Gerenciamento de identidades: Gerencie o ciclo de vida de identidades
Há uma série de soluções e estratégias para o gerenciamento de identidade da sua organização, e é essencial que você tem os controles bem no lugar.
Darren Mar-Elia
Adaptado de "Proteger dados críticos através do gerenciamento do ciclo de vida do identidade do Active Directory" (em tempo real os editores)
Gerenciamento de identidade é, em última análise sobre o gerenciamento de acesso aos seus recursos corporativos. Usuários autenticarem para recursos com sua identidade e, em seguida, usam as propriedades de que a identidade (por exemplo, associação de grupo) para obter acesso autorizado a recursos.
Em uma organização típica de empresas de médio a grande, você pode encontrar as fontes de identidade a seguir:
- Active Directory
- Outros serviços de diretório
- Sistemas de RH
- Bancos de dados
- Aplicativos personalizados linha de negócios (LOB)
- Software de terceiros como um aplicativos de Web Service (SaaS)
- Contas do sistema local no Windows, Linux ou Unix
Todos estes identidade armazena os desafios presentes. Cada uma exige seu próprio evento provisionamento (e desprovisionamento evento, bem como) no que são dados geralmente díspares lojas: plano de diretórios, bancos de dados, arquivos ou, em alguns casos, formatos proprietários. Cada um tem seu próprio conjunto de mecanismos de autorização e maneiras originais de concessão de acesso.
O Windows usa grupos de segurança, bancos de dados como Oracle usam personalizadas funções built-in para o banco de dados e outros aplicativos LOB usam diferentes mecanismos. Mais recentemente, os aplicativos SaaS estão se tornando prevalentes, o que significa que agora és obrigada a provisionar o acesso às aplicações internas e externas.
É importante para não borrar as linhas entre autenticação e autorização. Alguns produtos podem integrar-se no Active Directory para autenticação (por exemplo, através de Kerberos), mas ainda manter seus próprios mecanismos de autorização que diretamente não aproveitam o Active Directory os tais como grupos de segurança. Este tipo de integração mista pode ou não pode ajudar seus processos de provisionamento.
Esta mistura de identidade armazena aumenta a complexidade em torno de assegurar os direito aos usuários são provisionados em seu ambiente e desprovisionada quando chegar a hora. Também aumenta a importância de ter gestão de ciclo de vida no lugar, porque se torna muito mais fácil "perder" de identidades se não estiverem todos de malha juntos usando um quadro comum. Muitas organizações tiveram muito mais identidades armazenadas em um sistema do que tinham os usuários. Quando perguntei por que estava, a resposta foi, geralmente, algo como, "Oh, são usuários antigos que não estão mais aqui." Esse tipo de gerenciamento de identidades de pobre é uma receita para o acesso não autorizado, falha auditorias ou ambos.
Reduzir a armazenamentos de identidade
Se você está em uma dessas organizações com uma grande variedade de lojas de identidade, você já sabe que você tem seu trabalho cortado para você em termos de gerenciar todas essas identidades dentro de uma estrutura coesa. Mas há um outro ponto a considerar. Uma opção é reduzir o número de armazenamentos de identidade, encontrando os sistemas comuns de identidade em que você pode recolher outros sistemas autônomos. Do Active Directory é cada vez mais esse sistema de identidade comum para mais sistemas e aplicativos.
Existem produtos internos e de terceiros que permitem que você use o Active Directory como o mecanismo principal de autenticação para Linux, Unix e Mac. Essas soluções geralmente utilizam a arquitetura de Pluggable Authentication Modules (PAM) dentro estas OSes deixar Active Directory agir como um reino de autenticação Kerberos para estes sistemas, quase da mesma forma que sistemas Windows.
Na verdade, com muitos desses mecanismos, você pode "unir" computadores Linux, Unix ou Mac para o Active Directory como se fosse Windows desktops ou servidores. Em vez de login em sistemas Unix ou Linux usando uma conta local, agora você pode usar uma conta do Active Directory para autenticar os usuários e, finalmente, autorizá-los aos recursos do Unix usando grupos do Active Directory.
Qualquer aplicações rodando sobre essas caixas não-Windows que utilizam o PAM para autenticar e autorizar usuários para contas locais agora podem usar a integração do Active Directory para oferecer suporte a autorização e autenticação de conta do Active Directory. Novamente, esta situação será dependente de aplicativo, mas significa que você pode obter alguma integração do Active Directory "de graça", uma vez que você integrar o sistema operacional base.
Além disso, muitos aplicativos de terceiros e plataformas de aplicativos suportam a autenticação e autorização usando o Active Directory em algum formulário, incluindo aplicativos empacotados como SAP e Java Web servidores de aplicativos da Oracle Corp. e IBM Corp. Mesmo bancos de dados Oracle oferecem suporte a integração de autenticação e autorização no Active Directory usando uma variedade de métodos de integração, do Kerberos em linha reta para a integração no serviço de diretório LDAP da Oracle.
Vantagens de identidade
Independentemente do método que você usar, existem vantagens óbvias na tentativa de reduzir o número de armazenamentos de identidade, que você tem que dobrar em seu ciclo de vida do gerenciamento de identidade. Se o Active Directory pode ser aquele ponto de consolidação para muitos de seus aplicativos de negócios e sistemas, você pode se concentrar no provisionamento e desprovisionamento de tarefas para o Active Directory. Assim, a tarefa de desativação de um usuário da maioria dos seus aplicativos e sistemas internos e externos pode tornar-se uma simples questão de desativar uma conta de usuário no Active Directory e alguns outros lugares.
Não é incomum para identidade de começar através do sistema de RH da organização. Esse sistema, em seguida, empurra que identidade fora outros necessários armazenamentos de identidade, como Active Directory ou armazenamentos de identidade de aplicativo específico. Normalmente é o trabalho de um formal de provisionamento e desprovisionamento de sistema para executar esses tipos de atualizações sobre os diversos sistemas conectados — mantendo as identidades em sincronia e removê-los de todos os sistemas conectados quando o usuário deixar a organização.
Tais soluções podem ter seu próprio serviço de diretório onde todos os dados dos sistemas conectados são agregados. Isto é frequentemente chamado um metadiretório. A solução pode simplesmente manter o controle dos mapeamentos entre sistemas conectados, mapeamento de campos de chave em um sistema para outro.
O objetivo de tal mapeamento é encontrar um campo que identifica um usuário dentro de todos os armazenamentos de identidade. Isso assegura a John Smith dentro do Active Directory é o mesmo John Smith acabou de contratar por HR e o mesmo John Smith que tem acesso a aplicações específicas, em virtude das identidades que as lojas de metadiretório. E, quando John Smith deixa a organização, seu ID de usuário está desativado desde o sistema de RH, Active Directory e a loja de aplicativos específicos em uma única operação.
Reduzir o risco
É realmente muito importante para ter um sistema no lugar para gerenciar o ciclo de vida de identidade. Existem razões reais, sobre-o-terreno para a construção de um sistema que mantém controle sobre o que existe em sua organização e o que eles podem acessar: razões tais como a perda de dados, riscos regulatórios e impacto nos negócios.
**Perda de dados:**Sem dúvida, um do mais assustador corre o risco da maioria das empresas que lidam com informações privadas — tais como dados do cliente — rosto é a perda inadvertida de informações. Qualquer organização razoavelmente grande hoje enfrenta qualquer número de caminhos possíveis para a perda de dados: de funcionários a sair com cliente lista em chaves USB para um executivo, ficando o seu laptop não criptografada com informações financeiras confidenciais, roubadas de um saguão do aeroporto. Alguns desses cenários são evitáveis com as ferramentas apropriadas e procedimentos em vigor, mas de longe um dos piores erros que você pode fazer é perder dados em virtude de alguém ter o nível errado de acesso ou tendo acesso a sistemas que deveria ter sido removido há muito tempo.
Esses cenários são ruins porque eles são tudo evitáveis com um plano de identidade coesa que se concentra em assegurar bons processos e automação bom estão no lugar, cada vez que um usuário entra, muda de emprego ou sai da organização. Perda de dados é especialmente ruim no mundo da Internet de hoje porque a reputação on-line da empresa e sua capacidade de manter ou perder os dados dos seus clientes podem ter um impacto directo e imediato na sua linha de fundo e o nível de confiança que tem com seus clientes.
Como ter um bom gerenciamento de identidades tenciona lugar ajuda perda de dados? Simples — se você tiver um bom controle sobre os usuários que são capaz de autenticar-se em seus sistemas e processos de boas no lugar para conceder acesso somente aos dados necessários para fazer o trabalho deles, as chances dos dados errados vão cair em mãos erradas são muito reduzidas.
A parte mais preocupante deste desafio é que o cenário de ameaças está mudando rapidamente. Uma recente relatório sobre violações de dados encomendado pela Verizon mostra que, enquanto ataques externos contra as organizações ainda são um vetor importante para a perda de dados, ameaças internas com ambos os erros inadvertidos devido a pobre sistema de segurança, bem como os esforços organizados de fraudes internas são uma grande preocupação.
Na verdade, em um gesto em direção a ter controles de identidade bom no lugar, a pesquisa de Verizon mostra que uma grande maioria de ameaças internas são perpetrados por usuários "normais" sem acesso privilegiado. Assim, ter boas controles no lugar em torno de acesso a dados e sistemas pode ter um impacto demonstrável sobre a prevenção da perda de dados por usuários internos empenhados em atividades maliciosas. Esses controles só são possíveis quando você tem um sistema que pode provisionar e identificar os usuários corretos com os níveis corretos de acesso, tais como quando você tem um sistema de provisionamento no lugar que identifica níveis de autorização do usuário com base em sua função de negócio.
**Riscos regulatórios:**Juntamente com o risco de dados perda vem os atendente riscos para organizações sujeita aos regulamentos governamentais. Regulamentos como o Sarbanes-Oxley Act (SOX), o Health Insurance Portability e Accountability Act (HIPAA), indústria de cartão de pagamento (PCI) e outros têm vários graus de prescrição explícita quando se trata de métodos para proteger o cliente e os dados não-públicos.
Todos estes regulamentos mandato que tais dados devem ser protegidos. Existem multas pesadas e possíveis ramificações criminosas para falha bruta proteger esses dados. Se sua organização está sujeita a essa regulamentação e você não tem um plano sólido no local para atender a variedade de riscos em torno de violações de dados, você está pedindo problemas. Além de outros controles, colocando um plano de gerenciamento de identidade sólida no lugar pode ajudar a obter melhor controle sobre quem está acessando seus sistemas.
**Impactos nos negócios:**Além de riscos de conformidade e perda de dados, gerenciamento de identidade bom resulta em melhor disponibilidade do sistema e menos impactos nos negócios. Sistemas de gerenciamento de identidade controlam o acesso a não apenas dados de negócios e aplicativos, mas também sistemas. Colocar um plano de "privilégio mínimo" para a autorização de sistema no lugar através de seu sistema de gestão de identidade tal que apenas os administradores têm acesso a recursos do servidor para o qual eles são responsáveis irá percorrer um longo caminho em direção a evitando paralisações indesejadas servidor.
O que você quer evitar a todo custo é um administrador com privilégios muito maiores do que seu papel de fazer uma mudança para o servidor errado na hora errada e derrubar seus sistemas de negócios. Existem inúmeras anedotas de administradores com acesso de administradores do domínio para o Active Directory — que é essencialmente acesso irrestrito a ler e escrever a maioria dos objetos no Active Directory — acidentalmente excluir uma conta de serviço de aplicação crítica, ou inadvertidamente mover objetos de uma unidade organizacional (UO) para a próxima.
Isso pode causar diferentes diretivas de grupo aplicar a UOs e posteriormente alterar seu comportamento. Qualquer um desses exemplos pode ser suficiente para causar uma grande falha, só porque alguém não segue a política quando chegou a hora de configurar uma conta de usuário e concedido esse usuário muito mais direitos do que ele precisava ou foi equipado para lidar com.
Diretiva de grupo é outra área que está madura para ter um bom sistema no lugar para controlar quem pode acessar e fazer alterações. Alterações de diretiva de grupo podem ter um impacto grande em uma organização. Estes tipos de alterações beneficiam-se de assegurar que o modelo de delegação em torno de diretiva de grupo é rigidamente controlado. Isso geralmente envolve garantir que os usuários estão nos grupos do Active Directory de certo que têm a capacidade de modificar objetos de diretiva de grupo.
Conceder permissões
Com todas essas questões de acesso a linha de fundo é que ter um sistema de gerenciamento de identidade bom lugar — com um processo padrão para provisionamento e atualizar contas de usuário com seus grupos adequados e outras autorizações — ajuda a garantir os usuários têm acesso aos recursos adequados.
Tenha em mente que os recursos de "gerenciamento" para fazer a concessão de recurso real não é coberto como parte do processo de provisionamento de usuário. É, no entanto, um importante pré-requisito para ser capaz de aproveitar adequadamente sua identidade, processo de provisionamento.
.jpg)
Darren Mar-Elia é um Microsoft MVP de política de grupo, o criador do popular site de diretiva de grupo gpoguy.com e co-autor do "Guia Diretiva de grupo do Microsoft Windows" (Microsoft Press, 2005). Ele também é CTO e fundador da SDM Software Inc.
Para mais informações sobre este e outros títulos de editores em tempo real, confira Realtime editores.