Что такое ИАМ? Объяснение определений, функций и инструментов
Опубликовано: 2019-11-23Вклад гостя Джона Уилкинсона
Управление идентификацией и доступом (IAM) — это общий термин для структур и процессов в любой организации, которые администрируют и управляют доступом ее сотрудников к ресурсам. Важно отметить, что IAM, строго говоря, является концептуальной дисциплиной. Решения IAM — это реализации программного обеспечения, которые фактически реализуют стратегию и политику IAM организации. Для целей этой статьи мы углубимся в IAM и решения, связанные с ИТ-ресурсами.
В самом общем виде решения IAM централизуют, подключают и управляют доступом к вашим системам, данным и ресурсам. Думайте о них как о мозге, который наблюдает за ИТ-средой организации. Централизация идентификационной информации для каждого человека сохраняет соответствующие разрешения и безопасность для управления и облегчения автоматизированных процессов. Стандартизация и синхронизация IAM вашей организации обеспечивает создание точной, легко управляемой базы данных, обеспечивающей безопасный и надлежащий доступ для всех пользователей.
Решения IAM помогают откалибровать идеальную золотую середину между слишком открытым доступом и слишком жесткой безопасностью для конкретной роли каждого пользователя в уникальной среде и операциях вашей организации. Успешная реализация предоставляет вам инструменты управления ИТ-ресурсами и бизнес-процессами. Это гарантирует, что нужные пользователи будут иметь правильный доступ к нужным ресурсам прямо у них под рукой, независимо от их роли.
Почему IAM важен? - Исторический контекст
Понимание «Почему?» чего-то служит важной частью понимания «Что?». Итак, почему решения IAM важны? Для этого обратимся к историческому контексту бизнес-процессов и технологий.
Традиционные бизнес-технологии работали независимо, потому что им не хватало взаимосвязи, доступной нам сегодня. Это создало разрозненные хранилища данных, которые существовали исключительно в определенных системах. Забудьте о передаче информации от машины к машине, она часто ограничивалась отдельными системами и программными приложениями. Традиционные бизнес-процессы обходили эти ограничения, требуя чрезмерных усилий и бумажных следов, чтобы наилучшим образом обеспечить надлежащее завершение и ведение записей.
«Силосохранилище» относится к акту изоляции чего-либо (например, данных) в автономных структурах или системах, изолируя это от всей окружающей среды — например, зернохранилища на ферме.
Когда организации полагаются на разрозненные ресурсы и данные, возникающее в результате отсутствие взаимосвязи ограничивает использование в рамках четкой границы. Например, полезность данных HR будет ограничена исключительно системой HR. Кроме того, разрозненность часто вынуждает создавать в противном случае неэффективные бизнес-процессы и процессы доступа в качестве обходных путей. Эти формальные или специальные обходные пути не являются лекарством, а являются поверхностными повязками для сломанных структурных костей.
Многие из этих обходных путей, возможно, когда-то казались разумными как доцифровые, устаревшие усилия — например, бумажные формы, требующие прохождения пяти этапов утверждения. Однако постоянное появление новых технологий регулярно делает их излишними или ограничивающими.
Ручной IAM — вы использовали его все время
Вы можете этого не осознавать, но ваша организация уже применяет различные политики и процедуры IAM — просто они могут быть не автоматизированы или оцифрованы. Ниже приведены несколько примеров, демонстрирующих ручные или бумажные процессы IAM, которые контролируют и отслеживают доступ к ресурсам:
- Выдача служебного автомобиля путем записи вашего имени, даты, начального и конечного пробега в буфер обмена рядом с ключами.
- Ввод индивидуально назначенных кодов безопасности в кодовый замок для получения доступа в здание
- Подача бумажных форм запроса на утверждение расходов сотрудника
ИАМ сегодня
Независимо от отрасли, размера или местоположения современным организациям требуются ИТ-ресурсы для выполнения повседневных функций: ваш отдел кадров использует систему управления персоналом для информации о сотрудниках; ваша бухгалтерия использует программное обеспечение для расчета заработной платы; продажи используют системы управления взаимоотношениями с клиентами (CRM); маркетинг использует системы управления контентом (CMS); каждый получает доступ к локальному или облачному хранилищу для обмена файлами и данными; и так далее.
Для использования этих ресурсов требуются учетные записи пользователей, связанные с отдельными лицами. Чтобы получить доступ к учетной записи пользователя, сотрудник должен подтвердить свою личность — часто путем ввода имени пользователя и пароля. Учетные записи пользователей должны создаваться, поддерживаться и деактивироваться в течение их жизненного цикла, который чаще всего коррелирует с продолжительностью работы этого пользователя.
Эффективное использование ИТ-ресурсов в условиях современных ожиданий оперативности требует мгновенного доступа к приложениям, файлам и данным в любое время, с любого устройства и из любого места. Вдобавок ко всему, непрекращающийся натиск вредоносных цифровых объектов в мире, более связанном, чем когда-либо, усложняет традиционные процессы и доступ.
Процветание в современном деловом мире зависит от оптимизированных операций, данных и безопасности. Неэффективные процессы быстро накапливаются, чтобы замедлить вас. Ручное управление созданием и предоставлением учетных записей пользователей, специальными запросами, аутентификацией, проверками доступа, мерами безопасности и т. д. ложится бременем не только на ваш ИТ-персонал, но и на всех сотрудников, использующих ИТ-ресурсы. Сочетая эти проблемы со все более требовательным соблюдением нормативных требований (например, HIPAA, SOX, FERPA) и рисками взлома, каждое предприятие в настоящее время сталкивается с самой жесткой средой, когда-либо существовавшей.
Кроме того, какие типы счетов используются в повседневных операциях? Когда роли с повышенными разрешениями (например, директора, менеджеры, специальные роли) постоянно выполняют операции через свои привилегированные учетные записи, существует гораздо более высокая вероятность того, что эти учетные записи станут небезопасными, и чрезмерная активность может выполняться без уведомления. Управление привилегированным доступом имеет решающее значение для обеспечения безопасности вашей среды. Если нет необходимости использовать привилегированную учетную запись, не делайте этого . Это так просто. С другой стороны, общие учетные записи, используемые несколькими пользователями, исключают понимание. Чрезмерное использование привилегированных и общих учетных записей упрощает управление, поскольку их не существует, и все катастрофически менее безопасно.
Несоблюдение строгих процессов, политик и мер безопасности создает хаос. Без этого права доступа вашего персонала могут быстро выйти из-под контроля и, в свою очередь, усложнить понимание каждым роли и обязанностей. Эта дезорганизация создает риски безопасности, упущения и небрежность с возможностью серьезных последствий.
IAM-решение — это лучшая платформа, которую вы можете предоставить для успеха своей организации. Автоматизация внутренних процессов управления обеспечивает надлежащее выполнение критических и второстепенных задач, обеспечивает безопасный доступ и восстанавливает возможность перераспределения приоритетов ваших сотрудников с более важными задачами.
Ознакомьтесь с инфографикой ниже, чтобы получить дополнительную статистику по управлению идентификацией и доступом:
Определение IAM-решений
Решения IAM — это динамические технологии, которые управляют, интегрируют и объединяют удостоверения пользователей, жизненные циклы учетных записей, разрешения пользователей и действия. Проще говоря, решения IAM управляют тем, кто, что, где, когда, почему и как они связаны с пользователями, работающими в «все более разнородных технологических средах» любой организации (Gartner).
Внедрение такой платформы позволяет верифицированным пользователям получать доступ к необходимым ресурсам, ИТ-специалистам сосредоточиться на продуктивной работе вместо черных административных задач, а организации в целом работать более эффективно. IAM дает организации возможность перенаправить энергию на эффективные, ориентированные на рентабельность и выгодные операции, а не ограничиваться управлением своих систем.
Компоненты решения IAM
Любое решение IAM состоит из четырех основных компонентов:
1. Управление аутентификацией
Управление аутентификацией проверяет подлинность и, соответственно, предоставляет или запрещает первоначальный доступ к системам. Это сторона «Идентификации» IAM, которая гарантирует, что каждый пользователь является тем, кем он себя называет.
Традиционная проверка личности требует учетных данных имени пользователя и пароля, но более новая многофакторная проверка подлинности (MFA) поддерживает использование одноразовых паролей (OTP), токенов, смарт-карт и т. д. Один из наиболее распространенных текущих методов проверки подлинности — это вход в Microsoft Active Directory (AD), когда сотрудники впервые входят в свой компьютер.
2. Управление авторизацией
Управление авторизацией гарантирует, что аутентифицированный пользователь может получить доступ только к необходимым приложениям и ресурсам для данной роли. Это сторона IAM «Управление доступом», которая может включать в себя дополнительные элементы, такие как ролевые модели единого входа и управления доступом (AG), которые состоят из матрицы, реализующей управление доступом на основе ролей (RBAC).
Ролевые модели можно рассматривать как цифровые диаграммы с изложением иерархических структур сотрудников, связанных с доступом. Единый вход (SSO) делает все ИТ-ресурсы пользователей доступными после выполнения единого входа, чтобы исключить повторяющиеся попытки аутентификации и ненадежную защиту паролей при доступе к различным системам и приложениям.
3. Администрация
Администрирование автоматизации жизненных циклов учетных записей пользователей: создание, изменение, отключение и удаление учетных записей пользователей для систем и приложений. В то время как Управление аутентификацией и авторизацией наблюдает за безопасностью доступа, Администрирование наблюдает за предоставлением ресурсов. Связывая исходные системы (например, системы управления персоналом, такие как UltiPro или WorkDay) с целевыми системами (например, AD, O365, G Suite, SalesForce, Adobe), решения IAM позволяют автоматизировать ручные задачи для полной сквозной подготовки.
Администрирование совпадает с жизненным циклом учетной записи пользователя, от настройки в первый день сотрудника до деактивации при его уходе. По мере изменения ролей сотрудников (например, продвижения по службе, реорганизации) решения IAM будут автоматически повторно выделять и обновлять ресурсы и доступ соответственно. Специальные изменения для таких вещей, как разовые проекты, могут обрабатываться функцией самообслуживания, позволяя пользователям запрашивать доступ непосредственно у своего менеджера или «владельца» ресурса. Поскольку решения IAM предоставляют административные интерфейсы, для подготовки пользователей больше не требуются технические знания. Менеджеры могут просто одобрить изменение и позволить решению обработать остальные.
4. Мониторинг и аудит
Эти возможности поддерживают внутреннее активное управление и обзор операций и процессов организации с помощью полных журналов действий. Журналы активности могут использоваться для составления отчетов бизнес-аналитики и журналов аудита, проверки доступа, обеспечения правильных ролей и исправления любых неэффективных процессов или проблем IAM.
Исполнение IAM
Решения IAM работают с «достоверными данными», которые представляют собой наиболее точный и полный набор, содержащий идентификационную информацию вашего сотрудника. Организации должны предоставлять достоверные данные для решения IAM. Официальные данные должны быть чистыми и вводиться в согласованном формате, иначе у автоматизации возникнут проблемы. Большая часть идентификационных данных хранится в «исходных системах», таких как система управления персоналом, которая содержит личную/контактную информацию, дату начала и окончания, функцию/роль, отдел, местоположение и т. д.
Думайте о системах-источниках и данных, как об автомобильном аккумуляторе — вы можете подключить все виды электрических функций и функций, но в качестве источника батарея должна обеспечивать достаточно чистый электрический ток, чтобы они работали. Процессы IAM могут работать только с чистыми, непротиворечивыми и полными входными данными. Используя стандартные соединители между системами, решения IAM могут собирать данные из множества различных исходных систем, прежде чем отправлять их на подключенные цели.
Организации должны детально определить, какие ресурсы получает конкретный человек за свою роль, и включить их в свою модель AG. Решения IAM основаны на настраиваемых триггерах и процессах для получения этих достоверных данных и их синхронизации во всей вашей ИТ-среде. Ассортимент полей и значений отслеживается на наличие изменений. Когда происходят изменения в исходных значениях, мониторинг триггера IAM инициирует соответствующий процесс для синхронизации данных в соответствии с настроенной логикой.
Отдельные лица в организации могут иметь разные удостоверения, которые часто хранятся отдельно в решении IAM. На основе этих удостоверений IAM может создавать и управлять разными учетными записями пользователей для разных типов сотрудников и ролей. Если пользователю необходимо выполнять обязанности, требующие повышенных привилегий (например, доступ к информации о заработной плате), ему следует использовать привилегированную учетную запись. Чтобы проверить свою электронную почту или создать документ, они должны использовать свою обычную учетную запись пользователя без повышенных привилегий. Управление привилегированным доступом лучше позволяет сотрудникам работать с учетной записью пользователя, которая соответствует ситуации.
Исходные системы по-прежнему предоставляют всю информацию об этих идентификаторах, но не помогают в их надлежащем управлении. Решение IAM работает с авторитетными данными и делает возможными все эти сложные связи между удостоверениями и пользователями.
Безопасность IAM
Угрозы безопасности начинаются, когда сотрудник нанимается с передачей вновь созданных учетных записей и учетных данных в тот день, когда сотрудник увольняется. В ходе работы потребности пользователей в ресурсах, скорее всего, изменятся. Продвижение по службе, реорганизация, смена ролей и специальные проекты — все это способствует изменению потребностей в доступе. Со временем большая часть этого доступа может стать ненужной или даже представлять угрозу для соблюдения требований, что приводит к проблемам безопасности. Это особенно важно, если рассматриваемый доступ угрожает конфиденциальной информации, такой как информация, позволяющая установить личность (PII), номер кредитной карты или социального страхования и т. д. Такое накопление доступа называется «раздуванием разрешений». Решения IAM противодействуют «раздуванию разрешений», ограничивая доступ к потребностям сотрудников в зависимости от их роли здесь и сейчас.
Эти риски не прекращаются даже после увольнения сотрудника, если у вас нет комплексного и автоматизированного процесса деинициализации. Процесс деинициализации связан с очисткой учетных записей и доступа уходящих сотрудников. Без решения IAM безопасное отслеживание всех учетных записей, учетных данных и доступа (физического или цифрового) данного пользователя, не говоря уже об их своевременном удалении, становится невозможным.
Когда пользователь покидает организацию, все связанные с ним учетные записи должны быть деактивированы и деинициализированы. В противном случае первоначальный пользователь все еще может войти в них с теми же учетными данными, даже если они покинули вашу организацию. Злоумышленник-бывший сотрудник может получить конфиденциальные данные (например, информацию о клиенте, интеллектуальную собственность, учетные данные) или повредить вашу среду в худшем случае. Бывшие сотрудники могут получить доступ к вашим ИТ-ресурсам до деактивации. Это могут быть дни, недели, месяцы или даже годы. Если не очистить учетные записи и не получить доступ к ним, облачное хранилище, данные клиентов, предстоящие проекты, маркетинговые материалы и многое другое будут раскрыты. Задержка деактивации особенно опасна для облачных ресурсов, к которым любой может получить доступ со своих личных устройств.
«Сиротские аккаунты»
Другая основная причина соблюдения стандартного процесса деактивации — предотвращение накопления «осиротевших учетных записей». Потерянные учетные записи — это учетные записи, которые больше не связаны с активным пользователем и остаются в вашей среде. Этот цифровой мусор мешает вам точно оценивать окружающую среду, а также занимает место для хранения. Одним из наиболее важных процессов решения IAM является их очистка.
Взгляд в будущее: IAM и облако
Сегодня большинство компаний разделяют свою ИТ-среду, внедряя облачные приложения для снижения затрат на обслуживание, более быстрого внедрения и гибкости доступа. Однако эти гибридные среды создают серьезные проблемы для традиционных бизнес-операций и «ручного IAM». Использование неуправляемых облачных приложений создает риски для безопасности из-за бесчисленных новых возможностей в вашей ИТ-среде, не говоря уже о том, что это может раздражать пользователей повторяющимися входами в систему. Подобные проблемы объясняют, почему облачные или веб-SSO так важны.
Решения IAM с облачными/веб-функциями единого входа (SSO) помогают сократить разрыв в гибридных средах. Центральный портал входа в систему SSO объединяет все ИТ-ресурсы пользователей с помощью единого входа со строгими протоколами безопасности и настраиваемыми политиками доступа. После аутентификации пользователь получает весь доступ, необходимый для его роли на портале, который сводит к минимуму бреши в сети и связанные с этим риски взлома. Для дополнительной безопасности к аутентификации SSO можно добавить MFA.
Без какой-либо центральной авторитетной базы данных, выступающей в качестве посредника между вашими пользователями и их ресурсами, им придется многократно входить в свои учетные записи, разделенные в вашей локальной и облачной инфраструктуре. Управление всеми этими разными учетными записями усложняет повседневное использование, а также администрирование. Пользователям приходится манипулировать URL-адресами, сложностью учетных данных, истечением срока действия пароля, автоматическим выходом из системы и другими мерами, которые, хотя и обеспечивают безопасность, препятствуют легкому доступу и снижают производительность.
Чтобы создать успешную организацию, ваш персонал должен иметь возможность добиться успеха как в индивидуальном порядке, так и в команде. Для этого требуется доступ к средствам и ресурсам для выполнения повседневных обязанностей (например, приложениям, общим ресурсам, инструментам управления, пространствам для совместной работы) и гибкость, чтобы действовать решительно, когда того требует момент. Сложные требования к доступу и раздутые бизнес-процессы ни на что не влияют, кроме как подрывают производительность вашего персонала, его мотивацию и общий импульс.
Решения IAM всегда обеспечивали надлежащий доступ, соблюдение нормативных требований и безопасность, но теперь они начинают извлекать большие выгоды из новых данных, разнообразной совместимости приложений и бизнес-аналитики. Являясь активным участником организационного роста, решения IAM предоставляют широкий спектр функций, расширяющих возможности пользователей на всех уровнях.
Связывание всего вместе
Несмотря на каждый новаторский и разрушительный для отрасли технологический прорыв, использование данных остается наиболее важной константой для всех ваших ИТ-ресурсов.
Внедряя проверяемые удостоверения, автоматизированные процессы, управление доступом и возможности самообслуживания, решение IAM использует данные вашей организации для построения своей структуры. Эта структура контролирует и отслеживает все вышеупомянутые проблемы, связанные с бизнес-процессами, доступом и безопасностью.
Решения IAM избавляют вашу организацию от дилеммы выбора между доступом и безопасностью с помощью политик управления, которые повышают производительность пользователей и оптимизируют операции. Успешная реализация повысит организационную эффективность и будет вести подробные журналы аудита для проверки доступа и активности пользователя.
Без существенного изменения вводимых ресурсов (например, сотрудников, денежного потока, спроса/предложения) единственный возможный способ добиться увеличения результатов — это повысить организационную эффективность. Решения IAM предоставляют инструменты управления для достижения этого увеличения производительности — будь то достижение более гибкой организации, более амбициозные технологические реализации, усиление безопасности, повышение корпоративной активности или любые другие цели и видение, которые у вас есть.
Напомним, решения IAM:
- Убедитесь, что пользователи могут получить доступ к необходимым им ресурсам.
- Ограничьте ненужный или нерегулярный доступ для обеспечения безопасности
- Обеспечьте руководство и ИТ инструментами и информацией для выполнения сложных административных задач и оптимизации процессов.
- Автоматизируйте процессы и второстепенные задачи, предоставив вашей организации гибкость для перераспределения приоритетов людей с более эффективной работой.
- Обеспечьте безопасность на протяжении всего жизненного цикла учетной записи пользователя — от инициализации и безопасной передачи учетных записей и учетных данных до быстрой деактивации после ухода.
- Помощь в подготовке к аудиту с помощью сложных отчетов и журналов действий
Некоторые поставщики решений IAM:
- Инструменты4ever
- Окта
- IBM
- Microsoft Azure
- Центрировать
- PING-идентификация
- Автоматизация идентификации
- СэйлПойнт
Суть в том, что решения IAM приносят пользу всем в вашей организации.
Такой целостный, ориентированный на организацию образ мышления имеет решающее значение для успешного внедрения решения IAM. С самого начала относитесь к IAM-решениям как к средствам реализации того, что они делают, а не просто к ряду технических реализаций по принципу «установил и забыл», брошенных ИТ-отделу для включения. В то время как процессы автоматизированы, решения IAM требуют активного управления и настройки для достижения желаемых результатов — они выполняют то, что вы им говорите. Чтобы наилучшим образом интегрироваться с потребностями и операциями вашей организации, конфигурация вашего решения должна отражать их, чтобы быть эффективной.
Таким образом, решение IAM является одним из самых разумных и финансово ответственных решений, которые может принять любой современный бизнес. Комплексный технологический план действует как организационный рычаг, позволяющий добиться большего с меньшими затратами. Если эта предпосылка верна, то управление идентификацией и доступом является точкой опоры, с помощью которой это умножение достигает наибольшей выгоды.