Video: NetIQ Identity Governance and Administration (IGA) Demo (November 2024)
Identitätsdiebstahl ist ein großes Problem für alle, insbesondere aber für IT-Sicherheitsfachleute. Um dieses Problem zu bekämpfen, benötigen Unternehmen einen starken, aber sorgfältig verwalteten und kontrollierten Ansatz zur Identitätsverwaltung. Dies ist besonders schwierig, da sorgfältig verwaltet werden muss, wer Zugriff auf Anwendungen und Dienste hat, und sichergestellt werden muss, dass die Informationen ordnungsgemäß aufgezeichnet werden und für diejenigen, die sie benötigen, leicht zugänglich sind. Wenn jemand, der nicht autorisiert ist, das von Ihrem Unternehmen für den Remotezugriff verwendete VPN-Gateway (Virtual Private Network) kompromittiert, müssen Sie zu Beginn der Problembehebung genau wissen, wer Zugriff auf das Gateway hat und über welche Rechte jeder dieser Benutzer verfügt.
Identity Governance beinhaltet auch die Einhaltung datenschutzrechtlicher Bestimmungen, einschließlich des Gesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) für Gesundheitsdaten und der Allgemeinen Datenschutzverordnung (DSGVO) der EU. Die DSGVO fordert, dass Identitäten verifiziert werden und eine Multifactor Authentication (MFA) für jeden eingerichtet wird, der auf persönlich identifizierbare Informationen (PII) zugreift. Starke Identitätsverwaltung bedeutet auch, einen hybriden Ansatz für das Identitätsmanagement (IDM) in der Cloud und vor Ort zu verfolgen. Laut Darren Mar-Elia, Produktleiter bei Enterprise IDM-Anbieter Semperis, erfordert dieser hybride Governance-Ansatz die Verwendung eines einheitlichen Prozesses. Auf der jüngsten Hybrid Identity Protection-Konferenz in New York hat PCMag mit Mar-Elia Kontakt aufgenommen, um seine Erfahrungen mit Best Practices im Bereich Identity Governance zu sammeln.
PCMag (PCM): Was beinhaltet Hybrid IDM?
Darren Mar-Elia (DME): Ein hybrides IDM-System ist lediglich ein Identitätssystem, das von lokalen Anwendungen auf die Cloud ausgeweitet wurde und normalerweise den Zugriff auf Cloud-basierte Anwendungen ermöglicht.
DME: Viele Unternehmen betreiben AD und führen es seit Jahren. Dort werden Ihre Benutzernamen und Passwörter gespeichert, und dort werden Ihre Gruppenmitgliedschaften gespeichert. All das kann in die Cloud gelangen, oder Sie können Konten in der Cloud von Grund auf neu erstellen und haben immer noch lokales AD. Jetzt verfügen Sie über ein Cloud-basiertes Identitätssystem, das Zugriff auf Cloud-Apps gewährt, und es ist nur eine Möglichkeit, Identität bereitzustellen. Mit anderen Worten, wer bin ich und auf was kann ich in einer Cloud-Umgebung zugreifen, egal ob Microsoft Azure oder Amazon oder was auch immer.
PCM: Wo wird das eigentliche Software-Dashboard zum Verwalten dieser Art von Governance verwendet?
DME: Microsoft bietet natürlich ein Verwaltungsportal für die Verwaltung von Cloud-Identitäten an. Es gibt auch eine Funktion vor Ort, mit der Sie diese Synchronisierung mit Microsoft Azure Active Directory durchführen können. Also kontrollierst du das Stück. Dies ist eine Software, die Sie ausführen und verwalten würden, um sicherzustellen, dass sie funktioniert und so weiter. Je nachdem, wie viel Flexibilität Sie benötigen, können Sie die meisten Aufgaben über das Portal ausführen. Es läuft offensichtlich in der Microsoft-Cloud und gibt Ihnen einen Überblick über Ihren Mandanten. Sie haben also einen Mandanten, der alle Ihre Benutzer und Ihren gesamten Zugriff auf Apps definiert.
PCM: Zu welchen Arten von Apps müssen Sie den Zugriff verwalten?
DME: Bei Microsoft können Sie den Zugriff auf Office-Apps wie Exchange, SharePoint und OneDrive verwalten. Dies sind die Apps, die Sie normalerweise in dieser Umgebung verwalten würden. Und Verwalten bedeutet, Zugriff auf die Mailbox eines anderen Benutzers zu gewähren, um im Namen eines anderen Benutzers senden oder Berichte erstellen zu können. Sie können beispielsweise anzeigen, wie viele Nachrichten über mein System gesendet wurden und wohin sie gesendet wurden. Im Fall von SharePoint werden möglicherweise Websites eingerichtet, über die Personen zusammenarbeiten oder angeben können, wer Zugriff auf diese Informationen gewähren darf.
PCM: Was sind die wichtigsten Herausforderungen bei der Adressierung von IDM in der Cloud im Vergleich zu lokal?
DME: Ich denke, die große Herausforderung besteht darin, dies sowohl in der Cloud als auch vor Ort konsistent zu tun. Habe ich den richtigen Zugriff vor Ort und in der Cloud? Habe ich in der Cloud zu viel Zugriff als vor Ort? Daher ist es wichtig, die Unterschiede zwischen dem, was ich vor Ort tun kann, und dem, was ich in der Cloud tun kann, im Auge zu behalten.
PCM: Wie kann ich die Balance zwischen lokalem IDM und meinen Cloud-Aktivitäten am besten herstellen?
DME: Unabhängig davon, ob es sich um die Bereitstellung von Benutzern, die Verwaltung des Benutzerzugriffs oder die Benutzerzertifizierung handelt, müssen all diese Aspekte die Tatsache berücksichtigen, dass Sie sich möglicherweise nicht nur vor Ort, sondern auch in mehreren Cloud-Identitäten befinden. Wenn ich also eine Zugriffsüberprüfung durchführe, sollte es sich nicht nur um das Material handeln, auf das ich vor Ort Zugriff habe. Es sollte auch sein, auf was kann ich in der Cloud zugreifen, wenn ich ein Bereitstellungsereignis durchführe? Wenn ich in der Personalabteilung tätig bin, kann ich auf Apps sowohl vor Ort als auch in der Cloud zugreifen. Wenn ich für diese Jobfunktion bereitgestellt werde, sollte mir der gesamte Zugriff gewährt werden. Wenn ich die Jobfunktionen ändere, sollte mir der gesamte Zugriff für diese Jobfunktion entfernt werden, und das vor Ort und in der Cloud. Das ist die Herausforderung.
PCM: Welche Rolle spielt maschinelles Lernen in IDM oder hybrider Identität?
DME: Cloud-Identitätsanbieter haben Einblick in die Art und Weise, von der aus sie sich anmelden, von wo aus sie sich anmelden und wie oft sie sich anmelden. Sie verwenden ML für diese großen Datenmengen, um Muster zwischen diesen verschiedenen Mandanten ableiten zu können. Gibt es beispielsweise verdächtige Anmeldungen bei Ihrem Mandanten? meldet sich der Benutzer aus New York und dann fünf Minuten später aus Berlin an? Das ist im Wesentlichen ein ML-Problem. Sie generieren viele Audit-Daten, wenn sich jemand anmeldet, und Sie verwenden Maschinenmodelle, um im Grunde verdächtige Muster zu korrelieren. Ich denke, ML wird zukünftig auf Prozesse wie Zugriffsüberprüfungen angewendet, um auf den Kontext einer Zugriffsüberprüfung schließen zu können, anstatt mir nur eine Liste der Gruppen zu geben, in denen ich mich befinde, und zu sagen, dass ich in dieser Gruppe sein sollte "oder" nein, ich sollte nicht in dieser Gruppe sein. " Ich denke, dass dies ein Problem höherer Ordnung ist, das wahrscheinlich irgendwann gelöst wird, aber ich denke, dass ML hier Abhilfe schaffen wird.
PCM: Für ML bedeutet dies, dass ML sowohl vor Ort als auch in der Cloud hilft?
DME: Bis zu einem gewissen Grad ist das wahr. Es gibt bestimmte Technologieprodukte, die beispielsweise Audit- oder AD-Interaktionsdaten zwischen lokalen AD- und Cloud-Identitätsdaten erfassen und diese mit derselben Art von Risikoliste anzeigen, wenn verdächtige Anmeldungen vor Ort sind AD oder in der Cloud. Ich denke nicht, dass es heute perfekt ist. Sie möchten ein Bild malen, das einen nahtlosen Kontextwechsel zeigt. Wenn ich ein Benutzer in einem lokalen AD bin, besteht die Möglichkeit, dass ich bei einer Gefährdung sowohl in lokalen als auch in Azure AD gefährdet bin. Ich weiß nicht, ob dieses Problem vollständig gelöst ist.
PCM: Sie haben von "Birthright Provisioning" gesprochen. Was ist das und welche Rolle spielt dies im hybriden IDM?
DME: Die Bereitstellung von Geburtsrechten ist einfach der Zugang, den neue Mitarbeiter erhalten, wenn sie einem Unternehmen beitreten. Sie erhalten ein Konto und wissen, welchen Zugriff sie erhalten und wo sie bereitgestellt werden. Zurück zu meinem vorherigen Beispiel: Wenn ich eine HR-Person bin, die dem Unternehmen beitritt, wird ein AD erstellt. Wahrscheinlich erhalte ich ein Azure AD, möglicherweise durch Synchronisierung, möglicherweise jedoch nicht, und ich erhalte Zugriff auf eine Reihe von Aufgaben, die ich für meine Arbeit erledigen kann. Dies können Apps, Dateifreigaben, SharePoint-Websites oder Exchange-Postfächer sein. Die gesamte Bereitstellung und Zugriffsgewährung sollte erfolgen, wenn ich beitrete. Das ist im Wesentlichen die Bereitstellung von Geburtsrechten.
PCM: Sie haben auch von einem Konzept namens "Gummiprägen" gesprochen. Wie funktioniert das?
DME: Die Vorschriften für viele börsennotierte Unternehmen besagen, dass sie den Zugriff auf kritische Systeme überprüfen müssen, die beispielsweise persönliche Informationen, Kundendaten und vertrauliche Informationen enthalten. Sie müssen den Zugriff also regelmäßig überprüfen. Normalerweise ist es vierteljährlich, aber es hängt von der Regelung ab. In der Regel funktioniert dies jedoch so, dass Sie über eine App verfügen, die diese Zugriffsüberprüfungen generiert, eine Liste der Benutzer in einer bestimmten Gruppe an einen Manager sendet, der für diese Gruppe oder App verantwortlich ist. Anschließend muss diese Person bestätigen, dass alle diese Benutzer noch aktiv sind gehören in diese Gruppe. Wenn Sie eine Menge davon generieren und ein Manager überlastet ist, ist dies ein unvollkommener Prozess. Sie wissen nicht, dass sie es überprüfen. Prüfen sie es so gründlich, wie sie müssen? Brauchen diese Leute wirklich noch Zugang? Und genau das ist das Stempeln. Wenn Sie sich also nicht wirklich darum kümmern, handelt es sich in der Regel nur um eine Überprüfung, die besagt, dass "Ja, ich habe die Überprüfung durchgeführt, ich habe sie aus den Haaren geholt", anstatt wirklich zu verstehen, ob der Zugriff möglich ist immernoch gebraucht.
PCM: Ist die Überprüfung des Zugangs zu Gummistempeln ein Problem oder ist es nur eine Frage der Effizienz?
DME: Ich denke, es ist beides. Die Leute sind überarbeitet. Sie bekommen eine Menge Zeug auf sie geworfen, und ich vermute, dass es ein schwieriger Prozess ist, zusätzlich zu dem, was sonst noch getan wird, den Überblick zu behalten. Ich denke, dies geschieht aus regulatorischen Gründen, denen ich voll und ganz zustimme und die ich verstehe. Aber ich weiß nicht, ob dies unbedingt der beste Ansatz oder die beste mechanische Methode für die Durchführung von Zugriffsüberprüfungen ist.
PCM: Wie gehen Unternehmen mit der Rollenfindung um?
DME: Rollenbasierte Zugriffsverwaltung ist die Idee, dass Sie den Zugriff basierend auf der Rolle eines Benutzers in der Organisation zuweisen. Vielleicht ist es die Geschäftsfunktion des Einzelnen oder die Arbeit der Person. Es könnte auf dem Titel der Person basieren. Bei der Rollenerkennung wird versucht zu ermitteln, welche Rollen in der Organisation möglicherweise vorhanden sind, je nachdem, wie der Identitätszugriff heute gewährt wird. Zum Beispiel könnte ich sagen, dass diese HR-Person Mitglied dieser Gruppen ist. Daher sollte die HR-Personenrolle Zugriff auf diese Gruppen haben. Es gibt Tools, die dabei helfen können. Sie bauen Rollen auf, die auf dem vorhandenen Zugriff basieren, der in der Umgebung gewährt wurde. Dies ist der Prozess der Rollenerkennung, den wir durchlaufen, wenn Sie versuchen, ein rollenbasiertes Zugriffsverwaltungssystem aufzubauen.
PCM: Haben Sie Tipps für kleine bis mittelständische Unternehmen (SMBs), wie Sie mit Hybrid-IDM umgehen können?
DME: Wenn Sie ein KMU sind, ist es meines Erachtens das Ziel, nicht in einer hybriden Identitätswelt zu leben. Ziel ist es, zu einer Cloud-Identität zu gelangen und diese so schnell wie möglich zu erreichen. Für ein KMU ist die Komplexität des Managements von hybrider Identität kein Geschäft, in dem es sein möchte. Es ist eine Sportart für wirklich große Unternehmen, die dies tun müssen, weil sie so viele lokale Dinge haben. In einer SMB-Welt sollte das Ziel meines Erachtens lauten: "Wie komme ich eher früher als später zu einem Cloud-Identitätssystem? Wie komme ich eher früher als später aus dem lokalen Geschäft heraus?" Das ist wahrscheinlich der praktischste Ansatz.
PCM: Wann würden Unternehmen Hybrid im Vergleich zu nur vor Ort oder nur in der Cloud einsetzen?
DME: Ich denke, der Hauptgrund für die Existenz von Hybrid ist, dass wir größere Unternehmen mit einer Vielzahl von Legacy-Technologien in lokalen Identitätssystemen haben. Wenn ein Unternehmen heute von vorne anfängt… dann stellt es AD nicht als neues Unternehmen bereit. Sie starten Google AD mit Google G Suite und leben jetzt vollständig in der Cloud. Sie haben keine lokale Infrastruktur. Für viele größere Unternehmen mit Technologien, die es schon seit Jahren gibt, ist dies einfach nicht praktikabel. Sie müssen also in dieser hybriden Welt leben. Ob sie jemals nur in die Cloud gelangen, hängt wahrscheinlich von ihrem Geschäftsmodell ab und davon, welche Priorität sie haben und welche Probleme sie zu lösen versuchen. Das alles geht hinein. Aber ich denke für diese Organisationen, sie werden für eine lange Zeit in einer hybriden Welt sein.
PCM: Was wäre eine Geschäftsanforderung, die sie in die Cloud treiben würde?
DME: Eine typische App ähnelt einer Business-App in der Cloud, einer SaaS-App wie Salesforce, Workday oder Concur. Und diese Apps erwarten, dass sie eine Cloud-Identität bereitstellen, um auf sie zugreifen zu können. Sie müssen diese Cloud-Identität irgendwo haben, und so geschieht das normalerweise. Microsoft ist ein perfektes Beispiel. Wenn Sie Office 365 verwenden möchten, müssen Sie Identitäten in Azure AD bereitstellen. Es gibt keine andere Wahl. Das zwingt die Benutzer dazu, ihr Azure AD zu beziehen, und sobald sie dort sind, entscheiden sie sich möglicherweise für die einmalige Anmeldung bei anderen Webanwendungen, anderen SaaS-Anwendungen in der Cloud und jetzt in der Cloud.
- 10 wesentliche Schritte zum Schutz Ihrer Identität online 10 wesentliche Schritte zum Schutz Ihrer Identität online
- Die besten Identity Management-Lösungen für 2019 Die besten Identity Management-Lösungen für 2019
- 7 Schritte zur Minimierung von CEO-Betrug und Identitäts-Spoofing 7 Schritte zur Minimierung von CEO-Betrug und Identitäts-Spoofing
PCM: Gibt es große Vorhersagen für die Zukunft von IDM oder Governance?
DME: Die Menschen denken noch nicht über hybride Identity Governance oder hybrides IDM als eine einzige Sache nach. Ich denke, das muss passieren, egal, ob sie durch Vorschriften dazu gedrängt werden oder ob die Anbieter die End-to-End-Lösung für die Identitätsverwaltung für diese hybriden Welten bereitstellen. Ich denke, dass beides unweigerlich passieren muss und die Leute Probleme wie die Aufgabentrennung zwischen hybrider Identität und Zugriffsverwaltung lösen müssen. Ich denke, das ist wahrscheinlich das unvermeidlichste Ergebnis, das eher früher als später eintreten wird.
