Identitäts- und Zugriffsverwaltung: Schließen der Lücke in der Identitäts- und Zugriffsverwaltung

Herkömmliche Identitätslösungen haben ihren Schwerpunkt auf dem Anwendungszugriff, dabei werden jedoch 80 Prozent der Unternehmensdaten außer Acht gelassen.

Matt Flynn

Wir haben das Alter der Zugang Governance eingetragen. Organisationen müssen wissen, wer Zugriff auf welche Daten hat und wie sie, dass der Zugriff gewährt wurden. Identity und Access Governance (IAG) Lösungen für diese Fragen gleichzeitig Unternehmen Zugang zu verwalten. Sie bieten Einblick in Zugriff, Politik und Rollenverwaltung und Risikobewertung — und sie periodische Anspruch Bewertungen des Zugangs über zahlreiche Systeme erleichtern. IAG-Lösungen für die meisten Unternehmen sind ein Kernstück des Rätsels, jedoch fehlen: unstrukturierte Daten.

In den letzten fünf Jahren hat die Forschung geschlossen, dass fast 80 Prozent des Enterprise-Content unstrukturierte. Das bedeutet, dass Daten in einem verwalteten Format nicht vorhanden bei Zugriff über einen förmlichen Antrag oder Prozess gewährt wird. Während dieses Prozentsatzes stationären hält, wächst die tatsächliche Menge an unstrukturierten Daten konsistent. Viele Unternehmen schätzen eine jährliche Wachstumsrate von Daten von 30 bis 40 Prozent über die Dateisysteme.

Also warum tun die Systeme entworfen, Risikomanagement und ignorieren Zugriffskontrolle unternehmensweit zu 80 Prozent der Daten? Die Antwort ist teilweise historischen, teilweise technologische und teilweise geschäftliche. IAG Lösungen entwuchs Lösungen für Identity und Access Management (IAM). Viele der oberen IAM-Hersteller haben IAG Lösungen zur Ergänzung ihrer Angebote eingeführt. Die zwei führenden unabhängigen IAG Anbietern wurden beide von Veteranen der IAM Raum gegründet. Dies ist bedeutsam, weil IAM-Lösungen für den Zugang zu Anwendungen statt Daten traditionell konzentriert haben. Diese Anbieter einfach umgestellt die architektonische Gestaltung in ihrer aktuellen IAG-Lösungen.

In ihrer frühesten Iterationen synchronisiert IAM Bereitstellungssysteme einfach Benutzerkonten aus einem Datenspeicher zu einem anderen. Sie wuchs auf Passwort-Management, einzelne anmelden, erweiterte Zugang Management-Workflows und anderen Zugangs-Management-Funktionen ermöglichen. Der primäre Fokus, hat jedoch immer verwaltet Benutzerkonten und Benutzerzugriff auf Anwendungen.

Für den Zugang

Auf einer grundlegenden Ebene Bericht IAG-Lösungen von heute über welche Konten für jede Anwendung vorhanden ist oder welche Benutzer haben die Möglichkeit, für diese Anwendung zu authentifizieren. Auf einer tieferen Ebene, könnten sie auch beantworten, was diese Konten sind berechtigt, innerhalb bestimmter Anwendungen zu tun. Sie beantworten diese Fragen in der Anwendungen Anspruch Geschäfte erreichen und Sammeln von Informationen über Benutzer-Accounts und damit verbundenen Berechtigungen. Jedoch definitionsgemäß unstrukturierte Daten in dieses Modell passt nicht.

IAG-Anbieter möglicherweise erkannt haben, dass Integration unstrukturierte Daten entscheidend für eine umfassende Unternehmensstrategie Zugang wäre, aber die Core-Technologie, die sie nutzen eine Verbindung mit verschiedenen Anspruch Geschäften relevanten Informationen abrufen soll. In der Welt von unstrukturierten Daten gibt es keine zentrale Anspruch. Ansprüche an den Ressourcen selbst verbunden sind und daher auf die IT-Landschaft verteilt werden.

Große Unternehmen haben oft Zehntausende von Servern mit Millionen von Ordnern übersetzen buchstäblich Milliarden von einzelnen Berechtigungen. Da die meisten Zugang über Gruppen gewährt wird, müssen Sie jeden Anspruch auswerten, indem jede Gruppe auflisten und analysieren die Mitglieder zusammen mit allen dieser verschachtelten Gruppen.

Für Fortune 500 Unternehmen könnte die einzelnen Zuordnungen von Benutzern zu Gruppen in zweistelliger Millionenhöhe nummerieren. Bewertung dieses komplexe Hierarchie von Berechtigungen ist eine komplizierte technische Aufwand, der ein ganz anderes technisches Paradigma als die der meisten Unternehmensanwendungen nutzt.

Die meisten Organisationen würden wahrscheinlich postulieren, dass ihre kritischen Informationen innerhalb geschäftskritischer Anwendungen verwaltet wird. Ihre Humanressourcen, Enterprise Resource planning, Finanz-, supply Chain, Business-Line und andere kritische Anwendungen halten 20 Prozent der sensibelsten Unternehmensdaten. IAM und IAG-Lösungen, die sich auf diese Anwendungen ermöglichen einen Einblick in die wichtigsten Unternehmensinformationen. Obwohl wurden die Regeln geändert.

Alles oder nichts

Die besten 20 Prozent der organisatorische Informationen nicht einfach genug. Obwohl ein großer Teil — vielleicht sogar die meisten – die anderen 80 Prozent der Unternehmen, die Daten nicht als risikoarm oder empfindlich eingestuft werden können, ist es in der Tat ein Beispiel für die Nadel im Heuhaufen-Szenario. Es gibt wenig Zweifel, dass irgendwo über diese riesige Menge an Daten Informationen, die geschützt werden sollen. Wirtschaftsprüfer und Sicherheitsbeauftragte sind gut in ihre Rechte an Steuerelemente herum und einen Einblick in diese unstrukturierte Datenumgebung erwarten.

Auch in stark regulierten Umgebungen wie Finanz- und Gesundheitswesen nutzen Geschäftsleute regelmäßig unstrukturierte Daten-Repositories wie verteilte Dateisysteme und Zusammenarbeit-Suiten wie Microsoft SharePoint zu speichern, teilen und gemeinsam an sensible Daten.

Der Mangel an Einheitlichkeit und Kontrolle über diese Plattformen stellt erhebliche Risiken, Kosten und Aufwand während der Prüfung. Sie müssen dieses Problem zu lösen und Vorbereiten der Organisation auf eine Sicherheitsüberprüfung Überprüfung oder Compliance. Hier sind ein paar Schritte, die Sie ergreifen können, um Ihr IAG-Programm in Vorbereitung, um laufende Compliance-Anforderungen zu erweitern:

1. **Aktive Directory Cleanup:**Active Directory ist die Startrampe für Unternehmenszugriff. Zugang regieren beginnt mit besserer Kontrolle über Active Directory. Dies bedeutet Verständnis, wo mit hohem Risiko und toxische Bedingungen wie kreisförmige Gruppenschachtelung, ruhende Konten und Benutzer token aufblasen auftreten.
2. **Besitz:**Die meisten an unstrukturierten Daten Zugriff mithilfe eines rollenbasierten Modells über Active Directory-Gruppenmitgliedschaft umgesetzt. Gruppen sind daher eine Kernkomponente des Sicherheitsmodells Zugang. Beurteilung der Gruppenmitgliedschaften oder Gruppenzugriff beginnt mit der Zuweisung von Gruppenbesitzer ein übernimmt Verantwortung für die Gruppe und den Zugang, die, den es ermöglicht. Je nach Sicherheitsmodell eine Gruppe könnte eine organisatorische Bezeichnung (z. B. einer Abteilung oder Team) darstellen, oder funktioneller Natur (z. B. das Gewähren von Zugriff auf angegebene Ressourcen) sein.
3. **Gruppe-Auslastung:**Scannen Sie das Unternehmen, wo Active Directory-Gruppen verwendet werden und eine einheitliche Ansicht der Gruppe Auslastung erstellen. Zu verstehen, wo die Gruppen verwendet werden, um Berechtigungen zuzuweisen ist Voraussetzung für Anspruch Bewertungen oder Zugang Audits durchführen. Es hilft auch bei der Gruppe Bereinigung, Konsolidierung und Migration auf ein verbessertes Sicherheitsmodell wie dynamische Zugriffskontrollen mit Microsoft Windows Server 2012 eingeführt werden.
4. **Content-Eigentümer:**Content-Eigentümer sind nicht unbedingt identisch mit Gruppenbesitzer. Weisen Sie Content-Eigentümer die Verantwortung für die Überprüfung der Inhalte Zugriffsrechte übernimmt. Diese Daten Depotbanken übernehmen Verantwortung für Zugang zu den Informationen basierend auf ihren Einsatz in Unternehmen. Dies kann sein, dass eine automatisierte Erkennungsprozess basierend auf Berechtigungen, Letzte Aktivität oder erweiterte Logik, die Entdeckung basierend auf Active Directory-Attribute ausführt. Beispielsweise wenn aktuelle Aktivität und Zugriffsrechte ähnlich sind, blicken der Prozess für einen gemeinsamen Manager derer, die Zugriff haben. Dieser Manager ist ein gutes Ziel für den Besitz. Da automatisierte Prozesse nicht immer harmlos, können Sie einen Schritt im Prozess einfügen, wo wahrscheinlich Eigentümer bestätigen ihre Verantwortlichkeit und empfehlen andere potenzielle Eigentümer können.
5. **Ressourcenbereinigung:**Wie Sie Ressourcen für unstrukturierte Daten scannen, sollten Sie Informationen wie Dateigröße, Inhaltstyp, Aktivitäten und andere Merkmale erfassen. Sie sollten auch Scannen, um Inhalte mit hohem Risiko innerhalb von Dateien zu identifizieren. Suchen Sie nach verwaisten Zugriffsrecht, ruhende Benutzerkonten, unbenutzte Zugang, unbenutzten Inhalt und risikoreichen Bedingungen wie open-Access-Berechtigungen. Diese Metadaten können Sie priorisieren, wo Sie weitere Sperren Zugang, in dem Inhalte archiviert werden könnte und wo Sie toxische Bedingungen sanieren können.
6. **Sicherheitsmodell:**Ihr beabsichtigte Sicherheitsmodell zu artikulieren, ist ein wichtiger Schritt im Prozess. Sobald Sie das Ziel identifiziert haben, verwenden Sie während der vorhergehenden Schritte erfassten Daten um zu überprüfen, ob das Modell und durchgesetzt wird. Sie müssen auch keine Ressourcen, die vorhandenen außerhalb des Modells zu integrieren. Dies beruht oft auf die erforderlichen Schritte verstehen, z. B. wie Gruppen genutzt werden und wie Berechtigungen angewendet werden. Eine klar definierte Sicherheitsmodell ermöglicht verbesserte Audit Reaktion.

Die vorangehenden Schritte möglicherweise nicht magischen Ergebnissen. Es ist kein Flash oder Glanz. Geschäftsleute könnten nicht einmal bemerken, dass Sie alles getan haben. Es gibt enormer inhärenter Wert, jedoch in diese Aufgaben.

Beim nächsten ein Prüfer fragt, wer Zugriff auf eine Ressource hat, können zeigen ihnen das beabsichtigte Sicherheitsmodell, einen Bericht über die tatsächlichen Berechtigungen, zeigen, wie sie verwendet werden und geben Sie den Namen der Person, die für die Überprüfung, dass der Zugang. Wenn Sie diese Antworten geben können, ohne gleich ins Schwitzen, beweisen Sie, dass Sie im Steuerelement sind. Und das ist letztlich die Absicht des Sicherheits-Audits: Kontrolle und Transparenz zu beweisen.

Auch, nachdem Sie diese Schritte abgeschlossen haben, können Sie nahtlos integrieren die effektiven Berechtigungen Mechanismen durch die Nutzungsrechte — und die damit verbundenen Analyse z. B. Datenklassifizierung und Risiko-scoring — in Ihrer traditionellen IAG-Lösungen. Diese werden organisiert und in einem zentralen Anspruch-Speicher, der das IAG-Entdeckung-Modell passt normalisiert.

In einer Zeit, wo scheinbar regulatorische Anforderungen konsequent in Anzahl und Komplexität wachsen, können Sie nicht mehr ignorieren, unstrukturierte Daten-Plattformen. Es reicht nicht aus, um zu versuchen, die Berechtigungen einer Ressource zu einem Zeitpunkt Sinn. Es ist Zeit, einige Spring-cleaning auf globaler Ebene zu tun. Reduzieren Sie vor der Komplexität und ermöglichen Sie eine Modell durch die effektiv verwalten und Bericht über Zugriff auf alle Datenressourcen.

Matt Flynn ist Direktor des Identity und Access Governance Solutions bei STEALTHbits Technologies Inc., ein Anbieter von IT-Sicherheit und Compliance-Lösungen. Flynn war zuvor Positionen bei NetVision Inc.; RSA, the Security Division of EMC Corp.; MaXware (heute ein Teil der SAP AG); die Division and Security Service von Unisys Corp.

Verwandter Inhalt

• DirectAccess und der dünnen Edge-Netz
• Verwenden von Kerberos zur SharePoint-Authentifizierung
• Verwalten von Active Directory-Benutzer mit ILM 2007