视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
身份盗用对于每个人都是一个大问题,但对于IT安全人员而言尤其如此。 为了解决这个问题,公司需要一种强大而又经过精心管理和控制的身份管理方法。 这特别困难,因为它需要仔细管理有权访问应用程序和服务的人员,并确保信息被正确记录并可供需要的人轻松访问。 如果有人未经授权破坏了贵公司用于远程访问的虚拟专用网(VPN)网关,那么您需要通过确切地知道谁可以访问该网关以及这些用户分别控制哪些权限来开始进行修复。
身份治理还涉及遵守有关数据隐私的法规,包括针对健康护理数据的《健康保险可移植性和责任法案》(HIPAA)和欧盟的《通用数据保护法规》(GDPR)。 GDPR要求对身份进行验证,并为访问任何个人身份信息(PII)的任何人建立多因素身份验证(MFA)。 强大的身份管理还意味着对云和本地中的身份管理(IDM)采用混合方法。 企业IDM供应商Semperis的产品主管Darren Mar-Elia表示,这种混合的治理方法需要使用统一的流程。 在最近于纽约举行的混合身份保护会议上,PCMag赶上了Mar-Elia,以获取他在身份管理方面的最佳实践。
PCMag(PCM):混合IDM需要什么?
Darren Mar-Elia(DME):混合IDM系统只是一个身份系统,已从本地扩展到云,通常用于提供对基于云的应用程序的访问。
DME:许多公司都运行AD,并且已经运行了很多年。 这是保存用户名和密码的位置,也是保存组成员身份的位置。 所有这些东西都可以应用到云中,或者您可以从头开始在云中创建帐户,并且仍然具有本地AD。 现在,您有了一个基于云的身份系统,该系统可以授予对云应用程序的访问权限,而这只是提供身份的一种方式。 换句话说,我是谁,我可以在云环境中访问什么,无论是Microsoft Azure还是Amazon,或者碰巧是什么。
PCM:实际的软件仪表板在哪里用于管理这种类型的治理?
DME:当然,Microsoft提供了一个用于管理云身份的管理门户。 还有一个本地部署,可让您同步到Microsoft Azure Active Directory。 所以你控制那块。 那是您将要运行和管理的软件,请确保它可以正常工作。 根据您需要的灵活性,您可以从他们的门户网站执行大多数操作。 它显然在Microsoft的云中运行,并且使您可以看到您的租户。 因此,您有一个租户,用于定义所有用户和对应用程序的所有访问权限。
PCM:您需要管理哪些类型的应用程序?
DME:对于Microsoft,您可以管理对Office应用程序(如Exchange,SharePoint和OneDrive)的访问。 这些是您通常在该环境中管理的应用程序。 管理意味着允许访问某人的邮箱,以便能够代表另一个用户发送邮件或进行报告。 例如,您可以查看通过我的系统发送了多少消息以及它们发送到的位置。 就SharePoint而言,可能是建立站点,人们可以通过这些站点进行协作或指定可以授予对该信息的访问权限的人员。
PCM:与本地相比,在云中解决IDM的主要挑战是什么?
DME:我认为最大的挑战是能够在云和本地之间一致地做到这一点。 那么,我在本地和云中是否具有正确的访问权限? 与内部部署相比,我在云中的访问权限是否过多? 因此,我需要在内部执行的操作与在云中可以执行的操作之间的这种差异对于跟踪非常重要。
PCM:在本地IDM和我在云中所做的事情之间取得平衡的最佳方法是什么?
DME:无论是用户供应,用户访问管理还是用户认证,所有这些都需要考虑以下事实:除了内部部署,您可能还具有多个云身份。 因此,如果我正在进行访问权限审查,那么它不应该只是我可以访问内部部署的内容。 也应该是,如果我正在进行预配事件,我可以在云中访问什么? 如果我在人力资源(HR)职位上工作,那么我将可以访问内部和云中的应用程序。 当我调配到该工作职能时,应该将所有访问权限授予我。 当我更改作业功能时,应该删除该作业功能的所有访问权限,并且这些访问应在本地和云中进行。 那就是挑战。
PCM:机器学习(ML)在IDM或混合身份中扮演什么角色?
DME:云身份提供商可以查看谁登录,他们从哪里登录以及他们登录的频率。他们在大型数据集上使用ML,以便能够推断出不同租户的模式。 因此,例如,您的租户中是否存在可疑登录? 是从纽约登录,然后在五分钟后从柏林登录? 从本质上讲,这是一个ML问题。 每当有人登录时,您都会生成大量审核数据,并且您正在使用机器模型来基本关联可能可疑的模式。 展望未来,我认为ML将应用于访问审核之类的流程,以便能够推断访问审核的上下文,而不是仅仅给我一个我所在的组列表,然后说:“是的,我应该属于该组”或“否,我不应该加入该小组。” 我认为这是一个高阶问题,最终可能会得到解决,但这是我认为ML可以提供帮助的领域。
PCM:就机器学习在混合IDM中的帮助而言,这是否意味着它既在本地又在云中提供了帮助?
DME:从某种程度上来说是真的。 那里有特定的技术产品,这些产品将收集(例如)本地AD和云身份数据之间的审核或AD交互数据,并能够以可疑登录为本地的相同风险列表来显示这些产品。 AD还是在云端。 我认为今天还不完美。 您想绘制一幅显示无缝上下文变化的图片。 如果我是本地AD的用户,那么如果我受到攻击,则很有可能在本地和Azure AD中都受到损害。 我不知道这个问题是否已经完全解决。
PCM:您曾经说过“生育准备”。 这是什么,它在混合IDM中起什么作用?
DME:生日配给只是新员工加入公司时获得的访问权限。 他们将获得一个帐户,获得的访问权限以及获得的位置。 回到我之前的示例,如果我是公司的人力资源人员,则会创建一个广告。 我可能会获得Azure AD,也许是通过同步获得的,但也许不是,并且我将获得一组可以完成我的工作的权限。 它们可能是应用程序,可能是文件共享,可能是SharePoint网站,或者可能是Exchange邮箱。 当我加入时,所有这些配置和访问授予都应该发生。 从本质上讲,这是与生俱来的权利。
PCM:您还谈到了一个称为“橡胶冲压”的概念。 这是如何运作的?
DME:许多上市公司的法规说,他们必须审查对包含个人信息,客户数据和敏感信息之类的关键系统的访问权限。 因此,您必须定期检查访问权限。 通常是每季度一次,但要取决于法规。 但是通常的工作方式是,您有一个应用程序来生成这些访问评论,将特定组中的用户列表发送给负责该组或应用程序的经理,然后该人必须证明所有这些用户仍然属于那个组。 如果您产生大量此类信息,而经理却过度劳累,那么这是不完美的过程。 您不知道他们正在审查它。 他们是否根据需要进行了彻底的审查? 这些人真的还需要访问吗? 这就是橡胶冲压。 因此,如果您不是很在意它,它可能只是一个检查,指出“是的,我做了检查,已经完成,是从我的头发中弄出来的”,而不是真正地了解访问是否是仍然需要。
PCM:橡皮印章访问是否是一个问题,还是仅仅是效率问题?
DME:我认为两者都是。 人们劳累过度。 他们向他们扔了很多东西,我怀疑除了做其他事情之外,要掌握这些东西是一个艰难的过程。 因此,我认为这样做是出于监管原因,我完全同意并且理解。 但是我不知道这是否一定是进行访问审核的最佳方法或最佳机械方法。
PCM:公司如何应对角色发现?
DME:基于角色的访问管理是您根据组织中用户的角色分配访问权限的想法。 也许是个人的业务职能或个人的工作。 它可以基于个人的头衔。 角色发现是尝试根据当今授予身份访问的方式来发现组织中自然可能存在哪些角色的过程。 例如,我可能会说这个人力资源人员是这些小组的成员。 因此,人力资源人员角色应该可以访问这些组。 有一些工具可以帮助您完成这些任务,基本上是根据环境中已授予的现有访问权限来构建角色。 这就是您尝试构建基于角色的访问管理系统时所经历的角色发现过程。
PCM:您有什么技巧可以为中小型企业(SMB)提供如何使用混合IDM的技巧?
DME:如果您是SMB,我认为目标是不生活在混合身份世界中。 目标是获得仅云身份并尝试尽快到达那里。 对于SMB而言,管理混合身份的复杂性不是他们要从事的业务。对于必须这样做的大型企业来说,这是一项运动,因为它们拥有太多本地内容。 在SMB世界中,我认为目标应该是“如何尽快而不是稍后地进入云身份系统?如何早日而不是退出本地业务?” 那可能是最实用的方法。
PCM:公司何时会使用混合而不是本地还是云?
DME:我认为混合存在的最大原因是因为我们的大型组织在内部身份系统中拥有许多传统技术。 如果今天有一家公司从零开始,那么他们不会将AD部署为新公司。 他们正在使用Google G Suite扩展Google AD,现在它们完全位于云中。 他们没有任何本地基础结构。 对于许多拥有多年技术的大型组织来说,这是不切实际的。 因此,他们必须生活在这个混合世界中。 他们是否会只使用云,这可能取决于他们的业务模型,这对他们有多大的优先级以及他们正试图解决的问题。 所有这一切。 但是我认为对于这些组织来说,它们将长期处于混合环境。
PCM:将其推向云端的业务需求是什么?
DME:典型的是像云中的业务应用程序,Salesforce,Workday或Concur这样的SaaS应用程序。 这些应用程序期望提供一个云身份,以便能够访问它们。 您必须在某个地方拥有该云身份,因此通常就是这种情况。 微软就是一个很好的例子。 如果要使用Office 365,则必须将身份设置到Azure AD。 别无选择。 因此,这促使人们获得Azure AD,然后,一旦他们到达那里,也许他们决定要单点登录到其他Web应用程序,云中的其他SaaS应用程序,现在他们已经在云中。
- 在线保护身份的10个基本步骤在线保护身份的10个基本步骤
- 2019最佳身份管理解决方案2019最佳身份管理解决方案
- 最小化CEO欺诈和身份欺骗的7个步骤最小化CEO欺诈和身份欺骗的7个步骤
PCM:对IDM或治理的未来有什么重大预测?
DME:人们尚未将混合身份管理或混合IDM视为一体。 我认为这是必须发生的,无论他们是被法规推动还是供应商加紧为这些混合世界提供端到端身份管理解决方案。 我认为不可避免地会发生任何一种情况,人们将不得不解决诸如混合身份和访问管理之间的职责分离之类的问题。 我认为这可能是最不可避免的结果,它将早日发生。
