Co je správa identit a přístupu (IAM)?
Zjistěte, co je správa identit a přístupu (IAM) a jak zajišťuje zabezpečení dat a prostředků organizace.
Co je systém IAM a jaké má funkce
Bez ohledu na to, kde zaměstnanci pracují, potřebují přístup k prostředkům organizace, jako jsou aplikace, soubory a data. Tradiční způsob práce spočíval v tom, že naprostá většina pracovníků pracovala na pracovišti, kde byly firemní zdroje umístěné za bránou firewall. Jakmile byli zaměstnanci na pracovišti a přihlásili se, měli přístup ke všemu, co potřebovali.
V této době je ovšem hybridní práce běžnější než kdy dříve a zaměstnanci potřebují bezpečný přístup k firemním prostředkům, ať už pracují na pracovišti, nebo na dálku. A tady přichází na řadu správa identit a přístupu (IAM). IT oddělení organizace potřebuje způsob, jak kontrolovat, k čemu uživatelé mají a nemají přístup, aby se možnost získat přístup k citlivým datům a funkcím omezila pouze na osoby a položky, které s nimi potřebují pracovat.
IAM poskytuje zabezpečený přístup k firemním prostředkům – jako jsou e-maily, databáze, data a aplikace – ověřeným entitám, ideálně s minimem zásahů. Cílem je řídit přístup tak, aby ty správné osoby mohly dělat svou práci a nesprávným osobám, například hackerům, byl vstup odepřen.
Potřeba zabezpečeného přístupu se nevztahuje jenom na zaměstnance pracující na firemních počítačích. Týká se také dodavatelů, prodejců, obchodních partnerů a lidí pracujících na osobních zařízeních. Systém IAM zajišťuje, aby každý uživatel, který má mít přístup, měl správnou úroveň přístupu ve správný čas na správném počítači. Z tohoto důvodu a také vzhledem k roli, kterou hraje v kybernetické bezpečnosti organizace, je systém IAM důležitou součástí moderního IT.
Díky systému IAM může organizace při každém pokusu o přístup rychle a přesně ověřit identitu osoby a to, jestli má potřebná oprávnění k použití požadovaného prostředku.
Jak systém IAM funguje
Udělování bezpečného přístupu k prostředkům organizace má dvě části: správu identit a správu přístupu.
Správa identit zkontroluje pokus o přihlášení podle databáze pro správu identit, do které se průběžně zaznamenává každý, kdo by měl mít přístup. Tyto informace se musí neustále aktualizovat, protože lidé do organizace přicházejí nebo z ní odcházejí, mění se jejich role a projekty a vyvíjí se také rozsah činnosti organizace.
Jako příklad informací, které se ukládají v databázi pro správu identit, můžeme uvést jména zaměstnanců, pracovní pozice, vedoucí pracovníky, přímé podřízené, čísla mobilních telefonů a osobní e-mailové adresy. Porovnání přihlašovacích údajů, jako je uživatelské jméno a heslo, s identitou osoby v databázi se nazývá ověřování.
Kvůli lepšímu zabezpečení mnoho organizací vyžaduje, aby uživatelé ověřovali svoji identitu pomocí postupu, který se označuje jako vícefaktorové ověřování (MFA). Vícefaktorové ověřování, které také bývá označováno jako dvoufázové ověřování nebo dvojúrovňové ověřování (2FA), je bezpečnější než používání samotného uživatelského jména a hesla. Přidává do procesu přihlášení krok, ve kterém musí uživatel ověřit svou identitu pomocí alternativní metody ověření. Mezi tyto metody ověření mohou patřit čísla mobilních telefonů nebo osobní e-mailové adresy. Systém IAM obvykle odešle v rámci alternativní metody ověření jednorázový kód, který musí uživatel ve stanoveném časovém období zadat do přihlašovacího portálu.
Druhou částí systému IAM je správa přístupu. Jakmile systém IAM ověří, že osoba nebo položka, která se pokouší získat přístup k prostředku, odpovídá příslušné identitě, správa přístupu sleduje, ke kterým prostředkům má daná osoba nebo položka oprávnění k přístupu. Většina organizací uděluje různé úrovně přístupu k prostředkům a datům a tyto úrovně se řídí podle faktorů, jako je pracovní pozice, pracovní úvazek, bezpečnostní oprávnění a projekt.
Udělení správné úrovně přístupu po ověření identity uživatele se nazývá autorizace. Cílem systémů IAM je zajistit, aby ověřování a autorizace proběhly správně a bezpečně při každém pokusu o přístup.
Význam systému IAM pro organizace
Jedním z důvodů, proč je systém IAM důležitou součástí kybernetické bezpečnosti, je to, že pomáhá IT oddělení organizace najít rovnováhu v tom, aby důležitá data a prostředky byly nepřístupné pro většinu, ale přesto přístupné pro některé uživatele. Systém IAM umožňuje nastavit kontrolní mechanismy, které poskytují zabezpečený přístup zaměstnancům a zařízením, a zároveň znesnadňuje nebo znemožňuje průnik cizích osob.
Dalším důvodem, proč je systém IAM důležitý, je to, že kyberzločinci denně vyvíjejí nové metody. Sofistikované útoky, jako jsou phishingové e-maily, jsou jednou z nejčastějších metod hackerských útoků a příčin úniků dat a zaměřují se na uživatele s existujícím přístupem. Bez systému IAM je obtížné řídit, kdo a k čemu má v rámci systémů organizace přístup. Porušení zabezpečení a útoky se mohou rozběhnout ve velkém, protože je nejen obtížné zjistit, kdo má přístup, ale také je obtížné napadenému uživateli přístup odebrat.
Dokonalá ochrana bohužel neexistuje, ale řešení IAM představují vynikající způsob, jak útokům předcházet a minimalizovat jejich dopad. Namísto omezení přístupu všech uživatelů v případě porušení zabezpečení je mnoho systémů IAM vybaveno funkcemi umělé inteligence a dokáže odhalit a zastavit útoky dříve, než přerostou v rozsáhlejší problémy.
Výhody systémů IAM
Správný systém IAM přináší organizaci řadu výhod.
Správný přístup pro správné lidi
Díky možnosti vytvářet a vynucovat centralizovaná pravidla a přístupová oprávnění systém IAM usnadňuje zajištění přístupu uživatelů k prostředkům, které potřebují, aniž by jim umožňoval přístup k citlivým informacím, které nepotřebují. Tento postup bývá označován jako řízení přístupu na základě role (RBAC). RBAC je škálovatelný způsob, jak omezit přístup jenom na uživatele, kteří tento přístup potřebují k výkonu své role. Role se dají přiřazovat na základě pevné sady oprávnění nebo vlastních nastavení.
Neomezená produktivita
Stejně jako je důležité zabezpečení, je důležitá i produktivita a dobré uživatelské prostředí. Jakkoli může být lákavé implementovat složitý systém zabezpečení, aby se zabránilo porušení zabezpečení, zavedení více kroků narušujících produktivitu, jako je několik přihlašovacích jmen a hesel, je pro uživatele frustrující. Nástroje IAM, jako je jednotné přihlašování (SSO) a jednotné uživatelské profily, umožňují udělit zaměstnancům zabezpečený přístup k různým kanálům, jako jsou místní prostředky, cloudová data a aplikace třetích stran, bez nutnosti přihlašovat se vícekrát.
Ochrana před úniky dat
I když žádný systém zabezpečení není neomylný, použití technologie IAM výrazně snižuje riziko úniku dat. Nástroje IAM, jako je vícefaktorové ověřování, bezheslové ověřování a jednotné přihlašování, poskytují uživatelům možnost ověřit svou identitu pomocí více metod než jenom uživatelského jména a hesla, které můžete zapomenout, sdílet nebo je mohou napadnout hackeři. Rozšíření možností přihlašování uživatelů pomocí řešení IAM snižuje toto riziko tím, že do procesu přihlášení přidává další vrstvu zabezpečení, která se nedá snadno napadnout ani sdílet.
Šifrování dat
Jedním z důvodů, proč je systém IAM tak efektivní při zlepšování zabezpečení organizace, je to, že mnoho systémů IAM nabízí nástroje pro šifrování. Ty chrání citlivé informace při jejich přenosu do organizace nebo z organizace a funkce jako podmíněný přístup umožňují správcům IT nastavit podmínky přístupu, například zařízení, umístění nebo informace o riziku v reálném čase. Data jsou tak v bezpečí i v případě porušení zabezpečení, protože je lze dešifrovat pouze za ověřených podmínek.
Méně ruční práce pro IT
Díky automatizaci úkolů IT oddělení, jako je pomoc lidem při resetování hesel, odblokování účtů a sledování protokolů o přístupu za účelem identifikace anomálií, mohou systémy IAM ušetřit čas a úsilí IT oddělení. IT oddělení se tak může zaměřit na další důležité úkoly, jako je implementace strategie nulové důvěry (Zero Trust) ve zbývající části organizace. Systém IAM je nezbytný pro model nulové důvěry (Zero Trust), což je architektura zabezpečení založená na principech explicitního ověřování, která využívá přístup s nejnižší možnou úrovní oprávnění a možnost předpokládaného úniku informací.
Vylepšená spolupráce a efektivita
Bezproblémová spolupráce mezi zaměstnanci, dodavateli a subdodavateli je nezbytná pro udržování tempa moderní práce. Systém IAM tuto spolupráci umožňuje tím, že zajišťuje nejen její zabezpečení, ale také to, aby byla rychlá a snadná. Správci IT mohou také vytvářet automatizované pracovní postupy založené na rolích, které urychlují procesy udělování oprávnění pro převody rolí a nové zaměstnance, což šetří čas při onboardingu.
IAM a dodržování přepisů
Bez systému IAM musí organizace ručně sledovat každou entitu, která má přístup k jejím systémům, a to, jak a kdy tento přístup používá. Ruční audity se tak stávají časově i pracovně náročným procesem. Systémy IAM tento proces automatizují a umožňují rychlejší a jednodušší provádění auditů a vytváření sestav. Systémy IAM umožňují organizacím během auditů prokázat, že přístup k citlivým datům je řádně řízen, což je požadovaná součást mnoha smluv a právních předpisů.
Audity jsou jenom jednou ze součástí plnění některých požadavků na dodržování předpisů. Mnoho oborových a právních předpisů a smluv vyžaduje zásady správného řízení přístupu k datům a správu ochrany osobních údajů – a systémy IAM jsou navržené tak, aby vám s tím pomohly.
Řešení IAM umožňují ověřovat a spravovat identity, zjišťovat podezřelé aktivity a hlásit incidenty, což jsou všechno činnosti nezbytné pro plnění požadavků na dodržování předpisů, jako jsou kontroly typu Know Your Customer, monitorování transakcí za účelem hlášení podezřelých aktivit a pravidla varovných signálů. Existují také standardy ochrany dat, jako je Obecné nařízení o ochraně osobních údajů (GDPR) v Evropě a zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA) a zákon Sarbanes-Oxley ve Spojených státech, které vyžadují plnění přísných standardů zabezpečení. Použití správného systému IAM plnění těchto požadavků usnadňuje.
Technologie a nástroje systému IAM
Řešení IAM se integrují s různými technologiemi a nástroji, které pomáhají zajistit zabezpečené ověřování a autorizaci v podnikovém měřítku:
- Security Assertion Markup Language (SAML) – protokol SAML je to, co umožňuje jednotné přihlašování. Po úspěšném ověření uživatele oznámí SAML ostatním aplikacím, že uživatel je ověřenou entitou. Důvodem, proč je protokol SAML důležitý, je to, že funguje v různých operačních systémech a počítačích, což umožňuje udělovat zabezpečený přístup v různých kontextech.
- OpenID Connect (OIDC) – protokol OIDC přidává aspekt identity do OAuth 2.0, což je standard pro autorizaci. Posílá tokeny obsahující informace o uživateli mezi poskytovatelem identity a poskytovatelem služby. Tyto tokeny mohou být zašifrované a obsahují informace o uživateli, jako je jméno, e-mailová adresa, datum narození nebo fotka. Tokeny jsou pro služby a aplikace snadno použitelné, díky čemuž je protokol OIDC užitečný pro ověřování uživatelů mobilních her, sociálních médií a aplikací.
- System for Cross-Domain Identity Management (SCIM) – standard SCIM pomáhá organizacím spravovat identity uživatelů standardizovaným způsobem, který funguje pro různé aplikace a řešení (poskytovatele).
Poskytovatelé mají různé požadavky na informace o identitě uživatele a standard SCIM umožňuje vytvořit identitu pro uživatele v nástroji IAM, který se integruje s poskytovatelem, takže uživatel má přístup bez nutnosti vytvářet samostatný účet.
Implementace systému IAM
Systémy IAM ovlivňují každé oddělení a každého uživatele. Proto je pro úspěšné nasazení řešení IAM nezbytné důkladné plánování před implementací. Je užitečné začít určením počtu uživatelů, kteří budou potřebovat přístup, a sestavením seznamu řešení, zařízení, aplikací a služeb, které organizace používá. Tyto seznamy jsou užitečné při porovnávání řešení IAM, aby se zajistilo, že tato řešení budou kompatibilní se stávajícím nastavením IT v organizaci.
Dále je důležité zmapovat různé role a situace, pro které bude muset systém IAM fungovat. Tato architektura se stane architekturou systému IAM a bude základem dokumentace k systému IAM.
Dalším aspektem implementace systému IAM, který je třeba zvážit, je dlouhodobý plán řešení. S tím, jak se organizace rozrůstá a rozšiřuje, se mění to, co od systému IAM vyžaduje. Plánování tohoto růstu s předstihem zajistí, že řešení IAM bude v souladu s cíli firmy a bude nastaveno na dlouhodobé úspěšné fungování.
Řešení IAM
S rostoucí potřebou zabezpečeného přístupu k prostředkům pro různé platformy a zařízení je stále jasnější, jak velký význam systém IAM má. Organizace potřebují efektivní způsob správy identit a oprávnění v podnikovém měřítku, který usnadňuje spolupráci a zvyšuje produktivitu.
Implementace řešení IAM, které se hodí do stávajícího ekosystému IT a využívá technologie, jako je umělá inteligence, usnadňující správcům IT monitorování a správu přístupu v rámci celé organizace, je jedním z nejlepších způsobů, jak posílit stav zabezpečení organizace. Pokud se chcete dozvědět, jak vám Microsoft může pomáhat chránit přístup k jakékoli aplikaci nebo prostředku, zabezpečit a ověřit každou identitu, poskytovat pouze nezbytný přístup a zjednodušit proces přihlašování, prozkoumejte Microsoft EntraMicrosoft Entra a další řešení pro zabezpečení od Microsoftu.
Další informace o zabezpečení od Microsoftu
Microsoft Entra
Ochrana identit a prostředků s využitím řady multicloudových řešení pro identitu a přístup k síti
Azure Active Directory
Zajistěte zabezpečení identit a dat při současném zjednodušení přístupu. Azure AD se mění na Microsoft Entra ID
Microsoft Entra ID Governance
Chraňte, monitorujte a auditujte přístup k důležitým prostředkům.
Microsoft Entra Externí ID
Poskytněte zákazníkům a partnerům zabezpečený přístup k libovolné aplikaci.
Zabezpečení od Microsoftu
Získejte ochranu před kybernetickými hrozbami pro svůj podnik, firmu i domácnost.
Časté otázky
-
Správa identit se vztahuje ke správě atributů, které pomáhají ověřit identitu uživatele. Atributy jsou uložené v databázi pro správu identit. Mezi příklady atributů patří jméno, pracovní pozice, přidělené pracoviště, vedoucí, přímí podřízení a metoda ověřování, kterou systém může použít k ověření, jestli jsou dané osoby těmi, které se vydávají. Mezi tyto metody ověření mohou patřit čísla mobilních telefonů nebo osobní e-mailové adresy.
Správa přístupu určuje, k čemu má uživatel po ověření identity přístup. Toto řízení přístupu může být založené na rolích, bezpečnostních oprávněních, úrovni vzdělání nebo vlastních nastaveních.
-
Správa identit a přístupu slouží k zajištění toho, aby k datům a prostředkům organizace měli přístup jenom ti správní lidé. Je to postup v oblasti kybernetické bezpečnosti, který umožňuje správcům IT omezit přístup k prostředkům organizace tak, aby k nim měli přístup jenom ti lidé, kteří ho potřebují k práci.
-
Systém správy identit je databáze uchovávající identifikační informace o osobách a zařízeních, které potřebují přístup k datům a prostředkům organizace. Databáze uchovává atributy, jako jsou uživatelská jména, e-mailové adresy, telefonní čísla, vedoucí pracovníci, přímí podřízení, přidělené pracoviště, úroveň vzdělání a stupeň bezpečnostních oprávnění. Tyto atributy pomáhají ověřit, jestli je uživatel tím, za koho se vydává. Systém pro správu identit je třeba neustále aktualizovat s tím, jak do společnosti přicházejí noví lidé nebo naopak odcházejí, mění role a začínají nebo končí s prací na různých projektech.
-
Software pro správu identit a přístupu poskytuje nástroje, které pomáhají organizacím ověřovat identitu osob a zařízení pokoušejících se přihlásit, a zajišťuje, aby ověření uživatelé měli přístup k těm správným prostředkům. Jedná se o centralizovaný způsob ověřování identifikace, správy přístupu a upozorňování na porušení zabezpečení.
-
Správa identit a přístupu je zásadní součástí cloud computingu, protože uživatelská jména a hesla už nejsou dostatečně silná, aby organizaci chránila před porušením zabezpečení. Hesla mohou být prolomena, sdílena nebo zapomenuta a mnoho organizací je tak velkých, že v nich není možné spravovat a monitorovat pokusy o přístup ručně. Systém pro správu identit a přístupu usnadňuje udržování aktuálních atributů identity, udělování a omezování přístupu podle rolí a označování anomálií a porušení zabezpečení.
Sledujte Microsoft