識別及存取管理:彌補身分識別和存取權管理的不足
傳統身分識別解決方案主重存取應用程式,但這等於遺漏了多達 80% 的公司資料。
Matt Flynn
我們已經進入接入治理的年齡。 組織需要知道誰有權訪問哪些資料以及如何被授予他們訪問的許可權。 身份和訪問管理 (IAG) 解決方案在管理企業訪問同時解決這些問題。 他們提供訪問、 策略和角色管理、 可視性和風險評估 — — 以及它們促進跨多系統的定期資格審查的訪問。 大多數企業 IAG 解決方案雖然缺少一塊關鍵難題:非結構化的資料。
過去五年,研究得出的結論近 80%的企業內容是非結構化。 這意味著資料不存在託管格式通過正式的應用程式或進程被授予存取權限。 儘管這一比例持穩,非結構化資料的實際量始終如一地增長。 許多組織估計在他們的檔案系統資料增長率 30%到 40%。
所以為什麼要做這些系統旨在管理風險和控制訪問整個企業忽略 80%的資料嗎? 答案是部分歷史、 部分技術和業務相關的部分。 IAG 解決方案起來的身份和訪問管理 (IAM) 的解決方案。 許多頂尖 IAM 供應商引進了 IAG 解決方案,以補充他們的產品。 老兵的 IAM 空間,都被出於兩個領導獨立 IAG 供應商。 這是重要的因為 IAM 解決方案歷來側重于而不是資料的應用程式的訪問。 這些提供程式只被過渡的建築設計成其當前 IAG 解決方案。
在他們最早的反覆運算,IAM 資源調配系統只需同步,從一種資料存儲到另一個使用者帳戶。 他們長大啟用密碼管理、 單一登入、 高級訪問管理工作流和其他訪問版權管理功能。 主要焦點,然而,有總是一直在管理使用者帳戶和使用者對應用程式的訪問。
執政的訪問
在基本水準上,今天的 IAG 解決方案報告哪些帳戶存在每個應用程式,或者哪些使用者具有對該應用程式進行身份驗證的能力。 更深一層,他們可能也回答這些帳戶有哪些授權,在某些應用程式內。 他們所接觸到的應用程式的權利存儲區和收集有關使用者帳戶和相關的許可權的資訊回答這些問題。 然而,根據定義,非結構化的資料並不適合這種模式。
IAG 供應商可能已經意識到,納入非結構化的資料將是至關重要的一個綜合性企業訪問策略,但他們使用的核心技術設計用於連接各種權利商店來檢索有關訪問資訊。 在非結構化資料的世界裡,沒有集中的權利商店。 應享權利附加到自己的資源,並因此跨 IT 景觀。
大型企業往往將數以萬計的伺服器有數以百萬計的轉化真的有幾十億的各個許可權的資料夾。 因為多數獲得通過組,您必須通過每個組枚舉和解析以及任何這些嵌套的組的成員來評估每個權利。
對於財富 》 500 的組織,個別映射到組的使用者可能會中數千萬的編號。 評價這個複雜的層次結構的許可權是一種複雜的技術努力利用了完全不同的技術范式,比大多數企業應用程式。
大多陣列織很可能將存款其最關鍵的資訊託管業務關鍵型應用程式內。 他們的人力資源、 企業資源規劃、 財務、 供應鏈、 業務線和其他關鍵的應用程式保持 20%的最敏感的公司資料。 IAM 和 IAG 解決方案,專注于那些應用程式啟用深入瞭解最基本的公司資訊。 規則 》 雖然已更改。
全部或沒有
前 20%的組織資訊只是不夠的。 雖然很大一部分 — — 也許甚至是大多數 — — 其他 80%的企業資料可能不能歸類為高風險或敏感的它的確是針撈方案的一個示例。 毫無疑問,某處跨越那巨大的資料量是應該加以保護的資訊。 井內他們的權利,期望控制項周圍和非結構化的資料環境的可視性審計和安全人員。
即使是在金融和衛生保健等的嚴格監管環境、 業務專業人員定期利用分散式的檔案系統和協作套件像 Microsoft SharePoint 存儲、 共用和協作對敏感性資料的非結構化的資料存儲庫。
在審計過程中,缺乏統一性和跨這些平臺控制表示重大風險、 成本和精力。 您需要解決這一問題並準備您的組織為安全審查或法規遵從性審核。 下面是您可以採取增加程式 IAG 準備以滿足現行法規遵從性要求的幾個步驟:
- **活動目錄清理:**Active Directory 是企業訪問的發射台。 更好地進行控制,Active Directory 開始訪問治理。 這就意味著高風險和有毒的條件發生迴圈組嵌套、 休眠的使用者帳戶和使用者權杖膨脹等的理解。
- **組的擁有權:**大多數的非結構化資料訪問被授予使用 Active Directory 組成員通過實施一個基於角色的模型。 因此,組是訪問安全模型的核心元件。 組成員身份或組的存取權限的任何評估始于分配組的擁有者,將負責集團和它允許的存取權限。 根據安全模型中,一組可能表示指定為組織 (例如部門或團隊),或者它可能是更多的功能 (例如授予指定的資源存取權限) 的性質。
- **集團利用:**掃描企業無論 Active Directory 組正在使用和創建的組利用統一的視圖。 瞭解地方組被用來指派許可權是執行權利審查或訪問審計的一個先決條件。 它還有助於與組清理、 整合和遷移到一種改進的安全性模型等被人介紹用 Microsoft Windows 伺服器 2012年的動態存取控制。
- **內容所有人:**內容所有人不一定相同,組擁有者。 分配內容所有人將負責審查內容的存取權限。 這些資料保管人對負責任的訪問基於其業務使用方式的資訊。 這可以是基於最近的活動或執行發現基於 Active Directory 屬性的高級的邏輯的許可權自動的發現過程。 例如,如果最近的活動和存取權限是相似的進程可以查找具有存取權限的那些公共管理器。 這位經理是擁有一個好的目標。 因為自動化的過程並不總是萬無一失,您可能會選擇在哪裡可能擁有者可以確認他們的問責性,並建議其它潛在的業主的過程中插入邁出的一步。
- **資源清理:**當您掃描資源跨非結構化資料,您應收集資訊,如檔案大小、 內容類型、 最近的活動和其他特徵。 您還應該掃描識別高危內檔的內容。 尋找孤立的許可權,向不活躍的使用者帳戶、 未用的訪問、 未使用的內容和高風險條件,如開放存取授予存取權限。 此中繼資料可説明您優先考慮去哪裡可以存檔內容的訪問進一步鎖定和地方你可以補救有毒的條件。
- **安全模型:**闡明您預定的安全模型是在進程中重要的一步。 一旦你確定目標,請使用在前面的步驟中收集的資料來驗證模型是執行和實施。 您還需要納入現有的模式之外的任何資源。 這常常依賴于必備的理解,例如,組如何利用和如何應用許可權的步驟。 一種明確的安全模型使改進後的審核的回應。
前面的步驟可能不會產生任何神奇的結果。 沒有閃光燈或魅力。 企業高管可能沒有甚至注意你做任何事情。 然而,在執行這些任務有巨大的內在價值。
下一次的核數師問有權訪問的資源,您可以向他們展示的預定的安全模型、 提交一份報告的實際許可權、 顯示他們如何應用和提供負責審查該訪問權的人的姓名。 當你可以給這些答案,而不會破壞出了一身汗時,你證明你是在控制項中。 這就是最終安全審核的目的:來證明控制和可見度。
此外,一旦你完成了這些步驟,您可以無縫地合併所授予許可權的有效許可權機制 — — 例如資料分類和風險評分的相關分析 — — 在傳統 IAG 解決方案。 他們可以組織和內集中的應得的存儲,適合 IAG 發現模型實現正常化。
在哪裡管理法規的要求似乎不斷增長的數量和複雜程度的時代,您可以不再忽略非結構化的資料平臺。 它不是不夠的嘗試一次有意義的許可權一個資源。 是時候做一些全球規模的清潔工。 削減的總體複雜性並啟用一個模型,通過它您可以有效地管理和報告對資料的所有資源的訪問。
.jpg)
Matt Flynn 是導演的身份和訪問治理解決方案 STEALTHbits 技術公司,它提供安全和法規遵從性解決方案。 · 弗林以前擔任 NetVision 公司 ; RSA,EMC 公司 ; 安全部門 MaXware (現在的一部分 SAP AG) ; 安全事務司的優利公司。