Чрезмерные привилегии пользователей делают организации уязвимыми к кибератакам и утечкам данных. Вот как управление идентификацией и доступом предотвращает это
Система управления идентификацией и доступом (IAM) облегчает управление электронными идентификационными данными. Система включает в себя необходимые технологии для поддержки управления идентификационными данными в облаке
Технология IAM может использоваться для инициации, сбора, регистрации и автоматического управления идентификационными данными пользователей и соответствующими им разрешениями на доступ. Это обеспечивает предоставление привилегий доступа в соответствии с интерпретацией политики, гарантируя, что все лица и службы должным образом аутентифицированы и авторизованы для доступа. Это жизненно важная часть безопасности облака
Почему вам необходимо программное обеспечение IAM
Поддержание необходимого потока бизнес-данных и одновременно управление доступом всегда требовало административного внимания и, следовательно, много времени. А поскольку ИТ-среда предприятия постоянно развивается, проблемы только усиливаются в связи с последними разрушительными тенденциями, такими как ‘принеси свое устройство’ (BYOD), облачные вычисления, мобильные приложения и все более мобильная рабочая сила
Кроме того, участились случаи нарушения безопасности данных в облаке, так как в управлении находится все больше устройств и сервисов, чем когда-либо прежде, с различными требованиями к привилегиям доступа
В условиях, когда сотрудникам приходится отслеживать различные роли в организации, управление идентификацией и доступом становится все более сложной задачей. Распространенной проблемой является то, что привилегии предоставляются при изменении обязанностей сотрудника, но эскалация уровня доступа не отменяется, когда в ней больше нет необходимости
В этой ситуации сотрудник получает чрезмерный уровень привилегий, получая дополнительный доступ к информации при смене роли без отмены предыдущих полномочий. Это известно как ‘ползучесть привилегий'<39>
Это создает риск для безопасности двумя различными способами. Во-первых, сотрудник с привилегиями, превышающими необходимые, может получить несанкционированный и потенциально небезопасный доступ к приложениям и данным. Во-вторых, если злоумышленник получит доступ к учетной записи пользователя с чрезмерными привилегиями, он может нанести больший ущерб, чем ожидалось. Любой из этих сценариев может привести к потере или краже данных
Обычно накопление привилегий не приносит особой пользы ни сотруднику, ни организации. В лучшем случае, это удобно, когда сотрудника просят выполнить неожиданные задачи. С другой стороны, это может значительно облегчить злоумышленникам компрометацию данных компании из-за чрезмерно привилегированных сотрудников
Плохое управление доступом также часто приводит к тому, что люди сохраняют свои привилегии после того, как перестают работать в компании
Одним из основных ограничений является то, что бывает сложно получить финансирование для проектов IAM, поскольку они не увеличивают напрямую прибыльность или функциональность. Это происходит и с другими облачными приложениями безопасности, например, с программным обеспечением Cloud Security Posture Management (CSPM)
Однако такое отсутствие интереса к безопасности создает значительные риски для соответствия нормативным требованиям и общей безопасности организации. Эти проблемы с управлением повышают риск дальнейшего ущерба как от внешних, так и от внутренних угроз
Что должно включать в себя программное обеспечение IAM?
Решения IAM должны автоматизировать инициирование, получение, регистрацию и управление идентификационными данными пользователей и соответствующими разрешениями на доступ. Продукты должны включать централизованную службу каталогов, которая масштабируется по мере роста бизнеса. Такой центральный каталог предотвращает случайную регистрацию учетных данных в файлах и липких записках, когда сотрудники пытаются справиться с загрузкой множества паролей в различные системы
Поэтому программное обеспечение IAM должно упрощать процесс предоставления пользователей и настройки учетных записей. Продукт должен сокращать затраты времени благодаря контролируемому рабочему процессу, который снижает количество ошибок и потенциальных злоупотреблений, а также позволяет вести автоматизированный учет. Программное обеспечение IAM также должно позволять администраторам мгновенно просматривать и изменять права доступа
Система прав доступа/привилегий в центральном каталоге должна автоматически сопоставлять должность сотрудника, его местоположение и идентификатор подразделения для автоматической обработки запросов на доступ. Эти биты информации помогают классифицировать запросы на доступ в соответствии с существующими должностями сотрудников
В зависимости от сотрудника, некоторые права могут быть присущи его роли и предоставляться автоматически, а другие могут быть разрешены по запросу. В некоторых случаях система может потребовать пересмотра некоторых прав доступа, в то время как другие запросы могут быть полностью отклонены, за исключением случаев отказа. Тем не менее, система IAM должна обрабатывать все вариации автоматически и соответствующим образом
Программное обеспечение IAM должно устанавливать рабочие процессы для управления запросами на доступ, с возможностью нескольких этапов рассмотрения с требованиями утверждения для каждого запроса. Этот механизм может облегчить создание различных процессов проверки, соответствующих риску, для доступа более высокого уровня и пересмотр существующих прав для предотвращения расширения привилегий
Каковы некоторые популярные поставщики IAM?
Dell One Identity Manager сочетает в себе простоту установки, настройки и использования. Система совместима с системами баз данных Oracle и Microsoft SQL. По словам Dell, продукт самообслуживания настолько прост в использовании, что сотрудники могут управлять всеми этапами жизненного цикла IAM, не прибегая к помощи ИТ-отдела. В линейку продуктов также входит Cloud Access Manager, который обеспечивает возможность единого входа для различных сценариев доступа к веб-приложениям
BIG-IP Access Policy Manager от F5 Networks имеет высоко оцененный сервис и поддержку. Программное обеспечение является частью многоуровневой системы коммутации BIG-IP, доступно на устройстве и в виртуализированных системах.Policy Manager обеспечивает доступ по протоколу HTTPS через все веб-браузеры, что экономит время на настройку рабочих станций
SSRM (Self-Service Reset Password Management) от Tools4ever имеет высокую оценку за простоту установки, настройки, администрирования и обслуживания. Этот инструмент позволяет администраторам создавать собственную ссылку ‘Забыли пароль’ для пользователей и указывать количество вопросов безопасности. Было доказано, что этот инструмент самообслуживания паролей снижает потребность в звонках для сброса пароля на 90 процентов
IBM Security Identity Manager разработан для быстрого и простого внедрения и совместим с другими продуктами. Программное обеспечение поддерживает Microsoft Windows Server, SUSE Linux Enterprise Server, Red Hat Enterprise Linux, IBM AIX и большинство распространенных операционных систем, системы электронной почты, ERP-системы и облачные приложения, такие как Salesforce.com
Входящий в комплект инструментарий упрощает интеграцию пользовательских приложений. Создание и изменение привилегий пользователей автоматизировано с помощью системы, основанной на правилах. Права доступа могут быть добавлены или удалены для отдельных пользователей на основе изменений в бизнес-функциях автоматически. Он также может применять разрешения для групп
Стоит отметить, что некоторые программные продукты для обеспечения безопасности облачных сред включают в себя технологии IAM. К ним относятся Cloud Access Security Brokers (CASB), которые поставляются с функциями назначения учетных данных и входа для аутентификации, а также создания профилей и токенизации
Подходят ли вам приложения IAM?
Плохо контролируемые процессы IAM могут привести к утечке конфиденциальной информации и нарушению нормативных требований
Например, предположим, что ваша организация подверглась аудиту, и вы не смогли продемонстрировать, что данные вашей организации не подвергаются риску неправомерного использования. В этом случае проверяющий орган может наложить на вас штрафы, что в перспективе может стоить вам больших денег. Более того, реальная атака на вашу компанию, которая использовала плохой IAM, приведет к реальному ущербу для вас и ваших клиентов
Хотя требования к безопасности в разных компаниях отличаются, вы должны обезопасить данные своей компании и своих клиентов от утечки. В конце концов, ваши клиенты доверяют вам свою информацию, зная, что вы защитите ее от внешних угроз
Однако одно можно гарантировать: инвестиции в программное обеспечение IAM защитят вас от внутренних угроз и нарушений конфиденциальности— сэкономив вам деньги и хлопоты в долгосрочной перспективе
Комментировать