Kaj je upravljanje identitet in dostopa (IAM)?
Spoznajte, kaj je upravljanje identitet in dostopa (IAM) ter kako to zagotavlja varnost podatkov in virov organizacije.
Kaj je sistem IAM in kakšna je njegova funkcija
Ne glede na to, kje zaposleni delajo, morajo dostopati do virov svoje organizacije, kot so aplikacije, datoteke in podatki. V preteklosti je velika večina delavcev delala na delovnem mestu, kjer so bili viri podjetja shranjeni za požarnim zidom. Ko so bili zaposleni na delovnem mestu in prijavljeni, so lahko dostopali do stvari, ki so jih potrebovali.
Ker pa je hibridno delo pogostejše kot kdaj koli prej, potrebujejo zaposleni varen dostop do virov podjetja ne glede na to, ali delajo na delovnem mestu ali na daljavo. Tukaj nastopi sistem upravljanje identitet in dostopa (IAM). Oddelek IT organizacije potrebuje način za nadzor nad tem, do česa lahko uporabniki dostopajo in do česa ne. Tako so občutljivi podatki in funkcije omejeni le na osebe in stvari, ki morajo z njimi delati.
Sistem IAM preverjenim osebam omogoča varen dostop do virov podjetja, kot so e-pošta, podatkovne zbirke, podatki in aplikacije, v idealnem primeru z najmanjšim možnim posegom. Cilj je upravljati dostop tako, da lahko pravi ljudje opravljajo svoje delo, napačnim ljudem, kot so hekerji, pa je vstop onemogočen.
Potreba po varnem dostopu se ne nanaša le na zaposlene, ki delajo z računalniki podjetja. Vključuje tudi izvajalce, prodajalce, poslovne partnerje in osebe, ki delajo z osebnimi napravami. Sistem IAM zagotavlja, da ima vsaka oseba, ki bi morala imeti dostop, pravo raven dostopa ob pravem času v pravem računalniku. Zaradi tega in zaradi vloge, ki jo ima v kibernetski varnosti organizacije, je sistem IAM pomemben del sodobne IT.
S sistemom IAM lahko organizacija ob vsakem poskusu dostopa hitro in natančno preveri identiteto osebe in ali ima potrebna dovoljenja za uporabo zahtevanega vira.
Kako deluje sistem IAM
Postopek zagotavljanja varnega dostopa do virov organizacije je sestavljen iz dveh delov: Upravljanje identitet in upravljanje dostopa.
Postopek upravljanja identitet preveri poskus prijave v podatkovni zbirki za upravljanje identitet, ki je stalna evidenca vseh, ki bi morali imeti dostop. Te informacije je treba nenehno posodabljati, saj se ljudje pridružujejo organizaciji ali jo zapuščajo, njihove vloge in projekti se spreminjajo, spreminja pa se tudi obseg organizacije.
Primeri podatkov, ki so shranjeni v zbirki podatkov za upravljanje identitete, so imena zaposlenih, nazivi delovnih mest, vodje, neposredni podrejeni, številke mobilnih telefonov in osebni e-poštni naslovi. Iskanje ujemanja podatkov za prijavo, kot sta uporabniško ime in geslo, z identiteto osebe v zbirki podatkov se imenuje preverjanje pristnosti.
Za večjo varnost številne organizacije od uporabnikov zahtevajo, da svojo identiteto preverijo s postopkom, ki se imenuje večkratno preverjanje pristnosti (MFA). Večkratno preverjanje pristnosti, znana tudi kot dvojno preverjanje pristnosti (2FA), je varnejše od uporabe zgolj uporabniškega imena in gesla. V postopek prijave doda korak, v katerem mora uporabnik preveriti svojo identiteto z drugim načinom preverjanja. Ti načini preverjanja lahko vključujejo številke mobilnih telefonov in osebne e-poštne naslove. Sistem IAM drugemu načinu preverjanja običajno pošlje enkratno kodo, ki jo mora uporabnik v določenem časovnem obdobju vnesti v portal za prijavo.
Drug del postopka IAM je upravljanje dostopa. Ko sistem IAM preveri, ali se oseba ali stvar, ki poskuša dostopati do vira, ujema z njeno identiteto, postopek upravljanja dostopa spremlja, do katerih virov ima ta oseba ali stvar dovoljenje za dostop. Večina organizacij dodeljuje različne ravni dostopa do virov in podatkov, ki so odvisne od dejavnikov, kot so naziv delovnega mesta, delovna doba, varnostno preverjanje in projekt.
Odobritev pravilne ravni dostopa po overitvi identitete uporabnika se imenuje pooblastilo. Cilj sistemov IAM je zagotoviti, da se postopek preverjanja pristnosti in pooblastila pravilno in varno izvajata ob vsakem poskusu dostopa.
Pomen sistema IAM za organizacije
Eden od razlogov, zakaj je sistem IAM tako pomemben del kibernetske varnosti, je, da oddelku IT organizacije pomaga vzpostaviti pravo ravnovesje med tem, da so pomembni podatki in viri nedostopni za večino, vendar še vedno dostopni za nekatere. Sistem IAM omogoča nastavitev nadzora, ki omogoča varen dostop do zaposlenih in naprav, hkrati pa otežuje ali onemogoča dostop zunanjim osebam.
Drugi razlog, zakaj je sistem IAM tako pomemben, je, da kibernetski kriminalci vsakodnevno izpopolnjujejo svoje metode napada. Izpopolnjeni napadi, kot so lažno predstavljanje v e-poštnih sporočilih, so eden najpogostejših virov vdorov in vdorov v podatke ter ciljajo na uporabnike z obstoječim dostopom. Brez sistema IAM je težko upravljati, kdo in kaj ima dostop do sistemov organizacije. Vdori in napadi se lahko zelo razširijo, saj ni le težko ugotoviti, kdo ima dostop, temveč je ogroženemu uporabniku tudi težko preklicati dostop.
Čeprav popolna zaščita žal ne obstaja, so rešitve IAM odličen način za preprečevanje in zmanjševanje učinka napadov. Namesto da bi v primeru kršitve vsem omejili dostop, so številni sistemi IAM opremljeni z umetno inteligenco in lahko zaznajo in zaustavijo napade, še preden postanejo večja težava.
Prednosti sistemov IAM
Pravi sistem IAM prinaša organizaciji številne prednosti.
Pravi dostop za prave ljudi
Z možnostjo ustvarjanja in uveljavljanja centraliziranih pravil in pravic dostopa je s sistemom IAM lažje zagotoviti, da imajo uporabniki dostop do virov, ki jih potrebujejo, ne da bi jim omogočili dostop do zaupnih informacij, ki jih ne potrebujejo. To se imenuje nadzor dostopa na osnovi vlog (RBAC). RBAC je razširljiv način za omejevanje dostopa samo osebam, ki ta dostop potrebujejo za opravljanje svoje vloge. Vloge lahko dodelite na podlagi določenega nabora dovoljenj ali nastavitev po meri.
Neomejena produktivnost
Varnost je vsekakor izjemno pomembna, pomembni pa sta tudi produktivnost in uporabniška izkušnja. Čeprav je uvedba zapletenega varnostnega sistema za preprečevanje vdorov mamljiva, so številne ovire za produktivnost, kot je več prijav in gesel, za uporabnika frustrirajoča izkušnja. Z orodji sistema IAM, kot so enotna prijava (SSO) in poenoteni uporabniški profili, zaposlenim omogočite varen dostop do različnih kanalov, kot so lokalni viri, podatki v oblaku in aplikacije tretjih oseb, brez večkratnega prijavljanja.
Zaščita pred kršitvijo varnosti podatkov
Čeprav noben varnostni sistem ni nezmotljiv, pa uporaba tehnologije IAM znatno zmanjša tveganje kršitve varnosti podatkov. Orodja sistema IAM, kot so večkratno preverjanje pristnosti, preverjanje pristnosti brez gesla in enotna prijava, uporabnikom omogočajo, da preverijo svojo identiteto z več kot le uporabniškim imenom in geslom, ki ju uporabnik lahko pozabi, ju deli z drugimi ali pa mu ju ukradejo. Razširitev možnosti prijave uporabnikov s sistemom IAM zmanjša to tveganje, saj postopku prijave doda dodatno raven varnosti, ki je ni mogoče tako zlahka ukrasti ali deliti.
Šifriranje datotek
Eden od razlogov, zakaj je sistem IAM tako učinkovit pri povečevanju varnosti organizacije, je, da številni sistemi IAM ponujajo orodja za šifriranje. Te ščitijo zaupne informacije, ko se prenašajo v organizacijo ali iz nje, funkcije, kot je pogojni dostop, pa skrbnikom IT omogočajo, da kot pogoje za dostop določijo pogoje, kot so naprava, lokacija ali informacije o tveganju v realnem času. To pomeni, da so podatki varni tudi v primeru kršitve, saj jih je mogoče dešifrirati le pod preverjenimi pogoji.
Manj ročnega dela za osebje za IT
Sistemi IAM lahko z avtomatizacijo nalog oddelkov IT, kot so ponastavljanje gesel in odklepanje računov ter spremljanje dnevnikov dostopa za ugotavljanje nepravilnosti, oddelkom IT prihranijo čas in trud. Tako se lahko oddelek IT osredotoči na druge pomembne naloge, kot je izvajanje strategije Ničelno zaupanje v preostalih delih organizacije. Sistem IAM je bistvenega pomena za ničelno zaupanje, ki je varnostni okvir, zgrajen na načelih izrecnega preverjanja, uporabe najmanj privilegiranega dostopa in predvidevanja kršitev.
Izboljšano sodelovanje in učinkovitost
Nemoteno sodelovanje med zaposlenimi, prodajalci, izvajalci in dobavitelji je bistvenega pomena za ohranjanje tempa sodobnega dela. Sistem IAM omogoča to sodelovanje, saj zagotavlja, da je sodelovanje ne le varno, temveč tudi hitro in enostavno. Skrbniki IT lahko vzpostavijo tudi samodejne delovne tokove, ki temeljijo na vlogah, in tako pospešijo postopke dovoljenj za prenos vlog in nove zaposlitve, kar prihrani čas pri uvajanju.
Sistem IAM in predpisi o zagotavljanju skladnosti s predpisi
Brez sistema IAM mora organizacija ročno spremljati vsak posamezen subjekt, ki ima dostop do njenih sistemov, ter kako in kdaj je ta dostop uporabil. Zaradi tega so ročne revizije dolgotrajen proces, ki zahteva veliko dela. Sistemi IAM ta postopek avtomatizirajo ter omogočajo hitrejše in enostavnejše revidiranje in poročanje. Sistemi IAM organizacijam omogočajo, da med revizijami dokažejo, da je dostop do občutljivih podatkov ustrezno urejen, kar je zahtevan del številnih pogodb in zakonov.
Revizije so le del izpolnjevanja nekaterih zakonskih zahtev. Številni predpisi, zakoni in pogodbe zahtevajo upravljanje dostopa do podatkov in zasebnosti, za kar so bili zasnovani sistemi IAM.
Rešitve IAM omogočajo preverjanje in upravljanje identitet, odkrivanje sumljivih dejavnosti in poročanje o incidentih, kar je vse potrebno za izpolnjevanje zahtev glede skladnosti, kot so Know Your Customer (Poznajte svojo stranko), spremljanje transakcij za poročanje o sumljivih dejavnostih in pravilo o rdečih zastavah. Obstajajo tudi standardi varstva podatkov, kot so Splošna uredba o varstvu podatkov (GDPR) v Evropi ter Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja (HIPAA) in Zakon Sarbanes-Oxley v Združenih državah Amerike, ki zahtevajo stroge varnostne standarde. Z ustreznim sistemom IAM boste lažje izpolnili te zahteve.
Tehnologije in orodja sistema IAM
Rešitve IAM se povezujejo z različnimi tehnologijami in orodji, ki omogočajo varno preverjanje pristnosti in dodeljevanje pooblastil na ravni podjetja:
- Security Assertion Markup Language (SAML) – protokol SAML omogoča enotno prijavo. Po uspešnem preverjanju pristnosti uporabnika protokol SAML obvesti druge aplikacije, da je uporabnik preverjena entiteta. Protokol SAML je pomemben zato, ker deluje v različnih operacijskih sistemih in računalnikih, kar omogoča zagotavljanje varnega dostopa v različnih okoliščinah.
- OpenID Connect (OIDC) – OIDC doda protokolu 0Auth 2.0 vidik identitete, kar je ogrodje za dodeljevanje pooblastil. Med ponudnikom identitete in ponudnikom storitev pošilja žetone z informacijami o uporabniku. Ti žetoni so lahko šifrirani in vsebujejo informacije o uporabniku, kot so njegovo ime, e-poštni naslov, rojstni dan ali fotografija. Storitve in aplikacije lahko enostavno uporabljajo žetone, zato je protokol OIDC koristen za preverjanje pristnosti uporabnikov mobilnih iger, družabnih omrežij in aplikacij.
- System for Cross-Domain Identity Management (SCIM) – standard SCIM pomaga organizacijam upravljati identitete uporabnikov na standardiziran način, ki deluje v različnih aplikacijah in rešitvah (ponudnikih).
Ponudniki imajo različne zahteve glede informacij o identiteti uporabnika, standard SCIM pa omogoča ustvarjanje identitete za uporabnika v orodju IAM, ki je povezano s ponudnikom, tako da ima uporabnik dostop brez ustvarjanja ločenega računa.
Uvedba sistema IAM
Sistemi IAM vplivajo na vsak oddelek in vsakega uporabnika. Zato je za uspešno uvedbo rešitve IAM bistvenega pomena temeljito načrtovanje pred uvedbo. Za začetek je koristno izračunati število uporabnikov, ki bodo potrebovali dostop, in sestaviti seznam rešitev, naprav, aplikacij in storitev, ki jih uporablja organizacija. Ti seznami so v pomoč pri primerjanju rešitev IAM in zagotavljanju njihove združljivosti z obstoječimi informacijskimi nastavitvami organizacije.
Nato je treba načrtovati različne vloge in situacije, ki jih bo moral upoštevati sistem IAM. To ogrodje bo postalo arhitektura sistema IAM in podlaga za dokumentacijo IAM.
Drugi vidik uvedbe sistema IAM, ki ga je treba upoštevati, je dolgoročni časovni načrt rešitve. Ko organizacija raste in se širi, se spreminja tudi to, kaj potrebuje od sistema IAM. Z vnaprejšnjim načrtovanjem te rasti boste zagotovili, da bo rešitev IAM usklajena s poslovnimi cilji in dolgoročno uspešna.
Rešitve sistema IAM
Zaradi vse večje potrebe po varnem dostopu do virov v različnih platformah in napravah je vse bolj jasno, kako pomemben je sistem IAM. Organizacije potrebujejo učinkovit način za upravljanje identitet in dovoljenj na ravni podjetja, ki olajša sodelovanje in poveča produktivnost.
Uvedba rešitve IAM, ki se ujema z obstoječim ekosistemom IT in uporablja tehnologijo, kot je umetna inteligenca, za pomoč skrbnikom IT pri spremljanju in upravljanju dostopa v celotni organizaciji, je eden najboljših načinov za okrepitev varnostnega položaja vaše organizacije. Če želite izvedeti, kako vam lahko Microsoft pomaga zaščititi dostop do katere koli aplikacije ali vira, zavarovati in preveriti vsako identiteto, zagotoviti le potreben dostop in poenostaviti postopek prijave, preberite več o rešitvi Microsoft Entra in drugih Microsoftovih varnostnih rešitvah.
Več informacij o Microsoftovi varnosti
Microsoft Entra
Zaščitite identitete in vire z družino rešitev za identitete in dostop do omrežja v več oblakih
Azure Active Directory
Poskrbite, da bodo identitete in podatki varni, hkrati pa poenostavite dostop. Azure AD postaja Microsoft Entra ID
Upravljanje identitete Microsoft Entra
Zaščitite, spremljajte in revidirajte dostop do pomembnih sredstev.
Zunanja identiteta Microsoft Entra
Omogočite strankam in partnerjem varen dostop do katere koli aplikacije.
Microsoftova varnost
Zagotovite zaščito pred kibernetskimi grožnjami za podjetje in dom.
Pogosta vprašanja
-
Upravljanje identitet je povezano z upravljanjem atributov za lažje preverjanje identitete uporabnika. Atributi so shranjeni v podatkovni zbirki za upravljanje identitete. Primeri atributov so ime, naziv delovnega mesta, dodeljeno delovno mesto, vodja, neposredni podrejeni in način preverjanja, s katerim lahko sistem preveri, ali je oseba res ta, za katero se izdaja. Ti načini preverjanja lahko vključujejo številke mobilnih telefonov in osebne e-poštne naslove.
Upravljanje dostopa ureja, do česa ima uporabnik dostop po tem, ko je bila preverjena njegova identiteta. Ta nadzor dostopa lahko temelji na vlogi, varnostnem preverjanju, ravni izobrazbe ali nastavitvah po meri.
-
Z upravljanjem identitet in dostopa zagotovite, da lahko samo pravi ljudje dostopajo do podatkov in virov organizacije. To je praksa kibernetske varnosti, ki skrbnikom za IT omogoča, da omejijo dostop do organizacijskih virov, tako da imajo dostop le osebe, ki ga potrebujejo.
-
Sistem za upravljanje identitet je zbirka podatkov, v kateri so shranjeni identifikacijski podatki o osebah in napravah, ki morajo dostopati do podatkov in virov organizacije. V zbirki podatkov so shranjeni atributi, kot so uporabniška imena, e-poštni naslovi, telefonske številke, vodje, neposredni podrejeni, dodeljeno delovno mesto, stopnja izobrazbe in stopnja varnostnega preverjanja. Ti atributi se uporabljajo za preverjanje, ali je uporabnik tisti, za katerega se izdaja. Sistem za upravljanje identitet je treba nenehno posodabljati, saj se ljudje pridružujejo podjetju in ga zapuščajo, spreminjajo vloge ter začenjajo ali končujejo projekte.
-
Programska oprema za upravljanje identitet in dostopa zagotavlja orodja, s katerimi lahko organizacije preverijo identiteto ljudi in naprav, ki se poskušajo prijaviti, ter preverjenim uporabnikom zagotovi dostop do pravih virov. Gre za centraliziran način preverjanja identitete, upravljanja dostopa in opozarjanja na kršitve varnosti.
-
IAM je ključna komponenta računalništva v oblaku, saj uporabniška imena in gesla niso več dovolj zapletena, da bi bila organizacija varna pred vdori. Gesla lahko daste v skupno rabo, jih pozabite ali pa lahko pride do vdora vanje, poleg tega pa so številne organizacije tako velike, da ne morejo ročno upravljati in spremljati poskusov dostopa. S sistemom IAM lahko lažje ohranite trenutne atribute identitete, odobrite ali omejite dostop glede na vloge ter označite anomalije in kršitve varnosti.
Spremljajte Microsoft