Video: Welke competenties hebt u nodig op de postcorona-arbeidsmarkt? (November 2024)
Diefstal van identiteit is een groot probleem voor iedereen, maar vooral voor mensen met IT-beveiliging. Om dit probleem te bestrijden, hebben bedrijven een sterke maar zorgvuldig beheerde en gecontroleerde aanpak van identiteitsbestuur nodig. Dat is vooral moeilijk omdat het inhoudt dat zorgvuldig wordt beheerd wie toegang heeft tot toepassingen en services, en ervoor zorgt dat informatie correct wordt vastgelegd en gemakkelijk toegankelijk is voor degenen die deze nodig hebben. Als iemand ongeautoriseerd inbreuk maakt op de VPN-gateway (Virtual Private Network) die uw bedrijf gebruikt voor externe toegang, moet u uw fix starten door precies te weten wie toegang heeft tot de gateway en welke rechten elk van die gebruikers beheert.
Identiteitsbestuur houdt ook in dat wordt voldaan aan de voorschriften die gelden voor gegevensprivacy, waaronder de Health Insurance Portability and Accountability Act (HIPAA) voor gegevens over gezondheidszorg en de EU-verordening algemene gegevensbescherming (AVG). De GDPR vereist dat identiteiten worden geverifieerd en dat multifactor-authenticatie (MFA) wordt ingesteld voor iedereen die toegang heeft tot persoonlijk identificeerbare informatie (PII). Sterk identiteitsbestuur betekent ook een hybride benadering van identiteitsbeheer (IDM) in de cloud en op locatie. Deze hybride benadering van governance vereist het gebruik van een uniform proces, volgens Darren Mar-Elia, hoofd product bij Enterprise IDM-verkoper Semperis. Op de recente Hybrid Identity Protection Conference in New York City heeft PCMag Mar-Elia ingehaald om zijn mening te krijgen over best practices op het gebied van identiteitsbestuur.
PCMag (PCM): wat houdt hybride IDM in?
Darren Mar-Elia (DME): Een hybride IDM-systeem is gewoon een identiteitssysteem dat is uitgebreid van on-premises naar de cloud, en meestal voor toegang tot cloud-gebaseerde applicaties.
DME: Veel bedrijven hebben AD en hebben het al jaren. Dat is waar uw gebruikersnamen en wachtwoorden worden bewaard, en dat is waar uw groepslidmaatschappen worden gehouden. Al dat spul kan zijn weg vinden naar de cloud, of je kunt helemaal opnieuw accounts maken in de cloud en nog steeds een lokale AD hebben. Nu heb je een cloud-gebaseerd identiteitssysteem dat toegang verleent tot cloud-apps, en het is gewoon een manier om identiteit te bieden. Met andere woorden, wie ben ik en waar krijg ik toegang toe in een cloudomgeving, of het nu Microsoft Azure of Amazon is of wat het ook is.
PCM: Waar wordt het feitelijke softwaredashboard gebruikt om dat type governance te beheren?
DME: Microsoft biedt natuurlijk een beheerportal voor het beheer van cloudidentiteiten. Er is ook een stuk on-premises waarmee je die synchronisatie kunt uitvoeren tot Microsoft Azure Active Directory; dus jij bepaalt dat stuk. Dat is een stukje software dat je zou draaien en beheren, zorg ervoor dat het werkt en dat alles. Afhankelijk van hoeveel flexibiliteit u nodig hebt, kunt u het meeste doen via hun portal. Het draait duidelijk in de cloud van Microsoft en het geeft je een beeld van je huurder. U hebt dus een tenant die al uw gebruikers en al uw toegang tot apps definieert.
PCM: tot welke soorten apps heeft u toegang nodig?
DME: in het geval van Microsoft kunt u de toegang beheren tot Office-apps zoals Exchange, SharePoint en OneDrive. Dat zijn de apps die u normaal gesproken in die omgeving zou beheren. En beheren betekent toegang geven tot, laten we zeggen, iemands mailbox om namens een andere gebruiker te kunnen verzenden of om rapportage te kunnen doen. U kunt bijvoorbeeld zien hoeveel berichten via mijn systeem zijn verzonden en waar ze naartoe zijn verzonden. In het geval van SharePoint kan het gaan om het opzetten van sites waarmee mensen kunnen samenwerken of om aan te geven wie toegang tot die informatie kan verlenen.
PCM: Wat zijn de belangrijkste uitdagingen bij het aanpakken van IDM in de cloud versus on-premises?
DME: Ik denk dat het een grote uitdaging is om dit consistent te doen, zowel in de cloud als op locatie. Dus, heb ik de juiste toegang op locatie en in de cloud? Heb ik te veel toegang in de cloud versus wat ik ter plaatse heb? Dus dat soort ongelijkheid tussen wat ik op locatie kan doen en wat ik in de cloud kan doen, is belangrijk om bij te houden.
PCM: Wat is de beste manier om de balans te vinden tussen IDM op locatie en wat ik in de cloud doe?
DME: Of het nu gaat om gebruikersregistratie, gebruikerstoegangsbeheer of gebruikerscertificering, bij al deze dingen moet rekening worden gehouden met het feit dat u zich mogelijk in meerdere cloudidentiteiten bevindt naast on-premises. Dus als ik een toegangscontrole doe, zou dat niet alleen moeten zijn waar ik ter plaatse toegang toe heb. Het zou ook moeten zijn, waar heb ik toegang tot in de cloud als ik een provisioning-evenement doe? Als ik in de functie voor personeelszaken (HR) werk, heb ik toegang tot apps zowel op locatie als in de cloud. Wanneer ik een voorziening voor die functie krijg, moet ik al die toegang aan mij krijgen. Wanneer ik van functie verander, moet ik al die toegang voor die taakfunctie verwijderen, en dat is on-premises en in de cloud. Dat is de uitdaging.
PCM: Welke rol speelt machine learning (ML) in IDM of hybride identiteit?
DME: Cloud-identiteitsproviders hebben zicht op wie zich aanmeldt, waar ze zich aanmelden en hoe vaak ze zich aanmelden. Ze gebruiken ML op die grote gegevenssets om patronen te kunnen afleiden bij die verschillende tenants. Er zijn bijvoorbeeld verdachte aanmeldingen binnen uw tenant; logt de gebruiker in vanuit New York en vervolgens vijf minuten later vanuit Berlijn? Dat is in wezen een ML-probleem. U genereert veel auditgegevens telkens wanneer iemand zich aanmeldt, en u gebruikt machinemodellen om in wezen patronen te correleren die verdacht kunnen zijn. In de toekomst denk ik dat ML zal worden toegepast op processen zoals toegangsbeoordelingen om de context voor een toegangsbeoordeling te kunnen afleiden in plaats van me gewoon een lijst met groepen te geven waarin ik zit en te zeggen: "Ja, ik zou in deze groep moeten zijn "of" nee, ik zou niet in die groep moeten zitten. " Ik denk dat dit een probleem van een hogere orde is dat waarschijnlijk uiteindelijk zal worden opgelost, maar dat is een gebied waar ik denk dat ML zal helpen.
PCM: Voor zover ML helpt in hybride IDM, betekent dit dat het zowel on-premises als in de cloud helpt?
DME: Dat is tot op zekere hoogte waar. Er zijn specifieke technologieproducten die bijvoorbeeld audit- of AD-interactiegegevens tussen lokale AD en ook cloud-identiteitsgegevens verzamelen en die met dezelfde soort risicolijst kunnen weergeven wanneer verdachte aanmeldingen zich ter plaatse bevinden AD of in de cloud. Ik denk niet dat het vandaag perfect is. U wilt een afbeelding schilderen die een naadloze contextuele verandering laat zien. Als ik een gebruiker ben in een lokale AD, is de kans groot dat ik, zowel als ik in gevaar ben, zowel in lokale als in Azure AD in gevaar kan komen. Ik weet niet dat dit probleem nog volledig is opgelost.
PCM: Je hebt gesproken over "geboorterecht-voorziening". Wat is dit en welke rol speelt dit in hybride IDM?
DME: provisioning van eerstgeboorterecht is gewoon de toegang die nieuwe werknemers krijgen wanneer ze bij een bedrijf komen. Ze krijgen een account en welke toegang ze krijgen en waar ze worden ingericht. Om terug te gaan naar mijn vorige voorbeeld, als ik een HR-persoon bij het bedrijf kom, krijg ik een AD-advertentie. Ik krijg waarschijnlijk een Azure AD, misschien door synchronisatie maar misschien ook niet, en ik krijg toegang tot een reeks dingen om mijn werk te doen. Dit kunnen apps zijn, ze kunnen gedeelde bestanden zijn, ze kunnen SharePoint-sites zijn, of ze kunnen Exchange-mailboxen zijn. Al die voorzieningen en toegangsverlening moeten gebeuren als ik lid word. Dat is in wezen geboorteregeling.
PCM: Je hebt ook gesproken over een concept genaamd "rubber stamping". Hoe werkt dat?
DME: verordeningen voor veel beursgenoteerde bedrijven zeggen dat ze de toegang tot kritieke systemen moeten controleren die zaken als persoonlijke informatie, klantgegevens en gevoelige informatie bevatten. U moet dus de toegang regelmatig controleren. Meestal is het driemaandelijks, maar het hangt af van de regelgeving. Maar meestal is de manier waarop werkt, je hebt een app die die toegangsbeoordelingen genereert, een lijst met gebruikers in een bepaalde groep naar een manager stuurt die verantwoordelijk is voor die groep of app, en dan moet die persoon certificeren dat al die gebruikers nog steeds horen bij die groep. Als u veel hiervan genereert en een manager overwerkt is, is dit een imperfect proces. Je weet niet dat ze het beoordelen. Herzien ze het zo grondig als nodig is? Is het echt zo dat deze mensen nog steeds toegang nodig hebben? En dat is wat rubber stempelen. Dus als je er niet echt aandacht aan besteedt, is het meestal een vinkje dat aangeeft: "Ja, ik heb de beoordeling gedaan, het is gedaan, ik heb het uit mijn hoofd gehaald", in tegenstelling tot echt begrijpen of de toegang is nog nodig.
PCM: Is toegang tot rubberen stempels een probleem of is het alleen een kwestie van efficiëntie?
DME: Ik denk dat het beide is. Mensen zijn overwerkt. Ze krijgen veel dingen naar zich toe gegooid, en ik vermoed dat het een moeilijk proces is om bovenop alles te blijven zitten, naast wat dan ook. Dus ik denk dat het gedaan is om wettelijke redenen, waar ik het volledig mee eens en begrijp. Maar ik weet niet of het noodzakelijkerwijs de beste aanpak of de beste mechanische methode is om toegangsbeoordelingen uit te voeren.
PCM: Hoe gaan bedrijven om met het ontdekken van rollen?
DME: Rolgebaseerd toegangsbeheer is dit idee dat u toegang toewijst op basis van de rol van een gebruiker in de organisatie. Misschien is het de zakelijke functie van het individu of de baan van de persoon. Het kan gebaseerd zijn op de titel van het individu. Rolontdekking is het proces van proberen te ontdekken welke rollen van nature in de organisatie zouden kunnen bestaan op basis van hoe identiteitstoegang tegenwoordig wordt verleend. Ik zou bijvoorbeeld kunnen zeggen dat deze HR-persoon lid is van deze groepen; daarom moet de rol van HR-persoon toegang hebben tot die groepen. Er zijn hulpmiddelen die hierbij kunnen helpen, in principe rollen opbouwen op basis van de bestaande toegang die in de omgeving wordt verleend. En dat is het rolontdekkingsproces dat we doorlopen wanneer u probeert een op rollen gebaseerd toegangsbeheersysteem te bouwen.
PCM: Hebt u tips voor kleine tot middelgrote bedrijven (SMB's) over hoe hybride IDM te benaderen?
DME: Als je een MKB bent, denk ik dat het doel is om niet in een hybride identiteitswereld te leven. Het doel is om een cloud-only identiteit te krijgen en proberen er zo snel mogelijk te komen. Voor een MKB is de complexiteit van het beheren van hybride identiteit geen bedrijf waar ze in willen zijn. Het is een sport voor echt grote ondernemingen die het moeten doen omdat ze zoveel on-premises dingen hebben. In een MKB-wereld denk ik dat het doel moet zijn: "Hoe kom ik eerder in plaats van een cloud-identiteitssysteem? Hoe kom ik eerder in plaats van later uit de on-premises business?" Dat is waarschijnlijk de meest praktische aanpak.
PCM: Wanneer zouden bedrijven hybride gebruiken versus alleen on-premises of alleen cloud?
DME: Ik denk dat de grootste reden dat hybride bestaat, is omdat we grotere organisaties hebben met veel oudere technologie in lokale identiteitssystemen. Als een bedrijf vandaag helemaal opnieuw zou beginnen… implementeren ze AD niet als een nieuw bedrijf; ze draaien Google AD met Google G Suite, en nu leven ze volledig in de cloud. Ze hebben geen on-premises infrastructuur. Voor veel grotere organisaties met technologie die al jaren bestaat, is dat gewoon niet praktisch. Ze moeten dus in deze hybride wereld leven. Of ze ooit alleen in de cloud komen, hangt waarschijnlijk af van hun bedrijfsmodel en hoeveel prioriteit het voor hen heeft en welke problemen ze proberen op te lossen. Daar gaat alles in. Maar ik denk dat voor die organisaties ze zich nog lang in een hybride wereld zullen bevinden.
PCM: wat zou een zakelijke vereiste zijn die hen naar de cloud zou duwen?
DME: een typische app lijkt op een zakelijke app in de cloud, een SaaS-app zoals Salesforce, Workday of Concur. En die apps verwachten een cloud-identiteit te kunnen bieden om er toegang toe te kunnen geven. Je moet die cloud-identiteit ergens hebben, en dat is meestal hoe dat gebeurt. Microsoft is een perfect voorbeeld. Als u Office 365 wilt gebruiken, moet u identiteiten inrichten in Azure AD. Er is geen keuze over. Dus dat duwt mensen om hun Azure AD te krijgen en dan, als ze er eenmaal zijn, misschien besluiten ze dat ze eenmalige aanmelding willen doen bij andere web-apps, andere SaaS-apps in de cloud, en nu zijn ze in de cloud.
- 10 essentiële stappen voor het online beschermen van uw identiteit 10 essentiële stappen voor het online beschermen van uw identiteit
- De beste oplossingen voor identiteitsbeheer voor 2019 De beste oplossingen voor identiteitsbeheer voor 2019
- 7 stappen om CEO-fraude en identiteitsspoofing te minimaliseren 7 stappen om CEO-fraude en identiteitspoofing te minimaliseren
PCM: grote voorspellingen voor de toekomst van IDM of governance?
DME: Mensen denken nog niet na over hybride identiteitsbestuur of hybride IDM als één ding. Ik denk dat dat moet gebeuren, of ze daar nu door regelgeving worden opgedrongen of de leveranciers stappen op en bieden die end-to-end oplossing voor identiteitsbestuur voor die hybride werelden. Ik denk dat een van beide onvermijdelijk zal moeten gebeuren en dat mensen problemen als scheiding van taken over hybride identiteit en toegangsbeheer moeten oplossen. Ik denk dat dat waarschijnlijk de meest onvermijdelijke uitkomst is die eerder in plaats van later zal gebeuren.
