Gerenciamento de identidades e acesso: Preenchendo a lacuna de identidade e de governança de acesso

As soluções tradicionais de identidade se concentram no acesso aos aplicativos, mas elas perdem até 80% de dados corporativos.

Matt Flynn

Nós já entrou na era da governação de acesso. As organizações precisam de saber quem tem acesso a quais dados e como eles tiveram esse acesso. Soluções de identidade e controle de acesso (IAG) estas questões durante o gerenciamento de acesso corporativo. Fornecem visibilidade no acesso, a política e a função de gerenciamento e avaliação de riscos — e eles facilitam avaliações periódicas do direito de acesso através de vários sistemas. A maioria das soluções de enterprise IAG está faltando uma peça-chave para o enigma, porém: dados não-estruturados.

Nos últimos cinco anos, a pesquisa concluiu que quase 80 por cento de conteúdo corporativo é não-estruturado. Isso significa que não existem dados em um formato gerenciado onde o acesso é concedido através de um pedido formal ou processo. Enquanto essa percentagem está mantendo estável, a quantidade real de dados não estruturados está crescendo constantemente. Muitas organizações estimam dados crescimento anual de 30 a 40 por cento em seus sistemas de arquivos.

Então por que os sistemas projetados para gerenciar riscos e controlar o acesso em toda a empresa ignorar 80% dos dados? A resposta é parcialmente histórica, parcialmente tecnológico e parcialmente relacionados a negócios. Soluções IAG cresceram e soluções de Identity e Access Management (IAM). Muitos dos principais fornecedores IAM introduzido IAG soluções para complementar suas ofertas. Os dois principais fornecedores de IAG independentes foram ambos fundados por veteranos do espaço IAM. Isso é significativo porque soluções IAM centraram-se tradicionalmente no acesso aos aplicativos, em vez de dados. Esses provedores simplesmente transição desse projeto arquitetônico em suas soluções atuais do IAG.

Em suas primeiras iterações, sistemas de provisionamento IAM simplesmente sincronizado contas de usuário do armazenamento de dados de um para outro. Eles cresceram para habilitar o gerenciamento de senhas, fluxos de trabalho de gerenciamento de acesso único sign-on, avançado e outras funções de gerenciamento de acesso. O foco principal, no entanto, sempre gerencia contas de usuários e acesso de usuário aos aplicativos.

Que regem o acesso

Em um nível básico, IAG soluções hoje um relatório sobre as contas que existem para cada aplicativo ou os usuários que têm a capacidade de autenticar a esse aplicativo. Num nível mais profundo, também podem responder que essas contas são autorizados a fazer certos aplicativos. Responder a estas perguntas, alcançando em lojas de direito dos aplicativos e coleta de informações sobre contas de usuário e permissões relacionadas. No entanto, por definição, dados não-estruturados não se encaixam nesse modelo.

Fornecedores de IAG podem ter percebido que incorporar dados não estruturados seria fundamental para uma estratégia de acesso corporativa abrangente, mas eles usam a tecnologia de núcleo é projetada para conectar-se com várias lojas de direito para recuperar informações de acesso relevantes. No mundo de dados não estruturados, não existem lojas direito centralizado. Os direitos são anexados os próprios recursos e, portanto, estão espalhados em todo o cenário de TI.

Grandes empresas muitas vezes têm dezenas de milhares de servidores com milhões de pastas traduzindo literalmente bilhões de permissões individuais. Porque a maioria de acesso é concedida através de grupos, você deve avaliar cada direito ao enumerar através de cada grupo e os membros juntamente com qualquer um desses grupos aninhados de análise.

Para empresas da Fortune 500, os mapeamentos individuais de usuários a grupos podem numero de dezenas de milhões. Avaliar esta complexa hierarquia de permissões é um esforço técnico complicado que aproveita um paradigma técnico totalmente diferente do que a maioria dos aplicativos corporativos.

A maioria das organizações provavelmente iria postular que as suas informações mais importantes são gerenciadas dentro de aplicativos críticos de negócios. Seus recursos humanos, planejamento, financeiro, de recursos empresariais fornecer corrente, linha de negócios e outros aplicativos essenciais espera 20 por cento dos dados corporativos mais sensíveis. Soluções IAM e IAG que incidem sobre esses aplicativos permitem insights sobre o que há de mais essencial de informações corporativas. As regras mudaram, embora.

Tudo ou nada

Top 20% de informações organizacionais simplesmente não é suficiente. Embora grande parte — talvez até a maioria — os outros 80% dos empresa dados não podem ser classificados como alto risco ou sensível, é realmente um exemplo de cenário de agulha no Palheiro. Há pouca dúvida de que, em algum lugar em que a enorme quantidade de dados, é uma informação que deveria ser protegido. Auditores e agentes de segurança estão bem dentro de seus direitos de visibilidade desse ambiente de dados não estruturados e controles em torno de esperar.

Mesmo em ambientes fortemente regulamentados como finanças e cuidados de saúde, profissionais de negócios regularmente utilizam repositórios de dados não estruturados, tais como sistemas de arquivos distribuídos e suites de colaboração como o Microsoft SharePoint para armazenar, compartilhar e colaborar em dados confidenciais.

A falta de uniformidade e controle dessas plataformas representa um risco significativo, o custo e o esforço durante uma auditoria. Você precisa resolver este problema e preparar a organização para uma auditoria de conformidade ou de análise de segurança. Aqui estão alguns passos que você pode tomar para aumentar o seu programa IAG em preparação para atender aos requisitos de conformidade contínua:

1. **Active Directory Cleanup:**O Active Directory é a plataforma de lançamento para acesso corporativo. Controle de acesso começa com ganhando melhor controle sobre o Active Directory. Isto significa entender onde as condições de alto risco e tóxicas ocorrem como aninhamento de grupo circular, contas de usuário inativas e inchaço de token de usuário.
2. **Propriedade do Grupo:**A maioria dos dados não estruturados acesso usando um modelo baseado em função implementado através de associação de grupo do Active Directory. Grupos são, portanto, um componente essencial do modelo de segurança de acesso. Qualquer avaliação de membros do grupo ou grupo de acesso começa com a atribuição de um proprietário do grupo que assumirá a responsabilidade para o grupo e o acesso permite. Dependendo do modelo de segurança, um grupo pode representar uma designação organizacional (por exemplo, um departamento ou equipe), ou pode ser mais funcional na natureza (como a concessão de acesso a recursos especificados).
3. **Utilização de Grupo:**Examina a empresa onde grupos do Active Directory estão sendo usados e criar uma visão unificada de utilização de grupo. Entender onde os grupos estão sendo usados para atribuir permissões é um pré-requisito para a realização de revisões de direito ou auditorias de acesso. Também ajuda com a limpeza do grupo, a consolidação e a migração para um modelo de segurança aprimorado, tais como os controles de acesso dinâmicos sendo introduzido com o Microsoft Windows Server 2012.
4. **Proprietários de conteúdo:**Os proprietários de conteúdo não são necessariamente o mesmo que os proprietários do grupo. Atribua os proprietários de conteúdo que terão a responsabilidade de rever os direitos de acesso a conteúdo. Esses tutores de dados assumir a responsabilidade por acesso à informação com base no seu uso de negócios. Isso pode ser um processo de detecção automatizada com base em permissões, atividade recente ou lógica avançada que executa descoberta com base em atributos do Active Directory. Por exemplo, se a recentes actividade e direitos de acesso são semelhantes, o processo pode procurar um gerente comum daqueles que têm acesso. Este Gerenciador é um bom alvo para a posse. Porque os processos automatizados não são sempre infalíveis, você pode optar por inserir uma etapa do processo onde prováveis proprietários podem confirmar sua responsabilização e recomendar outros potenciais proprietários.
5. **Recursos de limpeza:**Como digitalizar recursos em dados não estruturados, você deve coletar informações como tamanho, tipo de conteúdo, atividade e outras características. Você também deve verificar para identificar o conteúdo dentro de arquivos de alto risco. Procure por permissões de órfãos, acesso a contas de usuário inativas, acesso não utilizado, condições de alto risco e de conteúdo não utilizadas como acesso aberto. Esses metadados ajudam a priorizar onde para bloquear ainda mais o acesso, onde o conteúdo poderia ser arquivado e onde você pode corrigir condições tóxicas.
6. **Modelo de segurança:**Articular o seu modelo de segurança pretendido é um passo importante no processo. Depois de identificar o objetivo, utilize os dados recolhidos durante as etapas anteriores para validar que o modelo é implementado e aplicado. Você também precisará de incorporar todos os recursos existentes fora do modelo. Isso muitas vezes conta com as etapas de pré-requisito da compreensão, por exemplo, como os grupos são utilizados e como as permissões são aplicadas. Um modelo de segurança bem definida permite auditoria melhor resposta.

As etapas anteriores podem não produzir quaisquer resultados mágicos. Não há nenhum flash ou glamour. Executivos de negócios podem até não notar que você tem feito alguma coisa. No entanto, há um enorme valor inerente, na execução dessas tarefas.

Na próxima vez que um auditor pede que tenha acesso a um recurso, você pode mostrar-lhes o modelo de segurança pretendido, produzir um relatório sobre as permissões reais, mostrar como eles são aplicados e forneça o nome da pessoa responsável por verificar que o acesso. Quando você pode dar essas respostas sem quebrar um suor, você provar que você está no controle. E que em última análise, é a intenção das auditorias de segurança: para provar a visibilidade e controle.

Também, depois de concluir essas etapas, você pode facilmente incorporar os mecanismos de permissões eficaz pelo qual os direitos são concedidos — e a análise relacionada tais como a classificação dos dados e Pontuação de risco — em suas soluções tradicionais do IAG. Podem ser organizados e normalizados dentro de um armazenamento centralizado de direito que se encaixa o modelo de descoberta do IAG.

Em uma época onde os requisitos normativos parecem consistentemente crescem em número e complexidade, você não pode mais ignorar plataformas de dados não estruturados. Não adianta tentar fazer sentido de permissões de um recurso ao mesmo tempo. É hora de fazer alguns Reeva em escala global. Reduzir a complexidade geral e habilitar um modelo através do qual você pode gerenciar com eficiência e relatório sobre acesso a todos os recursos de dados.

Matt Flynn é diretor da identidade e soluções de governança de acesso na STEALTHbits Technologies Inc., um fornecedor de soluções de segurança e conformidade. Flynn anteriormente ocupou posições NetVision Inc.; RSA, a divisão de segurança da EMC Corp.; MaXware (agora parte da SAP AG); e a divisão de serviços de segurança da Unisys Corp.

Conteúdo relacionado

• O DirectAccess e a rede com extremidade estreita
• Usando o Kerberos para autenticação do SharePoint
• Gerenciando usuários do Active Directory com o ILM 2007