Video: Top 111111 (Kasım 2024)
Kimlik hırsızlığı herkes için ama özellikle de BT güvenliğinde olanlar için büyük bir konudur. Bu sorunla mücadele etmek için şirketlerin kimlik yönetimine güçlü ancak dikkatlice yönetilen ve kontrollü bir yaklaşıma ihtiyaçları var. Bu özellikle zordur, çünkü uygulamalara ve hizmetlere kimin erişimi olduğunu dikkatle yönetmeyi ve bilgiye ihtiyaç duyanlara kolayca kaydedilmesini ve kolayca erişilebilmesini sağlamayı gerektirir. Yetkisiz bir kişi şirketinizin uzaktan erişim için kullandığı sanal özel ağ (VPN) ağ geçidini tehlikeye sokarsa, ağ geçidine tam olarak kimlerin erişebildiğini ve bu kullanıcıların her birinin tam olarak hangi hakları kontrol ettiğini bilerek düzeltmeye başlamanız gerekir.
Kimlik yönetimi aynı zamanda sağlık hizmeti verileri için Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA) ve AB Genel Veri Koruma Yönetmeliği (GDPR) dahil olmak üzere veri gizliliğini düzenleyen yönetmeliklere uymayı da içerir. GDPR, kimliklerin doğrulanmasını talep ediyor ve kişisel olarak tanımlanabilir herhangi bir bilgiye (PII) erişen herkes için çok faktörlü kimlik doğrulama (MFA) oluşturuluyor. Güçlü kimlik yönetimi aynı zamanda bulutta ve şirket içi kimlik yönetimine (IDM) hibrid bir yaklaşım getirmek anlamına gelir. Yönetişime yönelik bu hibrid yaklaşım, kurum IDM satıcısı Semperis'te Ürün Başkanı Darren Mar-Elia'ya göre birleşik bir işlem kullanılmasını gerektiriyor. New York City'deki son Hybrid Kimlik Koruma Konferansında PCMag, kimlik yönetiminde en iyi uygulamaları alması için Mar-Elia'yı yakaladı.
PCMag (PCM): Hibrit IDM ne gerektirir?
Darren Mar-Elia (DME): Bir karma IDM sistemi sadece şirket içi alanlardan buluta genişletilen bir kimlik sistemidir ve genellikle bulut tabanlı uygulamalara erişim sağlamak içindir.
DME: Birçok şirket AD işletiyor ve yıllarca işletiyor. Bu, kullanıcı adlarınızın ve şifrelerinizin tutulduğu ve grup üyeliğinizin tutulduğu yerdir. Tüm bunlar buluta yol açabilir veya bulutta sıfırdan hesaplar oluşturabilir ve hala şirket içi AD’ye sahip olabilirsiniz. Artık bulut uygulamalarına erişim sağlayan bulut tabanlı bir kimlik sisteminiz var ve bu sadece kimliği sağlamanın bir yoludur. Başka bir deyişle, ben kimim ve bir bulut ortamında neye erişebiliyorum, Microsoft Azure veya Amazon ya da ne olursa olsun.
PCM: Bu tür bir yönetişimi yönetmek için kullanılan gerçek yazılım panosu nerededir?
DME: Tabii ki Microsoft, bulut kimliklerini yönetmek için bir yönetim portalı sunuyor. Ayrıca Microsoft Azure Active Directory'ye kadar bu senkronizasyonu yapmanıza olanak tanıyan bir parça bulunmaktadır; Demek o parçayı kontrol ediyorsun. Bu, çalıştıracağınız ve yöneteceğiniz bir yazılım parçası olduğundan emin olun. İhtiyacınız olan esnekliğe bağlı olarak, en fazla portallarından yapabilirsiniz. Belli ki Microsoft'un bulutunda yayınlanıyor ve size kiracınızı görüyor. Böylece tüm kullanıcılarınızı ve uygulamalara erişiminizi tanımlayan bir kiracınız var.
PCM: Erişimi yönetmek için ne tür uygulamalara ihtiyacınız var?
DME: Microsoft durumunda, Exchange, SharePoint ve OneDrive gibi Office uygulamalarına erişimi yönetebilirsiniz. Bunlar, genellikle o ortamda yöneteceğiniz uygulamalardır. Ve yönetme, diyelim ki, başka bir kullanıcı adına gönderebilmek veya raporlama yapabilmek için birinin posta kutusuna erişmek anlamına gelir. Örneğin, sistemimden kaç mesajın gönderildiğini ve nereye gönderildiğini görebilirsiniz. SharePoint söz konusu olduğunda, insanların işbirliği yapabileceği siteler oluşturmak veya bu bilgilere kimlerin erişebileceğini belirlemek olabilir.
PCM: Buluttaki IDM'nin yerinde ve şirket içi olarak ele alınmasındaki ana zorluklar nelerdir?
DME: Bence en büyük zorluk, hem bulutta hem de kurum içi alanda tutarlı bir şekilde bunu yapabiliyor olmak. Öyleyse, şirket içi ve bulutta doğru erişime sahip miyim? Bulunduğum şirkete karşı buluta fazla erişimim var mı? Dolayısıyla, şirket içi yapabileceklerim ile bulutta yapabileceklerim arasındaki bu eşitsizlik izini sürmek için önemlidir.
PCM: Şirket içi IDM ile bulutta yaptığım işler arasındaki dengeyi sağlamanın en iyi yolu nedir?
DME: Kullanıcı temini, kullanıcı erişim yönetimi veya kullanıcı sertifikası olsun, bunların hepsinde, kurum içinde ek olarak birden fazla bulut kimliğinde olabileceğinizi de dikkate almanız gerekir. Bu nedenle, bir erişim incelemesi yapıyorsam, yalnızca şirket içi erişebildiğim şeylerden olmamalı. Aynı zamanda, hazırlık etkinliği yapıyorsam bulutta neye erişebilirim? İnsan kaynakları (İK) iş fonksiyonundaysam, şirket içi ve buluttaki uygulamalara erişebilirim. Bu iş işlevini yerine getirdiğimde, bana erişimi olan tüm erişime sahip olmalıyım. İş işlevlerini değiştirdiğimde, bu iş işlevi için tüm bu erişime sahip olmam gerekiyor ve bu da şirket içi ve bulutta. Sorun budur.
PCM: Makine öğreniminin (ML) IDM veya hibrid kimlikteki rolü nedir?
DME: Bulut kimliği sağlayıcıları, kimin giriş yaptığını, nereden giriş yaptıklarını ve ne sıklıkta giriş yaptıklarını görebilir. Bu farklı kiracılar arasında kalıpları ortaya çıkarmak için ML'yi bu büyük veri setlerinde kullanıyorlar. Yani, örneğin, kiracınızın içinde devam eden şüpheli girişler var; kullanıcı New York’tan ve beş dakika sonra Berlin’den mi giriş yapıyor? Bu esasen bir ML problemidir. Birisi her giriş yaptığında çok sayıda denetim verisi üretiyorsunuz ve şüpheli olabilecek modelleri temelde ilişkilendirmek için makine modelleri kullanıyorsunuz. İleride, bana yalnızca içinde bulunduğum grupların bir listesini vermenin ve "evet, bu gruba girmeliyim" demenin aksine, erişim incelemesi bağlamını çıkartabilmek için erişim incelemeleri gibi işlemlere uygulanacağını düşünüyorum. "veya" hayır, o grupta olmamalıyım. " Bence eninde sonunda çözülecek daha üst düzey bir sorun, ama bu ML'nin yardımcı olacağını düşündüğüm bir alan.
PCM: ML hibrit IDM'ye yardım ettiği sürece, bu hem kurum içi hem de bulutta yardımcı olduğu anlamına mı geliyor?
DME: Bir dereceye kadar, bu doğru. Örneğin, kurum içi AD ile bulut kimliği verileri arasındaki denetim veya AD etkileşim verilerini toplayacak ve şüpheli oturum açmaların yerinde olduğu aynı tür risk listesiyle yüzeye çıkabilecek belirli teknoloji ürünleri vardır. AD veya bulut içinde. Bence bugün mükemmel değil. Sorunsuz bir bağlamsal değişim gösteren bir resmi boyamak istiyorsunuz. Şirket içi AD'de bir kullanıcıysam, şansım tehlikeye girerse, hem şirket içi hem de Azure AD'de tehlikeye girebilirim. Bu sorunun henüz tamamen çözüldüğünü bilmiyorum.
PCM: “Doğum hakkı temini” hakkında konuştunuz. Bu nedir ve hibrit IDM'de bunun rolü nedir?
DME: Birthright provizyonu, yeni çalışanların bir şirkete katıldıklarında edindikleri erişimdir. Bir hesapla provizyon alırlar ve hangi erişime sahip olduklarını ve nereden temin edildiklerini öğrenirler. Önceki örneğime geri dönersek, eğer şirkete katılan bir İK kişisiysem, bir AD oluşturdum. Muhtemelen bir senkronizasyon yoluyla bir Azure AD alacağım, belki de değil ve işimi yapmak için birtakım şeylere erişeceğim. Uygulamalar olabilir, dosya paylaşımları olabilir, SharePoint siteleri olabilirler veya Exchange posta kutuları olabilirler. Katıldığımda, tüm bu sağlama ve erişim izni verilmelidir. Esasen doğum hakkı temini.
PCM: Ayrıca “lastik damgalama” adlı bir kavramdan da bahsettiniz. Bu nasıl çalışıyor?
DME: Halka açık birçok şirkete ilişkin düzenlemeler, kişisel bilgiler, müşteri verileri ve hassas bilgiler gibi şeyleri içeren kritik sistemlere erişimi gözden geçirmeleri gerektiğini söylüyor. Bu yüzden erişimi periyodik olarak gözden geçirmelisiniz. Genellikle üç ayda bir ancak yönetmeliğe bağlı. Ancak, genellikle çalışan yöntem şu ki, bu erişim incelemelerini üreten bir uygulamanız var, belirli bir gruptaki kullanıcıların listesini o grup veya uygulamadan sorumlu bir yöneticiye gönderiyor ve sonra o kişinin tüm bu kullanıcıların hala sertifikalandırması gerekiyor. bu gruba ait. Bunların çoğunu üretiyorsanız ve bir yönetici çok çalışıyorsa, bu kusurlu bir işlemdir. Onları gözden geçirdiklerini bilmiyorsun. İhtiyaç duydukları kadar iyi mi inceliyorlar? Gerçekten bu insanların hala erişime ihtiyacı var mı? Ve bu ne lastik damgalama. Bu nedenle, gerçekten dikkat etmiyorsanız, erişimin gerçekten olup olmadığını anlamak yerine, "Evet, incelemeyi yaptım, yaptım, saçımdan çıkardım" diyen bir çek gibi görünüyor. hala ihtiyaç duyulan.
PCM: Kauçuk damgalama erişiminde bir sorun mu var, yoksa sadece bir verimlilik sorunu mu var?
DME: Sanırım ikisi de. İnsanlar çok çalışıyor. Onlara çok fazla şey atılıyorlar ve başka ne yaparsa yapmanın yanı sıra üzerinde durması zor bir süreç olduğunu düşünüyorum. Bu yüzden tamamen katılıyorum ve anlıyorum düzenleyici nedenlerden dolayı yapıldığını düşünüyorum. Ancak, erişim incelemeleri yapmak için mutlaka en iyi yaklaşım veya en iyi mekanik yöntem olup olmadığını bilmiyorum.
PCM: Şirketler rol keşfetmeyi nasıl ele alıyor?
DME: Role dayalı erişim yönetimi, bir kullanıcının kuruluştaki rolünü temel alarak erişim atadığınız fikridir. Belki de bireyin iş işlevi veya kişinin işidir. Bireyin başlığına bağlı olabilir. Rol bulma, günümüzde kimliğe erişimin nasıl sağlandığına bağlı olarak, kuruluşta hangi rollerin doğal olarak var olabileceğini keşfetmeye çalışan bir süreçtir. Örneğin, bu İK kişisinin bu grupların bir üyesi olduğunu söyleyebilirim; Bu nedenle, İK kişi rolü bu gruplara erişebilmelidir. Bu konuda yardımcı olabilecek araçlar var, temel olarak çevrede verilen mevcut erişime dayanan roller oluşturmak. Ve bu, rol tabanlı bir erişim yönetim sistemi kurmaya çalışırken, yaşadığımız rol bulma sürecidir.
PCM: Küçük ve orta ölçekli işletmelere (KOBİ'ler) hibrit IDM'ye nasıl yaklaşacakları konusunda sağlayabileceğiniz herhangi bir ipucunuz var mı?
DME: Eğer bir KOBİ iseniz, amacın karma bir kimlik dünyasında yaşamamak olduğunu düşünüyorum. Amaç, yalnızca bulut olan bir kimliğe ulaşmak ve oraya olabildiğince çabuk ulaşmaya çalışmaktır. Bir KOBİ için, hibrit kimliği yönetmenin karmaşıklığı, içinde olmak istedikleri bir iş değildir. Bu, kurum içi çok fazla şeyleri olduğu için yapmak zorunda olan büyük işletmeler için bir spordur. Bir KOBİ dünyasında, hedefin "Bir bulut kimlik sistemine daha sonra değil, nasıl ulaşabilirim? Daha sonra değil, şirket içi işden nasıl kurtulurum?" Olması gerektiğini düşünüyorum. Muhtemelen en pratik yaklaşım budur.
PCM: Şirketler ne zaman hibrit yerine sadece şirket içi veya sadece bulut kullanıyorlardı?
DME: Bence melezin varlığının en büyük nedeni şirket içi kimlik sistemlerinde çok sayıda eski teknolojiye sahip daha büyük organizasyonlara sahip olmamız. Eğer bir şirket bugün sıfırdan başlıyorsa … AD'yi yeni bir şirket olarak konuşlandırmıyorlar; Google G Suite’la Google AD’ı bir araya getiriyorlar ve şimdi tamamen bulutta yaşıyorlar. Kurum içi herhangi bir altyapıya sahip değiller. Yıllardır teknolojiyi kullanan birçok büyük kuruluş için bu pratik değil. Bu yüzden bu melez dünyada yaşamak zorundalar. Sadece bulut bulsalar bile, muhtemelen işletme modellerine ve onlar için ne kadar öncelikli olduklarına ve hangi sorunları çözmeye çalıştıklarına bağlı. Bütün bunlar onun içine giriyor. Ama bence bu kuruluşlar için uzun süre hibrit bir dünyada olacaklar.
PCM: Onları buluta itecek bir iş gereksinimi ne olurdu?
DME: Tipik bir tanesi buluttaki bir işletme uygulaması, Salesforce, Workday veya Concur gibi bir SaaS uygulaması gibi. Ve bu uygulamalar bunlara erişim sağlayabilmeleri için bir bulut kimliği sağlamayı bekliyorlar. Bu bulut kimliğine bir yerlerde sahip olmalısın ve bu genellikle böyle olur. Microsoft mükemmel bir örnek. Office 365 kullanmak istiyorsanız, kimlikleri Azure AD'ye sağlamanız gerekir. Başka seçenek yok. Bu, insanları Azure AD'lerini almaya zorlar ve sonra bir kez orada olduklarında, belki de diğer web uygulamalarına, buluttaki diğer SaaS uygulamalarına tek oturum açmaya karar vermeye karar verirler.
- Çevrimiçi kimliğinizi korumak için 10 temel adım Çevrimiçi kimliğinizi korumak için 10 temel adım
- 2019 İçin En İyi Kimlik Yönetimi Çözümleri 2019 İçin En İyi Kimlik Yönetimi Çözümleri
- CEO Dolandırıcılığı ve Kimlik Sahtekarlığını Azaltmak İçin 7 Adım CEO Dolandırıcılığı ve Kimlik Sahtekarlığını Azaltmak için 7 Adım
PCM: IDM veya yönetişimin geleceği hakkında herhangi bir büyük öngörü?
DME: İnsanlar henüz hibrit kimlik yönetimini veya hibrit IDM'yi tek bir şey olarak düşünmüyorlar. Bunun olması gerektiği, oraya yönetmelikler tarafından itilip getirilmedikleri ya da satıcıların adım atıp bu hibrit dünyalar için uçtan uca kimlik yönetimi çözümünü sağlamaları gerektiğini düşünüyorum. Her ikisinin de kaçınılmaz olarak gerçekleşmesi gerektiğini ve insanların hibrit kimlik ve erişim yönetimi arasındaki görevlerin ayrılması gibi sorunları çözmesi gerektiğini düşünüyorum. Bence bu, en erken zamanda gerçekleşecek en kaçınılmaz sonuç.
