Video: Tajuk 28 : [PENGAJIAN AM PENGGAL 1] Tadbir Urus Negara (Bahagian 1) (November 2024)
Pencurian identiti adalah isu besar untuk semua orang, tetapi terutama bagi mereka yang berada dalam keselamatan IT. Untuk memerangi masalah ini, syarikat-syarikat memerlukan pendekatan yang kukuh dan dikendalikan dengan teliti terhadap tadbir urus identiti. Itu amat sukar kerana ia memerlukan pengurusan yang berhati-hati yang mempunyai akses kepada aplikasi dan perkhidmatan, dan memastikan maklumat itu direkod dengan betul dan mudah diakses oleh mereka yang memerlukannya. Jika seseorang yang tidak dibenarkan menjejaskan gerbang rangkaian peribadi maya (VPN) yang digunakan oleh syarikat anda untuk akses jauh, maka anda perlu memulakan penetapan anda dengan mengetahui siapa yang mempunyai akses ke pintu masuk dan betul-betul hak mana-mana pengguna yang mengawalnya.
Tadbir urus identiti juga melibatkan mematuhi peraturan yang mengawal privasi data termasuk Akta Portability dan Akaabiliti Insurans Kesihatan (HIPAA) untuk data penjagaan kesihatan dan Peraturan Perlindungan Data Umum EU (GDPR). GDPR menuntut bahawa identiti disahkan dan pengesahan multifaktor (MFA) dimulakan untuk sesiapa sahaja yang mengakses maklumat peribadi (PII) yang boleh dikenalpasti. Tadbir urus identiti yang kuat juga bermakna mengambil pendekatan hibrid untuk pengurusan identiti (IDM) di awan dan di premis. Pendekatan hibrid untuk tadbir urus memerlukan proses bersatu, menurut Darren Mar-Elia, Kepala Produk di perusahaan vendor IDM Semperis. Pada Persidangan Perlindungan Identiti Hibrid baru-baru ini di New York City, PCMag terperangkap dengan Mar-Elia untuk mendapatkan amalan terbaiknya dalam tadbir urus identiti.
PCMag (PCM): Apakah yang diperlukan oleh hibrid IDM?
Darren Mar-Elia (DME): Sistem IDM hibrid hanyalah sistem identiti yang diperluaskan dari premis ke awan, dan biasanya ia memberikan akses kepada aplikasi berasaskan awan.
DME: Banyak syarikat yang menjalankan AD dan telah menjalankannya selama bertahun-tahun. Di sinilah nama pengguna dan kata laluan anda dipegang, dan di situlah keanggotaan kumpulan anda diadakan. Segala barangan itu boleh sampai ke awan, atau anda boleh membuat akaun dari awal di awan dan masih ada di premis AD. Sekarang anda mempunyai sistem identiti berasaskan awan yang memberikan akses kepada aplikasi awan, dan itu hanyalah cara menyediakan identiti. Dengan kata lain, siapakah saya dan apa yang saya dapat mengakses dalam persekitaran awan, sama ada Microsoft Azure atau Amazon, atau apa sahaja yang berlaku.
PCM: Di manakah papan pemuka perisian sebenar digunakan untuk menguruskan jenis tadbir urus?
DME: Microsoft, tentu saja, menyediakan portal pengurusan untuk menguruskan identiti awan. Terdapat juga premis di premis yang membolehkan anda melakukan penyegerakan itu sehingga Microsoft Active Directory Azure; jadi anda mengawal sekeping itu. Itulah perisian yang akan anda jalankan dan uruskan, pastikan ia berfungsi dan semua itu. Bergantung pada sejauh mana fleksibiliti yang anda perlukan, anda boleh melakukan sebahagian besar dari portal mereka. Ia jelas berjalan di awan Microsoft, dan ia memberikan anda pandangan penyewa anda. Jadi anda mempunyai penyewa yang mentakrifkan semua pengguna anda dan semua akses anda ke aplikasi.
PCM: Apakah jenis aplikasi yang anda perlukan untuk menguruskan akses?
DME: Dalam kes Microsoft, anda boleh menguruskan akses ke aplikasi Office seperti Exchange, SharePoint, dan OneDrive. Ini adalah aplikasi yang biasanya anda uruskan dalam persekitaran itu. Dan pengurusan bermakna memberikan akses kepada, katakan, peti mel seseorang dapat menghantar bagi pihak pengguna lain atau dapat melakukan pelaporan. Sebagai contoh, anda boleh melihat berapa banyak mesej dihantar melalui sistem saya dan di mana ia dihantar. Dalam kes SharePoint, ia mungkin menubuhkan tapak di mana orang boleh bekerjasama atau menentukan siapa yang boleh memberi akses kepada maklumat tersebut.
PCM: Apakah cabaran utama dalam menangani IDM di awan berbanding di premis?
DME: Saya rasa cabaran besar dapat melakukannya secara konsisten merentas kedua-dua awan dan premis. Jadi, adakah saya mempunyai akses yang betul di premis dan di awan? Adakah saya mempunyai terlalu banyak akses di awan berbanding apa yang saya ada di premis? Jadi, perbezaan antara apa yang boleh saya lakukan di premis dan apa yang boleh saya lakukan di awan adalah penting untuk dijejaki.
PCM: Apakah cara terbaik untuk menyerang keseimbangan antara IDM di premis dan apa yang saya lakukan di awan?
DME: Sama ada peruntukan pengguna, pengurusan akses pengguna, atau pensijilan pengguna, semua perkara itu perlu mengambil kira hakikat bahawa anda mungkin berada di beberapa identiti awan selain di premis. Oleh itu, jika saya melakukan semakan akses, ia tidak seharusnya menjadi bahan yang saya akses kepada premis. Ia sepatutnya, apa yang saya boleh akses di awan jika saya melakukan acara peruntukan? Sekiranya saya berada di fungsi pekerjaan sumber manusia (HR), saya akan mempunyai akses kepada aplikasi di premis serta dalam awan. Apabila saya mendapat peruntukan dalam tugas kerja, saya sepatutnya mempunyai semua akses yang diberikan kepada saya. Apabila saya menukar fungsi kerja, saya sepatutnya mempunyai semua akses itu untuk fungsi pekerjaan yang dikeluarkan, dan itu di premis dan di awan. Itulah cabaran.
PCM: Apakah peranan pembelajaran komputer (ML) dalam IDM atau identiti hibrid?
DME: Penyedia identiti awan mempunyai keterlihatan mengenai siapa yang log masuk, di mana mereka log masuk dari, dan berapa kerap mereka log masuk. Mereka menggunakan ML pada set data yang besar untuk dapat membuat kesimpulan terhadap pola penyewa yang berbeza. Oleh itu, sebagai contoh, ada login masuk yang mencurigakan dalam penyewa anda; adalah pengguna log masuk dari New York dan kemudian lima minit kemudian dari Berlin? Itulah masalah ML pada dasarnya. Anda menghasilkan banyak data audit setiap kali seseorang log masuk, dan anda menggunakan model mesin untuk mengaitkan corak yang pada asasnya mungkin mencurigakan. Melangkah ke hadapan, saya rasa ML akan digunakan untuk proses seperti ulasan akses untuk dapat menyimpulkan konteks untuk semakan akses berbanding dengan hanya memberikan saya senarai kumpulan yang saya masuk dan berkata "ya, saya sepatutnya berada dalam kumpulan ini "atau" tidak, saya tidak sepatutnya berada dalam kumpulan itu. " Saya fikir itu masalah pesanan tinggi yang mungkin akan diselesaikan akhirnya, tetapi itu adalah kawasan yang saya fikir ML akan membantu.
PCM: Setakat ML membantu IDM hibrid, apakah ini bermakna ia membantu di premis dan di awan?
DME: Ke tahap tertentu, itu benar. Terdapat produk teknologi tertentu di luar sana yang akan mengumpul, sebagai contoh, data interaksi AD atau AD antara di premis AD dan juga data identiti awan, dan dapat memaparkannya dengan senarai risiko yang sama di mana log masuk yang mencurigakan berada di premis AD atau di awan. Saya tidak fikir ia sempurna hari ini. Anda mahu cat gambar yang menunjukkan perubahan kontekstual yang lancar. Jika saya seorang pengguna di AD di premis, maka peluangnya, jika saya dikompromikan, saya mungkin dikompromikan di kedua premis dan Azure AD. Saya tidak tahu bahawa masalah ini telah diselesaikan sepenuhnya.
PCM: Anda telah bercakap tentang "peruntukan hak kelahiran." Apakah ini, dan apakah peranan ini dalam IDM hibrid?
DME: Peruntukan hak kelahiran hanyalah akses kepada pekerja baru apabila mereka menyertai syarikat. Mereka mendapat peruntukan dengan akaun dan apa akses yang mereka dapat, dan di mana mereka mendapat peruntukan. Kembali kepada contoh terdahulu saya, jika saya orang HR yang menyertai syarikat, saya mendapat AD yang dibuat. Saya mungkin akan mendapat Azure AD, mungkin melalui penyegerakan tetapi mungkin tidak, dan saya akan mendapat akses kepada satu set perkara untuk melakukan tugas saya. Mereka mungkin aplikasi, mereka mungkin saham fail, mereka mungkin laman SharePoint, atau mereka mungkin Peti mel Exchange. Semua pemberian peruntukan dan akses itu harus berlaku apabila saya menyertai. Itulah ketentuan hak kelahiran itu pada dasarnya.
PCM: Anda juga bercakap mengenai konsep yang dikenali sebagai "stamping getah." Bagaimana ia berfungsi?
DME: Peraturan untuk banyak syarikat yang didagangkan secara umum mengatakan bahawa mereka perlu mengkaji semula akses kepada sistem kritikal yang mengandungi maklumat seperti maklumat peribadi, data pelanggan, dan maklumat sensitif. Oleh itu, anda perlu menyemak semula akses secara berkala. Biasanya ia suku tahunan tetapi ia bergantung kepada peraturan. Tetapi biasanya cara yang berfungsi adalah, anda mempunyai aplikasi yang menjana ulasan akses tersebut, menghantar senarai pengguna dalam kumpulan tertentu kepada pengurus yang bertanggungjawab untuk kumpulan atau aplikasi itu, dan kemudian orang itu perlu mengesahkan bahawa semua pengguna masih tergolong dalam kumpulan itu. Sekiranya anda menghasilkan banyak ini dan pengurus terlalu banyak bekerja, itu adalah proses yang tidak sempurna. Anda tidak tahu mereka sedang mengkaji semulanya. Adakah mereka mengkaji semula ia dengan teliti seperti yang mereka perlukan? Adakah benar orang-orang ini masih memerlukan akses? Dan itulah stamping getah. Jadi, jika anda tidak benar-benar memberi perhatian kepadanya, ia cenderung hanya satu cek yang menunjukkan "Ya, saya melakukan semakan, sudah selesai, saya keluar dari rambut saya, " berbanding dengan benar-benar memahami sama ada akses itu masih diperlukan.
PCM: Adakah akses stamping getah meninjau masalah atau adakah ia hanya masalah kecekapan?
DME: Saya fikir ia berdua. Orang ramai terlalu banyak bekerja. Mereka mendapat banyak barangan yang dilemparkan kepada mereka, dan saya mengesyaki bahawa ia adalah satu proses yang sukar untuk terus menjadi tambahan kepada apa sahaja yang dilakukan. Jadi saya fikir ia dilakukan untuk sebab-sebab peraturan, yang saya setuju sepenuhnya dan saya faham. Tetapi saya tidak tahu sama ada ia semestinya pendekatan terbaik atau kaedah mekanikal terbaik untuk melakukan ulasan akses.
PCM: Bagaimana syarikat menangani penemuan peranan?
DME: Pengurusan akses berasaskan peranan adalah idea yang anda berikan akses berdasarkan peranan pengguna dalam organisasi. Mungkin ia adalah fungsi perniagaan individu atau pekerjaan orang itu. Ia boleh berdasarkan kepada tajuk individu. Penemuan peranan adalah proses mencuba untuk mengetahui apakah peranan secara semula jadi wujud dalam organisasi berdasarkan bagaimana akses identiti diberikan hari ini. Sebagai contoh, saya mungkin mengatakan orang HR ini adalah ahli kumpulan ini; oleh itu, peranan orang HR harus mempunyai akses kepada kumpulan tersebut. Terdapat alat yang boleh membantu dengan ini, pada asasnya membina peranan berdasarkan akses yang sedia ada yang telah diberikan dalam persekitaran. Dan itulah proses penemuan peranan yang kita lalui ketika anda cuba membina sistem pengurusan akses berasaskan peranan.
PCM: Adakah anda mempunyai sebarang petua yang boleh anda berikan untuk perniagaan kecil dan menengah (SMB) mengenai cara untuk mendekati IDM hibrid?
DME: Jika anda seorang SMB, saya fikir matlamatnya adalah untuk tidak tinggal di dunia identiti hibrid. Matlamatnya ialah untuk mendapatkan identiti awan sahaja dan cuba ke sana secepat mungkin. Untuk SMB, kerumitan menguruskan identiti hibrid bukannya perniagaan yang mereka mahu masuk. Ini adalah sukan untuk perusahaan yang sangat besar yang perlu melakukannya kerana mereka mempunyai banyak barangan di premis. Di dunia SMB, saya fikir matlamatnya adalah "Bagaimanakah saya dapat mencapai sistem identiti awan lebih lambat daripada kemudian? Bagaimana saya keluar dari perniagaan di premis lebih cepat daripada kemudian?" Itu mungkin pendekatan yang paling praktikal.
PCM: Bilakah syarikat akan menggunakan hibrid berbanding hanya di premis atau hanya awan?
DME: Saya fikir sebab terbesar hibrid wujud ialah kerana kami mempunyai organisasi yang lebih besar dengan banyak teknologi warisan dalam sistem identiti di premis. Jika sebuah syarikat bermula dari awal hari iniā¦ mereka tidak menggunakan AD sebagai sebuah syarikat baru; mereka berputar Google AD dengan Google G Suite, dan kini mereka hidup dalam awan sepenuhnya. Mereka tidak mempunyai infrastruktur di premis. Untuk banyak organisasi yang lebih besar dengan teknologi yang telah wujud selama bertahun-tahun, itu tidak praktikal. Jadi mereka perlu hidup dalam dunia hibrid ini. Sama ada mereka akan sampai ke awan sahaja, ia mungkin bergantung pada model perniagaan mereka dan berapa banyak keutamaan bagi mereka dan apa masalah yang mereka cuba selesaikan. Semua yang masuk ke dalamnya. Tetapi saya rasa untuk organisasi tersebut, mereka akan berada di dunia hibrid untuk jangka masa yang panjang.
PCM: Apa yang menjadi keperluan perniagaan yang akan mendorong mereka ke awan?
DME: Yang biasa adalah seperti aplikasi perniagaan yang ada di awan, aplikasi SaaS seperti Salesforce, Hari Kerja, atau Concur. Dan aplikasi tersebut mengharapkan untuk memberikan identiti awan agar dapat memberi akses kepada mereka. Anda perlu mempunyai identiti awan di suatu tempat, dan oleh itu biasanya ia berlaku. Contoh Microsoft yang sempurna. Sekiranya anda mahu menggunakan Office 365, maka anda perlu memberi identiti kepada Azure AD. Tidak ada pilihan mengenainya. Jadi, ia mendorong orang untuk mendapatkan Azure AD mereka dan kemudian, apabila mereka berada di sana, mungkin mereka memutuskan mereka mahu melakukan satu daftar masuk ke aplikasi web lain, aplikasi SaaS yang lain di awan, dan kini mereka berada di awan.
- 10 Langkah Penting untuk Melindungi Identiti Anda Dalam Talian 10 Langkah Penting untuk Melindungi Identiti Anda Online
- Penyelesaian Pengurusan Identiti Terbaik untuk 2019 Penyelesaian Pengurusan Identiti Terbaik untuk 2019
- 7 Langkah untuk Meminimumkan Penipuan Ketua Pegawai Eksekutif dan Pengkhianatan Identiti 7 Langkah untuk Meminimumkan Penipuan CEO dan Pengkhianatan Identiti
PCM: Apa ramalan besar untuk masa depan IDM atau tadbir urus?
DME: Orang masih belum memikirkan tadbir urus identiti hibrid atau IDM hibrid sebagai satu perkara. Saya fikir ia perlu berlaku, sama ada mereka ditolak oleh peraturan atau vendor meningkatkan dan menyediakan penyelesaian tadbir urus identiti akhir-ke-akhir untuk dunia hibrid. Saya fikir sama ada seseorang pasti akan berlaku, dan orang perlu menyelesaikan masalah seperti pemisahan tugas merentasi identiti hibrid dan pengurusan akses. Saya rasa itu mungkin hasil yang paling tidak dapat dielakkan yang akan berlaku lebih cepat daripada kemudian.
