Video: What is Identity Governance and Administration (IGA)? (Novembre 2024)
Il furto di identità è un grosso problema per tutti, ma soprattutto per quelli che si occupano di sicurezza IT. Per combattere questo problema, le aziende hanno bisogno di un approccio forte ma attentamente gestito e controllato alla governance delle identità. Ciò è particolarmente difficile perché implica la gestione accurata di chi ha accesso ad applicazioni e servizi e la garanzia che le informazioni siano correttamente registrate e facilmente accessibili a coloro che ne hanno bisogno. Se qualcuno non autorizzato compromette il gateway di rete privata virtuale (VPN) utilizzato dall'azienda per l'accesso remoto, è necessario iniziare la correzione conoscendo esattamente chi ha accesso al gateway ed esattamente quali diritti controllano ciascuno di quegli utenti.
La governance dell'identità implica anche il rispetto delle normative che regolano la privacy dei dati, tra cui la legge sulla portabilità e la responsabilità dell'assicurazione malattia (HIPAA) per i dati sanitari e il regolamento generale sulla protezione dei dati (GDPR) dell'UE. Il GDPR richiede che le identità siano verificate e che venga istituita l'autenticazione a più fattori (MFA) per chiunque acceda a qualsiasi informazione di identificazione personale (PII). Una forte governance delle identità significa anche adottare un approccio ibrido alla gestione delle identità (IDM) nel cloud e in locale. Questo approccio ibrido alla governance richiede l'utilizzo di un processo unificato, secondo Darren Mar-Elia, responsabile del prodotto presso il fornitore IDM aziendale Semperis. Alla recente conferenza sulla protezione dell'identità ibrida a New York City, PCMag ha incontrato Mar-Elia per prendere le sue migliori pratiche in materia di governance delle identità.
PCMag (PCM): Cosa comporta l'IDM ibrido?
Darren Mar-Elia (DME): un sistema IDM ibrido è solo un sistema di identità che è stato esteso da locale al cloud e di solito serve per dare accesso ad applicazioni basate su cloud.
DME: Molte aziende gestiscono AD e lo gestiscono da anni. È qui che si trovano i tuoi nomi utente e password, ed è qui che si trovano le appartenenze al tuo gruppo. Tutte queste cose possono arrivare fino al cloud, oppure puoi creare account da zero nel cloud e avere ancora AD locale. Ora disponi di un sistema di identità basato su cloud che consente l'accesso alle app cloud ed è solo un modo per fornire identità. In altre parole, chi sono e a cosa accedo in un ambiente cloud, che si tratti di Microsoft Azure o Amazon, o qualunque cosa accada.
PCM: dove viene utilizzato il dashboard software effettivo per gestire quel tipo di governance?
DME: Microsoft, ovviamente, fornisce un portale di gestione per la gestione delle identità cloud. C'è anche un pezzo locale che ti permette di fare quella sincronizzazione fino ad Active Directory di Microsoft Azure; così controlli quel pezzo. È un software che eseguiresti e gestiresti, assicurandoti che funzioni e tutto il resto. A seconda di quanta flessibilità hai bisogno, puoi fare di più dal loro portale. Ovviamente è in esecuzione nel cloud di Microsoft e ti dà una visione del tuo inquilino. Quindi hai un inquilino che definisce tutti i tuoi utenti e tutto il tuo accesso alle app.
PCM: di quali tipi di app hai bisogno per gestire l'accesso?
DME: nel caso di Microsoft, puoi gestire l'accesso alle app di Office come Exchange, SharePoint e OneDrive. Quelle sono le app che normalmente gestiresti in quell'ambiente. E gestire significa dare accesso, diciamo, alla cassetta postale di qualcuno per poter inviare per conto di un altro utente o essere in grado di fare rapporti. Ad esempio, puoi visualizzare quanti messaggi sono stati inviati attraverso il mio sistema e dove sono stati inviati. Nel caso di SharePoint, potrebbe essere la creazione di siti attraverso i quali le persone possono collaborare o specificare chi può concedere l'accesso a tali informazioni.
PCM: Quali sono le principali sfide nell'affrontare IDM nel cloud rispetto a quello locale?
DME: Penso che la grande sfida sia riuscire a farlo in modo coerente sia sul cloud che in locale. Quindi, ho il giusto accesso in locale e nel cloud? Ho troppo accesso al cloud rispetto a quello che ho in locale? Quindi è importante tenere traccia di quel tipo di disparità tra ciò che posso fare in loco e ciò che posso fare nel cloud.
PCM: Qual è il modo migliore per trovare l'equilibrio tra IDM locale e cosa faccio nel cloud?
DME: che si tratti di provisioning degli utenti, gestione degli accessi degli utenti o certificazione degli utenti, tutte queste cose devono prendere in considerazione il fatto che potresti trovarti in più identità cloud oltre a quelle locali. Quindi, se sto facendo una recensione di accesso, non dovrebbe essere solo roba a cui ho accesso in locale. Dovrebbe anche essere, a cosa posso accedere nel cloud se sto facendo un evento di provisioning? Se ricopro il ruolo di responsabile delle risorse umane (HR), avrò accesso alle app locali e nel cloud. Quando ricevo il provisioning in quella funzione di lavoro, dovrei avere tutto quell'accesso concesso a me. Quando cambio funzioni di lavoro, dovrei avere tutto quell'accesso per quella funzione di lavoro, che è locale e nel cloud. Questa è la sfida.
PCM: Qual è il ruolo del machine learning (ML) nell'IDM o nell'identità ibrida?
DME: i provider di identità cloud hanno visibilità su chi accede, da dove accedono e sulla frequenza con cui accedono. Stanno usando ML su quei grandi set di dati per essere in grado di inferire schemi tra quei diversi tenant. Quindi, ad esempio, ci sono accessi sospetti all'interno del tuo inquilino; l'utente accede da New York e poi cinque minuti dopo da Berlino? Questo è essenzialmente un problema di ML. Stai generando molti dati di audit ogni volta che qualcuno accede e stai utilizzando modelli di macchine per fondamentalmente correlare modelli che potrebbero essere sospetti. Andando avanti, penso che ML sarà applicato a processi come le revisioni dell'accesso per poter inferire il contesto per una revisione dell'accesso invece di darmi solo un elenco di gruppi in cui mi trovo e dire "sì, dovrei essere in questo gruppo "o" no, non dovrei essere in quel gruppo ". Penso che sia un problema di ordine superiore che probabilmente verrà risolto alla fine, ma che è un'area in cui penso che ML aiuterà.
PCM: Per quanto riguarda l'ML che aiuta l'IDM ibrido, ciò significa che aiuta sia in locale che nel cloud?
DME: In una certa misura, è vero. Esistono particolari prodotti tecnologici che raccolgono, ad esempio, dati di interazione di audit o di AD tra locali AD e anche dati di identità del cloud ed essere in grado di emergere con lo stesso tipo di elenco dei rischi in cui sono presenti accessi sospetti DC o nel cloud. Non penso sia perfetto oggi. Vuoi dipingere un'immagine che mostri un cambiamento contestuale senza soluzione di continuità. Se sono un utente in un annuncio locale, è probabile che, se sono compromesso, potrei essere compromesso sia in locale che in Azure AD. Non so che questo problema sia stato ancora completamente risolto.
PCM: Hai parlato di "provisioning per diritto di nascita". Che cos'è questo e che ruolo gioca in IDM ibrido?
DME: il provisioning per diritto di nascita è semplicemente l'accesso che i nuovi dipendenti ottengono quando entrano a far parte di un'azienda. Ricevono il provisioning con un account e quale accesso ottengono e da dove ricevono il provisioning. Tornando al mio esempio precedente, se sono una persona delle risorse umane che entra a far parte dell'azienda, ottengo un annuncio creato. Probabilmente otterrò un Azure AD, forse attraverso la sincronizzazione ma forse no, e avrò accesso a una serie di cose per fare il mio lavoro. Possono essere app, possono essere condivisioni di file, possono essere siti di SharePoint o possono essere cassette postali di Exchange. Tutto quel provisioning e la concessione dell'accesso dovrebbero avvenire quando mi unirò. Questo è essenzialmente il provisioning di nascita.
PCM: Hai anche parlato di un concetto chiamato "stampaggio della gomma". Come funziona?
DME: i regolamenti per molte società quotate in borsa affermano che devono riesaminare l'accesso a sistemi critici che contengono elementi come le informazioni personali, i dati dei clienti e le informazioni sensibili. Quindi devi rivedere l'accesso su base periodica. Di solito è trimestrale ma dipende dal regolamento. Ma in genere funziona, hai un'app che genera tali revisioni di accesso, invia un elenco di utenti in un determinato gruppo a un responsabile responsabile di quel gruppo o app e quindi quella persona deve certificare che tutti quegli utenti continuano a appartengono a quel gruppo. Se stai generando molti di questi e un manager è oberato di lavoro, è un processo imperfetto. Non sai che lo stanno recensendo. Lo stanno esaminando nel modo più completo necessario? È davvero che queste persone hanno ancora bisogno dell'accesso? Ed è ciò che timbratura di gomma. Quindi, se non ci stai davvero prestando attenzione, tende ad essere solo un segno di spunta che indica "Sì, ho fatto la recensione, è fatta, me l'ho tolta dai capelli", invece di capire davvero se l'accesso è ancora necessario.
PCM: le recensioni sull'accesso allo stampaggio della gomma sono un problema o sono solo una questione di efficienza?
DME: Penso che sia entrambi. Le persone sono oberate di lavoro. Si gettano un sacco di roba contro di loro e sospetto che sia un processo difficile da tenere d'occhio oltre a qualsiasi altra cosa. Quindi penso che sia fatto per ragioni normative, che sono totalmente d'accordo e capisco. Ma non so se sia necessariamente il miglior approccio o il miglior metodo meccanico per fare le recensioni di accesso.
PCM: In che modo le aziende affrontano la scoperta di ruoli?
DME: la gestione degli accessi in base al ruolo è questa idea che si assegna l'accesso in base al ruolo di un utente nell'organizzazione. Forse è la funzione aziendale dell'individuo o il lavoro della persona. Potrebbe essere basato sul titolo dell'individuo. La scoperta dei ruoli è il processo di tentativo di scoprire quali ruoli potrebbero naturalmente esistere nell'organizzazione in base al modo in cui l'accesso alle identità è concesso oggi. Ad esempio, potrei dire che questa persona delle risorse umane è un membro di questi gruppi; pertanto, il ruolo della persona HR dovrebbe avere accesso a tali gruppi. Ci sono strumenti che possono aiutare in questo, fondamentalmente costruendo ruoli basati sull'accesso esistente che è stato concesso nell'ambiente. E questo è il processo di individuazione dei ruoli che seguiamo quando stai cercando di costruire un sistema di gestione degli accessi basato sui ruoli.
PCM: hai qualche consiglio che puoi fornire alle piccole e medie imprese (PMI) su come affrontare l'IDM ibrido?
DME: Se sei una PMI, penso che l'obiettivo sia quello di non vivere in un mondo di identità ibrida. L'obiettivo è raggiungere un'identità solo cloud e provare ad arrivarci il più rapidamente possibile. Per una PMI, la complessità della gestione dell'identità ibrida non è un business in cui vuole far parte. È uno sport per le aziende molto grandi che devono farlo perché hanno così tante cose in loco. In un mondo di PMI, penso che l'obiettivo dovrebbe essere "Come posso arrivare a un sistema di identità cloud prima piuttosto che dopo? Come posso uscire dal business locale prima piuttosto che dopo?" Questo è probabilmente l'approccio più pratico.
PCM: quando le aziende utilizzerebbero l'ibrido rispetto al solo locale o al cloud?
DME: Penso che il motivo principale dell'esistenza dell'ibrido sia perché abbiamo organizzazioni più grandi con molta tecnologia legacy nei sistemi di identità locali. Se un'azienda stesse partendo da zero oggi… non stanno implementando AD come nuova società; stanno sviluppando Google AD con Google G Suite e ora vivono interamente nel cloud. Non hanno alcuna infrastruttura locale. Per molte organizzazioni più grandi con tecnologia che esiste da anni, non è pratico. Quindi devono vivere in questo mondo ibrido. Sia che accederanno al solo cloud, probabilmente dipenderà dal loro modello di business e da quanto una priorità è per loro e quali problemi stanno cercando di risolvere. Tutto ciò che lo riguarda. Ma penso che per quelle organizzazioni, rimarranno in un mondo ibrido per molto tempo.
PCM: quale sarebbe un requisito aziendale che li spingerebbe nel cloud?
DME: una tipica è come un'app aziendale nel cloud, un'app SaaS come Salesforce, Workday o Concur. E quelle app si aspettano di eseguire il provisioning di un'identità cloud per poterle accedere. Devi avere quell'identità cloud da qualche parte, e quindi in genere è così. Microsoft è un esempio perfetto. Se si desidera usare Office 365, è necessario eseguire il provisioning delle identità in Azure AD. Non c'è scelta al riguardo. Ciò spinge le persone a ottenere Azure AD e quindi, una volta che sono lì, forse decidono di voler eseguire l'accesso singolo ad altre app Web, altre app SaaS nel cloud e ora sono nel cloud.
- 10 passaggi essenziali per proteggere la tua identità online 10 passaggi essenziali per proteggere la tua identità online
- Le migliori soluzioni di gestione delle identità per il 2019 Le migliori soluzioni di gestione delle identità per il 2019
- 7 passi per minimizzare la frode del CEO e lo spoofing delle identità 7 passi per minimizzare la frode del CEO e lo spoofing d'identità
PCM: Qualche grande previsione per il futuro di IDM o governance?
DME: Le persone non stanno ancora pensando alla governance dell'identità ibrida o all'IDM ibrido come una cosa sola. Penso che debba accadere, sia che vengano spinti lì da regolamenti o che i fornitori aumentino e forniscano quella soluzione di governance dell'identità end-to-end per quei mondi ibridi. Penso che uno dei due dovrà inevitabilmente accadere e le persone dovranno risolvere problemi come la separazione dei compiti attraverso l'identità ibrida e la gestione degli accessi. Penso che sia probabilmente il risultato più inevitabile che accadrà prima piuttosto che dopo.