Gestion des identités et des accès : Comblez les manques en matière de gouvernance des identités et des accès
Les solutions d'identité traditionnelles se concentrent sur l'accès aux applications, ignorant ainsi 80 % des données de l'entreprise.
Matt Flynn
Nous sommes entrés dans l'ère de la gouvernance de l'accès. Les organisations ont besoin de savoir qui a accès à quelles données et comment ils ont obtenu que l'accès. Identité et accès gouvernance (IAG) solutions aborder ces questions tout en gérant l'accès de l'entreprise. Ils fournissent la visibilité dans la gestion des accès, la politique et le rôle et l'évaluation des risques — et ils facilitent les examens périodiques de droit d'accès à travers de nombreux systèmes. Solutions d'IAG entreprise la plupart manquent un élément clé de l'énigme, bien que : données non structurées.
Au cours des cinq dernières années, la recherche a conclu que près de 80 p. 100 de contenu d'entreprise est non structurée. Que signifie données n'existent pas dans un format géré où l'accès est accordé par une demande formelle ou un processus. Alors que ce pourcentage est maintenant stable, le montant réel des données non structurées est en croissance constante. De nombreuses organisations estiment un taux de croissance de données annuelle de 30 à 40 % dans l'ensemble de leurs systèmes de fichiers.
Alors pourquoi ne les systèmes conçus pour gérer le risque et contrôle d'accès dans l'entreprise ignorer 80 pour cent des données ? La réponse est en partie historique, en partie technologique et en partie commerciale. Solutions de GEI issu des solutions Identity and Access Management (IAM). Bon nombre des meilleurs vendeurs IAM ont introduit des solutions AIG pour compléter leurs offres. Les deux principaux fournisseurs indépendants de GEI ont été fondés par les anciens combattants de l'espace IAM. Ceci est important parce que les solutions de IAM ont traditionnellement mis l'accent sur l'accès à des applications au lieu de données. Ces fournisseurs de transition tout simplement que la conception architecturale dans leurs solutions actuelles des AIG.
Dans les premières itérations, systèmes de provisionnement IAM synchronisé simplement comptes d'utilisateur du magasin d'un données à l'autre. Ils ont augmenté pour permettre la gestion de mot de passe, les workflows de gestion unique accès authentification, avancées et autres fonctions de gestion des accès. L'objectif principal, cependant, toujours gère des comptes d'utilisateurs et de l'accès des utilisateurs aux applications.
Régissant l'accès
À un niveau de base, solutions de GEI aujourd'hui un rapport sur les comptes existent pour chaque application ou les utilisateurs qui ont la capacité de s'authentifier à cette application. À un niveau plus profond, ils pourraient aussi répondre à ce que ces comptes sont autorisés à faire dans certaines applications. Ils répondent à ces questions par arriver dans les magasins de droit des applications et de recueillir des informations sur les comptes d'utilisateurs et les autorisations connexes. Cependant, par définition, les données non structurées ne rentre pas dans ce modèle.
Vendeurs de GEI peuvent ont réalisé qu'intégrant les données non structurées qu'il serait essentiel d'une stratégie d'accès aux entreprises complet, mais ils utilisent la technologie de base est conçue pour se connecter avec différents magasins droit pour récupérer des informations d'accès pertinentes. Dans le monde des données non structurées, il n'y a aucun magasins droit centralisé. Droits sont attachés aux ressources elles-mêmes et sont donc répartis à travers le paysage informatique.
Grandes entreprises ont souvent des dizaines de milliers de serveurs avec des millions de dossiers traduisant littéralement des milliards d'autorisations individuelles. Parce que la plupart des accès sont accordé par l'intermédiaire de groupes, vous devez évaluer chaque versement par énumération dans chaque groupe et l'analyse des membres ainsi que les groupes imbriqués.
Pour les organisations du Fortune 500, les mappages individuels des utilisateurs aux groupes pourraient numéro des dizaines de millions. Évaluer cette hiérarchie complexe d'autorisations est un effort technique complexe qui tire parti d'un paradigme technique totalement différent que celle de la plupart des applications entreprise.
La plupart des organisations seraient vraisemblablement affirment que leurs informations plus critiques sont gérées au sein des applications critiques de l'entreprise. Leurs ressources humaines, planification, Finances, des ressources de chaîne logistique, secteur d'activité et autres applications critiques cale 20 % des données plus sensibles. Solutions IAM et AIG qui mettent l'accent sur les applications permettent de comprendre l'essentiel des informations de l'entreprise. Les règles ont changé, cependant.
Tout ou rien
Le 20 pour cent des renseignements sur l'organisations a tout simplement pas assez. Bien qu'une grande partie, voire la majorité — des autres 80 % de l'entreprise de données ne peuvent pas être considérées comme à risque ou sensibles, il est en effet un exemple de scénario de l'aiguille dans une botte. Il n'y a guère de doute que, quelque part dans l'ensemble de cette énorme quantité de données est l'information qui devrait être protégé. Vérificateurs et agents de sécurité sont bien dans leur droit de s'attendre à des contrôles autour et la visibilité dans l'environnement de données non structurées.
Même dans des environnements fortement réglementés tels que les finances et les soins de santé, des professionnels utilisent régulièrement des référentiels de données non structurées telles que des systèmes de fichiers distribués et des suites de collaboration comme Microsoft SharePoint pour stocker, partager et collaborer sur des données sensibles.
Le manque d'uniformité et de contrôle sur ces plates-formes représente un risque important, les coûts et les efforts lors d'une vérification. Vous avez besoin de résoudre ce problème et de préparer votre organisme pour un audit de conformité ou de contrôle de sécurité. Voici quelques étapes que vous pouvez prendre pour compléter votre programme GCI en vue de répondre aux exigences de conformité en cours :
- **Active Directory nettoyage :**Active Directory est la rampe de lancement pour l'accès de l'entreprise. Gouvernance d'accès commence par obtenir le meilleur contrôle Active Directory. Cela signifie comprendre où se produisent des conditions à haut risque et toxiques tels que l'imbrication de groupe circulaire, comptes d'utilisateur inactifs et dilatation de jeton utilisateur.
- **Propriété de groupe :**La plupart des accès aux données non structurées sont accordé à l'aide d'un modèle basé sur des rôles mis en œuvre par l'appartenance à un groupe Active Directory. Les groupes sont donc une composante de base de la modèle de sécurité d'accès. Toute évaluation d'appartenances ou accès de groupe commence par assigner le propriétaire d'un groupe qui aura la responsabilité pour le groupe et l'accès, qu'il permet. Selon le modèle de sécurité, un groupe peut représenter une désignation organisationnelle (par exemple, un département ou une équipe), ou il pourrait être plus fonctionnel dans la nature (comme l'accès aux ressources spécifiées).
- **Utilisation de groupe :**Analyser l'entreprise là où des groupes Active Directory sont utilisés et créer une vue unifiée de l'utilisation de groupe. Comprendre où les groupes sont utilisés pour attribuer des autorisations est une condition préalable à l'exécution d'examens de droit ou des vérifications d'accès. Il aide également avec le nettoyage du groupe, la consolidation et la migration vers un modèle d'amélioration de la sécurité tels que les contrôles d'accès dynamique introduite avec Microsoft Windows Server 2012.
- **Propriétaires de contenu :**Propriétaires de contenu pas nécessairement les mêmes que les propriétaires de groupe. Attribuer des propriétaires de contenu qui sera responsable de l'examen des droits d'accès au contenu. Ces détenteurs de données assumer la responsabilité de l'accès à l'information basée sur l'utilisation de ses affaires. Cela peut être un processus de découverte automatique basé sur les autorisations, l'activité récente ou avancée logique qui effectue la découverte basée sur les attributs Active Directory. Par exemple, si les droits récents de l'activité et l'accès sont similaires, le processus peuvent se tourner pour un gestionnaire commun de ceux qui ont accès. Ce gestionnaire est une bonne cible pour la propriété. Parce que les processus automatisés ne sont pas toujours infaillible, vous pouvez choisir d'insérer une étape dans le processus où probables propriétaires peuvent confirmer leur reddition de comptes et de recommander des autres propriétaires potentiels.
- **Nettoyage de ressources :**Que vous numérisez des ressources dans l'ensemble de données non structurées, vous devez recueillir des informations telles que la taille du fichier, de type de contenu, de l'activité récente et d'autres caractéristiques. Vous devez aussi analyser pour identifier le contenu à haut risque dans les fichiers. Recherchez les autorisations d'orphelines, accès à des comptes d'utilisateurs inactifs, accès inutilisés, conditions inutilisées de contenu et à haut risque tels que l'accès ouvert. Ces métadonnées vous aide à prioriser où à verrouillage supplémentaire l'accès, où le contenu pouvait être archivée et où vous pouvez restaurer des conditions toxiques.
- **Modèle de sécurité :**Articulation de votre modèle de sécurité prévu est une étape importante dans le processus. Une fois que vous avez identifié l'objectif, utiliser les données recueillies au cours des étapes précédentes pour valider que le modèle est mis en place et appliqué. Vous aurez également besoin d'incorporer toutes les ressources existantes en dehors du modèle. Il s'appuie souvent sur les étapes préalables de comprendre, par exemple, comment les groupes sont utilisés et comment les autorisations sont appliquées. Un modèle de sécurité bien définies permet à réponse de vérification améliorée.
Les étapes précédentes ne pourraient pas donner des résultats magiques. Il n'y a aucun flash ou glamour. Dirigeants d'entreprise ne pourraient pas même avis que vous avez fait quoi que ce soit. Il y a une grande valeur intrinsèque, cependant, dans l'accomplissement de ces tâches.
La prochaine fois que demande à un vérificateur qui a accès à une ressource, vous pouvez leur montrer le modèle de sécurité prévu, produire un rapport sur les autorisations réelles, montrer comment ils sont appliqués et fournir le nom de la personne responsable de l'examen de cet accès. Lorsque vous pouvez donner ces réponses sans casser une sueur, vous prouver que vous êtes en contrôle. Et c'est finalement l'objet de vérifications de sécurité : pour établir le contrôle et la visibilité.
Aussi, une fois que vous avez terminé ces étapes, vous pouvez parfaitement incorporer les mécanismes d'autorisations effectives par lequel les droits sont accordés — et l'analyse connexe tels que la classification des données et évaluation des risques — dans vos solutions traditionnelles d'AIG. Ils peuvent être organisés et normalisés dans un magasin centralisé de droit qui s'adapte le modèle de découverte du GEI.
À une époque où les exigences réglementaires semblent toujours croître en nombre et en complexité, vous pouvez ignorer n'est plus de plateformes de données non structurées. Il ne suffit pas de tenter de donner un sens d'autorisations une ressource à la fois. Il est temps de faire un nettoyage à l'échelle mondiale. Réduire la complexité globale et permettre à un modèle à travers lequel vous pouvez gérer efficacement et rapport sur l'accès à toutes les ressources de données.
.jpg)
Matt Flynn est directeur de l'identité et de la gouvernance des Solutions de STEALTHbits Technologies Inc., un fournisseur des solutions de sécurité et de conformité. Flynn a auparavant occupé des postes à NetVision Inc. ; RSA, la division sécurité d'EMC Corp. ; MaXware (maintenant une partie de SAP AG) ; et la division des services de sécurité de Unisys Corp.