Čo je správa identít a prístupu (IAM)?
Zistite, čo je správa identít a prístupu (IAM) a ako udržuje údaje a zdroje organizácie v bezpečí.
Čo je IAM a čo robí
Bez ohľadu na to, kde zamestnanci pracujú, potrebujú mať prístup k zdrojom organizácie, ako sú aplikácie, súbory a údaje. Tradične sa pracovalo tak, že väčšina pracovníkov robila na pracovisku, kde boli zdroje spoločnosti chránené bránou firewall. Keď bol zamestnanec prihlásený na pracovisku, mal prístup k všetkým informáciám, ktoré potreboval.
Dnes je však hybridná práca bežnejšia než kedykoľvek predtým a zamestnanci potrebujú zabezpečený prístup k zdrojom spoločnosti bez ohľadu na to, či pracujú na pracovisku alebo na diaľku. Práve tu prichádza do hry správa identít a prístupu (IAM). IT oddelenie organizácie potrebuje mať kontrolu nad tým, k čomu používatelia majú prístup a k čomu nie, aby zabezpečilo, že citlivé údaje a funkcie budú k dispozícii iba ľuďom a zariadeniam, ktoré s nimi potrebujú pracovať.
IAM poskytuje zabezpečený prístup k zdrojom spoločnosti (ako napríklad k e-mailom, databázam, údajom či aplikáciam) overeným entitám, v ideálnom prípade s minimálnymi až žiadnymi narušeniami. Cieľom je spravovať prístup tak, aby mohli správni ľudia vykonávať svoju prácu a nesprávnym ľudom, ako napríklad hakerom, bol prístup zamietnutý.
Potreba zabezpečeného prístupu presahuje hranice zamestnancov pracujúcich v podnikových počítačoch. Zahŕňa aj dodávateľov, obchodných partnerov a ľudí pracujúcich v osobných zariadeniach. IAM zabezpečuje, že každý človek, ktorý má mať prístup, má správnu úroveň prístupu v správnom čase a v správnom zariadení. Z tohto dôvodu a takisto kvôli úlohe, ktorú hrá v kybernetickej bezpečnosti organizácie, je IAM integrálnou súčasťou moderného IT.
So systémom IAM môže organizácia pri každom pokuse o prístup rýchlo a presne overiť identitu človeka a uistiť sa, že má potrebné povolenia na používanie vyžiadaného zdroja.
Ako funguje IAM
Poskytovanie zabezpečeného prístupu k zdrojom organizácie má dve časti: Riadenie identít a správa prístupu.
Riadenie identít skontroluje pokus o prihlásenie v databáze riadenia identít, v ktorej sú zapísaní všetci, ktorým by sa mal povoliť prístup. Tieto informácie sa musia neustále aktualizovať, pretože organizácia prijíma nových ľudí alebo z nej ľudia odchádzajú, roly a projekty sa menia a rozsah organizácie sa vyvíja.
V databáze riadenia identít sú uložené napríklad mená zamestnancov, ich pracovné pozície, manažéri, priami podriadení, telefónne čísla a osobné e-mailové adresy. Priradenie prihlasovacích údajov zamestnanca, ako napríklad meno používateľa či heslo, k jeho identite sa nazýva overovanie.
V záujme väčšej bezpečnosti vyžadujú mnohé organizácie od používateľov, aby overovali svoje identity pomocou niečoho, čo sa nazýva viacfaktorové overovanie (MFA). Viacfaktorové overovanie, ktoré je známe aj ako dvojité overovanie alebodvojfaktorové overovanie (2FA), je bezpečnejšie ako prihlasovanie len pomocou mena používateľa a hesla. Pridáva totiž k procesu prihlasovania ešte jeden krok, v ktorom musí používateľ overiť svoju identitu alternatívnou metódou overovania. Touto metódou overovania môže byť číslo mobilného telefónu alebo osobná e-mailová adresa. Systém IAM zvyčajne odošle na alternatívnu metódu overovania jednorazový kód, ktorý musí používateľ v rámci určeného časového limitu zadať na prihlasovacom portáli.
Správa prístupu je druhou polovicou systému IAM. Potom, ako systém IAM overí, že človek či systém, ktorý sa pokúša získať prístup k zdroju, sa zhoduje s niektorou z jeho identít, sleduje správa prístupu, ku ktorým zdrojom môže človek alebo systém získať prístup. Väčšina organizácií udeľuje rôzne úrovne prístupu k zdrojom a údajom a tieto úrovne sú dané faktormi, akými sú napríklad pracovná pozícia, dĺžka zamestnania, bezpečnostné previerky či projekt.
Udeľovanie správnej úrovne prístupu po overení identity používateľa sa nazýva oprávňovanie. Cieľom systémov IAM je zabezpečiť, aby sa overovanie a oprávňovanie pri každom pokuse o prístup vykonávali správne a bezpečne.
Dôležitosť systému IAM pre organizácie
Jedným z dôvodov, prečo je IAM dôležitou súčasťou kybernetickej bezpečnosti je to, že pomáha IT oddeleniu organizácie zabezpečiť, aby boli dôležité údaje a zdroje pre väčšinu ľudí nedostupné, ale zároveň boli prístupné pre vybranú skupinu ľudí. IAM umožňuje nastaviť kontrolné mechanizmy, ktoré zabezpečia prístup zamestnancom a zariadeniam, a nevpustia dnu ľudí zvonka.
Ďalším dôvodom, prečo je systém IAM dôležitý, je to, že počítačoví zločinci prichádzajú každý deň s novými metódami. Sofistikované útoky, ako napríklad e-maily s neoprávneným získavaním údajov, patria k najčastejším prípadom haknutia a únikov údajov a ich cieľom sú používatelia, ktorí už majú udelený prístup. Bez systému IAM je ťažké spravovať, kto a čo má prístup k systémom organizácie. Narušenia a útoky sa môžu množiť nielen preto, že je ťažké sledovať, kto má prístup, ale aj preto, že je zložité odvolať prístup zneužitému používateľovi.
Hoci perfektná ochrana, žiaľ, neexistuje, riešenia IAM sú skvelým spôsobom, ako zabrániť útokom a minimalizovať ich vplyv. Namiesto toho, aby sa v prípade narušenia obmedzil prístup každému, fungujú mnohé systémy IAM na princípe umelej inteligencie a sú schopné zaznamenať útoky a zabrániť im skôr, ako spôsobia väčšie problémy.
Výhody systémov IAM
Správny systém IAM prinesie organizácii viacero výhod.
Správny prístup správnym ľuďom
Vďaka možnosti vytvárať a vynucovať centralizované pravidlá a oprávnenia na prístup je so systémom IAM jednoduchšie uistiť sa, že používatelia majú prístup k potrebným zdrojom bez toho, aby mohli získať prístup k citlivým informáciám, ktoré nepotrebujú. Toto sa nazýva riadenie prístupu na základe rolí (RBAC). RBAC je škálovateľný spôsob obmedzovania prístupu výlučne na ľudí, ktorí tento prístup potrebujú na výkon svojej roly. Roly je možné priraďovať na základe pevnej množiny povolení alebo vlastných nastavení.
Produktivita bez zábran
Rovnako dôležité ako zabezpečenie sú aj produktivita a používateľská skúsenosť. Bez ohľadu na to, akým pokušením môže byť implementovať komplikovaný systém zabezpečenia, ktorý zabráni narušeniam, rôzne prekážky brániace produktivite, ako napríklad viaceré prihlásenia či heslá, pôsobia na používateľa frustrujúco. Nástroje IAM, ako napríklad jediné prihlásenie (SSO) a zjednotené používateľské profily, umožňujú udeľovať zamestnancom zabezpečený prístup do viacerých kanálov, napríklad k zdrojom, ktoré sú dostupné na pracovisku, cloudovým zdrojom a aplikáciam tretích strán, bez nutnosti prihlasovať sa viackrát.
Ochrana pred únikom údajov
Hoci žiadny systém zabezpečenia nie je neomylný, technológia IAM výrazne znižuje riziko úniku vašich údajov. Nástroje IAM ako MFA, overovanie bez hesla a jediné prihlásenie umožňuje používateľom overovať identity viacerými spôsobmi ako len menom používateľa a heslom, ktoré ľudia zabúdajú, zdieľajú alebo ho môže niekto haknúť. Rozšírenie možností prihlásenia používateľa pomocou riešenia IAM znižuje toto riziko tým, že do procesu prihlásenia pridáva ďalšiu úroveň zabezpečenia, ktorú nie je možné tak jednoducho haknúť ani zdieľať.
Šifrovanie údajov
Jedným z dôvodov, prečo je systém IAM tak efektívny v zlepšovaní zabezpečenia vašej organizácie, je to, že mnohé systémy IAM ponúkajú nástroje na šifrovanie. Tieto nástroje chránia citlivé informácie pri prenose do organizácie a z organizácie a funkcie ako podmienený prístup umožňujú správcom IT nastavovať isté podmienky, napríklad polohu zariadenia alebo informáciu o riziku v reálnom čase, ako podmienky prístupu. To znamená, že údaje sú v bezpečí aj keď dôjde k narušeniu, pretože sa môžu dešifrovať iba za overených podmienok.
Menej manuálnej práce pre IT
Automatizáciou úloh IT oddelení, akými sú napríklad pomoc ľuďom pri obnovovaní hesiel a odomykaní kont a monitorovanie denníkov prístupu, aby odhalili anomálie, môžu systémy IAM ušetriť IT oddeleniam čas aj úsilie. To pomôže IT oddeleniam sústrediť sa na iné dôležité úlohy, ako napríklad na implementáciu stratégienulovej dôvery (Zero Trust) do zvyšku organizácie. Systém IAM hrá kľúčovú úlohu v modeli nulovej dôvery (Zero Trust), architektúre zabezpečenia, ktorá stavia na princípoch explicitného overenia, používa prístup s najmenšími oprávneniami a predpokladá narušenie.
Lepšia spolupráca a efektivita
Bezproblémová spolupráca medzi zamestnancami a dodávateľmi je kľúčová na udržanie tempa modernej práce. IAM umožňuje túto spoluprácu nielen tým, že zabezpečí, aby bola bezpečná, ale aj tým, že zaistí, aby bola rýchla a jednoduchá. Správcovia IT môžu takisto vyvíjať pracovné postupy na základe rolí, a tak urýchľovať procesy súvisiace s povoleniami pre prenosy rolí a nových zamestnancov, čo ušetrí čas pri zaraďovaní.
IAM a predpisy súvisiace s dodržiavaním súladu
Bez systému IAM musí organizácia manuálne sledovať každú jednu entitu, ktorá má prístup do jej systémov, aj to, ako a kde tento prístup využíva. To robí z manuálnych auditov dlhý, náročný proces. Systémy IAM tento proces automatizujú a výrazne urýchlia a zjednodušia audit aj hlásenia. Systémy IAM umožňujú organizáciám demonštrovať pri auditoch, že prístup k citlivým údajom je riadený správne, čo je nevyhnutnou súčasťou mnohých zmlúv a predpisov.
Audity sú len jednou z častí, ktoré je potrebné splniť, aby organizácia vyhovela určitým regulačným požiadavkám. Mnohé nariadenia, predpisy a zmluvy vyžadujú riadenie prístupu k údajom a spravovanie ochrany osobných údajov. A práve riešenia IAM boli špeciálne navrhnuté tak, aby vám s touto prácou pomohli.
Riešenia IAM umožňujú overovať a spravovať identity, zisťovať podozrivú aktivitu a nahlasovať incidenty. Všetky tieto veci sú potrebné na splnenie požiadaviek na dodržiavanie súladu, medzi ktoré patria napríklad Poznaj svojho zákazníka (Know Your Customer), monitorovanie transakcií pre hlásenie podozrivých aktivít (SAR) a pravidlo červených príznakov (Red Flags Rule). Existujú aj normy týkajúce sa ochrany údajov, ako napríklad Všeobecné nariadenie o ochrane údajov (GDPR) v Európe či zákony HIPAA (Health Insurance Portability and Accountability Act) a Sarbanes-Oxley Act v Spojených štátoch, ktoré vyžadujú prísne bezpečnostné normy. Správny systém IAM uľahčuje splnenie týchto požiadaviek.
Technológie a nástroje IAM
Riešenia IAM sa integrujú prostredníctvom rôznych technológií a nástrojov, ktoré pomáhajú sprístupniť overovanie a oprávňovanie celej veľkej organizácii:
- Protokol SAML – Práve vďaka protokolu SAML môžete využívať jediné prihlásenie. Po úspešnom overení používateľa upozorní SAML ostatné aplikácie, že používateľ je overenou entitou. Dôvodom, prečo je protokol SAML dôležitý, je to, že funguje v rôznych operačných systémoch a zariadeniach, čo mu umožňuje udeľovať zabezpečený prístup v rôznych kontextoch.
- OpenID Connect (OIDC) – Protokol OIDC pridáva aspekt identity do protokolu 0Auth 2.0, architektúry na oprávňovanie. Odosiela tokeny obsahujúce informácie o používateľovi medzi poskytovateľom identity (IdP) a poskytovateľom služieb. Tieto tokeny môžu byť zašifrované a môžu obsahovať informácie o používateľovi, napríklad jeho meno, e-mailovú adresu, dátum narodenia či fotografiu. Tokeny vedia služby a aplikácie jednoducho používať, vďaka čomu je protokol OIDC užitočný pri overovaní hráčov mobilných hier a používateľov sociálnych médií a aplikácií.
- System for Cross-Domain Identity Management (SCIM) – štandard SCIM pomáha organizáciám riadiť identity používateľov štandardizovaným spôsobom, ktorý funguje vo viacerých aplikáciách a riešeniach alebo ich poskytovateľoch.
Poskytovatelia majú rôzne požiadavky súvisiace s informáciami o identite používateľov a SCIM umožňuje vytvoriť identitu používateľa v nástroji IAM, ktorý sa integruje cez poskytovateľa, a tak zabezpečiť používateľovi prístup aj bez vytvorenia samostatného konta.
Implementácia riešení IAM
Systémy IAM ovplyvňujú každé oddelenie a každého používateľa. Preto je dôkladné plánovanie ešte pred implementáciou nevyhnutné pre úspešné nasadenie riešenia IAM. Vhodné je začať spočítaním používateľov, ktorí budú potrebovať prístup, a spísaním zoznamu riešení, zariadení, aplikácií a služieb, ktoré organizácia využíva. Tieto zoznamy sú užitočné pri porovnávaní riešení IAM, aby boli určite kompatibilné s aktuálnym nastavením IT v organizácii.
Ďalej je dôležité zmapovať všetky roly a situácie, s ktorými bude systém IAM pracovať. Tento rámec bude architektúrou systému IAM a základom dokumentácie IAM.
Ďalším aspektom súvisiacim s implementáciou systému IAM, ktorý je potrebné zvážiť, je dlhodobý plán riešenia. S rastom a rozširovaním organizácie sa zmení aj to, čo bude potrebovať od systému IAM. Plánovanie tohto rastu vopred zabezpečí, že sa riešenie IAM prispôsobí cieľom podniku a bude nastavené na dlhodobý úspech.
Riešenia IAM
S rastom potreby zabezpečeného prístupu k zdrojom na rôznych platformách a v rôznych zariadeniach sa dôležitosť systému IAM stáva jasnejšou a kľúčovejšou. Organizácie potrebujú efektívny spôsob spravovania identít a povolení v celom podniku, ktorý uľahčí spoluprácu a zvýši produktivitu.
Implementácia riešenia IAM, ktoré presne zapadne do aktuálneho IT ekosystému a využíva technológie pomáhajúce správcom IT s monitorovaním a správou prístupu v celej organizácii, ako napríklad umelá inteligencia, je jedným z najlepších spôsobov, ako zlepšiť úroveň zabezpečenia vašej organizácie. Ak chcete zistiť, ako vám spoločnosť Microsoft môže pomôcť chrániť prístup k všetkým aplikáciam a zdrojom, zabezpečiť a overiť každú identitu, poskytnúť len potrebný prístup a zjednodušiť proces prihlásenia, preskúmajte Microsoft Entra a ďalšie riešenia zabezpečenia od spoločnosti Microsoft.
Ďalšie informácie o zabezpečení od spoločnosti Microsoft
Microsoft Entra
Chráňte identity a zdroje pomocou radu riešení multicloudových identít a prístupu k sieti
Azure Active Directory
Zabezpečte ochranu identít a údajov a zároveň zjednodušte prístup. Azure AD sa mení na Microsoft Entra ID
Riadenie Microsoft Entra ID
Chráňte, monitorujte a auditujte prístup ku kritickým prostriedkom.
Microsoft Entra Externé ID
Poskytnite svojim zákazníkom a partnerom zabezpečený prístup k ľubovoľnej aplikácii.
Zabezpečenie od spoločnosti Microsoft
Získajte ochranu pred kybernetickými hrozbami pre svoju veľkú organizáciu, podnik alebo domov.
Najčastejšie otázky
-
Riadenie identít sa týka správy atribútov, ktoré pomáhajú overiť identitu používateľa. Tieto atribúty sú uložené v databáze riadenia identít. Príkladmi atribútov sú meno, pracovná pozícia, priradené pracovisko, manažér, priami podriadení a metóda overovania, ktorú môže systém použiť, aby zistil, či je používateľ naozaj človek, za ktorého sa vydáva. Touto metódou overovania môže byť číslo mobilného telefónu alebo osobná e-mailová adresa.
Riadenie prístupu určuje, k čomu má používateľ prístup po tom, ako sa overila jeho identita. Tieto riadenia prístupu môžu fungovať podľa rolí, bezpečnostných previerok, úrovne vzdelania alebo podľa vlastných nastavení.
-
Úlohou správy identít a prístupu je zabezpečiť, aby sa k údajom a zdrojom organizácie dostali len tí správni ľudia. Je to postup kybernetickej bezpečnosti, ktorý umožňuje správcom IT obmedziť prístup k zdrojom organizácie tak, aby k nim mali prístup len ľudia, ktorí ho potrebujú.
-
Systém riadenia identít je databáza s uloženými identifikačnými informáciami o ľuďoch a zariadeniach, ktoré potrebujú získavať prístup k údajom a zdrojom organizácie. V databáze sú uložené atribúty, ako napríklad mená používateľov, e-mailové adresy, telefónne čísla, manažéri, priami podriadení, priradené pracovisko, úroveň vzdelania a úroveň bezpečnostných previerok. Tieto atribúty sa používajú na overenie, že používateľ je naozaj človek, za ktorého sa vydáva. Systém riadenia identít je nutné neustále aktualizovať, pretože spoločnosť prijíma nových ľudí alebo z nej ľudia odchádzajú, menia roly a začínajú alebo dokončujú projekty.
-
Softvér na správu identít a prístupu poskytuje nástroje, ktoré pomáhajú organizáciám overovať identity ľudí a zariadení, ktorí sa pokúšajú prihlásiť, a zabezpečuje, aby overení používatelia mali prístup k správnym zdrojom. Je to centralizovaný spôsob overovania identifikácie, spravovania prístupu a označovania narušení zabezpečenia.
-
Správa identít a prístupu je dôležitou súčasťou cloud computingu, pretože mená používateľov a heslá už nie sú dostatočne silným nástrojom na zabezpečenie organizácie pred narušeniami. Heslá môžu napadnúť hakeri, ľudia ich môžu zdieľať alebo zabudnúť a mnohé organizácie sú také veľké, že nie je možné manuálne spravovať a monitorovať pokusy o prístup. Správa identít a prístupu uľahčuje udržiavanie aktuálnosti atribútov identity, udeľovanie a obmedzovanie prístupu podľa roly a označovanie anomálií a narušení zabezpečenia.
Sledujte Microsoft