Gestión de la identidad: Administre el ciclo de vida de las identidades
Hay una serie de soluciones y estrategias de gestión de identidad en su organización, y es esencial que tienes los controles bien en su lugar.
Darren Mar-Elia
Adaptado de "Proteger los datos críticos mediante la gestión del ciclo de vida de identidad de Active Directory" (Realtime Publishers)
Gestión de identidad es en última instancia sobre la administración del acceso a los recursos corporativos. Los usuarios autentican en recursos con su identidad y luego utilizan las propiedades de esa identidad (por ejemplo, pertenencia a un grupo) para obtener acceso autorizado a los recursos.
En una típica organización mediana a grande, puede encontrar las siguientes fuentes de identidad:
- Active Directory
- Otros servicios de directorio
- Sistemas de recursos humanos
- Bases de datos
- Aplicaciones personalizadas línea de negocios (LOB)
- Software de terceros como las aplicaciones de un Web Service (SaaS)
- Cuentas del sistema local en Windows, Linux o Unix
Todos estos identidad almacena los retos presentes. Cada uno requiere su propio evento provisioning (y de-provisioning evento, así como) en ¿qué son los almacenes de datos generalmente dispares: plano de directorios, bases de datos, archivos o, en algunos casos, los formatos propietarios. Cada uno tiene su propio conjunto de mecanismos de autorización y formas únicas de conceder acceso.
Windows utiliza grupos de seguridad, usan de bases de datos como Oracle roles personalizados incorporados a la base de datos y otras aplicaciones LOB utilizan mecanismos diferentes. Más recientemente, las aplicaciones SaaS se vuelven frecuentes, lo que significa que ahora es necesario que proporcione acceso a aplicaciones internas y externas.
Es importante no desdibujar las fronteras entre la autenticación y autorización. Algunos productos pueden integrar en Active Directory para la autenticación (por ejemplo, a través de Kerberos), pero todavía mantienen sus propios mecanismos de autorización que directamente no aprovechan los de Active Directory como grupos de seguridad. Este tipo de integración mixta puede o no puede ayudar a los procesos de aprovisionamiento.
Esta mezcla de identidad almacena aumenta la complejidad alrededor de garantizar a los usuarios apropiados son provisionados en su entorno y de-provisioned cuando llegue el momento. También aumenta la importancia de tener lifecycle management en lugar porque resulta mucho más fácil "pierde la noción" de identidades si no estuvieran todos juntos utilizando un marco común de punto. Muchas organizaciones han tenido mucho más identidades almacenadas en un sistema que tenían los usuarios. Cuando se le preguntó por qué era eso, la respuesta era generalmente algo como, "Oh, son antiguos usuarios que ya no están aquí". Ese tipo de gestión de identidad pobre es una receta para el acceso no autorizado, falló auditorías o ambos.
Reducir almacenes de identidades
Si estás en una de esas organizaciones con una amplia variedad de almacenes de identidades, ya sabes que tienes trabajo que hacer en términos de gestión de esas identidades dentro de un marco coherente para ti. Pero hay otro punto a considerar. Una opción es reducir el número de almacenes de identidades por encontrar sistemas de identidad común en el cual puede contraer otros sistemas autónomos. Active Directory es cada vez más ese sistema de identidad común para más sistemas y aplicaciones.
Existen productos integrados y de terceros que le permiten utilizar Active Directory como el mecanismo de autenticación primaria para Linux, Unix y Mac. Estas soluciones suelen aprovechan la arquitectura Pluggable Authentication Modules (PAM) dentro de estos sistemas operativos a actuar como un ámbito de autenticación Kerberos para estos sistemas, casi del mismo modo que los sistemas de Windows Active Directory.
De hecho, muchos de estos mecanismos, puede unirse "a" equipos Linux, Unix o Mac a Active Directory como lo haría en servidores o computadoras de escritorio de Windows. En lugar de iniciar sesión en sistemas Unix o Linux mediante una cuenta local, ahora puede utilizar una cuenta de Active Directory para autenticar a los usuarios y en última instancia les autoriza a recursos Unix usando grupos de Active Directory.
Cualquier aplicaciones que se ejecutan en esas cajas no Windows que usan PAM para autenticar y autorizar a los usuarios a cuentas locales ahora pueden utilizar integración con Active Directory para apoyar la autorización y autenticación de la cuenta de Active Directory. Otra vez, esta situación será dependiente de la aplicación, pero significa que puede ser una integración con Active Directory "gratis" una vez que integra el sistema operativo base.
Además, muchas aplicaciones de terceros y plataformas de aplicaciones admiten la autenticación y autorización mediante Active Directory en alguna forma, incluyendo aplicaciones envasados como servidores de aplicaciones SAP y Web Java de Oracle Corp. y IBM Corp. Incluso bases de datos Oracle apoyan la integración de autenticación y autorización en Active Directory usando una variedad de métodos de integración, de recta Kerberos para la integración en el servicio de directorio LDAP de Oracle.
Ventajas de la identidad
Independientemente del método que utilice, hay ventajas obvias en tratar de reducir el número de almacenes de identidades que tienes que doblar en su ciclo de vida de gestión de identidad. Si Active Directory puede ser ese punto de consolidación para muchas de sus aplicaciones de negocio y sistemas, usted puede centrarse en provisioning y desaprovisionamiento tareas en Active Directory. Así, la tarea de desaprovisionamiento de un usuario de la mayoría de sus aplicaciones y sistemas internos y externos puede ser una simple cuestión de desactivar una cuenta de usuario en Active Directory y otros pocos lugares.
No es infrecuente para identidad empezar a través del sistema de recursos humanos de la organización. Ese sistema empuja entonces que identidad fuera a otra requiere almacenes de identidades, como Active Directory o almacenes de identidad específica de la aplicación. Generalmente es el trabajo de un aprovisionamiento formal y desaprovisionamiento sistema para realizar este tipo de cambios en los distintos sistemas conectados — mantiene sincronizado identidades y apartarlos de todos los sistemas conectados cuando el usuario abandona la organización.
Tales soluciones podrían tener su propio servicio de directorio donde se agregan todos estos datos de los sistemas conectados. Esto a menudo se llama una meta-Directory. La solución puede simplemente seguimiento de las asignaciones entre sistemas conectados, mapeo de los campos de clave en un sistema a otro.
El objetivo de este mapeo es encontrar un campo que identifica a un usuario dentro de todos los almacenes de identidades. Que asegura John Smith dentro de Active Directory es el mismo John Smith acaba de contratar por horas y el mismo John Smith que tiene acceso a aplicaciones específicas en virtud de las identidades que las tiendas Meta-Directory. Y, cuando John Smith abandona la organización, su ID de usuario está desactivada desde el sistema de recursos humanos, Active Directory y la tienda de aplicaciones específicas en una sola operación.
Reducir el riesgo
Es muy importante tener un sistema en el lugar para la gestión de la identidad del ciclo de vida. Hay razones reales, sobre el terreno para la construcción de un sistema que mantiene un seguimiento de quién existe en su organización y lo que puede acceder: razones tales como la pérdida de datos, riesgos regulatorios y el impacto en el negocio.
**Pérdida de datos:**Sin duda, uno de los más espantosos riesgos más negocios que tratan con información privada — como los datos del cliente — cara es la pérdida accidental de información. Cualquier organización razonablemente grande hoy enfrenta cualquier número de posibles vías de pérdida de datos: empleados salir caminando con el cliente de listas en llaves USB a un ejecutivo a su portátil sin cifrar con información financiera sensible robado de un salón del aeropuerto. Algunos de estos escenarios son prevenibles con las herramientas adecuadas y procedimientos en el lugar, pero uno de los peores errores que puedes hacer es perder datos en virtud de alguien tener el mal nivel de acceso o tener acceso a sistemas que deberían haber eliminado hace mucho tiempo.
Estos escenarios son malos porque son todas prevenibles con un plan coherente de identidad que se centra en garantizar buenos procesos y automatización buena están en su lugar, cada vez que un usuario entra, cambios de puestos de trabajo o deja la organización. Pérdida de datos es especialmente mala en el mundo de la Internet de hoy, porque la reputación online de una empresa y su capacidad para mantener o perder datos de sus clientes pueden tener un impacto directo e inmediato en su línea de fondo y el nivel de confianza que tiene con sus clientes.
¿Cómo tener una buena gestión de la identidad piensa en pérdida de datos lugar ayuda? Simple: Si tienes buen control sobre los usuarios que son capaces de autenticar a sus sistemas y procesos bien en lugar de conceder el acceso sólo a los datos necesarios para hacer su trabajo, se reducen considerablemente las posibilidades de los datos mal caerá en las manos equivocadas.
La parte más preocupante de este desafío es que el paisaje de la amenaza está cambiando rápidamente. Una reciente Informe sobre las violaciones de datos encargado por Verizon muestra que mientras los ataques externos contra organizaciones siguen siendo un importante vector de pérdida de datos, amenazas internas de ambos errores inadvertidos debido al deficiente sistema de seguridad, así como los esfuerzos organizados de fraudes internos son una preocupación importante.
De hecho, en un guiño hacia tener controles de identidad bien en su lugar, la encuesta de Verizon muestra que una gran mayoría de amenazas internas son perpetrados por los usuarios "normales" sin acceso privilegiado. Por lo tanto, tener buenos controles en el lugar alrededor de acceso a datos y sistemas puede tener un impacto demostrable sobre la prevención de pérdida de datos por los usuarios internos empeñados en actividades maliciosas. Estos controles son sólo posibles cuando tienes un sistema que puede provisión e identificar a los usuarios correctos con los niveles correctos de acceso, como cuando tienes un sistema de aprovisionamiento en el lugar que identifica niveles de autorización de un usuario basados en función de su negocio.
**Riesgos regulatorios:**Junto con el riesgo de datos pérdida viene los riesgos para las organizaciones sujetas a las regulaciones gubernamentales. Regulaciones como la ley Sarbanes-Oxley (SOX), Health Insurance Portability y Accountability Act (HIPAA), la industria de tarjeta de pago (PCI) y otros tienen diversos grados de prescripción explícita cuando se trata de métodos para proteger al cliente y datos no públicos.
Todos estos reglamentos exigen que tales datos deben ser protegidos. Hay multas tiesas y posibles ramificaciones criminales bruto fracaso proteger dichos datos. Si su organización está sujeta a las disposiciones y no tienes un plan sólido en lugar de atender la variedad de riesgos alrededor de las violaciones de datos, estás buscando problemas. Además de otros controles, puesta en marcha de un plan de gestión de identidad sólida te puede ayudar a mejor control sobre quién está accediendo a sus sistemas.
**Impactos del negocio:**Además de los riesgos de pérdida y cumplimiento de datos, gestión de identidad buenos resultados en mejor disponibilidad del sistema y menos impactos de negocios. Sistemas de gestión de identidad controlan el acceso a no sólo datos de negocio y aplicaciones, pero también sistemas. Poner un plan "menos privilegio" para autorización de sistema en su lugar a través de su sistema de gestión de identidad tal que sólo los administradores tienen acceso a los recursos del servidor para el cual son responsables irá una manera larga hacia la prevención de las interrupciones del servidor no deseados.
Lo que quiere evitar a toda costa es un administrador con privilegios mucho mayores que su papel de realizar un cambio en el servidor equivocado en el momento equivocado y derribar sus sistemas de negocios. Hay innumerables anécdotas de administradores con acceso de administrador de dominio de Active Directory, que es esencialmente el acceso sin restricciones a leer y escribir la mayoría de los objetos en Active Directory — accidentalmente borrar una cuenta de servicio de aplicación crítica o inadvertidamente mover objetos de una unidad organizativa (OU) a la siguiente.
Esto puede causar diferentes directivas de grupo aplicar a las unidades organizativas y posteriormente cambiar su comportamiento. Ninguno de estos ejemplos puede ser suficiente para causar una interrupción importante, sólo porque alguien no siga la política cuando llegó el momento de la provisión de una cuenta de usuario y concedió a que el usuario más derechos que él necesitaba o estaba equipado para manejar.
Directiva de grupo es otra área que está maduro para tener un buen sistema en lugar de controlar quién puede acceder y realizar cambios. Cambios de política de grupo pueden tener un gran impacto en una organización. Estos tipos de cambios se benefician de asegurar que el modelo de delegación alrededor de directiva de grupo está firmemente controlado. Esto normalmente implica garantizar a que los usuarios apropiados están en los grupos de Active Directory correcto que tienen la capacidad de modificar los objetos de directiva de grupo.
Conceder permisos
La línea de fondo con todas esas cuestiones de acceso es que tener un sistema de gestión de identidad bien en su lugar, con un proceso estándar de provisioning y actualización de las cuentas de usuario con sus grupos adecuados y otras autorizaciones — ayuda a asegurar los correcto usuarios tienen acceso a los recursos adecuados.
Tenga en cuenta que los recursos de la "autorización" para hacer la concesión de recursos reales no está cubierto como parte del proceso de aprovisionamiento usuario. Es, sin embargo, un requisito importante para poder aprovechar correctamente su identidad de proceso de aprovisionamiento.
.jpg)
Darren Mar-Elia es un MVP de Microsoft grupo política, creador del popular sitio de directiva de grupo gpoguy.com y coautor de "Microsoft Windows grupo política guía" (Microsoft Press, 2005). También es director y fundador de SDM Software Inc.
Para más información sobre este y otros títulos de editoriales en tiempo real, Editores en tiempo real.