Kas ir identitāšu un piekļuves pārvaldība (IAM)?
Atklājiet, kas ir identitāšu un piekļuves pārvaldība (identity and access management — IAM) un kā tā uztur organizācijas datu un resursu drošību.
Kas ir IAM un ko tā dara
Neatkarīgi no tā, kur strādā darbinieki, viņiem ir nepieciešama piekļuve savas organizācijas resursiem, piemēram, programmām, failiem un datiem. Tradicionālais darba veids bija nodrošināt, lai vairākums darbinieku strādātu uz vietas, kur uzņēmuma resursi tika uzturēti aiz ugunsmūra. Kad darbinieki ir uz vietas un pieteikušies, tie var piekļūt nepieciešamajai informācijai.
Tagad hibrīddarbs ir biežāk sastopams nekā jebkad iepriekš, un darbiniekiem ir nepieciešama droša piekļuve uzņēmuma resursiem neatkarīgi no tā, vai viņi strādā uz vietas vai attālināti. Šeit talkā nāk identitāšu un piekļuves pārvaldība (identity and access management — IAM). Organizācijas IT nodaļai ir nepieciešams veids, kā kontrolēt, kam lietotāji var un kam nevar piekļūt, lai sensitīvie dati un funkcijas būtu pieejamas tikai tiem lietotājiem un sistēmām, kam ir jāstrādā ar tiem.
IAM verificētām entītijām sniedz drošu piekļuvi uzņēmuma resursiem, piemēram, e-pasta ziņojumiem, datu bāzēm, datiem un programmām, ideālā gadījumā ar minimālu iejaukšanos. Mērķis ir pārvaldīt piekļuvi, lai pareizie lietotāji varētu veikt savu darbu, un liegt piekļuvi nepareizām personām, piemēram, urķiem.
Drošas piekļuves nepieciešamība ir ne tikai darbiniekiem, kas strādā uzņēmuma datoros. Tā ietver arī apakšuzņēmējus, piegādātājus, biznesa partnerus un lietotājus, kas strādā personiskajās ierīcēs. IAM nodrošina, ka katrai personai, kurai ir jābūt piekļuvei, pareizajā datorā un īstajā laikā ir pareizais piekļuves līmenis. Šī iemesla un tās lomas organizācijas kiberdrošībā dēļ IAM ir svarīga moderno IT daļa.
Izmantojot IAM sistēmu, organizācija katra piekļuves mēģinājuma laikā var ātri un precīzi verificēt personas identitāti un to, vai tai ir nepieciešamās atļaujas, lai izmantotu pieprasīto resursu.
Kā darbojas IAM
Drošas piekļuves organizācijas resursiem piešķirei ir divas daļas: Identitātes pārvaldība un piekļuves pārvaldība.
Identitātes pārvaldība pārbauda pieteikšanās mēģinājumu, salīdzinot ar identitātes pārvaldības datu bāzi, kas ir visu to lietotāju atjaunināts reģistrs, kurām ir jābūt piekļuvei. Šī informācija ir pastāvīgi jāatjaunina, jo lietotāji pievienojas organizācijai vai atstāj to, viņu lomas un projekti mainās, kā arī attīstās organizācijas tvērums.
Identitātes pārvaldības datu bāzē glabātās informācijas piemēri ir darbinieku vārdi, amata nosaukumi, vadītāji, tiešie padotie, mobilo tālruņu numuri un personiskās e-pasta adreses. Lietotāja pieteikšanās informācijas, piemēram, lietotājvārda un paroles, atbilstības atrašana tā identitātei datu bāzē tiek dēvēta par autentifikāciju.
Lai uzlabotu drošību, daudzas organizācijas pieprasa lietotājiem verificēt savas identitātes, izmantojot to, ko sauc par daudzfaktoru autentifikāciju (multifactor authentication — MFA). MFA, kas tiek dēvēta arī par divu veidu verifikāciju vai divfaktoru autentifikāciju (two-factor authentication — 2FA), ir drošāka nekā tikai lietotājvārda un paroles izmantošana. Tā pieteikšanās procesam pievieno darbību, kur lietotājam ir jāverificē sava identitāte, izmantojot alternatīvu verifikācijas metodi. Šīs verifikācijas metodes var ietvert mobilo tālruņu numurus un personiskās e-pasta adreses. IAM sistēma parasti alternatīvajai pārbaudes metodei nosūta vienreizēju kodu, kas lietotājam noteiktā laika periodā ir jāievada pieteikšanās portālā.
Piekļuves pārvaldība ir otra IAM daļa. Pēc tam, kad IAM sistēma ir verificējusi, vai persona vai sistēma, kas mēģina piekļūt resursam, atbilst savai identitātei, piekļuves pārvaldība izseko, kuriem resursiem personai vai sistēmai ir atļauja piekļūt. Vairākums organizāciju piešķir dažādu līmeņu piekļuvi resursiem un datiem, un šos līmeņus nosaka tādi faktori kā amata nosaukums, štata vieta, drošības pilnvaras un projekts.
Pareizā piekļuves līmeņa piešķiršana pēc tam, kad lietotāja identitāte ir autentificēta, tiek saukta par autorizāciju. IAM sistēmu mērķis ir nodrošināt, lai autentifikācija un autorizācija notiktu pareizi un droši katrā piekļuves mēģinājumā.
IAM svarīgums organizācijām
Viens iemesls, kāpēc IAM ir svarīga kiberdrošības daļa, ir tas, ka tā palīdz organizācijas IT nodaļai iegūt pareizo līdzsvaru starp svarīgo datu un resursu nepieejamību vairākumam lietotāju un pieejamību dažiem lietotājiem. IAM ļauj iestatīt vadīklas, kas nodrošina drošu piekļuvi darbiniekiem un ierīcēm, vienlaikus apgrūtinot vai padarot neiespējamu piekļuvi nepiederošām personām.
Vēl viens iemesls, kāpēc IAM ir svarīga, ir tas, ka kibernoziedznieki katru dienu uzlabo savus paņēmienus. Izsmalcināti uzbrukumi, piemēram, pikšķerēšanas e-pasta ziņojumi ir viens no visbiežāk izmantotajiem uzlaušanas un datu drošības pārkāpumu avotiem, un tie mērķē uz lietotājiem ar esošu piekļuvi. Bez IAM ir grūti pārvaldīt, kam ir piekļuve organizācijas sistēmām. Drošības pārkāpumi un uzbrukumi var būt plaši izplatīti ne tikai tāpēc, ka ir grūti noskaidrot, kam ir piekļuve, bet ir arī grūti atsaukt piekļuvi apdraudētam lietotājam.
Lai gan ideāla aizsardzība diemžēl nepastāv, IAM risinājumi ir lielisks veids, kā nepieļaut uzbrukumus un minimizēt to ietekmi. Tā vietā, lai visiem ierobežotu piekļuvi pārkāpuma gadījumā, daudzas IAM sistēmas ir mākslīgā intelekta sistēmas un spēj noteikt un apturēt uzbrukumus, pirms tie kļūst par lielākām problēmām.
IAM sistēmu ieguvumi
Pareizā IAM sistēma organizācijai nodrošina vairākus ieguvumus.
Pareizā piekļuve pareizajām personām
Izmantojot iespēju veidot un ieviest centralizētas kārtulas un piekļuves atļaujas, IAM sistēma atvieglo nodrošināšanu, lai lietotājiem būtu piekļuve nepieciešamajiem resursiem, neļaujot tiem piekļūt sensitīvai informācijai, kas nav nepieciešama. To sauc par lomu piekļuves vadību (role-based access control — RBAC). RBAC ir mērogojams veids, kā ierobežot piekļuvi tikai ar personām, kurām ir nepieciešama šī piekļuve, lai veiktu savas lomas darbības. Lomas var piešķirt, pamatojoties uz fiksētu atļauju kopu vai pielāgotiem iestatījumiem.
Netraucēta produktivitāte
Tikpat svarīga kā drošība ir arī produktivitāte un lietotāju ērtības. Lai gan varētu būt kārdinājums ieviest sarežģītu drošības sistēmu, lai nepieļautu pārkāpumus, tomēr vairāku šķēršļu ieviešama produktivitātei, piemēram, vairākas pieteikšanās un paroles, ir nepatīkama lietotāju pieredze. IAM rīki, piemēram, vienotā pierakstīšanās (single sign-on — SSO) un vienoti lietotāju profili ļauj piešķirt drošu piekļuvi darbiniekiem vairākos kanālos, piemēram, lokālajos resursos, mākoņa datos un trešo pušu programmās bez vairākām pieteikšanās darbībām.
Aizsardzība pret datu pārkāpumiem
Lai gan neviena drošības sistēma pilnīgi droša, IAM tehnoloģijas izmantošana ievērojami samazina datu drošības pārkāpumu risku. IAM rīki, piemēram, MFA, bezparoles autentifikācija un SSO sniedz lietotājiem iespēju verificēt savas identitātes, izmantojot ne tikai lietotājvārdu un paroli, ko var aizmirst, kopīgot vai uzlauzt. Lietotāja pieteikšanās opciju paplašināšana ar IAM risinājumu samazina šo risku, pieteikšanās procesam pievienojot papildu drošības slāni, ko nevar vienkārši uzlauzt vai koplietot.
Datu šifrēšana
Viens no iemesliem, kāpēc IAM ir tik efektīva organizācijas drošības uzlabošanai, ir tas, ka daudzas IAM sistēmas piedāvā šifrēšanas rīkus. Tie aizsargā sensitīvu informāciju, kad tā tiek pārsūtīta uz organizāciju vai no tās, un līdzekļi, piemēram, nosacītā piekļuve ļauj IT administratoriem kā piekļuves nosacījumus iestatīt tādus nosacījumus kā ierīce, atrašanās vieta vai reāllaika riska informācija. Tas nozīmē, ka dati ir drošībā pat pārkāpuma gadījumā, jo datus var atšifrēt tikai verificētos apstākļos.
Mazāk manuāla darba IT darbiniekiem
Automatizējot IT nodaļas uzdevumus, piemēram, palīdzēšanu lietotājiem atiestatīt paroles, lietotāju kontu atbloķēšanu un piekļuves žurnālu pārraudzību, lai identificētu anomālijas, IAM sistēmas IT nodaļām var ietaupīt laiku un pūles. Tas atbrīvo IT nodaļu, lai tā varētu koncentrēties uz citiem svarīgiem uzdevumiem, piemēram, nulles uzticamības stratēģiju pārējā organizācijas daļā. IAM ir būtiska nulles uzticamībai, kas ir drošības struktūra, kuras pamatā ir tieši pārbaudāmas, vismazāk privileģētās piekļuves izmantošanas un pieņemšanas, ka noticis pārkāpums, principi.
Uzlabota sadarbība un efektivitāte
Nevainojama darbinieku, piegādātāju, apakšuzņēmēju un piegādātāju sadarbība ir būtiski svarīga, lai tiktu līdzi modernā darba tempam. IAM iespējo šo sadarbību, nodrošinot, ka sadarbība ir ne tikai droša, bet arī ātra un ērta. IT administratori var arī veidot uz lomām balstītas automatizētas darbplūsmas, lai paātrinātu atļauju procesus lomu nodošanai un jaunajiem darbiniekiem, taupot laiku pievienošanas laikā.
IAM un atbilstības noteikumi
Bez IAM sistēmas organizācijai ir manuāli jāizseko katrai atsevišķai entītijai, kurai ir piekļuve tās sistēmām, kā arī tam, kā un kad tā izmantoja šo piekļuvi. Tas manuālos auditus padara par laikietilpīgu un darbietilpīgu procesu. IAM sistēmas automatizē šo procesu un padara auditēšanu un ziņošanu ātrāku un ievērojami vienkāršāku. IAM sistēmas ļauj organizācijām auditu laikā parādīt, ka piekļuve sensitīviem datiem tiek pārvaldīta pareizi, kas ir obligāta daudzu līgumu un tiesību aktu daļa.
Auditi ir tikai viena atbilstības noteiktām normatīvajām prasībām daļa. Daudzas normatīvās prasības, tiesību akti un līgumi pieprasa datu piekļuves pārvaldību un konfidencialitātes pārvaldība, kas ir tas, ar ko IAM palīdz tikt galā.
IAM risinājumi ļauj verificēt un pārvaldīt identitātes, noteikt aizdomīgas darbības un ziņot par incidentiem. Tas viss ir nepieciešams tādu atbilstības prasību ievērošanai kā “Zini savu klientu”, transakciju pārraudzība, lai ziņotu par aizdomīgām darbībām, un “sarkano karodziņu noteikumi”. Pastāv arī datu aizsardzības standarti, piemēram, Vispārīgā datu aizsardzības regula (VDAR) Eiropā, un Likums par veselības apdrošināšanas informāciju (Health Insurance Portability and Accountability Act — HIPAA) un Sarbeinsa-Okslija likums Amerikas Savienotajās Valstīs, kas pieprasa stingrus drošības standartus. Pareizās IAM sistēmas ieviešana atvieglo šo prasību izpildi.
IAM tehnoloģijas un rīki
IAM risinājumi tiek integrēti ar dažādām tehnoloģijām un rīkiem, kas palīdz nodrošināt drošu autentifikāciju un autorizāciju uzņēmuma mērogā:
- Drošības apgalvojuma iezīmēšanas valoda (Security Assertion Markup Language — SAML) ir tas, kas padara iespējamu SSO. Kad lietotājs ir sekmīgi autentificēts, SAML paziņo citām programmām, ka lietotājs ir verificēta entītija. SAML svarīguma iemesls ir tas, ka tā darbojas dažādās operētājsistēmās un mašīnās, kas dažādos kontekstos ļauj piešķirt drošu piekļuvi.
- OpenID Connect (OIDC) pievieno identitātes aspektu protokolam 0Auth 2.0, kas ir autorizācijas struktūra. Tas starp identitātes nodrošinātāju un pakalpojumu sniedzēju pārsūta marķierus, kas satur informāciju par lietotāju. Šie marķieri var būt šifrēti un saturēt informāciju par lietotāju, piemēram, lietotāja vārdu, e-pasta adresi, dzimšanas dienu vai fotoattēlu. Marķieri ir ērti lietojami pakalpojumiem un programmām, kas OIDC padara par noderīgu mobilo spēļu, sociālo tīklu un programmu lietotāju autentificēšanai.
- Sistēma starpdomēnu identitātes pārvaldībai (System for Cross-Domain Identity Management —SCIM) palīdz organizācijām pārvaldīt lietotāju identitātes standartizētā veidā, kas darbojas dažādās programmās un risinājumos (nodrošinātājos).
Nodrošinātājiem ir atšķirīgas prasības saistībā ar lietotāja identitātes informāciju, un SCIM ļauj izveidot identitāti lietotājam IAM rīkā, kas tiek integrēts ar nodrošinātāju, lai šim lietotājam būtu piekļuve, neveidojot atsevišķu kontu.
IAM ieviešana
IAM sistēmas ietekmē ikvienu nodaļu un lietotāju. Tāpēc rūpīga plānošana pirms ieviešanas ir būtiski svarīga sekmīgai IAM risinājuma izvietošanai. Ir noderīgi sākt, aprēķinot to lietotāju skaitu, kuriem būs nepieciešama piekļuve, un veidojot sarakstu ar risinājumiem, ierīcēm, programmām un pakalpojumiem, ko izmanto organizācija. Šie saraksti noder, salīdzinot IAM risinājumus, lai pārliecinātos, vai tie ir saderīgi ar organizācijas esošo IT stāvokli.
Kā nākamo ir svarīgi kartēt dažādās lomas un situācijas, kas IAM sistēmai būs jāapstrādā. Šī struktūra kļūs par IAM sistēmas arhitektūru un veidot IAM dokumentācijas pamatu.
Cits IAM ieviešanas aspekts, kas jāņem vērā, ir risinājuma ilgtermiņa ceļvedis. Organizācijai augot un paplašinoties, organizācijas vajadzības saistībā ar IAM sistēmu mainās. Plānojot šo izaugsmi jau iepriekš, tiks nodrošināts, ka IAM risinājums atbilst uzņēmējdarbības mērķiem un ir piemērots ilgtermiņa sekmēm.
IAM risinājumi
Pieaugot nepieciešamībai pēc drošas piekļuves resursiem dažādās platformās un ierīcēs, IAM svarīgums kļūst arvien skaidrāks un nepārprotamāks. Organizācijām ir nepieciešams efektīvs veids, kā pārvaldīt identitātes un atļaujas uzņēmuma mērogā tā, lai veicinātu sadarbību un uzlabotu produktivitāti.
Viens no labākajiem veidiem, kā stiprināt jūsu organizācijas drošības stāvokli, ir ieviest IAM risinājumu, kas atbilst esošajai IT ekosistēmai un izmanto tādas tehnoloģijas kā AI, lai palīdzētu IT administratoriem pārraudzīt un pārvaldīt piekļuvi visā organizācijā. Lai uzzinātu, kā Microsoft var palīdzēt jums aizsargāt piekļuvi jebkurai programmai vai resursam, drošināt un verificēt katru identitāti, nodrošināt tikai nepieciešamo piekļuvi un vienkāršot pieteikšanās procesu, izpētiet Microsoft Entra un citus Microsoft drošības risinājumus.
Papildinformācija par komplektu Microsoft drošība
Microsoft Entra
Aizsargājiet identitātes un resursus, izmantojot vairākmākoņu identitātes un tīkla piekļuves risinājumu saimi
Azure Active Directory
Uzturiet identitātes un datus drošībā, vienlaikus vienkāršojot piekļuvi. Azure AD kļūst par Microsoft Entra ID
Microsoft Entra ID pārvaldība
Aizsargājiet, pārraugiet un auditējiet piekļuvi kritiskiem līdzekļiem.
Microsoft Entra ārējās identitātes
Garantējiet saviem klientiem un partneriem drošu piekļuvi jebkurai programmai.
Microsoft drošība
Iegūstiet aizsardzību pret kiberdraudiem savam uzņēmumam, uzņēmējdarbībai un mājām.
Bieži uzdotie jautājumi
-
Identitātes pārvaldība attiecas uz to atribūtu pārvaldību, kas palīdz verificēt lietotāja identitāti. Šie atribūti tiek glabāti identitātes pārvaldības datu bāzē. Atribūtu piemēri ir vārds, amats, piešķirtā darbavieta, vadītājs, tiešie padotie un verifikācijas metode, ko sistēma var izmantot, lai pārbaudītu, vai lietotājs ir tas, par ko uzdodas. Šīs verifikācijas metodes var ietvert mobilo tālruņu numurus un personiskās e-pasta adreses.
Piekļuves pārvaldība nosaka, kam lietotājam ir piekļuve pēc tā identitātes pārbaudes. Šī piekļuves vadība var būt atkarīga no lomas, drošības piekļuves līmeņa, izglītības līmeņa vai pielāgotiem iestatījumiem.
-
Identitāšu un piekļuves pārvaldība ir nepieciešama, lai nodrošinātu, ka tikai pareizās personas var piekļūt organizācijas datiem un resursiem. Tā ir kiberdrošības prakse, kas IT administratoriem ļauj ierobežot piekļuvi organizācijas resursiem, lai piekļuve būtu tikai tām personām, kurām šī piekļuve ir nepieciešama.
-
Identitātes pārvaldības sistēma ir datu bāze, kurā tiek glabāta identificējoša informācija par personām un ierīcēm, kurām ir nepieciešama piekļuve organizācijas datiem un resursiem. Datu bāzē tiek glabāti tādi atribūti kā lietotājvārdi, e-pasta adreses, tālruņa numuri, vadītāji, tiešie padotie, piešķirtā darbavieta, izglītības līmenis un drošības piekļuves līmenis. Šie atribūti tiek izmantoti, lai verificētu, vai lietotājs ir tas, par ko uzdodas. Identitātes pārvaldības sistēma ir pastāvīgi jāatjaunina, jo personas pievienojas uzņēmumam un pamet uzņēmumu, maina lomas un sāk vai pabeidz projektus.
-
Identitāšu un piekļuves pārvaldības programmatūra nodrošina rīkus, kas palīdz organizācijām verificēt to personu un ierīču identitātes, kuras mēģina pieteikties, un nodrošina, ka verificētiem lietotājiem ir piekļuve pareizajam resursiem. Tas ir centralizēts veids, kā verificēt identifikāciju, pārvaldīt piekļuvi un atzīmēt drošības pārkāpumus.
-
IAM ir svarīgs mākoņdatošanas komponents, jo lietotājvārdi un paroles vairs nav pietiekami stipra aizsardzība, lai aizsargātu organizāciju pret pārkāpumiem. Paroles var uzlauzt, koplietot vai aizmirst, un daudzas organizācijas ir tik lielas, ka nav iespējams manuāli pārvaldīt un pārraudzīt piekļuves mēģinājumus. IAM sistēma atvieglo atjauninātu identitātes atribūtu uzturēšanu, piešķir un ierobežo piekļuvi atbilstoši lomai, kā arī atzīmē anomālijas un drošības pārkāpumus.
Sekot korporācijai Microsoft