Gestione di identità e accesso Lacune colmate nella gestione di identità e accessi

Le tradizionali soluzioni di identità sono incentrate sull'accesso alle applicazioni, ma in questo modo viene trascurato l'80% dei dati aziendali.

Matt Flynn

Noi abbiamo entrato all'età di governance di accesso. Le organizzazioni hanno bisogno di sapere chi ha accesso ai dati e come essi sono stati concessi che l'accesso. Soluzioni Identity and Access Governance (IAG) affrontano questi problemi, mentre la gestione enterprise access. Essi forniscono visibilità in accesso, politica e ruolo Gestione e valutazione del rischio — e facilitare valutazioni periodiche diritto di accesso attraverso numerosi sistemi. La maggior parte delle soluzioni di enterprise IAG manca un pezzo chiave del puzzle, però: dati non strutturati.

Negli ultimi cinque anni, la ricerca ha concluso che quasi l'80 per cento dei contenuti aziendali è non strutturati. Ciò significa che non esistono dati in un formato gestito dove l'accesso è consentito tramite un processo o applicazione formale. Mentre tale percentuale è tenuta costante, sta crescendo costantemente la quantità effettiva di dati non strutturati. Molte organizzazioni di stimano un tasso di crescita annuale dei dati di 30-40% attraverso i sistemi di file.

Quindi perché fanno i sistemi progettati per gestire i rischi e controllare l'accesso in tutta l'azienda ignorare l'80 per cento dei dati? La risposta è in parte storica, in parte tecnologica e parzialmente connessi alle imprese. Soluzioni IAG è cresciuto fuori soluzioni Identity and Access Management (IAM). Molti dei venditori top di IAM hanno introdotto soluzioni IAG per integrare le loro offerte. I due principali fornitori indipendenti di IAG erano entrambi fondati da veterani dello spazio IAM. Ciò è significativo perché soluzioni IAM hanno tradizionalmente focalizzata sull'accesso alle applicazioni invece di dati. Tali fornitori di transizione semplicemente che il design architettonico in loro attuali soluzioni IAG.

Nelle loro prime iterazioni, IAM provisioning sistemi sincronizzati semplicemente gli account utente da archivio uno dati a altro. Si sono sviluppati per consentire la gestione delle password, accesso single sign-on, avanzata gestione flussi di lavoro e altre funzioni di gestione degli accessi. L'obiettivo primario, tuttavia, ha sempre gestisce gli account utente e utente l'accesso alle applicazioni.

Che disciplinano l'accesso

Ad un livello di base, soluzioni IAG odierna relazione su quali conti esistono per ogni applicazione o che gli utenti hanno la possibilità di autenticarsi su quell'applicazione. A un livello più profondo, potrebbe anche rispondere cosa sono quei conti autorizzati a fare all'interno di determinate applicazioni. Rispondere a queste domande raggiungendo in negozi di diritto delle applicazioni e raccogliendo informazioni sugli account utente e le relative autorizzazioni. Tuttavia, per definizione, i dati non strutturati non rientra in quel modello.

Fornitori di IAG possono hanno capito che incorporare dati non strutturati sarebbe fondamentale per una strategia di accesso enterprise completa, ma che utilizzano la tecnologia di base è progettata per collegare con vari negozi di diritto a recuperare le informazioni di accesso relative. Nel mondo di dati non strutturati, non ci sono negozi nessun diritto centralizzato. Diritti sono fissati per le stesse risorse e pertanto sono diffuse attraverso il paesaggio IT.

Grandi imprese hanno spesso decine di migliaia di server con milioni di cartelle tradurre letteralmente miliardi di singole autorizzazioni. Perché viene concesso l'accesso più attraverso gruppi, è necessario valutare ogni diritto mediante l'enumerazione di ciascun gruppo e l'analisi i membri insieme a uno di quei gruppi nidificati.

Per fortuna 500 organizzazioni, i singoli mapping degli utenti ai gruppi potrebbero numero in decine di milioni. Valutare questa complessa gerarchia di autorizzazioni è uno sforzo tecnico complicato che sfrutta un paradigma tecnico totalmente diverso rispetto a quella della maggior parte delle applicazioni enterprise.

La maggior parte delle organizzazioni sarebbero probabile ipotizzare che loro informazioni più critiche sono gestite all'interno di applicazioni business-critical. Le risorse umane, enterprise resource planning, finanziarie, supply chain, business line e altre applicazioni critiche tenere 20 per cento dei dati aziendali più sensibili. Soluzioni IAM e IAG che concentrano su quelle applicazioni abilitare spaccato la più essenziale delle informazioni aziendali. Le regole sono cambiate, però.

Tutto o niente

La top 20 per cento delle informazioni organizzative semplicemente non è sufficiente. Anche se una larga porzione — forse anche la maggior parte — dell'altro 80 per cento dell'impresa dati non possono essere classificati come ad alto rischio o sensibili, è infatti un esempio di scenario l'ago nel pagliaio. Non c'è dubbio che da qualche parte tutta quella enorme quantità di dati è informazioni che dovrebbero essere protetti. Revisori dei conti e gli agenti di sicurezza sono ben all'interno dei loro diritti aspettarsi controlli intorno e visibilità in quell'ambiente dati non strutturati.

Anche in ambienti fortemente regolamentati come la finanza e la sanità, i professionisti utilizzano regolarmente archivi di dati non strutturati come distributed file systems e suite di collaborazione come Microsoft SharePoint per archiviare, condividere e collaborare su dati sensibili.

La mancanza di uniformità e controllo su queste piattaforme rappresenta un rischio significativo, costo e lo sforzo durante un audit. Hai bisogno di affrontare questo problema e preparare la vostra organizzazione per un controllo di sicurezza per la revisione o la conformità. Qui sono a pochi passi che si può prendere per aumentare il vostro programma IAG in preparazione per soddisfare i requisiti di conformità in corso:

1. **Active Directory Cleanup:**Active Directory è il trampolino di lancio per enterprise access. Governance di accesso inizia con ottenendo il controllo migliore sopra Active Directory. Questo significa comprendere dove si verificano condizioni ad alto rischio e tossiche come gonfiare token utente, account utente dormienti e gruppo circolare nesting.
2. **Proprietà di gruppo:**Utilizzando un modello basato sui ruoli implementato tramite l'appartenenza al gruppo di Active Directory viene concesso l'accesso la maggior parte dei dati non strutturati. I gruppi sono quindi una componente fondamentale del modello di protezione di accesso. Qualsiasi valutazione di appartenenze o accesso al gruppo inizia con il proprietario di un gruppo che avrà la responsabilità per il gruppo e l'accesso che consente di assegnare. A seconda del modello di sicurezza, un gruppo potrebbe rappresentare un'indicazione organizzativa (ad esempio un dipartimento o di squadra), o potrebbe essere più funzionale in natura (ad esempio, concedere l'accesso a risorse specificate).
3. **Utilizzo di gruppo:**Analizzare l'impresa ovunque gruppi di Active Directory vengono utilizzati e creare una visione unificata di utilizzazione del gruppo. Capire dove i gruppi sono usati per assegnare autorizzazioni è un prerequisito dell'esecuzione di diritto recensioni o controlli di accesso. Aiuta anche con gruppo pulitura, consolidamento e la migrazione a un modello di protezione migliorata, ad esempio i controlli di accesso dinamico viene introdotto con Microsoft Windows Server 2012.
4. **Proprietari di contenuti:**I proprietari di contenuti non sono necessariamente lo stesso gruppo proprietari. Assegnare ai proprietari di contenuti che assumerà la responsabilità per la revisione dei diritti di accesso al contenuto. Questi custodi dati assumersi la responsabilità per l'accesso alle informazioni basate sul suo utilizzo business. Questo può essere un processo di rilevamento automatizzato basato su autorizzazioni, attività recenti o logica avanzata che esegue il rilevamento basato su attributi di Active Directory. Ad esempio, se i diritti di accesso e attività recenti sono simili, il processo può cercare un manager comune di coloro che hanno accesso. Questo gestore è un buon obiettivo per la proprietà. Perché i processi automatizzati non sempre infallibili, è possibile scegliere di inserire un passo nel processo dove probabili proprietari possono confermare la loro responsabilità e raccomandare altri potenziali proprietari.
5. **Pulitura delle risorse:**Come si esegue la scansione delle risorse attraverso dati non strutturati, si dovrebbero raccogliere informazioni quali la dimensione del file, tipo di contenuto, attività recenti e altre caratteristiche. Deve anche la scansione per identificare il rischio contenuto all'interno di file. Guardare per orfane delle autorizzazioni, accesso consentito ai conti dormienti utente, accesso inutilizzata, inutilizzate condizioni di contenuto e ad alto rischio come open access. Questi metadati consente di priorità dove per bloccare ulteriore accesso, dove potrebbero essere archiviati contenuti e dove si possono correggere condizioni tossiche.
6. **Modello di sicurezza:**Articolando il vostro modello di sicurezza previsto è un passo importante nel processo. Una volta che hai identificato l'obiettivo, utilizzare i dati raccolti durante i passaggi precedenti per convalidare che il modello è attuato e applicato. Sarà inoltre necessario integrare le risorse esistenti di fuori del modello. Questo spesso si basa sui passi dei prerequisiti di comprensione, per esempio, come vengono utilizzati i gruppi e come vengono applicate le autorizzazioni. Un modello di sicurezza ben definiti consente controllo migliore risposta.

I passaggi precedenti non potrebbero cedere alcun risultato magico. Non non c'è nessun flash o glamour. Dirigenti d'azienda potrebbe non notare anche che hai fatto nulla. C'è enorme valore intrinseco, tuttavia, nell'esecuzione di questi compiti.

La prossima volta che chiede un revisore che ha accesso a una risorsa, è possibile mostrare loro il modello di sicurezza previsto, produrre una relazione sulle autorizzazioni effettive, mostrano come esse sono applicate e fornire il nome della persona responsabile per la revisione di tale accesso. Quando si possono dare quelle risposte senza rompere un sudore, si dimostrare che siete in controllo. E che in definitiva è l'intento di controlli di sicurezza: per dimostrare il controllo e la visibilità.

Inoltre, dopo aver completato questi passaggi, è possibile integrare perfettamente i meccanismi di autorizzazioni valide di cui sono concessi i diritti — e le analisi correlate come la classificazione dei dati e punteggio di rischio — nelle tradizionali soluzioni IAG. Possono essere organizzati e normalizzati all'interno di un archivio centralizzato diritto che adatta il modello discovery IAG.

In un'epoca dove i requisiti regolatori sembrano costantemente crescere in numero e complessità, non è più possibile ignorare piattaforme di dati non strutturati. Non è sufficiente tentare di dare un senso di autorizzazioni di una risorsa in un momento. È il momento di fare qualche pulizia generale su scala globale. Ridurre la complessità globale e attivare un modello attraverso il quale possono gestire efficacemente e relazione sull'accesso alle risorse di tutti i dati.

Matt Flynn è direttore di soluzioni Identity and Access Governance presso STEALTHbits Technologies Inc, un fornitore di esso soluzioni di sicurezza e conformità. Flynn in precedenza ha ricoperto posizioni di NetVision Inc.; RSA, la divisione di sicurezza di EMC Corp.; MaXware (ora una parte di SAP AG); e la divisione di servizi di sicurezza di Unisys Corp.

Contenuto correlato

• DirectAccess e rete edge sottile
• Utilizzo di Kerberos per l'autenticazione SharePoint
• Gestione di Active Directory Users con ILM 2007