Kas yra tapatybės ir prieigos valdymas (IAM)?
Sužinokite, kas yra tapatybės ir prieigos valdymas (IAM) ir kaip jis apsaugo organizacijos duomenis ir išteklius.
Kas yra IAM ir ką jis daro
Neatsižvelgiant į tai, kur darbuotojai dirba, jie turi pasiekti savo organizacijos išteklius, pvz., programas, failus ir duomenis. Buvęs įprastas būdas tai padaryti – didžiajai daliai darbuotojų dirbti vietoje, kur įmonės ištekliai laikomi už užkardos. Atvykę į vietą ir prisijungę, darbuotojai galėjo pasiekti reikiamus dalykus.
Tačiau dabar hibridinis darbas yra įprastesnis nei kada nors anksčiau ir darbuotojams reikia saugios prieigos prie įmonės išteklių, nesvarbu, ar jie dirba vietoje, ar nuotoliniu būdu. Šioje situacijoje ir tampa svarbus tapatybės ir prieigos valdymas (IAM). Organizacijos IT skyrius turi turėti būdą valdyti, ką vartotojai gali ir negali pasiekti, kad slaptus duomenis ir funkcijas galėtų pasiekti žmonės arba daiktai, kurie turi su jais dirbti.
IAM suteikia saugią prieigą prie įmonės išteklių, pvz., el. laiškų, duomenų bazių, duomenų ir programų, patvirtintiems objektams ir, geriausia, su kuo mažiau trikdžių. Tikslas – valdyti prieigą taip, kad tinkami žmonės galėtų atlikti savo darbus, o netinkamiems žmonėms, pvz., programišiams, nebūtų leidžiama įeiti.
Saugios prieigos poreikis apima ne tik darbuotojus, dirbančius įmonės įrenginiais. Taip pat apima rangovus, tiekėjus, verslo partnerius ir žmones, kurie dirba asmeniniais įrenginiais. IAM užtikrina, kad kiekvienas asmuo, kuris turėtų turėti prieigą, turi tinkamą prieigos lygį reikiamu laiku reikiamame įrenginyje. Dėl šios priežasties ir vaidmens, kurį jis atlieka organizacijos kibernetinėje saugoje, IAM yra gyvybiškai svarbi modernių IT dalis.
Naudodama IAM sistemą, organizacija gali greitai ir tiksliai patikrinti asmens tapatybę ir ar jis turi reikiamas teises naudoti pageidaujamą išteklių kiekvieno bandymo gauti prieigą metu.
Kaip veikia IAM
Yra dvi dalys, skirtos suteikti saugią prieigą prie organizacijos išteklių: tapatybės valdymas ir prieigos valdymas.
Tapatybės valdymas tikrina bandymą prisijungti pagal tapatybių valdymo duomenų bazę, kurioje nuolat registruojami asmenys, kurie turėtų turėti prieigą. Ši informacija turi būti nuolat atnaujinama, kai žmonės prisijungia prie organizacijos arba išeina iš jos, keičiasi jų vaidmenys ir projektai bei keičiasi organizacijos aprėptis.
Informacijos, saugomos tapatybių valdymo duomenų bazėje, pavyzdžiai: darbuotojų vardai ir pavardės, pareigos, vadovai, tiesioginiai pavaldiniai, mobiliųjų telefonų numeriai ir asmeniniai el. pašto adresai. Asmens prisijungimo informacijos, pvz., vartotojo vardo ir slaptažodžio, atitikimas duomenų bazės tapatybei vadinamas autentifikavimu.
Dėl papildomos saugos daugelis organizacijų reikalauja, kad vartotojai patvirtintų savo tapatybes naudodami kelių dalių autentifikavimą (MFA). Taip pat žinomas dvikrypčio patvirtinimo arba dviejų dalių autentifikavimo (2FA) pavadinimu, MFA yra saugesnis būdas nei naudoti tik vartotojo vardą ir slaptažodį. Jis įtraukia dar vieną veiksmą į prisijungimo procesą, kai vartotojas turi patvirtinti savo tapatybę naudodamas alternatyvų patvirtinimo metodą. Šie tikrinimo metodai gali apimti mobiliųjų telefonų numerius ir asmeninius el. pašto adresus. IAM sistema paprastai į alternatyvų tikrinimo metodą siunčia vienkartinį kodą, kurį vartotojas per nustatytą laikotarpį turi įvesti prisijungimo portale.
Prieigos valdymas yra antroji IAM dalis. Kai IAM sistema patvirtina, kad asmuo arba daiktas, kuris bando pasiekti išteklius, atitinka tapatybę, prieigos valdymas seka, kuriuos išteklius asmuo ar daiktas turi teisę pasiekti. Dauguma organizacijų suteikia įvairaus lygio prieigą prie išteklių ir duomenų, o šie lygiai nustatomi pagal veiksnius, pvz., pareigas, nuomotoją, saugos leidimą ir projektą.
Teisingo prieigos lygio suteikimas autentifikavus vartotojo tapatybę vadinamas autorizavimu. IAM sistemų tikslas – užtikrinti, kad autentifikavimas ir autorizavimas būtų vykdomas tinkamai ir saugiai kiekvieną kartą bandant pasiekti.
IAM svarba organizacijoms
Viena iš priežasčių, kodėl IAM yra svarbi kibernetinės saugos dalis yra ta, kad ji padeda organizacijos IT skyriui rasti tinkamą pusiausvyrą, tarp to, kad svarbūs duomenys ir ištekliai būtų nepasiekiami daugumai, bet vis tiek prieinami kai kuriems asmenims. IAM leidžia nustatyti valdiklius, kurie suteikia saugią prieigą darbuotojams ir įrenginiams, tačiau padaro taip, kad pašaliniams būtų sunku arba neįmanoma juos pasiekti.
Kita priežastis, kodėl IAM yra svarbus – kibernetiniai nusikaltėliai kasdien tobulina savo metodus. Sudėtingos atakos, pvz. ,sukčiavimo apsimetant el. laiškai, yra vienas iš dažniausiai pasitaikančių įsilaužimo ir duomenų saugos pažeidimų šaltinių ir nukreipiami į vartotojus, kurie turi esamą prieigą. Be IAM sunku valdyti, kokie asmenys ir įrenginiai turi prieigą prie organizacijos sistemų. Pažeidimai ir atakos gali veikti nesuvaldomai, nes ne tik sunku matyti, kas turi prieigą, tačiau taip pat sunku atšaukti prieigą iš vartotojo, kurio sauga buvo pažeista.
Nors, deja, tobulos apsaugos nėra, IAM sprendimai yra puikus būdas išvengti atakų ir sumažinti jų poveikį. Užuot apribojus visų prieigą saugos pažeidimo atveju, daugelis IAM sistemų veikia dirbtinio intelekto pagrindu ir gali aptikti ir sustabdyti atakas prieš joms tampant didesnėmis problemomis.
IAM sistemų pranašumai
Tinkama IAM sistema suteikia organizacijai daug pranašumų.
Tinkama prieiga tinkamiems žmonėms
Turėdama galimybę kurti ir taikyti centralizuotas taisykles ir prieigos teises, IAM sistema leidžia lengviau užtikrinti, kad vartotojai turėtų prieigą prie reikiamų išteklių, tačiau jiems nebūtų suteikiama galimybė pasiekti nebūtiną slaptą informaciją. Tai vadinama vaidmenimis pagrįstu prieigos valdymu (RBAC). RBAC yra keičiamos apimties būdas apriboti prieigą, kad ją turėtų žmonės, kuriems reikia šios prieigos, kad galėtų atlikti savo vaidmenį. Vaidmenis galima priskirti pagal fiksuotą teisių rinkinį arba pasirinktinius parametrus.
Nevaržomas produktyvumas
Sauga yra svarbi, tačiau taip pat svarbus produktyvumas ir vartotojų patirtis. Kad ir kaip viliojančiai norėtųsi įdiegti sudėtingą saugos sistemą, kad būtų išvengta pažeidimų, tačiau turint keletą kliūčių link produktyvaus darbo, pvz., kelis prisijungimus ir slaptažodžius, vartotojų patirtis tampa nepatogi. IAM įrankiai, pvz., bendroji autentifikacija (SSO) ir vieningi vartotojų profiliai, leidžia suteikti saugią prieigą darbuotojams keliuose kanaluose, pvz., vietiniuose ištekliuose, debesies duomenyse ir trečiųjų šalių programose nenaudojant kelių prisijungimų.
Apsauga nuo duomenų saugos pažeidimų
Nors jokia saugos sistema nėra neklystanti, naudojant IAM technologiją žymiai sumažėja duomenų saugos pažeidimų rizika. IAM įrankiai, pvz., MFA, autentifikavimas be slaptažodžio ir SSO suteikia vartotojams galimybę patvirtinti savo tapatybes naudojant ne tik vartotojo vardą ir slaptažodį, kuriuos galima pamiršti, bendrinti arba į kuriuos galima įsilaužti. Išplečiant vartotojo prisijungimo parinktis naudojant IAM sprendimą, ši rizika sumažėja, nes prisijungimo procesui pridedamas papildomas saugos lygmuo, į kurį negalima taip lengvai įsilaužti arba bendrinti.
Duomenų šifravimas
Viena iš priežasčių, kodėl IAM taip efektyviai padidina organizacijos saugą, yra ta, kad daugelis IAM sistemų siūlo šifravimo įrankius. Jos apsaugo slaptą informaciją, kai ji perduodama į organizaciją arba iš jos, o tokios funkcijas kaip sąlyginė prieiga įgalina IT administratorius nustatyti sąlygas, pvz., įrenginio, vietos arba realiojo laiko rizikos informaciją kaip prieigos sąlygas. Tai reiškia, kad duomenys yra saugūs net pažeidimo atveju, nes duomenys gali būti iššifruoti tik patvirtintomis sąlygomis.
Mažiau rankinio darbo IT specialistams
Automatizuodami IT skyriaus užduotis, pvz., pagalbą žmonėms iš naujo nustatyti slaptažodžius, atrakinti jų paskyras ir stebėti prieigos žurnalus, siekiant identifikuoti anomalijas, IAM sistemos gali sutaupyti IT skyrių laiko ir pastangų. Tai atlaisvina IT skyrių ir leidžia sutelkti dėmesį į kitas svarbias užduotis, pvz., nulinio pasitikėjimo strategijos įgyvendinimą likusioje organizacijos dalyje. IAM yra labai svarbus nulinio pasitikėjimo, kuris yra saugos sistema, pagrįsta aiškaus patvirtinimo principais, naudojant mažiausios būtinos prieigos teises ir darant prielaidą dėl pažeidimo, elementas.
Geresnis bendradarbiavimas ir efektyvumas
Sklandus darbuotojų, teikėjų, rangovų ir tiekėjų bendradarbiavimas yra labai svarbus norint neatsilikti nuo šiuolaikinio darbo tempo. IAM įgalina šį bendradarbiavimą užtikrindamas, kad bendradarbiavimas yra ne tik saugus, bet ir greitas bei paprastas. IT administratoriai taip pat gali kurti vaidmenimis pagrįstas automatizuotas darbo eigas, kad paspartintų vaidmenų perdavimų ir naujų darbuotojų teisių procesus, o tai taupo laiką parengimo metu.
IAM ir atitikties reglamentai
Be IAM sistemos organizacija turi rankiniu būdu stebėti kiekvieną atskirą objektą, kuris turi prieigą prie jų sistemų, ir kaip bei kada naudojo tą prieigą. Todėl rankiniu būdu atliekamas auditas yra daug laiko ir darbo reikalaujantis procesas. IAM sistemos automatizuoja šį procesą ir leidžia greičiau bei daug lengviau atlikti auditą bei teikti ataskaitas. IAM sistemos leidžia organizacijoms atliekant auditą parodyti, kad prieiga prie slaptų duomenų yra tinkamai valdoma, o tai yra būtina daugelio sutarčių ir įstatymų dalis.
Auditai yra tik viena dalis, kad būtų tenkinami tam tikri reglamentais nustatyti reikalavimai. Daugelis reglamentų, įstatymų ir sutarčių reikalauja duomenų prieigos valdymo ir privatumo valdymo, būtent šiais klausimais ir skirtas padėti IAM.
IAM sprendimai leidžia patikrinti ir valdyti tapatybes, aptikti įtartiną veiklą ir pranešti apie incidentus: šie dalykai yra būtini siekiant tenkinti atitikties užtikrinimo reikalavimus, pvz., „Pažink savo klientą“, sandorių stebėjimas dėl įtartinos veiklos ir raudonos vėliavėlės taisyklė. Taip pat yra duomenų apsaugos standartų, pvz., Bendrasis duomenų apsaugos reglamentas (BDAR) Europoje ir sveikatos draudimo mobilumo ir atskaitomybės aktas (HIPAA) bei Sarbanes–Oxley aktas Jungtinėse Amerikos Valstijose, kurie reikalauja taikyti griežtus saugos standartus. Tinkama IAM sistema padeda lengviau atitikti šiuos reikalavimus.
IAM technologijos ir įrankiai
IAM sprendimai integruojami su įvairiomis technologijomis ir įrankiais, padedančiais užtikrinti saugų autentifikavimą ir autorizavimą įmonės mastu:
- Saugos patvirtinimo aprašų kalbos (SAML) informacijaSaugos patvirtinimo aprašų kalba (SAML) – SAML suteikia galimybę įgyvendinti SSO. Sėkmingai autentifikavus vartotoją, SAML praneša kitoms programoms, kad vartotojas yra patvirtintas objektas. Priežastis, kodėl SAML yra svarbi, yra ta, kad ji veikia skirtingose operacinėse sistemose ir įrenginiuose, o tai leidžia suteikti saugią prieigą įvairiuose kontekstuose.
- „OpenID Connect“ (OIDC) – OIDC įtraukia tapatybės aspektą į „0Auth 2.0“, kuris yra autorizavimo sistema. Ji siunčia atpažinimo ženklus, kuriuose yra informacija apie vartotoją, tarp tapatybės teikėjo ir paslaugų teikėjo. Šie atpažinimo ženklai gali būti užšifruoti ir juose gali būti informacijos apie vartotoją, pvz., vardas, el. pašto adresas, gimtadienis arba nuotrauka. Atpažinimo ženklus lengvai panaudoja paslaugos ir programėlės, todėl OIDC padeda autentifikuoti mobiliuosius žaidimus, socialinę mediją ir programėlių vartotojus.
- Kelių domenų tapatybės valdymas (SCIM) – SCIM padeda organizacijoms valdyti vartotojų tapatybes standartizuotu būdu, kuris veikia keliose programose ir sprendimuose (teikėjuose).
Teikėjai turi skirtingus vartotojo tapatybės informacijos reikalavimus, o SCIM leidžia sukurti vartotojo tapatybę IAM įrankyje, kuris integruojamas su teikėju, kad vartotojas turėtų prieigą nekurdamas atskiros paskyros.
IAM įgyvendinimas
IAM sistemos turi įtakos kiekvienam skyriui ir kiekvienam vartotojui. Todėl, norint sėkmingai įdiegti IAM sprendimą, būtinas išsamus planavimas prieš diegimą. Naudinga pradėti nuo vartotojų, kuriems reikės prieigos, skaičiaus apskaičiavimo ir organizacijos naudojamų sprendimų, įrenginių, programų ir paslaugų sąrašo sudarymo. Šie sąrašai naudingi lyginant IAM sprendimus, siekiant užtikrinti, kad jie būtų suderinami su esama organizacijos IT sąranka.
Tada svarbu susieti skirtingus vaidmenis ir situacijas, kurias turės pritaikyti IAM sistema. Ši sistema taps IAM sistemos architektūra ir sudarys IAM dokumentacijos pagrindą.
Kitas apsvarstytinas IAM įgyvendinimo aspektai yra ilgalaikis sprendimo veiksmų planas. Organizacijai augant ir plečiantis, pasikeis ir tai, ko organizacijai reikia iš IAM sistemos. Planuodami šį augimą iš anksto užtikrinsite, kad IAM sprendimas atitiktų verslo tikslus ir užtikrintų ilgalaikę sėkmę.
IAM sprendimai
Kadangi poreikis turėti saugią prieigą prie išteklių skirtingose platformose ir įrenginiuose auga, IAM svarba tampa aiškesnė ir būtinesnė. Organizacijoms reikia efektyvaus būdo valdyti tapatybes ir teises įmonės mastu, kuris palengvintų bendradarbiavimą ir didintų produktyvumą.
IAM sprendimo, kuris tinka esamai IT ekosistemai ir naudoja tokias technologijas kaip DI įgyvendinimas, kad IT administratoriai galėtų stebėti ir valdyti prieigą visoje organizacijoje, yra vienas iš geriausių būdų sustiprinti savo organizacijos saugos būseną. Jei norite sužinoti, kaip „Microsoft“ gali padėti apsaugoti prieigą prie bet kurios programos ar ištekliaus, apsaugoti ir patvirtinti kiekvieną tapatybę, suteikti tik būtiną prieigą ir supaprastinti prisijungimo procesą, susipažinkite su „Microsoft Entra“ ir kitais „Microsoft“ saugos sprendimais.
Sužinokite daugiau apie „Microsoft“ saugą
„Microsoft Entra“
Apsaugokite tapatybes ir išteklius naudodami kelių debesies tapatybių ir tinklo prieigos sprendimų grupę
„Azure Active Directory“
Apsaugokite tapatybes ir duomenis, tuo pačiu supaprastindami prieigą. „Azure AD“ tampa „Microsoft Entra ID“
„Microsoft Entra“ ID valdymas
Apsaugokite, stebėkite ir tikrinkite prieigą prie svarbiausių išteklių.
„Microsoft Entra“ išorinis ID
Suteikite klientams ir partneriams saugią prieigą prie bet kurios programos.
„Microsoft“ sauga
Gaukite apsaugą nuo kibernetinių grėsmių savo įmonei, verslui ir namams.
Dažnai užduodami klausimai
-
Tapatybės valdymas yra susijęs su atributų, padedančių patikrinti vartotojo tapatybę, valdymu. Atributai saugomi tapatybės valdymo duomenų bazėje. Atributų pavyzdžiai: pavadinimas, pareigos, priskirta darbo vieta, vadovas, tiesioginiai pavaldiniai ir tikrinimo metodas, kurį sistema gali naudoti, kad patikrintų, ar jie yra tie, kas jie sakosi esą. Šie tikrinimo metodai gali apimti mobiliųjų telefonų numerius ir asmeninius el. pašto adresus.
Prieigos valdymas valdo, prie ko vartotojas turi prieigą, kai jo tapatybė patikrinama. Šie prieigos valdikliai gali būti pagrįsti vaidmenimi, saugos leidimu, išsilavinimo lygiu arba pasirinktiniais parametrais.
-
Tapatybės ir prieigos valdymas užtikrina, kad tik tinkami žmonės galėtų pasiekti organizacijos duomenis ir išteklius. Būtent kibernetinės saugos praktika leidžia IT administratoriams apriboti prieigą prie organizacijos išteklių, kad prieigą turėtų tik žmonės, kuriems reikia prieigos.
-
Tapatybės valdymo sistema yra duomenų bazė, kurioje saugoma identifikavimo informacija apie žmones ir įrenginius, kuriems reikia prieigos prie organizacijos duomenų ir išteklių. Duomenų bazėje saugomi tokie atributai kaip vartotojų vardai, el. pašto adresai, telefonų numeriai, vadovai, tiesioginiai pavaldiniai, priskirta darbo vieta, išsilavinimo lygis ir saugos leidimų lygis. Šie atributai naudojami siekiant patikrinti, ar vartotojas yra tas, kuo sakosi esąs. Tapatybės valdymo sistema turi būti nuolat atnaujinama, kai žmonės prisijungia ir išeina iš įmonės, pakeičia vaidmenis ir pradeda arba užbaigia projektus.
-
Tapatybės ir prieigos valdymo programinė įranga suteikia įrankius, padedančius organizacijoms patikrinti žmonių ir įrenginių, kurie bando prisijungti, tapatybes ir užtikrina, kad patvirtinti vartotojai turėtų prieigą prie tinkamų išteklių. Tai centralizuotas būdas patikrinti identifikavimą, valdyti prieigą ir pažymėti saugos pažeidimus.
-
IAM yra labai svarbus debesų kompiuterijos komponentas, nes vartotojų vardai ir slaptažodžiai nebėra pakankamai stiprūs, kad apsaugotų organizaciją nuo pažeidimų. Į slaptažodžius gali būti įsilaužta, jie gali būti bendrinami arba užmiršti, o daugelis organizacijų yra tokios didelės, kad prieigos bandymų valdyti ir stebėti rankiniu būdu neįmanoma. IAM sistema leidžia lengviau išlaikyti tapatybės atributų naujinimą, suteikti ir apriboti prieigą pagal vaidmenį, žymėti anomalijas ir saugos pažeidimus.
Stebėkite „Microsoft“