k únikům důvěrných informací a případům nedodržení předpisů.

Předpokládejme například, že vaše organizace byla auditována a vy jste neprokázali, že data vaší organizace nejsou vystavena riziku zneužití. V takovém případě vám může kontrolní orgán dát pokutu, což vás v dlouhodobém horizontu může stát spoustu peněz. Navíc skutečný útok na vaši společnost, který zneužil špatné IAM, povede ke skutečné škodě vám i vašim klientům.

I když se požadavky na zabezpečení u jednotlivých společností liší, musíte svou společnost a data svých zákazníků chránit před úniky. Vaši klienti vám totiž svěřují své informace s vědomím, že je ochráníte před vnějšími hrozbami.

Jedna věc je však zaručena: investice do softwaru IAM vás ochrání před vnitřními hrozbami a narušením soukromí – z dlouhodobého hlediska vám ušetří peníze a problémy.

Co je platforma ochrany pracovní zátěže v cloudu?

Přečtěte si další

O autorovi