Στο όχι πολύ μακρινό παρελθόν, όταν οι χρήστες απαιτούσαν πρόσβαση σε ένα συγκεκριμένο σύστημα, εφαρμογή ή άλλο εταιρικό πόρο, τους δίνοταν ένα όνομα χρήστη και ένας κωδικός πρόσβασης συνδεδεμένος με το επίπεδο πρόσβασης στο σύστημα, εφαρμογή ή πόρο που χρειάζονταν.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Ενώ αυτή είναι μια βιώσιμη επιλογή όταν ο αριθμός των υπηρεσιών πληροφορικής ήταν μικρός, δεν είναι διαχειρίσιμη όταν ο αριθμός των λογαριασμών που πρέπει να διαχειριστεί ένας χρήστης φτάνει σε διψήφιο αριθμό. Για να παρακολουθεί ένας χρήστης όλα αυτά τα ονόματα χρήστη και κωδικούς πρόσβασης, πολλές φορές καταφεύγει στην καταγραφή των πληροφοριών των λογαριασμών τους σε σημειώσεις κολλήμένες στις οθόνες ή σε αποθήκευσή τους σε μέρη εύκλα προσβάσιμα σε τρίτους. Είναι κατανοητό, αυτός ο τύπος διαχείρισης κωδικών πρόσβασης αποτελεί ένα μεγάλο ρίσκο. Έτσι, είναι φανερό ότι χρειάζεται ένας τρόπος για την καλύτερη διαχείριση του αυξανόμενου αριθμού λογαριασμών χρηστών.
Παραδοσιακή Ασφάλεια στην σύγχρονη εποχή
Τα παραδοσιακά μέτρα ασφαλείας που προστατεύουν τα δίκτυα των οργανισμών δεν θεωρούνται πλέον επαρκή. Οι οργανισμοί, ακολουθώντας τις τάσεις της εποχής εφαρμόζουν πρακτικές Bring your Own Device (BYOD), το Cloud Computing, το Software-as-a-Service (SAAS) και το Internet of Things (IoT) καθιστούν δύσκολο τον έλεγχο των πληροφοριακών πόρων (υπολογιστές, εφαρμογές, κίνηση δικτύου) του οργανισμού. Οι εργαζόμενοι μπορούν να έχουν πρόσβαση σε εφαρμογές που σχετίζονται με την εργασία και εταιρικά δίκτυα από οποιαδήποτε συνδεδεμένη στο Διαδίκτυο συσκευή. Τα περιμετρικά τείχη προστασίας (firewalls) και τα προϊόντα προστασίας τελικού σημείου (end point protection) που αποτελούσαν σημαντικό μέρος των μέτρων ασφαλείας στο παρελθόν δεν θεωρούνται πλέον επαρκή.
Η βαρύτητα της νέας κατάστασης, γίνεται κατανοητή αν σκεφτούμε τα παρακάτω. Σύμφωνα με μια έκθεση, η υιοθέτηση cloud από επιχειρήσεις σε όλο τον κόσμο αυξήθηκε με συγκλονιστικό ρυθμό 130% την τελευταία δεκαετία. 175 δισεκατομμύρια δολάρια δαπανήθηκαν μόνο το 2019 για υιοθέτηση cloud υπηρεισών. Παράλληλα, το ποσό που δαπανήθηκε για την ασφάλεια στον κυβερνοχώρο είχε αυξηθεί σε σημαντικά επίπεδα και υπερβαίνει τα 100 δισεκατομμύρια δολάρια. Παρ ‘όλα αυτά, το κυβεν και οι παραβιάσεις δεδομένων αυξάνονται συνεχώς. Μια μελέτη από μια συμβουλευτική εταιρεία ασφάλειας στον κυβερνοχώρο αναφέρει ότι το έγκλημα στον κυβερνοχώρο υποτίθεται ότι θα κοστίσει 6 τρισεκατομμύρια δολάρια στον κόσμο.
Ο λόγος για αυτήν την εικόνα είναι ότι έχει γίνει πολύ πιο εύκολο και φθηνότερο για κακόβουλους τρίτους να εισβάλλουν σε ένα σύστημα από ό, τι πριν από μερικά χρόνια. Επιπρόσθετα, γίνονται επίσης εξυπνότεροι και λαμβάνουν μεγάλη υποστήριξη από τις εξελίξεις στην τεχνολογία κατά τη διεξαγωγή των περιβόητων δραστηριοτήτων τους. Δεν χρειάζονται πλέον εξελιγμένα εργαλεία για να τν διεξαγωγή μιας επιτυχούς επίθεσης
Κάθε υπάλληλος είναι ένα δυνητικό μέσο για να εισέλθει ο εισβολέας στο δίκτυο ενός οργανισμού. Το εταιρικό δίκτυο εμπιστεύεται apriori την ταυτότητα των χρηστών, οπότε οποιοσδήποτε τρίτος καταφέρει να υποκλέψει μια ταυτότητα χρήστη, αποκτά την δυνατότητα για την εκτέλεση κακόβουλων ενεργειών. Είναι ευρέως γνωστό ότι οι πλειοψηφία των επιτυχημένων επιθέσεων τα τελευταία χρόνια πραγματοποιήθηκαν λόγω αποτυχίας των μηχανισμών ελέγχου ταυτότητας.
Η ταυτότητα ως η νέα περίμετρος ασφάλειας
Η εξασφάλιση ασφαλούς πρόσβασης από οπουδήποτε, με οποιοδήποτε τρόπο / συσκευή έχει γίνει μια πολύ δύσκολη εργασία για τα τμήματα Ασφάλειας Πληροφοριών και Διαχείρισης Πληροφορικής των οργανισμών, καθώς πρέπει να ακολουθούν τη λεπτή γραμμή μεταξύ του ελέγχου των πόρων του οργανισμού και της παροχής αδειάληπτης πρόσβασης στους υπάλληλους και τους συνεργάτες.
Το αποτέλεσμα είναι ότι η ταυτότητα γίνεται η νέα περίμετρος ασφάλειας. Μόνο η ταυτότητα μπορεί και να επιτρέψει στους οργανισμούς να διασφαλίσουν τους πόρους τους με επάρκεια, παρέχοντας ταυτόχρονα στους τελικούς χρήστες την ευκολία και την ευχρηστία που αναζητούν.
Η ταυτότητα επεκτείνει την ασφάλεια πέρα από τα παραδοσιακά τείχη της επιχείρησης σε κινητές συσκευές και tablet, σε υπηρεσίες cloud και εφαρμογές και στα κοινωνικά δίκτυα που σε πολλές περιπτώσεις έχουν γίνει το κύριο κανάλι επαφής με πελάτες / προμηθευτές και το κοινό.
Σε αυτό το πλαίσιο, ο οργανισμός πρέπει να επικυρώνει κάθε χρήστη βάσει της ταυτότητάς του, εκτός από διάφορα χαρακτηριστικά, όπως ρόλο, τοποθεσία, προνόμια και συσκευές. Αυτό πρέπει να γίνεται κάθε φορά που ζητείται πρόσβαση στο δίκτυο της εταιρείας, ανεξάρτητα από το πού προήλθε το αίτημα πρόσβασης και από πού αποθηκεύονται τα δεδομένα.
Ένα πλεονέκτημα της χρήσης της ταυτότητας ως περιμέτρου είναι ότι καθιστά εφικτή την μείωσητης πολυπλοκότητα των υπαρχόντων λύσεων ασφάλειας, διασφαλίζοντας ότι τα άτομα που έχουν πρόσβαση στο δίκτυό σας είναι αυτά που ισχυρίζονται ότι είναι, μειώνοντας ταυτόχρονα τον κίνδυνο παραβίασης των εταιρικών πληροφοριακών πόρων.
Η πιο συνηθισμένη μορφή ασφάλειας μέσω έλεγχου της ταυτότητας είναι εφικτή μέσω της χρήσης λύσεων Identity Governance και Διαχείρισης Πρόσβασης, ένα πλαίσιο διαδικασιών, πολιτικών και συστημάτων που διαχειρίζονται τις ψηφιακές ταυτότητες με ομογενοποιημένο, ασφαλή, και απλοποιημένο τρόπο, και δίνει
Identity Governance και Διαχείριση Πρόσβασης
Ο ορισμός του Identity Governance και Διαχείρισης Πρόσβασης στην εταιρική πληροφορική αφορά τον καθορισμό και τη διαχείριση των ρόλων και των προνομίων πρόσβασης μεμονωμένων χρηστών του δικτύου και των περιστάσεων στις οποίες οι χρήστες παραχωρούν (ή αρνούνται) αυτά τα δικαιώματα. Αυτοί οι χρήστες μπορεί να είναι πελάτες (διαχείριση ταυτότητας πελάτη) ή υπάλληλοι (διαχείριση ταυτότητας υπαλλήλου. Ο βασικός στόχος των συστημάτων Identity Governance και Διαχείρισης Πρόσβασης είναι μία ψηφιακή ταυτότητα ανά άτομο. Μόλις δημιουργηθεί αυτή η ψηφιακή ταυτότητα, πρέπει να διατηρείται, να τροποποιείται και να παρακολουθείται για κάθε χρήστη.
Επομένως, ο πρωταρχικός στόχος της διαχείρισης ταυτότητας είναι να «παραχωρήσει πρόσβαση στα σωστά εταιρικά περιουσιακά στοιχεία στους σωστούς χρήστες στο σωστό περιβάλλον, από το σύστημα επιβίβασης ενός χρήστη έως τις άδειες αδειών έως την εξωλέμβια αυτού του χρήστη, όπως απαιτείται εγκαίρως», σύμφωνα με στον Yassir Abousselham, ανώτερο αντιπρόεδρο και επικεφαλής ασφαλείας για την Okta, έναν εταιρικό φορέα ταυτότητας και διαχείρισης πρόσβασης.
Τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης παρέχουν στους διαχειριστές τα εργαλεία και τις τεχνολογίες για να αλλάξουν το ρόλο ενός χρήστη, να παρακολουθούν τις δραστηριότητες των χρηστών, να δημιουργούν αναφορές για αυτές τις δραστηριότητες και να εφαρμόζουν πολιτικές σε συνεχή βάση. Αυτά τα συστήματα έχουν σχεδιαστεί για να παρέχουν ένα μέσο διαχείρισης της πρόσβασης χρηστών στο σύνολο του οργανισμού και να διασφαλίζουν τη συμμόρφωση με τις εταιρικές πολιτικές και τους κυβερνητικούς κανονισμούς.
Οι τεχνολογίες Identity Governance και Διαχείρισης Πρόσβασης (αλλά δεν περιορίζονται σε) εργαλεία διαχείρισης κωδικού πρόσβασης, παροχή λογισμικού, εφαρμογές επιβολής πολιτικής ασφαλείας, εφαρμογές αναφοράς και παρακολούθησης και αποθετήρια ταυτότητας. Τα συστήματα διαχείρισης ταυτότητας είναι διαθέσιμα για συστήματα εσωτερικής εγκατάστασης, όπως το Microsoft SharePoint, καθώς και για συστήματα που βασίζονται σε σύννεφο, όπως το Microsoft Office 365.
Τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης πρέπει να είναι ευέλικτα και αρκετά ανθεκτικά ώστε να ανταποκρίνονται στις πολυπλοκότητες του σημερινού υπολογιστικού περιβάλλοντος. Κατά συνέπεια, τα συστήματα διαχείρισης ταυτότητας πρέπει σήμερα να επιτρέπουν στους διαχειριστές να διαχειρίζονται εύκολα τα προνόμια πρόσβασης για μια ποικιλία χρηστών, συμπεριλαμβανομένων των οικιακών υπαλλήλων και των διεθνών εργολάβων εκτός τόπου. υβριδικά υπολογιστικά περιβάλλοντα που περιλαμβάνουν υπολογιστές επί τόπου, λογισμικό ως υπηρεσίες (SaaS) και σκιώδεις χρήστες IT και BYOD. και αρχιτεκτονικές υπολογιστών που περιλαμβάνουν συσκευές UNIX, Windows, Macintosh, iOS, Android και ακόμη και internet of things (IoT).
Τέλος, τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης θα πρέπει να επιτρέπουν την κεντρική διαχείριση των χρηστών με συνεπή και κλιμακωτό τρόπο για το σύνολο του οργανισμού.
Identity Governance και Διαχείρισης Πρόσβασης modus operandi
Τα τελευταία χρόνια, ένα τυπικό σύστημα διαχείρισης ταυτότητας περιελάμβανε τέσσερα βασικά στοιχεία:
- έναν κατάλογο των προσωπικών δεδομένων που χρησιμοποιεί το σύστημα για να ορίσει μεμονωμένους χρήστες (αποθετήριο ταυτότητας)
- ένα σύνολο εργαλείων για την προσθήκη, τροποποίηση και διαγραφή αυτών των δεδομένων (που σχετίζονται με τη διαχείριση του κύκλου ζωής πρόσβασης)
- ένα σύστημα που ρυθμίζει την πρόσβαση των χρηστών (επιβολή των πολιτικών ασφαλείας και των προνομίων πρόσβασης)
- και ένα σύστημα ελέγχου και αναφοράς
Η ρύθμιση της πρόσβασης χρηστών περιλαμβάνει παραδοσιακά έναν αριθμό μεθόδων ελέγχου ταυτότητας για την επαλήθευση της ταυτότητας ενός χρήστη, συμπεριλαμβανομένων κωδικών πρόσβασης, ψηφιακών πιστοποιητικών, μηχανισμών OTP και έξυπνων καρτών. Στα σημερινά σύνθετα υπολογιστικά περιβάλλοντα, μαζί με αυξημένες απειλές ασφαλείας, ένα ισχυρό όνομα χρήστη και ένας κωδικός πρόσβασης δεν είναι επαρκή. Σήμερα, τα συστήματα διαχείρισης ταυτότητας συχνά ενσωματώνουν στοιχεία βιομετρίας, μηχανική μάθηση και τεχνητή νοημοσύνη και έλεγχο ταυτότητας βάσει κινδύνου.
Σε αυτό το πλαίσιο, ορισμένοι οργανισμοί μεταβαίνουν από έλεγχο ταυτότητας δύο παραγόντων σε τρεις παράγοντες, συνδυάζοντας κάτι που ο χρήστης γνωρίζει (τον κωδικό πρόσβασής), κάτι που έχει (ένα smartphone) και κάτι που είναι (αναγνώριση προσώπου, σάρωση ίριδας ή αισθητήρες δακτυλικών αποτυπωμάτων).
Σε επίπεδο διαχείρισης, τα σημερινά συστήματα διαχείρισης ταυτότητας προσφέρουν πιο προηγμένο έλεγχο και αναφορά χρηστών, χάρη σε τεχνολογίες όπως ο έλεγχος πρόσβασης δικτύου με γνώμονα το περιβάλλον,ο έλεγχος ταυτότητας βάσει κινδύνου (RBA) και η ενοποιημένη διαχείρηση ταυτότητας.
Ο έλεγχος πρόσβασης στο δίκτυο με γνώμονα το περιβάλλον βασίζεται στην πολιτική. Προκαθορίζει ένα συμβάν καθώς και το αποτέλεσμα με βάση διάφορα χαρακτηριστικά. Για παράδειγμα, εάν μια διεύθυνση IP δεν είναι στη λίστα επιτρεπόμενων, ενδέχεται να αποκλειστεί. Εναλλακτικά, εάν δεν υπάρχει πιστοποιητικό που να υποδεικνύει ότι διαχειρίζεται μια συσκευή, τότε ο έλεγχος πρόσβασης δικτύου με γνώμονα το περιβάλλον ενδέχεται να ενισχύσει τη διαδικασία ελέγχου ταυτότητας.
Ο έλεγχος ταυτότητας βάσει κινδύνου εφαρμόζει δυναμικά διάφορα επίπεδα αυστηρότητας στις διαδικασίες ελέγχου ταυτότητας σύμφωνα με το τρέχον προφίλ κινδύνου. Όσο υψηλότερος είναι ο κίνδυνος, τόσο πιο περιοριστική γίνεται η διαδικασία ελέγχου ταυτότητας για έναν χρήστη. Μια αλλαγή στη γεωγραφική τοποθεσία ή στη διεύθυνση IP ενός χρήστη μπορεί να προκαλέσει πρόσθετες απαιτήσεις ελέγχου ταυτότητας προτού αυτός ο χρήστης έχει πρόσβαση στους πόρους πληροφοριών της εταιρείας.
Tέλος, η ενοποιημένη διαχείριση ταυτότητας επιτρέπει τον δοαμοιρασμό ψηφιακών αναγνωριστικών με αξιόπιστους συνεργάτες του οργανισμού. Είναι ένας μηχανισμός κοινής χρήσης ταυτότητας που επιτρέπει στους χρήστες να χρησιμοποιούν το ίδιο όνομα χρήστη, κωδικό πρόσβασης ή άλλο αναγνωριστικό για να αποκτήσουν πρόσβαση σε περισσότερα από ένα δίκτυα.
Η ενιαία σύνδεση (SSO) είναι ένα σημαντικό μέρος της ενοποιημένης διαχείρισης ταυτότητας. Ένα πρότυπο ενιαίας σύνδεσης επιτρέπει σε άτομα που επαληθεύουν την ταυτότητά τους σε ένα δίκτυο, ιστότοπο ή εφαρμογή να μεταφέρουν αυτήν την επικυρωμένη κατάσταση όταν μετακινούνται σε άλλο. Το μοντέλο λειτουργεί μόνο μεταξύ συνεργαζόμενων οργανισμών – γνωστών ως αξιόπιστων συνεργατών – που ουσιαστικά εγγυώνται ο ένας τον άλλον χρήστη.
Σημαντικά πλεονεκτήματα Identity Governance και Διαχείρισης Προσβάσεων
Το Identity Governance και η διαχείριση πρόσβασης είναι επωφελής όχι μόνο για τους χρήστες, τους υπεύθυνους και τους διαχειριστές ασφάλειας και πληροφορικής, αλλά και για τις επιχειρήσεις συνολικότερα.
Ακολουθεί μια σειρά από τα κορυφαία έξι πλεονεκτήματα συστημάτων Identity Governance και Διαχείρισης Πρόσβασης για χρήστες, υπεύθυνους και διαχειριστές ασφάλειας, και οργανισμούς.
- Απλοποίηση διαδικασιών και διευκόλυνση των τελικών χρηστών
Τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης επιτρέπουν στους χρήστες – υπαλλήλους, εργολάβους, πελάτες, κατασκευαστές εξοπλισμού, πωλητές, συνεργάτες και άλλα τρίτα μέρη – να έχουν πρόσβαση σε εταιρικά συστήματα και πόρους, ανεξάρτητα από την τοποθεσία, το ωράριο καθώς και τις συσκευές πρόσβασης που χρησιμοποιούν.
Αντί να απαιτείται από τους χρήστες τη διαχείριση δεκάδων λογαριασμών για διάφορες εταιρικές εφαρμογές ή πόρους, οι διαχειριστές IT μπορούν να χρησιμοποιήσουν συστήματα Identity Governance και Διαχείρισης Πρόσβασης για να δημιουργήσουν μια μοναδική ψηφιακή ταυτότητα για κάθε χρήστη που περιλαμβάνει ένα μόνο σύνολο διαπιστευτηρίων.
Χρησιμοποιώντας μια μέθοδο ελέγχου ταυτότητας που ονομάζεται single sign-on (SSO), οι χρήστες μπορούν να έχουν πρόσβαση σε εφαρμογές cloud, SaaS, web και εικονικές εφαρμογές με τη μοναδική, ψηφιακή τους ταυτότητα, διευκολύνοντας τις διαδικασίες ελέγχου πρόσβασης και βελτιώνοντας την εμπειρία του χρήστη, χωρίς επίπτωση στην ασφάλεια.
- Αντιμετώπιση προβλημάτων κωδικού πρόσβασης
Πέρα από την ευκολότερη διαδικασία αυθεντικοποίησης και την αύξηση της παραγωγικότητας, τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης προσφέρουν δυνατότητες διαχείρισης κωδικού πρόσβασης που βοηθούν τους διαχειριστές ασφαλείας να εφαρμόζουν τις βέλτιστες πρακτικές, όπως ελάχιστο μήκος χαρακτήρων και συχνές ενημερώσεις κωδικού πρόσβασης και ισχυρά μέτρα ελέγχου ταυτότητας, όπως έλεγχος ταυτότητας πολλών παραγόντων, βιομετρικά στοιχεία ή πρόσβαση βάσει ρόλου.
- Διευκόλυνση των ομάδων ασφαλείας πληροφοριών
Εκτός από την εξασφάλιση του οργανισμού, ένα από τα μεγαλύτερα οφέλη ων συστημάτων Identity Governance και Διαχείρισης Πρόσβασης είναι η βελτίωση της αποδοτικότητας και της αποτελεσματικότητας των ομάδων ασφαλείας πληροφοριών. Οι διαχειριστές IT μπορούν να χρησιμοποιούν δικαιώματα πρόσβασης βάσει προκαθορισμένων ρόλων και δικαιωμάτων χρήστη. Το γεγονός αυτό όχι μόνο μειώνει τις πιθανότητες λανθασμένης παραχώρησης δικαιωμάτων πρόσβασης, αλλά επίσης μειώνει σημαντικά τους χρόνους διαχείρισης του χρήστη.
Επιπρόσθετα, σημαντικό στοιχείο αποτελεί η διαχείριση προνομιακής πρόσβασης χρηστών. Για να αποτραπεί η πρόσβαση σε πόρους, οι διαχειριστές ασφαλείας μπορούν να εφαρμόσουν την αρχή του ελάχιστου προνομίου (least privilege) στους ρόλους των χρηστών. Αυτό διασφαλίζει ότι οι εργαζόμενοι, οι υπεργολάβοι, οι επισκέπτες και οι συνεργάτες μπορούν να ρυθμιστούν γρήγορα και εύκολα, μόνο με την πρόσβαση που απαιτείται για την ολοκλήρωση του ρόλου εργασίας τους.
- Βελτίωση της ασφάλειας στο σύνολο του οργανισμού
Με τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης, οι υπεύθυνοι και οι διαχειριστές ασφαλείας μπορούν να επιβάλλουν πολιτικές ασφαλείας σε όλα τα εταιρικά συστήματα, πλατφόρμες, εφαρμογές και συσκευές. Αυτό είναι επιτακτικό για την επιβολή του ελέγχου ταυτότητας και άλλων μέτρων ασφαλείας.
Με τις εταιρικές πολιτικές Identity Governance και Διαχείρισης Πρόσβασης, είναι πιο εύκολο να εντοπιστούν παραβάσεις, να καταργηθούν ακατάλληλα δικαιώματα πρόσβασης και να ανακληθούν οι προσβάσεις όταν χρειάζεται. Περιορίζονται επίσης τις πιθανές εσωτερικές απειλές, δεδομένου ότι οι εργαζόμενοι έχουν πρόσβαση μόνο στα συστήματα που χρειάζονται για την εκτέλεση των συγκεκριμένων καθηκόντων τους και δεν μπορούν να κλιμακώσουν τα προνόμια χωρίς έγκριση ή αλλαγή ρόλου.
Η χρήση ενός συστήματος Identity Governance και Διαχείρισης Πρόσβασης επιτρέπει επίσης στα τμήματα IT να αποδεικνύουν πού και πώς χρησιμοποιούνται τα διαπιστευτήρια χρήστη και βοηθά τους διαχειριστές να προσδιορίσουν ποια δεδομένα ενδέχεται να έχουν προσπελαστεί και να παραβιαστεί όταν προκύψει παραβίαση δεδομένων.
- Κανονιστική συμμόρφωση
Πολλοί κανονισμοί, πρότυπα και νομικά πλαίσια, συμπεριλαμβανομένων των ISO27001, GDPR, PCI DSS (καθώς και άλλα όπως Sarbanes-Oxley Act, και HIPAA στην Αμερική), επιβάλουν την υποχρέωση ασφάλειας δεδομένων, απορρήτου και προστασίας της ιδιωτικότητας, που σχετίζονται άμεσα με το Identity Governance και την διαχείριση πρόσβασης. Για να αποδεικτεί η συμμόρφωση, οι οργανισμοί πρέπει να κατανοήσουν και να είναι σε θέση να επαληθεύσουν τα μέτρα προστασίας των των δεδομένων τους, συμπεριλαμβανομένου του ποιος έχει πρόσβαση σε αυτά, του τρόπου με τον οποίο προστατεύεται η πρόσβαση, των διαδικασιών ανάκλησης της πρόσβασης και του τρόπου διαχείρισης των κωδικών πρόσβασης. Κατά τη διάρκεια ενός ελέγχου συμμόρφωσης, τα συστήματα Identity Governance και Διαχείρισης Πρόσβασης βοηθούν επίσης τους διαχειριστές IT να αποδείξουν πού και πώς χρησιμοποιούνται τα διαπιστευτήρια χρήστη και να αποδείξουν ότι οι εταιρικές πληροφορίες προστατεύονται με τα κατάλληλα μέτρα ελέγχου.
- Μειωμένο κόστος διαχείρισης και πληροφορικής
Πρόσφατες μελέτες έχουν δείξει ότι το 30% -50% των κλήσεων υποστήριξης αφορούν την επαναφορά κωδικών πρόσβασης και ότι η μέση επαναφορά κωδικού πρόσβασης κοστίζει έναν οργανισμό 70€.
Σε αυτό το πλαίσιο, η υλοποίηση συστημάτων Identity Governance και Διαχείρισης Πρόσβασης απλοποιούν τη διαχείριση των προσβάσεων και απελευθερώνουν χρόνο των μηχανικών υποστήριξης καθιστώντας δυνατή την υλοποίηση εργασιών υψηλότερης προτεραιότητας στον χρόνο που κάποτε αφιερώθηκε σε συνήθη καθήκοντα, όπως η βοήθεια χρηστών που είναι κλειδωμένοι από τους λογαριασμούς τους.
Τέλος, πέρα από την αποτροπή παραβιάσεων δεδομένων, η ενοποίηση λογαριασμών χρηστών σε μεμονωμένες ταυτότητες μπορεί να εξαλείψει άλλες επιχειρησιακές δαπάνες. Για παράδειγμα, η χρήση ομόσπονδων ταυτοτήτων μπορεί να εξοικονομήσει κόστος που σχετίζεται με τη διαχείριση ταυτότητας σε πολλές – συχνά κληρονομιά – εφαρμογές.
Προκλήσεις αναφορικά με Identity Governance και Διαχείριση Προσβάσεων
Κατά την υλοποίηση μιας πλατφόρμας Identity Governance και Διαχείρισης Πρόσβασης, τα οφέλη είναι οφθαλμοφανή. Έχοντας πει το παραπάνω, κάποιες προκλήσεις πρέπει να ληφθούν υπόψη κατά το σχεδιασμό μιας υλοποίησης Identity Governance και Διαχείρισης Πρόσβασης και της επακόλουθης συντήρησής της.
Για παράδειγμα, είναι σημαντικό να σημειωθεί ότι καθώς συγκεντρώνεται τη διαχείριση των ονομάτων χρήστη και των μηχανισμών ελέγχου ταυτότητας κεντρικά, η διαδικασία αυτή δημιουργεί έναν πολύ μεγαλύτερο στόχο ασφάλειας. Το γεγονός αυτό, καθιστά σημαντική την ανάπτυξη τέτοιων συστημάτων λαμβάνοντας τα απαραίτητα μέτρα ασφάλειας από την φάση του σχεδιασμού. Τέτοια μέτρα ασφάλειας περιλαμβάνουν firewalling και συστήματα ανίχνευσης και προστασίας έναντι εισβολών (IDS / IPS), καθώς και μια αυστηρή πολιτική ασφαλούς πρόσβασης, που περιορίζει σημαντικά ποιος έχει πρόσβαση στη διαχείριση της πλατφόρμας Identity Governance και Διαχείρισης Πρόσβασης.
Επιπρόσθετα, πιθανά προβλήματα στην ορθή αξιοποίηση μιας λύσης Identity Governance και Διαχείρισης Πρόσβασης μπορούν να προέλθουν από τον λάθος καθορισμό ρόλων και αρμοδιοτήτων εντός του οργανισμού, ειδικά στην περίπτωση χρήσης μηχανισμών έλεγχου πρόσβασης βάση ρόλου (Role Based Access Control – RBAC). Ο έλεγχος πρόσβασης βάση ρόλου (Role Based Access Control – RBAC) είναι μια μέθοδος που χρησιμοποιείται από τους διαχειριστές για τη σύνδεση πολλών χρηστών σε ομάδες με βάση την ανάγκη τους να έχουν πρόσβαση σε παρόμοιους πόρους. Ενώ η χρήση ομάδων πρόσβασης είναι ένας πολύ καλός τρόπος για τη μείωση του αριθμού των πολιτικών πρόσβασης που πρέπει να δημιουργηθούν και να διατηρηθούν, πολλοί οργανισμοι συγκεντρώνουν πάρα πολλούς χρήστες σε έναν ρόλο. Το αποτέλεσμα είναι ότι ορισμένοι χρήστες έχουν πρόσβαση σε εφαρμογές και υπηρεσίες που δεν χρειάζονται, και στην καλύτερη περίπτωση αυτό οδηγεί σε μια κατάσταση όπου η πρόσβαση των χρηστών δεν είναι τόσο αυστηρή όσο θα μπορούσε. Σε χειρότερα σενάρια, αυτό μπορεί να οδηγήσει σε χρήστες με ακατάλληλο διαχωρισμό καθηκόντων, κάτι που μπορεί να έχει ως αποτέλεσμα την παραβίαση συμμόρφωσης ελέγχου πρόσβασης.
Τέλος, η υλοποίηση μιας λύσης Identity Governance και Διαχείρισης Πρόσβασης, απαιτεί τακτικούς προγραμματισμένους ελέγχους πρόσβασης. Καθώς αλλάζουν οι ρόλοι των χρηστών, θα πρέπει να αλλάζει και η πρόσβαση που αποκτούν αυτές οι ομάδες χρηστών. Επιπλέον, όταν ένας χρήστης αλλάζει εργασίες εντός του οργανισμού, είναι απαραίτητη η εξασφάλιση της ανάκλησης των προηγούμενων προσβάσεων πριν την απόδοση των νέων.
Μια διαδικασία ελέγχου που σχετίζεται με τη μείωση των κινδύνων Identity Governance και Διαχείρισης Πρόσβασης αποφέρει δύο σημαντικά οφέλη. Πρώτον, απαιτεί καλά τεκμηριωμένες διαδικασίες, και δεύτερον, αναγκάζει τους διαχειριστές πληροφορικής να κατανοήσουν επακριβώς ποιες εφαρμογές και υπηρεσίες χρειάζονται οι χρήστες τους για την εκτέλεση των συγκεκριμένων καθηκόντων τους.
Το μέλλον είναι σήμερα
Το Identity Governance και η Διαχείριση Πρόσβασης, βρίσκεται στο επίκεντρο της συζήτησης ως η πιο κρίσιμη παράμετρος στην ασφάλεια από το 2019.
Όπως υποδηλώνει το όνομα, τα εργαλεία Identity Governance και Διαχείρισης Πρόσβασης διασφαλίζουν ότι μόνο τα σωστά άτομα έχουν πρόσβαση στα σωστά δεδομένα, εφαρμογές και πόρους. Φαίνεται αρκετά απλό, αλλά τελικά δεν είναι. Το παράδειγμα χρήστη-προς-μηχανή είναι ξεπερασμένο. Τα σημερινά επιχειρηματικά περιβάλλοντα βασίζονται όλο και περισσότερο στο cloud. Ακόμη και η έννοια μιας εφαρμογής επαναπροσδιορίζεται καθώς τα κοντέινερ γίνονται η κυρίαρχη προσέγγιση στην ανάπτυξη εφαρμογών και οι επιχειρήσεις αναπτύσσουν μικροϋπηρεσίες και DevOps. Οι χρήστες βασίζονται σε έναν συνεχώς αυξανόμενο συνδυασμό κινητών συσκευών. Η αυτοματοποίηση και το IoT, εν τω μεταξύ, αναδιαμορφώνουν τον ίδιο τον ορισμό ενός χρήστη, ο οποίος θα μπορούσε όλο και περισσότερο να είναι ένα bot, μια συσκευή IoT ή μια υπηρεσία λογισμικού.
Ως αποτέλεσμα, τα δεδομένα και οι εφαρμογές ενδέχεται να βρίσκονται οπουδήποτε, οπότε ο περιορισμός της πρόσβασης από το μηχάνημα δεν έχει νόημα. Στο σημερινό περιβάλλον, οι εφαρμογές είναι όλο και πιο δυναμικές και τα κοντέινερ ενδέχεται να έχουν χρόνο ημιζωής λιγότερο από ένα δευτερόλεπτο.
Έχει έρθει λοιπόν ο καιρός να υιοθετηθεί και να επαναπροσδιοριστεί το Identity Governance και η Διαχείριση Προσβάσεων. Οι οργανισμοί χρειάζονται Identity Governance και Διαχείριση Προσβάσεων για τους τρεις ακόλουθους λόγους.
- Ο αυστηρός καθορισμός και επιβολή του ποιος πρέπει να έχει πρόσβαση σε ποια δεδομένα είναι το θεμέλιο της Ασφάλειας Πληροφοριών. Οι περισσότερες επιτυχημένες απόπειρες παραβίασης περιλαμβάνουν χρήστες ή bot που αποκτούν πρόσβαση σε έναν πόρο στον οποίο δεν πρέπει να έχουν πρόσβαση. Η αποτροπή αυτού του γεγονότος είναι απαραίτητη.
- Για τη συμμόρφωση με τους κανονισμούς, είναι επιτακτική ανάγκη η τεκμηρίωση για το ποιος έχει πρόσβαση σε κάθε πόρο. Επειδή η πλειονότητα των οργανισμών υπόκειται σε απαιτήσεις κανονιστικής συμμόρφωση, ένα καλό σύστημα Identity Governance και Διαχείρισης Πρόσβασεων όχι μόνο λειτουργεί σε πραγματικό χρόνο – επιτρέποντας την εξουσιοδοτημένη πρόσβαση και αποτρέποντας μη εξουσιοδοτημένη πρόσβαση – αλλά διατηρεί αρχεία καταγραφής που μπορούν να χρησιμοποιηθούν για συμμόρφωση, καθώς και απόκριση σε περιστατικά.
- Κατά τη μετάβαση προς ο μοντέλο Ασφάλειας Μηδενικής Εμπιστοσύνης (Zero Trust Security), ένα αποτελεσματικό σύστημα Identity Governance και Διαχείρισης Πρόσβασεων αποτελεί τον ακρογωνιαίο λίθο. Καθώς ο οργανισμός εξελίσσεται, και οι υπηρεσίες cloud χρησιμοποιούνται όλο και περισσότερο, δεν υπάρχει πλέον ένας ουσιαστικός ορισμός του εσωτερικού της περιμέτρου και τα τείχη προστασίας καθίστανται λιγότερο χρήσιμα, επομένως η ασφάλεια που βασίζεται σε περίμετρο – δηλαδή, με βάση τείχος προστασίας – δεν έχει νόημα.
Το μοντέλο Μηδενικής Εμπιστοσύνης (Zero Trust), σε αντίθεση με το όνομα, δεν σημαίνει στην πραγματικότητα «ποτέ να μην εμπιστεύεσαι κανέναν ή τίποτα». Σημαίνει “εμπιστοσύνη σε μεγάλο βαθμό κατανεμημένη και ελεγχόμενη” Με άλλα λόγια, η Μηδενική Εμπιστοσύνης (Zero Trust) αφορά την παροχή – σε ένα πολύ κατανεμημένο, δυναμικό περιβάλλον – λεπτομερή έλεγχου του ποιος μπορεί να έχει πρόσβαση σε έναν συγκεκριμένο πόρο.
Επίλογος
Η μεγαλύτερη πρόκληση στην πρόβλεψη των τάσεων Identity Governance και Διαχείρισης Πρόσβασης είναι η έλλειψη στρατηγική.
Το σύστημα Identity Governance και Διαχείρισης Πρόσβασης ενός οργανισμού πρέπει να εξελιχθεί παράλληλα με αυτόν. Όπως προαναφέρθηκε, οι εφαρμογές μετακινούνται στο cloud, οι χρήστες μετακινούνται σε κινητές συσκευές, και νέα μοντέλα εφαρμογών, όπως κοντέινερ, μικροσυσκευές και DevOps, αλλάζουν τον τρόπο ανάπτυξης των εφαρμογών. Ταυτόχρονα, η αυτοματοποίηση και το IoT αλλάζουν τον ορισμό του χρήστη.
Όταν οι οργανισμοί προσβλέπουν σε μια υλοποίηση μιας λύσης Identity Governance και Διαχείρισης Πρόσβασης, είναι απαραίτητη η ολιστική προσέγγιση του προβλήματος, στα πλαίσια του συγκεκριμένου οργανισμού, περιλαμβάνοντας το σύνολο των χρηστών (άνθρωποι, ενδεχομένως, υπηρεσίες και συσκευές) και πόρους (που μπορούν να κυμαίνονται από εφαρμογές και κοντέινερ έως υπηρεσίες cloud και άλλα στοιχεία), λαμβάνοντας υπόψη την στρατηγική και τα μελλοντικά σχέδια του οργανισμού.
Είναι προφανές, ότι οι οργανισμοί που δεν θεωρούν την ασφάλεια πληροφοριών με ταυτοτητο-κεντρική προσέγγιση, θα πρέπει να το κάνουν αμέσως, καθώς η προστασία των δεδομένων του οργανισμού από οποιαδήποτε ύποπτη δραστηριότητα ή απειλή είναι υψίστης σημασίας και αξίζει την επένδυση.