Gestione delle identità: Gestione del ciclo di vita delle identità
Ci sono un certo numero di soluzioni e strategie per la gestione delle identità dell'organizzazione, ed è essenziale che avete i controlli giusti nel posto.
Darren Mar-Elia
Adattato da "Protezione dei dati critici di gestione del ciclo di vita di identità Active Directory" (editori in tempo reale)
Gestione delle identità è in ultima analisi sulla gestione dell'accesso alle risorse aziendale. Gli utenti l'autenticazione alle risorse con la loro identità, quindi utilizzano la proprietà di quell'identità (ad esempio, appartenenza a un gruppo) per ottenere l'accesso autorizzato alle risorse.
In una tipica organizzazione di medie-grande, si potrebbero trovare le fonti seguenti identità:
- Active Directory
- Altri servizi di directory
- HR sistemi
- Basi di dati
- Applicazioni custom line-of-business (LOB)
- Software di terze parti come un applicazioni Web Service (SaaS)
- Account di sistema locale su Windows, Linux o Unix
Tutte queste identità memorizza le sfide presenti. Ognuno richiede una propria provisioning evento (e ai, pure) nelle quali sono dati solitamente disparati negozi: Directory, database, flat file o, in alcuni casi, formati proprietari. Ognuno ha il proprio insieme di meccanismi di autorizzazione e di sensi unici di concedere l'accesso.
Windows utilizza i gruppi di protezione, i database come Oracle utilizzano ruoli personalizzati incorporati nel database e altre applicazioni LOB diversi meccanismi. Più recentemente, le applicazioni SaaS stanno diventando prevalenti, che significa che sta ora richiesto di fornire accesso alle applicazioni sia interne che esterne.
È importante per non offuscare le linee tra l'autenticazione e l'autorizzazione. Alcuni prodotti possono integrare in Active Directory per l'autenticazione (ad esempio tramite Kerberos), ma conservano ancora i propri meccanismi di autorizzazione che non sfruttano direttamente Active Directory quelli come gruppi di protezione. Questo tipo di integrazione misto può o non può aiutare i processi di provisioning.
Questo mix di identità memorizza aumenta la complessità intorno a garantire gli utenti di destro sono il provisioning nel vostro ambiente e de-provisioned quando arriva il momento. Aumenta anche l'importanza di avere lifecycle management in luogo perché diventa molto più facile "perdere le tracce" di identità se non sono tutti a maglia insieme usando un quadro comune. Molte organizzazioni hanno avuto molto più identità memorizzata in un sistema che avevano gli utenti. Quando è stato chiesto perché quello era, la risposta era di solito qualcosa come, "Oh, quelli sono vecchi utenti che non sono più qui." Che tipo di gestione delle identità poveri è una ricetta per l'accesso non autorizzato, Impossibile audit o entrambi.
Ridurre archivi di identità
Se sei in una di quelle organizzazioni con un'ampia varietà di negozi, sai già che hai il tuo lavoro tagliato per voi in termini di gestione di tutte quelle identità all'interno di un quadro coerente. Ma c'è un altro punto da considerare. Un'opzione è di ridurre il numero di archivi di identità mediante la ricerca di sistemi di identità comuni in cui è possibile comprimere altri sistemi standalone. Active Directory è sempre quel sistema di identità comune per più sistemi e applicazioni.
Ci sono prodotti di terze parti e incorporati che consentono di utilizzare Active Directory come meccanismo di autenticazione primaria per Linux, Unix e Mac. Queste soluzioni in genere sfruttano l'architettura Pluggable Authentication Modules (PAM) all'interno di questi sistemi operativi a lasciare Active Directory di agire come un area di autenticazione Kerberos per questi sistemi, quasi allo stesso modo che fanno sistemi Windows.
Infatti, con molti di questi meccanismi, è possibile "unire" Linux, Unix o Mac computer Active Directory come se si trattasse di Windows desktop o server. Invece di registrazione nei sistemi Unix o Linux utilizzando un account locale, è ora possibile utilizzare un account di Active Directory per autenticare gli utenti e infine li autorizza a risorse Unix utilizzando gruppi di Active Directory.
Tutte le applicazioni in esecuzione su quelle scatole non Windows che utilizzano PAM per autenticare e autorizzare gli utenti per gli account locali ora possono utilizzare l'integrazione Active Directory per supportare l'autorizzazione e l'autenticazione di account di Active Directory. Ancora una volta, questa situazione sarà dipendente dalla domanda, ma significa che si può ottenere qualche integrazione di Active Directory "gratuitamente" una volta si integra il sistema operativo di base.
Inoltre, molte applicazioni di terze parti e piattaforme applicative supportano l'autenticazione e l'autorizzazione utilizzando Active Directory in qualche forma, comprese applicazioni pacchettizzate quali SAP e Java Web application server di Oracle Corp. e IBM Corp. Anche Oracle database supportano l'autenticazione e l'autorizzazione integrazione in Active Directory utilizzando una varietà di metodi di integrazione, da Kerberos dritto a integrazione del servizio di directory LDAP di Oracle.
Vantaggi di identità
Indipendentemente dal metodo che utilizzi, ci sono evidenti vantaggi nel tentativo di ridurre il numero di archivi di identità che si deve piegare nella tua identità gestione del ciclo di vita. Se Active Directory può essere quel punto di consolidamento per molti dei vostri sistemi e applicazioni aziendali, è possibile concentrarsi sul provisioning e deprovisioning compiti in Active Directory. Così, l'attività di un utente dalla maggior parte delle tue applicazioni e sistemi interni ed esterni di deprovisioning può diventare una semplice questione di disattivazione di un account utente in Active Directory e in pochi altri luoghi.
Non è raro per l'identità di iniziare attraverso il sistema HR di un'organizzazione. Tale sistema spinge poi che identità fuori l'altro richiesto archivi di identità, come Active Directory o archivi di identità specifiche dell'applicazione. Di solito è il lavoro di un formale di provisioning e deprovisioning sistema per eseguire questi tipi di aggiornamenti su vari sistemi collegati, mantenendo identità in sincronia e rimuoverli da tutti i sistemi connessi quando l'utente lascia l'organizzazione.
Tali soluzioni potrebbero avere il proprio servizio di directory dove vengono aggregati tutti i dati dai sistemi collegati. Questo è spesso chiamato un meta-directory. La soluzione può semplicemente tenere traccia dei mapping tra sistemi connessi, mappatura campi chiave in un sistema a altro.
L'obiettivo di tale mappatura è quello di trovare un campo che identifica in modo univoco un utente all'interno di tutti gli archivi di identità. Che assicura John Smith all'interno di Active Directory è stesso John Smith , appena assunto da HR e la stessa John Smith che ha accesso ad applicazioni specifiche in virtù dell'identità che i meta-directory negozi. E, quando John Smith lascia l'organizzazione, suo ID utente è disabilitato dal sistema HR, Active Directory e il negozio di applicazioni specifiche in un'unica operazione.
Ridurre il rischio
È in realtà molto importante di avere un sistema in vigore per la gestione del ciclo di vita dell'identità. Ci sono motivi reali, sulla terra per la costruzione di un sistema che tiene traccia di chi esiste nell'organizzazione e che cosa possono accedere: motivi quali la perdita di dati, i rischi normativi e impatto aziendale.
**Perdita di dati:**Senza dubbio, uno della più spaventosa rischia la maggior parte delle aziende che si occupano di informazioni private, come ad esempio i dati dei clienti — faccia è la perdita involontaria di informazioni. Qualsiasi organizzazione ragionevolmente grandi oggi facce qualsiasi numero di possibili vie per la perdita di dati: da dipendenti a piedi con il cliente sono elencate su chiavette USB per un esecutivo ottenendo il suo portatile non crittografati con informazioni finanziarie sensibili rubate da un lounge aeroporto. Alcuni di questi scenari sono prevenibili con la corretto strumenti e procedure in atto, ma di gran lunga uno dei peggiori errori che si può fare è quello di perdere dati in virtù di qualcuno avendo il livello di accesso errato o avendo accesso ai sistemi che hai stato rimosso tempo fa.
Questi scenari sono cattivi perché sono tutti prevenibili con un piano identità coesa che si concentra sull'assicurare processi buoni e buona automazione sono in atto ogni volta che un utente entra, cambia i lavori o lascia l'organizzazione. Perdita di dati è particolarmente male nel mondo di Internet di oggi perché la reputazione online di un'azienda e la sua capacità di mantenere o perdere i dati dei suoi clienti possono avere un impatto diretto e immediato sulla sua linea di fondo e il livello di attendibilità ha con i propri clienti.
Come il avendo una buona gestione delle identità piano posto guida di perdita di dati? Semplice — se avete buon controllo sopra gli utenti che sono in grado di autenticare i sistemi e processi buoni posto per concedere l'accesso solo ai dati necessari per fare il loro lavoro, le probabilità che i dati errati cadrà nelle mani sbagliate sono grandemente ridotte.
La parte più preoccupante di questa sfida è che il panorama delle minacce sta rapidamente cambiando. Un recente relazione sulle violazioni dei dati commissionato da Verizon dimostra che, mentre gli attacchi esterni contro le organizzazioni sono ancora un importante vettore per la perdita di dati, le minacce interne da entrambi involontari errori a causa di scarso sistema di sicurezza così come gli sforzi di frode interna organizzata sono delle principali preoccupazioni.
Infatti, in un cenno del capo verso avere controlli di identità bene in luogo, l'indagine di Verizon Mostra che la stragrande maggioranza delle minacce interne sono perpetrati dagli utenti "normali" senza accesso privilegiato. Così, avendo buoni controlli sul posto nei dintorni di accesso ai dati e sistemi può avere un impatto dimostrabile sulla prevenzione della perdita di dati da utenti interni piegato su attività dannose. Questi controlli sono possibili solo quando si dispone di un sistema che può eseguire il provisioning e identificare gli utenti corretti con i corretti livelli di accesso, ad esempio quando si dispone di un sistema di provisioning in luogo che identifica i livelli di autorizzazione di un utente basati sulla sua funzione aziendale.
**Rischi normativi:**Insieme con il rischio di dati perdita viene i rischi per le organizzazioni soggette a regolamenti governativi. Normative come il Sarbanes-Oxley Act (SOX), salute Insurance Portability and Accountability Act (HIPAA), pagamento Card Industry (PCI) e altri hanno diversi gradi di prescrizione esplicita quando si tratta di metodi per la protezione dei dati non pubblici e clienti.
Tutti questi regolamenti mandato che tali dati devono essere protetti. Ci sono multe e possibili ramificazioni penale per insufficienza grave proteggere tali dati. Se l'organizzazione è soggetta a tali regolamenti e non hai un solido piano in atto per affrontare la varietà dei rischi intorno a violazioni dei dati, stai chiedendo di guai. Oltre ad altri controlli, predisponendo un piano di gestione identità solida può aiutarvi a ottenere migliore controllo su chi è l'accesso ai vostri sistemi.
**Impatti di business:**Oltre ai rischi di perdita e la conformità dei dati, gestione identità buoni risultati in migliore disponibilità di sistema e meno impatti di business. Sistemi di gestione delle identità controllano l'accesso ai non solo i dati aziendali e le applicazioni, ma anche sistemi. Predisponendo un piano "privilegio minimo" per l'autorizzazione al sistema attraverso il sistema di gestione di identità tale che solo gli amministratori hanno accesso alle risorse del server per i quali essi sono responsabili andrà un lungo cammino verso prevenire interruzioni del server indesiderati.
Che cosa si vuole evitare a tutti i costi è un amministratore con privilegi molto più grande di suo ruolo fare una modifica al server sbagliato al momento sbagliato e abbattere i sistemi aziendali. Ci sono innumerevoli aneddoti di amministratori con accesso Domain Admins in Active Directory, che è essenzialmente libero accesso per leggere e scrivere la maggior parte degli oggetti in Active Directory — accidentalmente l'eliminazione di un account di servizio di applicazione critica, o inavvertitamente oggetti in movimento da un'unità organizzativa (OU) per il prossimo.
Questo può causare diversi criteri di gruppo applicare alle unità organizzative e successivamente modificare il loro comportamento. Uno di questi esempi potrebbe essere sufficiente a causare un'interruzione del servizio principale, solo perché qualcuno non ha seguito la politica quando è venuto il momento di eseguire il provisioning di un account utente e concesso che l'utente molto più diritti che ha bisogno o è stato in grado di gestire.
Criteri di gruppo sono un'altra area che è matura per avere un buon sistema in atto per controllare chi può accedere e apportare modifiche. Modifiche ai criteri di gruppo può avere un impatto enorme su un'organizzazione. Beneficiano di questi tipi di modifiche garantendo che il modello di delega nei dintorni di criteri di gruppo è strettamente controllato. Ciò coinvolge solitamente garantendo i giusti utenti nei gruppi di Active Directory giusti che hanno la capacità di modificare oggetti Criteri di gruppo.
Concedere autorizzazioni
La linea di fondo con tutti questi problemi di accesso è che, avendo un sistema di gestione identità bene in luogo — con un processo standard per il provisioning e l'aggiornamento degli account utente con i loro gruppi corrette e altre autorizzazioni — contribuisce a garantire il giusti utenti hanno accesso alle risorse di destra.
Tieni presente che le risorse di "gestire" a fare la risorsa effettiva concessione non è coperto come parte del processo di provisioning utente. È, tuttavia, un presupposto importante per essere in grado di sfruttare adeguatamente il processo di provisioning di identità.
.jpg)
Darren Mar-Elia è un MVP di criteri di gruppo Microsoft, creatore del popolare sito di criteri di gruppo gpoguy.com e coautore di "Microsoft Windows Group Policy Guide" (Microsoft Press, 2005). Egli è anche, CTO e fondatore di SDM Software Inc.
Per ulteriori informazioni su questo e altri titoli di editori in Realtime, check out Realtime editori.