Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноябрь 2024)
Кража личных данных - большая проблема для всех, но особенно для тех, кто занимается информационной безопасностью. Чтобы бороться с этой проблемой, компаниям нужен сильный, но тщательно управляемый и контролируемый подход к управлению идентификацией. Это особенно сложно, потому что это требует тщательного управления тем, кто имеет доступ к приложениям и службам, и обеспечения надлежащей записи и легкого доступа к информации для тех, кто в ней нуждается. Если кто-то несанкционированно скомпрометирует шлюз виртуальной частной сети (VPN), используемый вашей компанией для удаленного доступа, вам нужно начать исправление, точно зная, кто имеет доступ к шлюзу и какие именно права контролирует каждый из этих пользователей.
Управление идентификацией также подразумевает соблюдение правил, регулирующих конфиденциальность данных, в том числе Закона о мобильности и подотчетности медицинского страхования (HIPAA) для данных здравоохранения и Общего регламента ЕС о защите данных (GDPR). GDPR требует проверки личности и установления многофакторной аутентификации (MFA) для любого, кто имеет доступ к любой информации, позволяющей установить личность (PII). Надежное управление идентификацией также означает использование гибридного подхода к управлению идентификацией (IDM) в облаке и локально. Этот гибридный подход к управлению требует использования унифицированного процесса, по словам Даррена Мар-Элия, руководителя отдела продуктов в компании IDM, поставщика Semperis. На недавней конференции по защите гибридных идентификаторов в Нью-Йорке PCMag встретился с Мар-Элией, чтобы узнать о передовых методах управления идентификацией.
PCMag (PCM): что влечет за собой гибридный IDM?
Даррен Мар-Элиа (DME): гибридная система IDM - это просто система идентификации, которая была расширена от локальной до облачной, и обычно она предназначена для предоставления доступа к облачным приложениям.
DME: Многие компании используют AD и используют его годами. Вот где хранятся ваши имена пользователей и пароли, и там же проходят членства в вашей группе. Все эти вещи могут попасть в облако, или вы можете создавать учетные записи с нуля в облаке и при этом иметь локальную AD. Теперь у вас есть облачная система идентификации, которая предоставляет доступ к облачным приложениям, и это всего лишь способ обеспечения идентификации. Другими словами, кто я и к чему я получаю доступ в облачной среде, будь то Microsoft Azure или Amazon, или кем бы то ни было.
PCM: Где фактически используется программная панель управления для управления этим типом управления?
DME: Microsoft, конечно, предоставляет портал управления для управления облачными удостоверениями. Также есть локальный фрагмент, который позволяет выполнять эту синхронизацию вплоть до Microsoft Azure Active Directory; так что вы контролируете эту часть. Это часть программного обеспечения, которую вы будете запускать и управлять, убедитесь, что она работает, и все такое. В зависимости от того, сколько гибкости вам нужно, вы можете сделать большинство из их портала. Очевидно, он работает в облаке Microsoft и дает вам представление о вашем арендаторе. Таким образом, у вас есть арендатор, который определяет всех ваших пользователей и весь ваш доступ к приложениям.
PCM: к каким типам приложений вам нужно управлять доступом?
DME: в случае Microsoft вы можете управлять доступом к приложениям Office, таким как Exchange, SharePoint и OneDrive. Это те приложения, которыми вы обычно управляете в этой среде. А управление означает предоставление доступа, скажем, к чьему-либо почтовому ящику, чтобы иметь возможность отправлять сообщения от имени другого пользователя или создавать отчеты. Например, вы можете посмотреть, сколько сообщений было отправлено через мою систему и куда они были отправлены. В случае SharePoint это может быть создание сайтов, через которые люди могут сотрудничать, или указание, кто может предоставить доступ к этой информации.
PCM: Каковы основные проблемы в решении IDM в облаке по сравнению с локальными?
DME: Я думаю, что большой проблемой является возможность сделать это последовательно как в облаке, так и локально. Итак, у меня есть право доступа локально и в облаке? Есть ли у меня слишком большой доступ в облаке по сравнению с тем, что у меня есть локально? Такого рода различия между тем, что я могу делать в помещениях, и тем, что я могу делать в облаке, важно отслеживать.
PCM: Как лучше всего найти баланс между локальной IDM и тем, что я делаю в облаке?
DME: будь то подготовка пользователей, управление доступом пользователей или сертификация пользователей, все эти вещи должны принимать во внимание тот факт, что вы можете быть в нескольких облачных удостоверениях в дополнение к локальным. Так что, если я делаю обзор доступа, это должно быть не просто из того, к чему у меня есть доступ. Также должно быть, к чему я имею доступ в облаке, если я делаю событие инициализации? Если я работаю в функции управления персоналом (HR), у меня будет доступ к приложениям как локально, так и в облаке. Когда я получу доступ к этой функции, мне будет предоставлен весь доступ. Когда я изменяю функции работы, у меня должен быть весь этот доступ для этой функции работы, и это локально и в облаке. Это проблема.
PCM: Какую роль играет машинное обучение (ML) в IDM или гибридной идентичности?
DME: провайдеры облачных удостоверений могут видеть, кто входит в систему, откуда они входят и как часто они входят в систему. Они используют ML для этих больших наборов данных, чтобы иметь возможность выводить шаблоны для разных арендаторов. Так, например, есть ли подозрительные логины в вашем арендаторе; пользователь входит в систему из Нью-Йорка, а затем через пять минут из Берлина? Это проблема ML по существу. Вы генерируете много данных аудита, когда кто-то входит в систему, и вы используете модели машин для корреляции шаблонов, которые могут быть подозрительными. В дальнейшем я думаю, что ML будет применяться к таким процессам, как проверки доступа, чтобы иметь возможность выводить контекст для проверки доступа, а не просто давать мне список групп, в которых я нахожусь, и говорить: «Да, я должен быть в этой группе». "или" нет, я не должен быть в этой группе. " Я думаю, что это проблема высшего порядка, которая, вероятно, будет в конечном итоге решена, но я думаю, что это поможет ML.
PCM: Насколько ML помогает в гибридных IDM, означает ли это, что он помогает как локально, так и в облаке?
DME: В некоторой степени это правда. Существуют специальные технологические продукты, которые собирают, например, данные аудита или взаимодействия AD между локальной AD, а также данные об облачной идентификации, и могут отображать их с помощью списка рисков того же типа, где подозрительные входы в систему выполняются локально. AD или в облаке. Я не думаю, что сегодня это идеально. Вы хотите нарисовать картину, которая показывает плавное изменение контекста. Если я пользователь локальной AD, то, скорее всего, если я скомпрометирован, я могу скомпрометироваться как в локальной, так и в Azure AD. Я не знаю, что эта проблема полностью решена.
PCM: Вы говорили о «обеспечении прав первородства». Что это такое, и какую роль это играет в гибридном IDM?
DME: Предоставление права первородства - это просто доступ, который получают новые сотрудники, вступая в компанию. Они получают учетную запись, и какой доступ они получают, и где они получают. Возвращаясь к моему предыдущему примеру, если я работаю в компании по подбору персонала, я создаю объявление. Я, вероятно, получу Azure AD, возможно, через синхронизацию, а может, и нет, и получу доступ к ряду вещей для выполнения своей работы. Это могут быть приложения, общие файловые ресурсы, сайты SharePoint или почтовые ящики Exchange. Вся эта подготовка и предоставление доступа должны произойти, когда я присоединюсь. По сути, это предоставление права первородства.
PCM: Вы также говорили о концепции под названием «штамповка резины». Как это работает?
DME: правила для многих публичных компаний гласят, что им необходимо проверять доступ к критически важным системам, которые содержат такие вещи, как личная информация, данные клиентов и конфиденциальная информация. Таким образом, вы должны пересматривать доступ на периодической основе. Обычно это ежеквартально, но это зависит от регулирования. Но обычно работает так: у вас есть приложение, которое генерирует эти обзоры доступа, отправляет список пользователей в определенной группе менеджеру, который отвечает за эту группу или приложение, и затем этот человек должен подтвердить, что все эти пользователи все еще принадлежат к этой группе. Если вы генерируете их много, а менеджер перегружен работой, это несовершенный процесс. Вы не знаете, что они проверяют это. Они рассматривают это так тщательно, как им нужно? Неужели этим людям все еще нужен доступ? И вот что такое резиновая штамповка. Так что, если вы на самом деле не обращаете на это внимания, это, как правило, просто проверка, указывающая: «Да, я сделал обзор, он сделан, я выпал из моих волос», в отличие от реального понимания того, является ли доступ все еще нужно
PCM: Проверка доступа к штамповке - это проблема или это вопрос эффективности?
DME: Я думаю, что оба. Люди перегружены работой. Им бросают много вещей, и я подозреваю, что это сложный процесс, в дополнение к тому, что еще делают. Поэтому я думаю, что это сделано по нормативным причинам, с которыми я полностью согласен и понимаю. Но я не знаю, обязательно ли это лучший подход или лучший механический метод для проверки доступа.
PCM: Как компании решают проблему поиска ролей?
DME: Управление доступом на основе ролей - это идея, согласно которой вы назначаете доступ на основе роли пользователя в организации. Может быть, это деловая функция человека или работа человека. Это может быть основано на названии человека. Обнаружение ролей - это попытка выяснить, какие роли могут естественным образом существовать в организации на основе того, как сегодня предоставляется доступ к удостоверениям. Например, я мог бы сказать, что этот сотрудник отдела кадров является членом этих групп; следовательно, роль HR-персонала должна иметь доступ к этим группам. Есть инструменты, которые могут помочь с этим, в основном построение ролей на основе существующего доступа, предоставленного в среде. И это процесс обнаружения ролей, который мы проходим, когда вы пытаетесь создать систему управления доступом на основе ролей.
PCM: У вас есть какие-нибудь советы, которые вы можете дать малому и среднему бизнесу (SMB) о том, как подойти к гибридной IDM?
DME: Если вы SMB, я думаю, что цель состоит в том, чтобы не жить в мире гибридной идентичности. Цель состоит в том, чтобы добраться до облачной идентификации и попытаться добраться до нее как можно быстрее. Для малого и среднего бизнеса сложности управления гибридной идентификацией - это не тот бизнес, которым они хотят заниматься. Это вид спорта для действительно крупных предприятий, которым приходится это делать, потому что у них так много локальных вещей. В мире малого и среднего бизнеса я думаю, что цель должна заключаться в следующем: «Как я могу получить облачную систему идентификации раньше, чем позже? Как мне выйти из локального бизнеса раньше, чем позже?» Это, наверное, самый практичный подход.
PCM: Когда компании будут использовать гибрид, а не только локально или только облако?
DME: Я думаю, что главная причина существования этого гибрида заключается в том, что у нас есть крупные организации с большим количеством устаревших технологий в локальных системах идентификации. Если сегодня компания начинала с нуля… она не развертывает AD как новую компанию; они раскручивают Google AD с помощью Google G Suite, и теперь они полностью живут в облаке. У них нет никакой локальной инфраструктуры. Для многих крупных организаций с технологиями, которые существуют уже много лет, это просто не практично. Таким образом, они должны жить в этом гибридном мире. Достигнут ли они когда-либо только облачных сред, это, вероятно, зависит от их бизнес-модели и степени приоритетности для них, а также от того, какие проблемы они пытаются решить. Все это входит в это. Но я думаю, что для этих организаций они будут в гибридном мире в течение длительного времени.
PCM: Какое бизнес-требование подтолкнет их к облаку?
DME: Типичное приложение похоже на бизнес-приложение в облаке или SaaS-приложение, например Salesforce, Workday или Concur. И эти приложения ожидают предоставления идентификатора облака, чтобы иметь доступ к ним. Вы должны иметь эту облачную идентичность где-то, и так обычно происходит. Microsoft - прекрасный пример. Если вы хотите использовать Office 365, вам необходимо предоставить удостоверения в Azure AD. Там нет выбора об этом. Это подталкивает людей к получению своей Azure AD, а затем, как только они там окажутся, возможно, они решат, что хотят сделать единый вход в другие веб-приложения, другие приложения SaaS в облаке, и теперь они находятся в облаке.
- 10 основных шагов для защиты вашей личности в Интернете 10 основных шагов для защиты вашей личности в Интернете
- Лучшие решения для управления идентификацией на 2019 год Лучшие решения для управления идентификацией на 2019 год
- 7 шагов по минимизации мошенничества и фальсификации личных данных генерального директора 7 шагов по минимизации мошенничества и фальсификации личных данных генерального директора
PCM: Какие-нибудь большие прогнозы на будущее IDM или управления?
DME: Люди еще не думают о гибридном управлении идентификацией или гибридной IDM как об одной вещи. Я думаю, что это должно произойти, независимо от того, продвигаются ли они в соответствии с правилами или поставщиками, которые предоставляют это комплексное решение для управления идентификацией для этих гибридных миров. Я думаю, что любое из них неизбежно должно произойти, и людям придется решать такие проблемы, как разделение обязанностей между гибридной идентификацией и управлением доступом. Я думаю, что это, вероятно, самый неизбежный результат, который произойдет раньше, чем позже.
