Az IAM és működése
Függetlenül attól, hogy az alkalmazottak hol dolgoznak, hozzá kell férniük a szervezet erőforrásaihoz, például alkalmazásokhoz, fájlokhoz és adatokhoz. A hagyományos módszer az volt, hogy a dolgozók túlnyomó többsége a helyszínen dolgozott, ahol a vállalati erőforrások egy tűzfal mögött voltak. Miután a helyszínen bejelentkeztek, az alkalmazottak hozzáférhettek a szükséges dolgokhoz.
A hibrid munka azonban minden eddiginél gyakoribb, és az alkalmazottaknak biztonságos hozzáférésre van szükségük a vállalati erőforrásokhoz, akár a helyszínen, akár távolról dolgoznak. Itt jön a képbe az identitás- és hozzáféréskezelés (IAM). A szervezet informatikai részlegének meg kell találnia annak szabályozásának módját, hogy a felhasználók mihez férhetnek hozzá és mihez nem, hogy a bizalmas adatok és funkciók csak azokra a személyekre és dolgokra korlátozódjanak, akikkel és amelyekkel együtt kell működniük.
Az IAM biztonságos hozzáférést biztosít a vállalati erőforrásokhoz—, például e-mailekhez, adatbázisokhoz, adatokhoz és alkalmazásokhoz—ellenőrzött entitások számára, ideális esetben a feltétlenül szükségesnél nem nagyobb beavatkozással. A cél a hozzáférés kezelése, hogy a megfelelő személyek végezhessék a munkájukat, és a nem megfelelő személyek, például hackerek ne léphessenek be.
A biztonságos hozzáférésre való igény a vállalati gépeken dolgozó alkalmazottakon túlra is kiterjed. Ide tartoznak az alvállalkozók, a szállítók, az üzleti partnerek és a személyes eszközökön dolgozó személyek is. Az IAM gondoskodik arról, hogy minden személy, akinek hozzáféréssel kell rendelkeznie, a megfelelő hozzáférési szinttel rendelkezzen a megfelelő időben a megfelelő gépen. Emiatt és a szervezet kiberbiztonságában betöltött szerepe miatt az IAM a modern informatikusok nélkülözhetetlen része.
Az IAM-rendszer segítségével a szervezet gyorsan és pontosan ellenőrizheti egy személy személyazonosságát, és hogy rendelkezik a szükséges engedélyekkel a kért erőforrás használatához az egyes hozzáférési kísérletek során.
Az IAM működése
A szervezeti erőforrásokhoz való biztonságos hozzáférés két részből áll: Identitáskezelés és hozzáféréskezelés.
Az identitáskezelés összeveti a bejelentkezési kísérleteket egy identitáskezelési adatbázissal, amely minden olyan felhasználó folyamatos nyilvántartása, akinek hozzáféréssel kell rendelkeznie. Ezt az információt folyamatosan frissíteni kell, amint a felhasználók csatlakoznak a szervezethez, vagy kilépnek a szervezetből, a szerepkörük és a projektjeik megváltoznak, és a szervezet hatóköre is változik.
Az identitáskezelési adatbázisban tárolt adatok közé tartoznak például az alkalmazottak nevei, a beosztások, a vezetők, a közvetlen jelentések, a mobiltelefonszámok és a személyes e-mail-címek. A felhasználók bejelentkezési adatainak, például a felhasználónevének és jelszavának az adatbázisban lévő identitásával való egyeztetését hitelesítésnek nevezzük.
A fokozott biztonság érdekében számos szervezet megköveteli, hogy a felhasználóktöbbtényezős hitelesítés (MFA)segítségével igazolják az identitásukat. A kétirányú ellenőrzésnek vagy kétfaktoros hitelesítésnek (2FA) is nevezett többtényezős hitelesítés biztonságosabb, mint ha csak felhasználónevet és jelszót használna. A bejelentkezési folyamathoz hozzáad egy olyan lépést, amelyben a felhasználónak egy másik ellenőrzési módszerrel is igazolnia kell a személyazonosságát. Ezek az ellenőrzési módszerek használhatnak mobiltelefonszámokat és személyes e-mail-címeket. Az IAM-rendszer általában egy egyszeri kódot küld az alternatív ellenőrzési módszernek, amelyet a felhasználónak meg kell adnia a bejelentkezési portálon egy megadott időn belül.
A hozzáférés-kezelés az identitás- és hozzáféréskezelés második része. Miután az IAM-rendszer ellenőrizte az erőforráshoz hozzáférni próbáló személy vagy dolog identitásának egyezését, a hozzáféréskezelés nyomon követi, hogy az adott személy vagy dolog mely erőforrásokhoz rendelkezik hozzáféréssel. A legtöbb szervezet különböző szintű hozzáférést biztosít az erőforrásokhoz és az adatokhoz, és ezeket a szinteket olyan tényezők határozzák meg, mint a munkakör, a beosztás, a biztonsági engedély és a projekt.
A megfelelő hozzáférési szint megadását a felhasználói identitás hitelesítése után engedélyezésnek nevezzük. Az IAM-rendszerek célja, hogy minden hozzáférési kísérlet során megfelelően és biztonságos legyen a hitelesítés és az engedélyezés.
Az IAM fontossága a szervezetek számára
Az IAM többek között azért fontos része a kiberbiztonságnak, mert segít a szervezet informatikai részlegének megtalálni a megfelelő egyensúlyt a fontos adatok és erőforrások a legtöbbek számára elérhetetlen, de egyeseknek még elérhető állapotban tartásával. Az IAM lehetővé teszi olyan ellenőrzések beállítását, amelyek biztonságos hozzáférést biztosítanak az alkalmazottaknak és az eszközöknek, ugyanakkor megnehezítik vagy lehetetlenné teszik a külső felhasználók számára a hozzáférést.
Az IAM azért is fontos, mert a kiberbűnözők naponta fejlesztik a módszereiket. Az olyan kifinomult támadások, mint az adathalász e-mailek, a hackertámadások és az adatvédelmi incidensek egyik leggyakoribb forrásai, és a már meglévő hozzáféréssel rendelkező felhasználókat célozzák meg. Az IAM nélkül nehéz kezelni, hogy ki és mi fér hozzá egy szervezet rendszeréhez. A szabálysértések és a támadások feldúlhatják a helyzetet, mert nem csak nehéz látni, hogy ki rendelkezik hozzáféréssel, hanem a feltört felhasználók hozzáférését is nehéz visszavonni.
Bár tökéletes védelem sajnos nem létezik, az IAM-megoldások kiváló lehetőséget nyújtanak a támadások megelőzésére és hatásainak minimalizálására. Számos IAM-rendszer rendelkezik mesterséges intelligenciával, és ahelyett, hogy biztonsági incidens esetén mindenki hozzáférését korlátozná, képes észlelni és leállítani a támadásokat, mielőtt nagyobb problémákba ütköznének.
Az IAM-rendszerek előnyei
A megfelelő IAM-rendszer több előnnyel is jár a szervezet számára.
Megfelelő hozzáférés a megfelelő személyek számára
A központosított szabályok és hozzáférési jogosultságok létrehozásának és kikényszerítésének képességével az IAM-rendszer megkönnyíti annak biztosítását, hogy a felhasználók a számukra nem szükséges bizalmas információk elérésének lehetővé tétele nélkül hozzáférjenek azokhoz az erőforrásokhoz, amelyekre szükségük van. Ezt nevezik szerepköralapú hozzáférés-vezérlésnek. Az RBAC egy skálázható módszer, amellyel a hozzáférést csak az adott hozzáféréssel rendelkező személyekre korlátozhatja a szerepkörük ellátása érdekében. A szerepkörök kioszthatók rögzített engedélykészlet vagy egyéni beállítások alapján.
Akadálytalan munkavégzés
Bármennyire is fontos a biztonság, a termelékenység és a felhasználói élmény is fontos. Bármennyire is csábító lehet egy bonyolult biztonsági rendszer bevezetése az incidensek megelőzése érdekében, a munkavégzést gátló többszörös akadályok, például a többszöri bejelentkezések és a jelszavak többszöri bekérése a felhasználói élményt rontó bosszúságot jelenthetnek. Az IAM-eszközök, mint például az egyszeri bejelentkezés (SSO) és az egységes felhasználói profilok lehetővé teszik, hogy több csatornán, például helyszíni erőforrásokon, felhőalapú adatokon és külső alkalmazásokon keresztül többszöri bejelentkezés nélkül biztosítson biztonságos hozzáférést az alkalmazottaknak.
Adatbiztonsági incidensek elleni védelem
Bár a biztonsági rendszerek egyike sem lehet tévedhetetlen, az IAM-technológia használata jelentősen csökkenti az adatbiztonsági incidensek kockázatát. Az olyan IAM-eszközök, mint az MFA, a jelszó nélküli hitelesítés és az SSO lehetővé teszik a felhasználók számára, hogy identitásukat nem csupán egy felhasználónév és jelszó használatával igazolják, amelyet elfelejthetnek, illetve kikerülhet vagy feltörhetik. A felhasználói bejelentkezési lehetőségek IAM-megoldással való bővítése csökkenti ezt a kockázatot azáltal, hogy egy további biztonsági réteget ad hozzá a bejelentkezési folyamathoz, amelyet nem lehet olyan egyszerűen feltörni vagy megosztani.
Adattitkosítás
Az egyik ok, amiért az IAM olyan hatékonyan növeli a szervezet biztonságát, hogy számos IAM-rendszer kínál titkosítási eszközöket. Ezek védik a bizalmas adatokat, amikor azokat a szervezetbe vagy onnan továbbítják, valamint az olyan funkciók, mint a feltételes hozzáférés lehetővé teszik a rendszergazdák számára, hogy olyan hozzáférési feltételeket állítsanak be, mint az eszköz, a hely vagy a valós idejű kockázati információk. Ez azt jelenti, hogy az adatok biztonsági incidens esetén is biztonságban lesznek, mert csak ellenőrzött feltételek mellett fejthetők vissza.
Kevesebb manuális munka az informatikai részlegen
Az IAM-rendszerek időt és energiát takaríthatnak meg az informatikai részlegeknek az olyan feladatok automatizálásával, mint például a felhasználók segítése a jelszavuk alaphelyzetbe állításában és a fiókjuk zárolásának feloldásában, illetve a hozzáférési naplók figyelése az anomáliák azonosítása érdekében. Ez felszabadítja az informatikai részleget, hogy más fontos feladatokra összpontosítson, például egy teljes felügyeleti stratégia megvalósítására a szervezet egészénél. Az IAM alapvető fontosságú a Teljes felügyelethez, amely egy biztonsági keretrendszer, amely az explicit ellenőrzés, a legalacsonyabb jogosultsági szintű hozzáférés használata és a biztonsági incidensek feltételezése alapelvein alapul.
Továbbfejlesztett együttműködés és hatékonyság
Az alkalmazottak, szállítók, alvállalkozók és beszállítók közötti zökkenőmentes együttműködés elengedhetetlen a modern munkavégzés tempójának fenntartásához. Az IAM azáltal teszi lehetővé ezt az együttműködést, hogy nem csupán biztonságos, hanem gyors és egyszerű együttműködést is biztosít. A rendszergazdák szerepköralapú automatizált munkafolyamatokat is létrehozhatnak, amelyek felgyorsítják a szerepkörátadás és az új alkalmazottak engedélyezésének folyamatát, ami időt takarít meg az előkészítés során.
IAM- és megfelelőségi szabályozások
IAM-rendszer hiányában a szervezeteknek manuálisan kell nyomon követniük az összes olyan entitást, amely hozzáfér a rendszereikhez, valamint azt, hogy hogyan és mikor használták ezt a hozzáférést. Ez időigényes, munkaigényes folyamattá teszi a manuális auditvizsgálatot. Az IAM-rendszerek automatizálják ezt a folyamatot, és gyorsabbá és egyszerűbbé teszik a naplózást és a jelentéskészítést. Az IAM-rendszerek lehetővé teszik a szervezetek számára, hogy az auditvizsgálatok során igazolják, hogy a bizalmas adatokhoz való hozzáférés szabályozása megfelelően történik, ahogy számos szerződés és törvény előírja.
Az auditvizsgálat csak része a bizonyos szabályozási követelményeknek való megfelelésnek. Számos szabályozás, törvény és szerződés megköveteli az adathozzáférés szabályozását és az adatvédelem kezelését – és az IAM-eket éppen arra tervezték, hogy ebben segítsenek.
Az IAM-megoldások lehetővé teszik az identitások ellenőrzését és kezelését, illetve a gyanús tevékenységek észlelését és az incidensek jelentését, amelyek mind szükségesek a megfelelőségi követelmények teljesítéséhez, mint például az ügyfélismeret, a gyanús tevékenységek jelentésének tranzakciómonitorozása és a figyelmeztető jelekre vonatkozó szabály. Emellett vannak az európai Általános adatvédelmi rendelethez (GDPR) és az egészségbiztosítási hordozhatósági és elszámoltathatósági törvényhez (HIPAA) és az amerikai Sarbanes-Oxley törvényhez hasonló adatvédelmi szabványok is, amelyek szigorú biztonsági szabványokat követelnek meg. A megfelelő IAM-rendszer használata megkönnyíti a követelmények teljesítését.
IAM-technológiák és -eszközök
Az IAM-megoldások számos különböző technológiával és eszközzel integrálhatók, így lehetővé teszik a biztonságos hitelesítést és engedélyezést nagyvállalati méretekben:
- Az SAML információSAML teszi lehetővé az egyszeri bejelentkezést. A felhasználó sikeres hitelesítése után az SAML értesíti a többi alkalmazást, hogy a felhasználó ellenőrzött entitás. Az SAML azért fontos, mert különböző operációs rendszereken és gépeken működik, ami lehetővé teszi a biztonságos hozzáférés biztosítását különböző környezetekben.
- OpenID Connect (OIDC) – OIDC identitási aspektust ad hozzá a 0Auth 2.0-hoz, amely egy engedélyezési keretrendszer. Jogkivonatokat küld, amelyek a felhasználóval kapcsolatos információkat tartalmaznak az identitásszolgáltató és a szolgáltató között. Ezek a jogkivonatok titkosíthatók, és a felhasználóval kapcsolatos információkat tartalmaznak, például a felhasználó nevét, e-mail-címét, születésnapját vagy fényképét. A jogkivonatok könnyen használhatók a szolgáltatások és az alkalmazások számára, ami hasznossá teszi az OIDC-t a mobiljátékok, a közösségi média és az alkalmazásfelhasználók hitelesítéséhez.
- Az SCIM segítségével a szervezetek szabványosított módon kezelhetik a felhasználói identitásokat, amely több alkalmazáson és megoldáson (szolgáltatón) működik.
A szolgáltatók eltérő követelményekkel rendelkeznek a felhasználói identitás adataira vonatkozóan, és az SCIM lehetővé teszi, hogy identitást hozzanak létre egy felhasználó számára egy olyan IAM-eszközben, amely integrálható a szolgáltatóval, hogy a felhasználó külön fiók létrehozása nélkül is hozzáféréssel rendelkezhessen.
Az IAM megvalósítása
Az IAM-rendszerek minden részlegre és felhasználóra kiterjednek. Emiatt az IAM-megoldás sikeres üzembe helyezéséhez elengedhetetlen az implementáció előtti alapos tervezés. Először is érdemes kiszámítani, hogy hány felhasználónak kell hozzáférnie, és összeállítani a szervezet által használt megoldások, eszközök, alkalmazások és szolgáltatások listáját. Ezek a listák segítenek az IAM-megoldások összehasonlításában annak érdekében, hogy kompatibilisek legyenek a szervezet meglévő informatikai beállításaival.
Ezután fontos feltérképezni azokat a különböző szerepköröket és helyzeteket, amelyekhez az IAM-rendszernek alkalmazkodnia kell. Ez a keretrendszer lesz az IAM-rendszer architektúrája, és képezi az IAM dokumentációjának alapját.
Az IAM megvalósításának egy másik megfontolandó szempontja a megoldás hosszú távú ütemterve. A szervezet növekedésével és terjeszkedésével az IAM-rendszer igényei változni fognak. A növekedés előre megtervezése biztosítja, hogy az IAM-megoldás megfeleljen az üzleti céloknak, és lehetővé tegye a hosszú távú sikerességét.
IAM-megoldások
Ahogy egyre nagyobb szükség van a platformok és eszközök erőforrásaihoz való biztonságos hozzáférésre, az IAM fontossága egyre egyértelműbbé és sürgetőbbé válik. A szervezeteknek hatékonyan kell kezelniük az identitásokat és engedélyeket nagyvállalati szinten, ami elősegíti az együttműködést és növeli a munkavégzési hatékonyságot.
Egy olyan IAM-megoldás implementálása, amely illeszkedik a meglévő informatikai ökoszisztémába, és a mesterséges intelligenciához hasonló technológiával segíti a rendszergazdákat a teljes szervezet hozzáférésének figyelésében és kezelésében, az egyik legjobb módszer a szervezet biztonsági helyzetének megerősítésére. Ha meg szeretné tudni, hogyan segíthet a Microsoft az alkalmazásokhoz vagy erőforrásokhoz való hozzáférés védelmében, az összes identitás biztonságossá tételében és ellenőrzésében, a szükséges hozzáférés biztosításában és a bejelentkezési folyamat egyszerűsítésében, ismerkedjen meg a Microsoft EntraMicrosoft Entrával és más Microsoft biztonsági megoldásokkal.
További információ a Microsoft Biztonságról
Microsoft Entra
Óvja meg identitásait és erőforrásait a többfelhős identitás- és hálózatelérési megoldások családjával
Azure Active Directory
Őrizze meg az identitások és az adatok biztonságát a hozzáférés egyszerűsítése mellett. Az Azure AD-t a Microsoft Entra ID váltja
Microsoft Entra ID-kezelés
A kritikus fontosságú eszközök védelmére, figyelésére és a hozzáféréseik naplózására szolgál.
Microsoft Entra Külső ID
Bármely alkalmazáshoz biztonságos hozzáférést biztosíthat az ügyfeleinek és a partnereinek.
Microsoft Biztonság
Védelmet kaphat a kiberfenyegetések ellen a vállalata, a vállalkozása és az otthona számára.
Gyakori kérdések
-
Az identitáskezelés a felhasználói identitás ellenőrzésére szolgáló attribútumok kezelésére vonatkozik. Az attribútumok egy identitáskezelési adatbázisban vannak tárolva. Az attribútumok közé tartozik például a név, a beosztás, a hozzárendelt munkaterület, a felettes, a közvetlen jelentések és egy ellenőrzési módszer, amellyel a rendszer ellenőrizheti, hogy személy az-e, akinek mondja magát. Ezek az ellenőrzési módszerek használhatnak mobiltelefonszámokat és személyes e-mail-címeket.
A hozzáférés-kezelés azt szabályozza, hogy a felhasználó milyen hozzáféréssel rendelkezzen az identitása ellenőrzése után. Ezek a hozzáférés-vezérlések szerepkörön, biztonsági engedélyen, oktatási szinten vagy egyéni beállításokon alapulhatnak.
-
Az identitás- és hozzáférés-kezelés célja annak biztosítása, hogy csak a megfelelő személyek férhessenek hozzá a szervezet adataihoz és erőforrásaihoz. Ez egy kiberbiztonsági gyakorlat, amely lehetővé teszi a rendszergazdák számára a szervezeti erőforrásokhoz való hozzáférés korlátozását, hogy csak a hozzáférést igénylő személyek rendelkezzenek hozzáféréssel.
-
Az identitáskezelési rendszer egy adatbázis, amely a szervezet adataihoz és erőforrásaihoz való hozzáféréshez szükséges személyekkel és eszközökkel kapcsolatos azonosító adatokat tárolja. Az adatbázis olyan attribútumokat tárol, mint a felhasználónevek, az e-mail-címek, a telefonszámok, a vezetők, a közvetlen jelentések, a hozzárendelt munkahely, az oktatási szint és a biztonsági engedélyek szintje. Ezek az attribútumok segítenek ellenőrizni, hogy a felhasználó valóban az-e, akinek mondja magát. Az identitáskezelési rendszert folyamatosan frissíteni kell, amikor a felhasználók csatlakoznak a vállalathoz, kilépnek onnan, szerepköröket váltanak, és projekteket indítanak vagy fejeznek be.
-
Az identitás- és hozzáférés-kezelési szoftverek olyan eszközöket biztosítanak, amelyek segítségével a szervezetek ellenőrizhetik a bejelentkezni kívánó személyek és eszközök identitását, és biztosítják, hogy az ellenőrzött felhasználók hozzáférjenek a megfelelő erőforrásokhoz. Ez egy központi módszer az azonosítás ellenőrzésére, a hozzáférés kezelésére és a biztonsági incidensek megjelölésére.
-
Az IAM a felhőalapú számítás kulcsfontosságú összetevője, mivel a felhasználónevek és jelszavak már nem elég erősek a szervezet biztonságának fenntartásához a biztonsági incidensekkel szemben. A jelszavak feltörhetők, megoszthatók vagy elfelejthetők, és számos szervezet olyan nagy, hogy nem lehet manuálisan kezelni és figyelni a hozzáférési kísérleteket. Az IAM-rendszer megkönnyíti az identitásattribútumok naprakészen tartását, a hozzáférés szerepkör szerinti megadását és korlátozását, valamint az anomáliák és biztonsági incidensek megjelölését.
A Microsoft követése