Článek přečtěte do 9 min.

Výběr správného řešení správy identit a přístupu (IAM) je důležitým úkolem. Organizace musí správně spravovat uživatelské účty a další identity a zajistit, aby měly přesně odpovídající přístup k datům, aplikacím a dalším zdrojům. Pokud totiž uživatelé nemají všechna potřebná práva, nemohou vykonávat svou práci a obchodní procesy tím trpí. A pokud mají účty příliš mnoho oprávnění, mohou být zneužity, buď jejich vlastníky, nebo protivníky, kteří je kompromitují, což vede k narušení bezpečnosti a porušení předpisů.

Vzhledem k tomu, že manuální procesy jsou velmi náchylné k chybám a jednoduše je nelze škálovat tak, aby vyhovovaly potřebám moderních organizací, potřebují organizace účelové řešení IAM. Tento článek podrobně popisuje klíčové otázky správy přístupu k identitě, které byste si měli položit při hodnocení kandidátských nástrojů IAM.

Na co se zaměřit při výběru řešení IAM

Chcete-li vybrat nejvhodnější řešení IAM pro vaši organizaci, nezapomeňte posoudit následující klíčové aspekty každého potenciálního nástroje:

  • Model nasazení.
  • Přihlášení uživatele, odpojení a opětovné zřízení.
  • Řízení přístupu na základě rolí.
  • Automatizované pracovní postupy.
  • Podpora pro Zero Trust.
  • Správa hesel včetně samoobsluhy.
  • Široká podpora aplikací plus API.
  • Metody autentizace, včetně autentizace bez hesla.
  • Podpora jednotného přihlášení (SSO).
  • Přineste si podporu vlastního zařízení (BYOD).
  • Dopad na uživatelskou zkušenost.
  • Dostupnost a spolehlivost.
  • Monitoring, audit a reporting.
  • Dodržování pověření k dodržování předpisů a průmyslových standardů.
  • Schopnost uspokojit budoucí potřeby.
  • Cenový model.

Model nasazení

Jednou z prvních otázek IAM, kterou je třeba zvážit, je model nasazení: Je řešení místní, cloudové nebo hybridní? Každý přístup má své pro a proti.

On-prem versus cloud

Zde jsou některé z klíčových rozdílů mezi místními a cloudovými modely nasazení IAM:

On-Premises Cloud
Kapitálové výdaje Musíte dodat server, hardware a software potřebný k hostování řešení. Žádný
Údržba Potřebujete spravovat aktualizace řešení, serverový hardware a software, úložiště a zálohy dat. Dodavatel spravuje řešení IAM a základní infrastrukturu.
Řízení Řešení IAM a základní infrastruktura jsou zcela pod vaší kontrolou. Místní bezpečnostní software poskytuje organizacím úplnou kontrolu nad jejich bezpečnostní infrastrukturou. Mohou si přizpůsobit konfigurace, zásady a nastavení podle svých specifických potřeb a požadavků, aniž by se spoléhali na poskytovatele třetí strany. Dodavatel určuje, kdy zavést aktualizace a upravit infrastrukturu.
Přístup K řešení přistupujete lokálně, bez nutnosti internetu. K řešení můžete přistupovat kdykoli prostřednictvím webového prohlížeče, takže je potřeba spolehlivé připojení k internetu.
Doba nasazení Nasazení je pomalejší, protože je potřeba připravit jeden nebo více serverů a nainstalovat řešení. Doba se však u jednotlivých prodejců výrazně liší. Nasazení je mnohem rychlejší, ale stále vyžaduje povolení a konfiguraci funkcí.
Přizpůsobení On-prem řešení jsou vysoce přizpůsobitelná. Cloudová řešení jsou méně přizpůsobitelná.
Datová suverenita Organizace mají plnou kontrolu nad svými daty a jejich umístěním. To je důležité zejména pro podniky působící v odvětvích s přísnými požadavky na dodržování předpisů nebo obavami o soukromí a suverenitu dat. Data jsou uchovávána v cloudu a mohou být uložena na více místech po celém světě v závislosti na infrastruktuře poskytovatele. To může vyvolat obavy ohledně dodržování zákonů a nařízení o suverenitě dat, protože data mohou překračovat mezinárodní hranice.
Soulad se zabezpečením On-premise řešení mohou nabídnout snadnější shodu s průmyslovými předpisy a standardy, protože organizace mají přímý dohled a kontrolu nad svými bezpečnostními opatřeními. To může zjednodušit proces auditu a poskytnout ujištění zúčastněným stranám. Organizace jsou odpovědné za zajištění toho, že jejich používání cloudových služeb je v souladu s průmyslovými a regulačními standardy.
Výkon sítě Místní bezpečnostní řešení mohou nabídnout rychlejší výkon sítě, protože fungují v rámci místní síťové infrastruktury organizace. To může být výhodné pro aplikace citlivé na latenci nebo prostředí, kde jde o šířku pásma sítě. Cloudová řešení mohou ve srovnání s místními řešeními způsobit latenci, zejména pokud jsou cloudové služby hostovány ve vzdálených datových centrech.
Izolace dat On-premise řešení udržují data v rámci fyzických hranic organizace, čímž snižují riziko vystavení dat nebo neoprávněného přístupu, který může být spojen s přenosem dat přes internet poskytovateli cloudových služeb. Záleží na schopnosti poskytovatele cloudu chránit data před vnějšími a vnitřními hrozbami.

Hybridní

Hybridní řešení IAM kombinují aspekty on-premise i cloudových přístupů IAM, aby vyhovovaly potřebám moderních organizací. Usnadňují synchronizaci adresářů mezi místními úložišti identit (jako je Active Directory) a cloudovými úložišti identit (jako je Azure AD a AWS Directory Service) a nabízejí centralizovanou správu životního cyklu uživatelů pro místní i cloudová prostředí. Tato možnost pomáhá minimalizovat náklady při zachování místní kontroly regulovaných nebo jinak citlivých dat.

Přiřazení uživatele, odebrání a reprovisioning

Primární funkcí jakéhokoli systému IAM je zajistit, aby každý uživatel měl odpovídající přístup ke zdrojům, aby mohl vykonávat svou práci a zároveň minimalizoval bezpečnostní rizika. V souladu s tím posuďte, zda kandidátské řešení umožňuje efektivní a přesné začleňování nových uživatelů a rychlé odebrání přístupových práv, když uživatelé opustí organizaci odstraněním nebo deaktivací svých účtů nebo odebráním přístupových oprávnění pro aplikace, sdílení souborů, databáze a další zdroje.

Kromě toho zkontrolujte, zda řešení usnadňuje úpravu přístupových práv, když uživatelé mění role nebo jsou přijímány nové technologie. Hledejte také atestační proces, ve kterém mohou příslušné strany snadno zkontrolovat a upravit přístupová práva ke zdrojům, které vlastní, aby bylo zajištěno trvalé dodržování bezpečnostních zásad a předpisů.

Řízení přístupu na základě rolí

Nezapomeňte zkontrolovat, zda potenciální řešení IAM nabízí řízení přístupu založeného na rolích (RBAC). RBAC je široce používaná strategie, díky které je poskytování mnohem jednodušší a mnohem přesnější. S RBAC nepřidělujete přístupová práva přímo uživatelům, což je složité a často to vede k nadměrným oprávněním. Místo toho vytvoříte sadu rolí, které představují pracovní funkce, odpovědnosti nebo skupiny uživatelů s podobnými potřebami přístupu. Mezi příklady rolí patří správci, technici helpdesku a manažeři. Každá role má přiřazenu sadu oprávnění; Role Technika Helpdesku může být například zmocněna číst a upravovat určitá data, resetovat uživatelská hesla a tak dále.

S tímto rámcem je udělování práv uživatelům stejně jednoduché jako přiřazení příslušných rolí. Výsledkem je, že noví uživatelé mohou rychle získat přesně ten přístup, který potřebují ke své práci. Podobně, když uživatel změní pracovní funkce v rámci organizace, reprovisioning vyžaduje jednoduchou změnu přiřazení rolí. A když je přidána nová aplikace nebo úložiště dat nebo je odstraněno staré, aktualizace oprávnění pro příslušné role zajistí, že přístup bude aktualizován pro všechny správné uživatele.

Automatizované pracovní postupy

Pracovní postupy jsou v systému IAM cenné, protože automatizují procesy, jako je zřizování a rušení uživatelů, žádosti o přístup a schvalování a kontroly přístupu. Hledejte nástroj, který nabízí předdefinované šablony nebo přizpůsobitelné předpřipravené pracovní postupy pro úkoly, které potřebujete. Pracovní postup žádosti o přístup a schválení může například uživatelům umožnit zadávat žádosti o přístup prostřednictvím samoobslužného portálu nebo systému pro vydávání lístků a poskytovat přizpůsobitelné formuláře žádostí s požadovanými poli pro specifikaci požadavků na přístup, odůvodnění a trvání.

V širším měřítku zajistěte, aby vaši administrátoři mohli definovat kroky pracovního postupu, podmínky, rozhodovací body a akce bez kódování. Také se ujistěte, že dokážou integrovat pracovní postupy s HR, ticketingem a dalšími systémy pro automatizaci mezifunkčních procesů.

Podpora pro Zero Trust

Zero Trust je moderní model zabezpečení, který vyžaduje, aby se uživatelé pravidelně znovu ověřovali, nikoli pouze při prvním přístupu. Hledejte tedy systém IAM, který zahrnuje adaptivní ověřovací mechanismy a usnadňuje správu federovaných identit. Kromě toho se ujistěte, že nabízí funkce správy privilegovaného přístupu (PAM), které poskytují další správu a monitorování účtů se zvýšenými přístupovými právy, jako jsou správci a systémové účty.

Správa hesel, včetně samoobsluhy

Řešení IAM vyžadují robustní funkce správy hesel. Mezi klíčové schopnosti k posouzení patří:

  • Schopnost prosazovat zásady silných hesel, včetně složitosti a nepovolení běžných, snadno uhodnutelných nebo kompromitovaných hesel.
  • Schopnost udržovat seznamy vyloučení pro zakázaná hesla.
  • Samoobslužné funkce, které uživatelům umožňují resetovat zapomenutá hesla, měnit hesla a odemykat účty.
  • Podpora pro resetování hesla pomocí helpdesku v případech, kdy samoobslužné možnosti nejsou možné.
  • Integrace s řešeními MFA pro vynucení vícefaktorové autentizace pro resetování, změny nebo obnovení hesla.
  • Schopnost nastavit prahové hodnoty pro neúspěšné pokusy o přihlášení, které spouštějí upozornění a umožňují rychlou reakci na útoky hrubou silou.

Široká podpora aplikací Plus API

Než investujete do řešení IAM, ujistěte se, že podporuje všechny aplikace, které vaše různé týmy používají, jak místní, tak cloudové.

Zajistěte zejména kompatibilitu s:

  • Adresářové služby, jako je Active Directory, LDAP nebo Azure AD pro ověřování uživatelů.
  • Nástroje obchodní produktivity.
  • CRM systémy.
  • Platformy pro spolupráci.
  • Vlastní aplikace.
  • Cloudové služby, jako jsou AWS, Entra a Google Cloud Platform.
  • Aplikace SaaS jako Salesforce, Office 365 a G Suite.

Také se ujistěte, že řešení IAM nabízí rozhraní API, která dodržují principy REST a umožňují snadnou integraci a interoperabilitu s jinými systémy a službami. Měl by podporovat standardní protokoly a formáty, jako je OAuth, OpenID Connect, SAML, JSON Web Tokens (JWT) a SCIM.

Metody autentizace, včetně autentizace bez hesla

Hledejte řešení, které se neomezuje na jednoduché ověření uživatelského jména + hesla. Některá řešení IAM nabízejí 10 nebo více různých metod MFA, jako jsou aplikace pro ověřování a biometrie, jako jsou otisky prstů, rozpoznávání obličeje a skenování sítnice. Zkontrolujte možnosti, které jsou pro vaše uživatele snadné a pohodlné. V ideálním případě by MFA měla být adaptivní a vyzývat uživatele k dodatečné autentizaci pouze tehdy, když kontextové faktory naznačují zvýšené riziko.

Protivníci často získávají svou počáteční oporu v síti pomocí kompromitovaných přihlašovacích údajů, takže některé organizace se snaží hesla úplně odstranit. Některá řešení IAM nyní nabízejí autentizaci bez hesla, která ověřuje uživatele na základě faktorů MFA, jako je biometrie, spolu s kontextovými detaily, jako je fyzická poloha, informace o zařízení a IP adresa.

Podpora jednotného přihlášení (SSO)

Výběr řešení IAM, které podporuje jednotné přihlašování, umožní vašim uživatelům používat jednu sadu přihlašovacích údajů pro přístup k více systémům. Tato funkce zefektivňuje obchodní procesy a zbavuje uživatele břemene pamatování si více hesel.

Protože však jednotné přihlášení zvyšuje riziko nesprávného přístupu, ujistěte se, že jej lze kombinovat s adaptivním přístupem k MFA.

Podpora BYOD

Mnoho organizací má dnes politiku přinést si vlastní zařízení (BYOD), která zaměstnancům umožňuje používat k práci jejich vlastní zařízení. Pokud máte zásadu BYOD nebo byste ji mohli přijmout, ujistěte se, že řešení IAM podporuje širokou škálu operačních systémů, včetně iOS, Android a Windows.

Dopad na uživatelskou zkušenost

Většina lidí dnes od technologie očekává rychlé a bezproblémové výsledky. Chcete-li urychlit přijetí uživateli, hledejte řešení IAM, které uživatelům poskytuje bezproblémové prostředí. Zkontrolujte zejména samoobslužné možnosti, které uživatelům umožňují aktualizovat své osobní údaje, resetovat vlastní hesla, odemykat účty a podobně. Tato funkce nejen zvyšuje produktivitu podniku, ale také snižuje pracovní zátěž helpdesku.

Dostupnost a spolehlivost

Pokud má vaše řešení IAM problémy s dostupností, uživatelé se nebudou moci přihlásit a získat přístup k síťovým zdrojům, které potřebují ke své práci, což naruší životně důležité obchodní projekty.

Chcete-li se vyhnout problémům, podívejte se na následující:

  • Podpora redundantních komponent a mechanismů převzetí služeb při selhání pro zajištění nepřetržité dostupnosti
  • Integrace s nástroji pro vyrovnávání zatížení pro distribuci příchozího provozu mezi více serverů nebo instancí IAM, optimalizace využití zdrojů a zmírnění překážek výkonu
  • Podpora kontejnerizovaného nasazení komponent IAM pomocí platforem pro orchestraci kontejnerů, jako je Kubernetes nebo Docker, pro zvýšení agility a využití zdrojů
  • Schopnost provádět pravidelné zálohování konfiguračních dat IAM, uživatelských profilů a zásad přístupu a také obnovovat funkce v případě ztráty dat nebo selhání systému

Požádejte poskytovatele o bezplatnou zkušební verzi produktu a důkladně jej otestujte, abyste se ujistili, že splňuje vaše požadavky na spolehlivost a dostupnost.

Monitorování, upozornění a hlášení

Ujistěte se, že řešení IAM poskytuje monitorování aktivity v reálném čase spolu s technikami detekce anomálií, které spolehlivě identifikují podezřelé akce nebo vzorce, jako jsou vícenásobné neúspěšné pokusy o přihlášení nebo přístup z neobvyklých míst nebo zařízení. Zkontrolujte, zda můžete nastavit upozornění na potenciální bezpečnostní incidenty nebo porušení zásad. Ujistěte se, že protokoly zachycují důležité podrobnosti, jako jsou uživatelské identifikátory, časová razítka, IP adresy a provedené akce.

Hledejte možnost snadného generování sestav o uživatelských oprávněních, oprávněních a přiřazeních rolí, stejně jako interaktivní analytické řídicí panely a vizualizační nástroje, které usnadňují rychlé pochopení důležitých informací.

Dodržování mandátů a požadavků odvětví

Zajistěte, aby řešení IAM vyhovovalo všem regulačním rámcům, kterým vaše organizace podléhá, ​​jako je GDPR, HIPPA, PCI DSS, SOX, FERPA a CCPA. Společné požadavky zahrnují ochranu osobních údajů (včetně přihlašovacích údajů uživatele) při přenosu i v klidu a ochranu důvěrnosti, integrity a dostupnosti citlivých dat v systému IAM. Řešení by navíc mělo bezpečně řídit přístup k datům pomocí silné autentizace, řízení přístupu a šifrování. Musí udržovat komplexní historii IAM zásad, postupů, konfigurací a bezpečnostních kontrol, aby podpořila hlášení o shodě a regulační dotazy.

Schopnost plnit budoucí potřeby

Když si osvojíte základní řešení, jako je software IAM, chcete si být jisti, že bude i nadále přinášet hodnotu, i když se bude vaše IT prostředí, potřeby zabezpečení a prostředí hrozeb vyvíjet.

Zde je několik klíčových otázek, které byste si měli položit při hodnocení řešení:

  • Je dodavatel stabilní a důvěryhodný?
  • Mají potřebné technické možnosti?
  • Lze přidat více serverů nebo uzlů, aby bylo možné snadno škálovat, aby zvládly rostoucí zatížení a objemy uživatelů?
  • Je prodejce připraven nabídnout vynikající podporu po celou dobu životního cyklu produktu?
  • Bude řešení dostávat pravidelné opravy a vylepšení?
  • Bude to v průběhu let nákladově efektivní?

Cenový model

Řešení IAM mají různé cenové struktury.

Dva běžné modely jsou:

  • Licenční poplatek za uživatele – Platíte pouze za počet uživatelů, kteří skutečně pracují pro vaši organizaci, takže jak vaše uživatelská základna roste nebo se zmenšuje, rostou i vaše náklady. Mějte však na paměti, že některá řešení mají minimální počet uživatelů.
  • Předdefinované balíčky — Platíte za určitý počet uživatelů. V tomto případě zvažte ponechání marže pro nové zaměstnance, protože přechod na jiný balíček může nějakou dobu trvat.

Jak může Netwrix pomoci

Netwrix GroupID je přední řešení správy identit a přístupu, které nabízí množství cenných funkcí.

Zde jsou některé funkce, díky kterým Netwrix GroupID vyčnívá z davu:

  • Bezproblémové začleňování uživatelů – Netwrix GroupID dokáže automaticky zajistit nové uživatele ve vašem adresáři během několika minut z vaší HR databáze nebo jiného zdroje, s maximální spolehlivostí a přesností.
  • Okamžité vypnutí uživatele – Když uživatel opustí organizaci, můžete rychle pozastavit veškerý jeho přístup k datům, aplikacím a dalším IT zdrojům.
  • Inteligentní ověřování a jednotné přihlašování – Netwrix GroupID nabízí silné ověřování a podporuje jednotné přihlašování.
  • Samoobslužný portál – samoobslužný portál umožňuje firemním uživatelům udržovat své profily aktuální, resetovat hesla, odemykat účty a mnoho dalšího, aniž by museli kontaktovat helpdesk.
  • Automatická deaktivace neaktivních účtů — Můžete požadovat, aby uživatelé ověřovali své profily v pravidelných intervalech; pokud tak neučiní, Netwrix GroupID automaticky deaktivuje a uzamkne jejich účty.
  • Možnosti složitosti hesel — Netwrix GroupID vám umožňuje nastavit požadavky na složitost hesel na úrovni, která vyhovuje vaší organizaci, od snadno zapamatovatelných až po téměř nemožné vyvolat.
  • Podrobné zprávy — Netwrix GroupID obsahuje více než 100 zpráv o uživatelích, skupinách a počítačích spolu s mnoha dalšími zprávami o aktivitě uživatelů.
  • Podpora BYOD – Uživatelé mohou na svých zařízeních, včetně zařízení Android a iOS, provádět běžné úkoly: ověřovat profily, spravovat účty, schvalovat požadavky na pracovní postupy a další.
  • Zjednodušené uživatelské prostředí — Samoobslužný portál umožňuje firemním uživatelům udržovat své profily aktuální, resetovat svá hesla, odemykat účty a další, aniž by museli kontaktovat helpdesk.
  • Vysoká dostupnost a spolehlivost — Přesvědčte se sami pomocí bezplatné zkušební verze.
  • Schopnost uspokojit budoucí potřeby — Netwrix je špičkový dodavatel s dlouhou tradicí udržování aktualizovaných řešení, aby vyhovovala vyvíjejícím se obchodním potřebám a vznikajícím hrozbám.

Chcete-li se dozvědět více, neváhejte nás kontaktovat.

Zdroj: Netwrix