Video: Lần thứ hai Bá» VÄn hóa bác Äá» xuất bán vé há»i chá»i trâu Äá» SÆ¡n (Tháng Chín 2024)
Trộm cắp danh tính là một vấn đề lớn đối với tất cả mọi người, nhưng đặc biệt đối với những người trong lĩnh vực bảo mật CNTT. Để chống lại vấn đề này, các công ty cần một cách tiếp cận mạnh mẽ nhưng được quản lý và kiểm soát chặt chẽ để quản trị danh tính. Điều đó đặc biệt khó khăn vì nó đòi hỏi phải quản lý cẩn thận những người có quyền truy cập vào các ứng dụng và dịch vụ và đảm bảo rằng thông tin được ghi lại đúng cách và dễ dàng truy cập cho những người cần nó. Nếu ai đó xâm phạm trái phép cổng riêng ảo (VPN) mà công ty bạn sử dụng để truy cập từ xa, thì bạn cần bắt đầu sửa lỗi bằng cách biết chính xác ai có quyền truy cập vào cổng và chính xác quyền của mỗi người dùng đó kiểm soát.
Quản trị danh tính cũng liên quan đến việc tuân thủ các quy định chi phối quyền riêng tư dữ liệu, bao gồm Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPAA) đối với dữ liệu chăm sóc sức khỏe và Quy định bảo vệ dữ liệu chung của EU (GDPR). GDPR yêu cầu danh tính được xác minh và xác thực đa yếu tố (MFA) được thiết lập cho bất kỳ ai truy cập bất kỳ thông tin nhận dạng cá nhân (PII) nào. Quản trị danh tính mạnh cũng có nghĩa là thực hiện một cách tiếp cận hỗn hợp để quản lý danh tính (IDM) trong đám mây và tại chỗ. Cách tiếp cận quản trị lai này đòi hỏi phải sử dụng một quy trình thống nhất, theo Darren Mar-Elia, Trưởng phòng sản phẩm tại nhà cung cấp Semperis của IDM doanh nghiệp. Tại Hội nghị Bảo vệ Danh tính Lai gần đây tại Thành phố New York, PCMag đã bắt kịp Mar-Elia để có được những thực hành tốt nhất trong quản trị danh tính.
PCMag (PCM): IDM lai đòi hỏi gì?
Darren Mar-Elia (DME): Hệ thống IDM lai chỉ là một hệ thống nhận dạng được mở rộng từ cơ sở đến đám mây và thường là để cấp quyền truy cập vào các ứng dụng dựa trên đám mây.
DME: Rất nhiều công ty chạy AD và đã điều hành nó trong nhiều năm. Đó là nơi giữ tên người dùng và mật khẩu của bạn và đó là nơi tổ chức thành viên nhóm của bạn. Tất cả những thứ đó có thể đi lên đám mây hoặc bạn có thể tạo tài khoản từ đầu trong đám mây và vẫn có AD tại chỗ. Giờ đây, bạn đã có một hệ thống nhận dạng dựa trên đám mây cấp quyền truy cập vào các ứng dụng đám mây và đó chỉ là một cách cung cấp danh tính. Nói cách khác, tôi là ai và tôi có quyền truy cập gì trong môi trường đám mây, cho dù đó là Microsoft Azure hay Amazon hay bất cứ điều gì xảy ra.
PCM: Bảng điều khiển phần mềm thực tế được sử dụng để quản lý loại quản trị đó ở đâu?
DME: Microsoft, tất nhiên, cung cấp một cổng quản lý để quản lý danh tính đám mây. Ngoài ra còn có một phần tại chỗ cho phép bạn thực hiện việc đồng bộ hóa đó lên Microsoft Azure Active Directory; để bạn kiểm soát mảnh đó Đó là một phần mềm mà bạn sẽ chạy và quản lý, đảm bảo rằng nó hoạt động và tất cả những thứ đó. Tùy thuộc vào mức độ linh hoạt bạn cần, bạn có thể làm hầu hết từ cổng thông tin của họ. Nó rõ ràng đang chạy trong đám mây của Microsoft và nó cho bạn cái nhìn về người thuê nhà của bạn. Vì vậy, bạn có một người thuê xác định tất cả người dùng của bạn và tất cả quyền truy cập của bạn vào ứng dụng.
PCM: Bạn cần quản lý quyền truy cập vào loại ứng dụng nào?
DME: Trong trường hợp của Microsoft, bạn có thể quản lý quyền truy cập vào các ứng dụng Office như Exchange, SharePoint và OneDrive. Đó là những ứng dụng mà bạn thường quản lý trong môi trường đó. Và quản lý có nghĩa là cấp quyền truy cập, giả sử, hộp thư của ai đó có thể gửi thay mặt cho người dùng khác hoặc có thể báo cáo. Ví dụ: bạn có thể xem có bao nhiêu tin nhắn được gửi qua hệ thống của tôi và nơi chúng được gửi đến. Trong trường hợp của SharePoint, có thể thiết lập các trang web thông qua đó mọi người có thể cộng tác hoặc chỉ định ai có thể cấp quyền truy cập vào thông tin đó.
PCM: Những thách thức chính trong việc giải quyết IDM trên đám mây so với tại chỗ là gì?
DME: Tôi nghĩ rằng thách thức lớn là có thể thực hiện nó một cách nhất quán trên cả đám mây và tại chỗ. Vì vậy, tôi có quyền truy cập tại chỗ và trên đám mây không? Tôi có quá nhiều quyền truy cập trong đám mây so với những gì tôi có tại chỗ không? Vì vậy, sự khác biệt giữa những gì tôi có thể làm tại cơ sở và những gì tôi có thể làm trong đám mây là điều quan trọng để theo dõi.
PCM: Cách tốt nhất để đạt được sự cân bằng giữa IDM tại chỗ và những gì tôi làm trong đám mây là gì?
DME: Cho dù đó là cung cấp người dùng, quản lý truy cập người dùng hoặc chứng nhận người dùng, tất cả những điều đó cần phải xem xét đến thực tế là bạn có thể ở nhiều danh tính đám mây ngoài cơ sở. Vì vậy, nếu tôi đang thực hiện đánh giá truy cập, thì đó không phải là thứ tôi có quyền truy cập tại chỗ. Cũng nên, tôi có quyền truy cập vào đám mây gì nếu tôi đang làm một sự kiện cung cấp? Nếu tôi ở trong chức năng công việc nhân sự (HR), tôi sẽ có quyền truy cập vào các ứng dụng tại cơ sở cũng như trên đám mây. Khi tôi được cung cấp vào chức năng công việc đó, tôi sẽ có tất cả quyền truy cập đó được cấp cho tôi. Khi tôi thay đổi các chức năng công việc, tôi sẽ xóa tất cả quyền truy cập đó cho chức năng công việc đó, và đó là tại chỗ và trên đám mây. Đó là thử thách.
PCM: Học máy (ML) đóng vai trò gì trong IDM hoặc nhận dạng lai?
DME: Các nhà cung cấp nhận dạng đám mây có thể thấy được ai đang đăng nhập, nơi họ đăng nhập và tần suất họ đăng nhập. Họ đang sử dụng ML trên các tập dữ liệu lớn đó để có thể suy ra các mẫu trên những người thuê khác nhau đó. Vì vậy, ví dụ, có những thông tin đăng nhập đáng ngờ đang diễn ra trong đối tượng thuê của bạn; người dùng đăng nhập từ New York và sau đó năm phút sau từ Berlin? Đó là một vấn đề ML về cơ bản. Bạn đang tạo nhiều dữ liệu kiểm toán bất cứ khi nào ai đó đăng nhập và bạn đang sử dụng các mô hình máy để tương quan các mẫu có thể gây nghi ngờ. Sắp tới, tôi nghĩ ML sẽ được áp dụng cho các quy trình như đánh giá truy cập để có thể suy ra bối cảnh cho đánh giá truy cập thay vì chỉ đưa cho tôi một danh sách các nhóm mà tôi tham gia và nói "vâng, tôi nên ở trong nhóm này "hoặc" không, tôi không nên ở trong nhóm đó. " Tôi nghĩ rằng đó là một vấn đề cấp cao hơn có thể sẽ được giải quyết cuối cùng, nhưng đó là một lĩnh vực mà tôi nghĩ rằng ML sẽ giúp đỡ.
PCM: Theo như ML giúp trong IDM lai, điều này có nghĩa là nó giúp cả tại chỗ và trên đám mây?
DME: Ở một mức độ nào đó, điều đó đúng. Có những sản phẩm công nghệ cụ thể sẽ thu thập, ví dụ: dữ liệu tương tác kiểm toán hoặc AD giữa dữ liệu AD tại chỗ và dữ liệu nhận dạng đám mây và có thể hiển thị cùng loại danh sách rủi ro nơi đăng nhập đáng ngờ tại chỗ AD hoặc trong đám mây. Tôi không nghĩ nó hoàn hảo ngày hôm nay. Bạn muốn vẽ một bức tranh cho thấy một sự thay đổi theo ngữ cảnh liền mạch. Nếu tôi là người dùng trong AD tại chỗ, thì rất có thể, nếu tôi bị xâm phạm, tôi có thể bị xâm phạm ở cả tại chỗ và Azure AD. Tôi không biết rằng vấn đề này đã được giải quyết hoàn toàn.
PCM: Bạn đã nói về "cung cấp quyền khai sinh." Đây là gì và vai trò này đóng vai trò gì trong IDM lai?
DME: Cung cấp quyền khai sinh chỉ đơn giản là quyền truy cập mà nhân viên mới có được khi họ gia nhập công ty. Họ được cung cấp một tài khoản và quyền truy cập nào họ nhận được, và nơi họ được cung cấp. Quay trở lại ví dụ trước đây của tôi, nếu tôi là một nhân sự gia nhập công ty, tôi sẽ tạo ra một AD. Tôi có thể sẽ nhận được Azure AD, có thể thông qua đồng bộ hóa nhưng có thể không, và tôi sẽ có quyền truy cập vào một loạt các công việc để thực hiện công việc của mình. Chúng có thể là ứng dụng, chúng có thể là chia sẻ tệp, chúng có thể là trang SharePoint hoặc chúng có thể là hộp thư Exchange. Tất cả việc cung cấp và cấp quyền truy cập đó sẽ xảy ra khi tôi tham gia. Đó là sự cung cấp đúng đắn về cơ bản.
PCM: Bạn cũng đã nói về một khái niệm gọi là "dập cao su." Làm thế nào mà làm việc?
DME: Quy định cho nhiều công ty giao dịch công khai nói rằng họ phải xem xét quyền truy cập vào các hệ thống quan trọng có chứa những thứ như thông tin cá nhân, dữ liệu khách hàng và thông tin nhạy cảm. Vì vậy, bạn phải xem xét truy cập trên cơ sở định kỳ. Thông thường đó là hàng quý nhưng nó phụ thuộc vào quy định. Nhưng thông thường, cách thức hoạt động là, bạn có một ứng dụng tạo ra các đánh giá truy cập đó, gửi danh sách người dùng trong một nhóm cụ thể đến người quản lý chịu trách nhiệm cho nhóm hoặc ứng dụng đó và sau đó người đó phải xác nhận rằng tất cả những người dùng đó vẫn thuộc nhóm đó Nếu bạn đang tạo ra nhiều thứ này và người quản lý làm việc quá sức, đó là một quá trình không hoàn hảo. Bạn không biết họ đang xem xét nó. Họ đang xem xét nó kỹ lưỡng như họ cần phải không? Có thực sự là những người này vẫn cần truy cập? Và đó là những gì cao su dập. Vì vậy, nếu bạn không thực sự chú ý đến nó, nó có xu hướng chỉ là một tấm séc cho biết "Có, tôi đã thực hiện đánh giá, đã xong, tôi đã lấy nó ra khỏi tóc", trái ngược với việc thực sự hiểu liệu truy cập có phải là Vẫn cần.
PCM: Đánh giá truy cập dập cao su có phải là một vấn đề hay đó chỉ là vấn đề hiệu quả?
DME: Tôi nghĩ đó là cả hai. Mọi người đang làm việc quá sức. Họ nhận được rất nhiều thứ ném vào họ, và tôi nghi ngờ rằng đó là một quá trình khó khăn để vượt lên trên bất cứ điều gì khác. Vì vậy, tôi nghĩ rằng nó được thực hiện vì lý do quy định, mà tôi hoàn toàn đồng ý và tôi hiểu. Nhưng tôi không biết liệu nó có nhất thiết phải là phương pháp tốt nhất hay phương pháp cơ học tốt nhất để thực hiện đánh giá truy cập hay không.
PCM: Làm thế nào các công ty giải quyết phát hiện vai trò?
DME: Quản lý truy cập dựa trên vai trò là ý tưởng này mà bạn chỉ định quyền truy cập dựa trên vai trò của người dùng trong tổ chức. Có thể đó là chức năng kinh doanh của cá nhân hoặc công việc của người đó. Nó có thể được dựa trên tiêu đề của cá nhân. Khám phá vai trò là quá trình cố gắng khám phá những vai trò nào có thể tồn tại một cách tự nhiên trong tổ chức dựa trên cách truy cập danh tính được cấp ngày hôm nay. Ví dụ, tôi có thể nói người nhân sự này là thành viên của các nhóm này; do đó, vai trò của nhân sự nên có quyền truy cập vào các nhóm đó. Có những công cụ có thể giúp với điều này, về cơ bản là xây dựng vai trò dựa trên quyền truy cập hiện có được cấp trong môi trường. Và đó là quá trình khám phá vai trò mà chúng tôi trải qua khi bạn đang cố gắng xây dựng một hệ thống quản lý truy cập dựa trên vai trò.
PCM: Bạn có bất cứ lời khuyên nào bạn có thể cung cấp cho các doanh nghiệp vừa và nhỏ (SMB) về cách tiếp cận IDM lai không?
DME: Nếu bạn là SMB, tôi nghĩ mục tiêu là không được sống trong một thế giới bản sắc lai. Mục tiêu là để có được danh tính chỉ trên đám mây và cố gắng đến đó càng nhanh càng tốt. Đối với một SMB, sự phức tạp của việc quản lý danh tính lai không phải là một doanh nghiệp mà họ muốn tham gia. Đó là một môn thể thao cho các doanh nghiệp thực sự lớn phải làm điều đó bởi vì họ có quá nhiều thứ tại chỗ. Trong một thế giới SMB, tôi nghĩ mục tiêu nên là "Làm thế nào để tôi đến một hệ thống nhận dạng đám mây sớm hơn là sau này? Làm thế nào để tôi rời khỏi doanh nghiệp tại chỗ sớm hơn là sau này?" Đó có lẽ là cách tiếp cận thực tế nhất.
PCM: Khi nào các công ty sẽ sử dụng hybrid so với chỉ tại chỗ hoặc chỉ trên đám mây?
DME: Tôi nghĩ lý do lớn nhất mà hybrid tồn tại là vì chúng tôi có các tổ chức lớn hơn với nhiều công nghệ kế thừa trong các hệ thống nhận dạng tại chỗ. Nếu một công ty đã bắt đầu từ đầu ngày hôm nay … họ sẽ không triển khai AD như một công ty mới; họ đang quay vòng Google AD với Google G Suite và hiện tại họ hoàn toàn sống trong đám mây. Họ không có bất kỳ cơ sở hạ tầng tại chỗ. Đối với nhiều tổ chức lớn hơn với công nghệ đã tồn tại trong nhiều năm, điều đó không thực tế. Vì vậy, họ phải sống trong thế giới lai này. Cho dù họ sẽ chỉ sử dụng điện toán đám mây, điều đó có thể phụ thuộc vào mô hình kinh doanh của họ và mức độ ưu tiên dành cho họ và vấn đề họ đang cố gắng giải quyết. Tất cả những gì đi vào nó. Nhưng tôi nghĩ đối với những tổ chức đó, họ sẽ ở trong một thế giới lai trong một thời gian dài.
PCM: Điều gì sẽ là một yêu cầu kinh doanh sẽ đẩy họ lên đám mây?
DME: Một ứng dụng điển hình giống như một ứng dụng kinh doanh trên đám mây, ứng dụng SaaS như Salesforce, Workday hoặc Concur. Và những ứng dụng đó đang mong đợi cung cấp danh tính đám mây để có thể cấp quyền truy cập cho chúng. Bạn phải có danh tính đám mây đó ở đâu đó, và đó thường là cách điều đó xảy ra. Microsoft là một ví dụ hoàn hảo. Nếu bạn muốn sử dụng Office 365, thì bạn phải cung cấp danh tính vào Azure AD. Không có lựa chọn về nó. Vì vậy, điều đó thúc đẩy mọi người có được Azure AD của họ và sau đó, khi họ ở đó, có thể họ quyết định họ muốn đăng nhập một lần vào các ứng dụng web khác, các ứng dụng SaaS khác trên đám mây và giờ đây họ đang ở trên đám mây.
- 10 bước cần thiết để bảo vệ danh tính của bạn trực tuyến 10 bước cần thiết để bảo vệ danh tính của bạn trực tuyến
- Giải pháp quản lý danh tính tốt nhất năm 2019 Giải pháp quản lý danh tính tốt nhất năm 2019
- 7 bước để giảm thiểu gian lận của CEO và giả mạo danh tính 7 bước để giảm thiểu gian lận và nhận dạng của CEO
PCM: Bất kỳ dự đoán lớn nào cho tương lai của IDM hoặc quản trị?
DME: Mọi người chưa nghĩ về quản trị danh tính lai hoặc IDM lai là một điều duy nhất. Tôi nghĩ điều đó phải xảy ra, cho dù họ bị đẩy vào đó bởi các quy định hay các nhà cung cấp đẩy mạnh và cung cấp giải pháp quản trị danh tính đầu cuối cho các thế giới lai đó. Tôi nghĩ một trong hai chắc chắn sẽ phải xảy ra, và mọi người sẽ phải giải quyết các vấn đề như phân chia nhiệm vụ giữa nhận dạng lai và quản lý truy cập. Tôi nghĩ đó có lẽ là kết quả không thể tránh khỏi sẽ xảy ra sớm hơn là sau này.
