Zrozumienie zarządzania tożsamością i dostępem firmy Microsoft: wszystko, co musisz wiedzieć

Opublikowany: 2019-11-14

Czy wiesz, że tylko w 2018 roku cyberprzestępcy stracili 445 milionów dolarów?

Według raportu Verizon Data Breach Investigations Report z 2019 r. 80% ataków hakerskich dotyczyło złamanych lub słabych danych uwierzytelniających. Ogółem 29% wszystkich naruszeń było spowodowanych kradzieżą danych uwierzytelniających.

Rozwiązania do zarządzania tożsamością i dostępem nigdy nie miały większego znaczenia dla firm. Ale większość firm nie ma pojęcia, od czego zacząć. Stworzyliśmy ten artykuł, aby dać Ci punkt wyjścia i wyjaśnić więcej na temat rozwiązań Microsoft Identity and Access Management.

Co robią usługi IAM?

Twoi pracownicy stanowią największe zagrożenie dla bezpieczeństwa. Jeśli nie dbają o bezpieczeństwo swoich haseł lub używają słabych haseł, równie dobrze możesz wysłać powiadomienie o treści „Zhakuj mnie”. Zarządzanie dostępem jest proste, gdy prowadzisz małą firmę z kilkoma pracownikami. Im więcej masz pracowników, tym trudniej zarządzać. W tym miejscu do gry wchodzą usługi IAM.

Zarządzaj dostępem pracowników

Pozwalają efektywniej zarządzać dostępem pracowników do Twoich systemów. Oferują alternatywne, bezpieczniejsze opcje dostępu. Na przykład Azure Active Directory firmy Microsoft oferuje pojedynczy punkt logowania w połączeniu z wieloskładnikowym systemem autoryzacji.

Tak więc zamiast tylko wpisywać swoją nazwę użytkownika i hasło, będziesz mieć kilka różnych kroków uwierzytelniania. Na przykład może być konieczne wpisanie kodu uwierzytelniającego wysłanego na Twój telefon. Lub, jeśli potrzebujesz jeszcze większego bezpieczeństwa, w grę może wchodzić identyfikacja biometryczna.

Dzięki systemom IAM możesz na pierwszy rzut oka zobaczyć, do jakich systemów ma dostęp pracownik. Możesz dostosować ich dostęp tylko do systemów kluczowych dla ich funkcji. Możesz także zaprogramować system tak, aby automatycznie resetował hasła po określonym czasie.

Popraw podróż klienta

Te systemy mogą usprawnić podróż klienta, czyniąc proces logowania łatwiejszym i bezpieczniejszym.

Zarządzaj dostępem dla zewnętrznych wykonawców

Jeśli potrzebujesz pracować z freelancerami, te systemy pozwalają szybko i łatwo skonfigurować profile użytkowników. Możesz przypisać ograniczone uprawnienia użytkowników tylko do tych systemów, do których muszą mieć dostęp.

Możesz na przykład dać im dostęp tylko do jednego firmowego adresu e-mail lub podstawowy dostęp do Twojej bazy danych. Możesz również zaprogramować datę zakończenia umowy, aby zapewnić automatyczne anulowanie dostępu.

Poprawić produktywność

Mogą również być przydatne w zwiększaniu produktywności, ponieważ umożliwiają pracownikom bezpieczną pracę na różnych urządzeniach. Wiele z tych usług jest opartych na chmurze, więc nie są one zależne od urządzenia. Innymi słowy, nie musisz pobierać ich na samo urządzenie.

Ograniczając dostęp pracowników do swoich systemów, możesz lepiej zarządzać przeciążeniem tych systemów. To z kolei poprawia produktywność.

Wsparcie zgodności

Ponieważ przepisy dotyczące prywatności stają się coraz bardziej rygorystyczne, firmy są coraz bardziej obciążone ochroną informacji klientów. Systemy IAM mogą w tym pomóc.

Pozwól personelowi IT skupić się na ważniejszych zadaniach

Wreszcie systemy te pozwalają na automatyzację podstawowych zadań związanych z bezpieczeństwem. Dzięki temu Twój personel IT może pracować nad ważniejszymi sprawami. Zmniejsza również możliwość błędu ludzkiego.

Jak dopasowuje się Microsoft?

Asortyment Microsoft Azure oferuje zestaw niezawodnych narzędzi, które zapewniają wymagany poziom bezpieczeństwa. Nawiązali również współpracę z kilkoma dostawcami zewnętrznymi, aby jeszcze bardziej zwiększyć ochronę. Tak więc, jeśli Microsoft nie ma technologii umożliwiającej na przykład oferowanie oprogramowania do rozpoznawania twarzy, będzie współpracować z firmą, która ma.

Zarządzanie tożsamościami uprzywilejowanymi platformy Azure

Ten produkt zapewnia aktywacje oparte na zatwierdzeniu i czasie, aby zapobiec nadużyciom zasobów i nieautoryzowanemu dostępowi.

Funkcje obejmują:

  • Uprzywilejowany dostęp just-in-time : ta funkcja umożliwia blokowanie ruchu przychodzącego do maszyny wirtualnej platformy Azure. To skutecznie chroni Cię przed atakami, zmniejszając Twoją ekspozycję. Gdy system nie jest używany, jest zablokowany.
  • Przywileje dostępu ograniczone czasowo : powiedz na przykład, że zatrudniasz kogoś tymczasowo. Wprowadź daty rozpoczęcia i zakończenia umowy. System automatycznie odetnie dostęp w dniu wypowiedzenia.
  • Kontrola, kto sprawuje kontrolę : system wymaga utworzenia, a następnie aktywacji profili użytkowników. Aktywacji specjalnych uprawnień można dokonać tylko za zgodą administratora systemu. Możesz, jeśli wolisz postępować zgodnie z modelem ekspresu / sprawdzania tutaj. IT pro 1 tworzy profile, a następnie uruchamia je w celu zatwierdzenia aktywacji.
  • Używaj uwierzytelniania wieloskładnikowego do aktywacji użytkowników : ochrona nie ogranicza się tylko do Twoich pracowników. Możesz również włączyć uwierzytelnianie dwuskładnikowe dla użytkowników rejestrujących się w Twojej witrynie. Jeśli na przykład utworzy profil, będzie musiał zweryfikować adres e-mail, aby go aktywować.
  • Powiadomienie, gdy uprzywilejowana rola staje się aktywna : jest to inna forma uwierzytelniania. Jeśli ktoś zaloguje się do systemu lub poprosi o pozwolenie, wysyłane jest powiadomienie.
  • Przegląd dostępu : Czy pracownicy zmienili role? Czy nadal potrzebują takiego dostępu jak wcześniej? Microsoft Identity Access Management ułatwia przeglądanie ról i zmianę dostępu w razie potrzeby.
  • Pełna historia audytu : jest to przydatne w przypadku audytu. Zapewnia to potwierdzenie dat aktywacji, dat zmiany danych i tak dalej. Może to stać się ważne, jeśli Twoja firma stoi w obliczu opłat w zakresie przepisów dotyczących prywatności. Ułatwia również przeprowadzanie audytów wewnętrznych.

Kto może co robić?

System przydziela różne uprawnienia osobom odpowiedzialnym za zarządzanie nim. Oto jak to działa.

  • Administrator bezpieczeństwa

Pierwszemu zarejestrowanemu użytkownikowi przypisano role administratora uprzywilejowanego i administratora zabezpieczeń.

  • Administratorzy uprzywilejowani

To jedyni administratorzy, którzy mogą przypisywać role innym administratorom. Możesz również przyznać innym administratorom dostęp do usługi Azure AD. Osoby w następujących rolach mogą przeglądać przydziały, ale nie mogą ich zmieniać. Do tych osób należą administratorzy ds. bezpieczeństwa, administratorzy globalni, czytelnicy ds. zabezpieczeń i czytelnicy globalni.

  • Administrator subskrypcji

Osoby w tych rolach mogą zarządzać przypisaniami dla innych administratorów. Mogą zmieniać i kończyć zadania. Inne role, które mogą to robić, to administratorzy dostępu użytkowników i właściciele zasobów.

Należy zauważyć, że osoby w następujących rolach muszą mieć przypisane uprawnienia do wyświetlania przydziałów: Administratorzy zabezpieczeń, Administratorzy ról uprzywilejowanych i Czytelnicy zabezpieczeń.

Terminologia, którą musisz znać

Terminologia używana w Microsoft Privileged Identity Management może być myląca dla niewtajemniczonych. Oto podział podstawowej terminologii.

  • Wybieralny

W przypadku tego przypisania użytkownicy muszą wykonać określoną czynność lub czynności, aby aktywować swoją rolę. Różnica między tą rolą a stałą polega na tym, że nie każdy potrzebuje dostępu przez cały czas. Użytkownik może aktywować rolę, gdy potrzebuje dostępu.

  • Aktywny

Są to przypisania ról, które są domyślnie przypisywane przez system. Nie trzeba ich aktywować. Na przykład administratorzy systemu mogą tworzyć przypisania dla innych administratorów.

  • Aktywuj

Jest to czynność lub czynności, które ludzie muszą wykonać, aby udowodnić, że są upoważnieni do korzystania z systemu. Przykładem jest wprowadzenie nazwy użytkownika i hasła. Można tutaj użyć wielu różnych metod uwierzytelniania.

  • Przydzielony

Oznacza to, że użytkownikowi nadano określone uprawnienia w systemie.

  • Aktywowany

Jest to użytkownik, który może korzystać z systemu, aktywować swoją rolę i aktualnie z niego korzysta. System poprosi użytkownika o ponowne wprowadzenie swoich danych uwierzytelniających po określonym okresie braku aktywności. Przykładem jest bankowość internetowa, w której następuje wylogowanie po dziesięciu minutach bezczynności.

  • Stałe Kwalifikujące się

Jest to zadanie, które pozwala użytkownikowi aktywować swoją rolę, kiedy tylko zechce. Aby uzyskać dostęp do ról, będą musieli wykonać określone czynności. Załóżmy na przykład, że pracownik przechwytuje płatność do wykonania. Być może będą musieli wprowadzić losowo przypisany kod, aby potwierdzić transakcję.

  • Stały Aktywny

To przypisanie umożliwia użytkownikowi korzystanie z roli bez aktywacji. Są to role, które użytkownik może przyjąć bez dalszych działań.

  • Możliwość wygaśnięcia

To jest rola oparta na czasie. Tutaj musisz podać daty rozpoczęcia i zakończenia. Można to zrobić dla freelancerów. Może być również używany do zmuszania pracowników do regularnego aktualizowania haseł.

Zarządzanie dostępem, szczególnie w średniej i dużej organizacji, może być trudnym zadaniem. Jednak dzięki możliwościom pakietu Microsoft Azure staje się to o wiele łatwiejsze do osiągnięcia. Usługi IAM dodają dodatkową warstwę zabezpieczeń, aby chronić przed naruszeniami wynikającymi z dostępu wewnętrznego i włamań.

***

Chris Usatenko

Chris Usatenko jest maniakiem komputerowym, pisarzem i twórcą treści. Interesuje się każdym aspektem branży IT. Z natury freelancer, chętnie zdobywa doświadczenie i wiedzę z całego świata i wdraża je w swoim życiu.