Zarządzanie Tożsamością
Pomożemy Tobie zbudować system
zarządzaniem tożsamością użytkowników
i ich dostępami do zasobów firmowych
Na czym polega Zarządzanie Tożsamością?
Rozwiązania klasy IAM (Identity and Access Management) to systemy, których przeznaczeniem jest zarządzanie tożsamością i dostępem. Zawierają się one w obszarze bezpieczeństwa IT i służą – jak sama nazwa wskazuje – do zarządzania cyfrową tożsamością użytkownika, jego dostępem do danych, do systemów oraz do zasobów firmowych. Gartner określa systemy IAM jako te, które gwarantują wyłącznie właściwym osobom i w odpowiednim czasie uzyskać dostęp do zasobów. Mówiąc krótko, dostęp do danych firmowych może mieć miejsce tylko w uzasadnionych przypadkach, a uzasadnienie to może wynikać, np. z pełnionej funkcji pracownika lub w wyniku incydentalnego zdarzenia podlegającego odpowiedniej kontroli (więcej na Kontrola dostępu).
Zabezpieczenia stosowane w systemach klasy IAM obejmują możliwość definiowania polityk dostępowych oraz zasad mających na celu redukcję ryzyka związanego z wykorzystaniem tożsamości jako elementu umożliwiającego nieuprawniony dostęp do zasobów organizacji. Oznacza to, że nie wystarczy znać poświadczeń (loginu i hasła) użytkownika o rozszerzonym dostępie, by skorzystać z jego uprawnień. Wymagany może być także dodatkowy składnik autoryzacji, również zarządzany przez system IAM.
Dodatkową wartością wynikającą z wdrożenia systemu do zarządzania tożsamością i dostępem jest możliwość szybkiej reakcji na incydenty bezpieczeństwa, poprzez automatyczne lub ręczne odebranie uprawnień użytkownikom, którzy mogą stanowić zagrożenie.
Czy wiesz, że...
57% organizacji potwierdza, że ponad połowa ich pracowników pracuje z domu co najmniej 2 dni w tygodniu.
źródło: Check Point
Zaledwie 36% organizacji ma wgląd w poziom dostępów i uprawnień użytkowników, zarówno wewnętrznych, jak i zewnętrznych.
źródło: Ponemon Institute
59% organizacji nie odbiera pracownikom poświadczeń w odpowiednim momencie.
źródło: Ponemon Institute
Ponad połowa superadministratorów nie ma aktywowanych mechanizmów MFA.
źródło: Varonis
80% wycieków danych spowodowanych jest słabymi lub ponownie użytymi hasłami.
źródło: FinTech
Około 60% organizacji posiada przeszło 500 kont z niewygasającymi hasłami.
źródło: Varonis
Proponowane produkty
Współpracujemy z najlepszymi producentami oprogramowania, uznawanymi za liderów w swoich obszarach. Nasze portfolio dobieramy w taki sposób, żeby jak najlepiej zaadresować wyzwania klientów.
Zarządzanie tożsamością (IdM)
W przeszłości przedsiębiorstwa umieszczały pracowników w biurowcach chronionych przez lokalnie działające systemy bezpieczeństwa. Użytkownicy logowali się na swoje biurowe komputery i pracowali do godziny piątej, po czym wychodzili i wracali do swojego życia prywatnego. Obecna rzeczywistość jest znacznie inna.
Dziś pracownicy, korzystając z niezabezpieczonego połączenia Wi-Fi w kawiarni, sprawdzają swoje służbowe e-maile na swoich prywatnych telefonach komórkowych, z lub bez korzystania z VPN, jednocześnie używając swojego służbowego laptopa do rozmów z przyjaciółmi i wysyłania linków na platformach społecznościowych. Z perspektywy cyberbezpieczeństwa, jest to sytuacja znacznie bardziej oddalona od dobrze kontrolowanego środowiska opisanego powyżej.
Rozwiązaniem jest rozpoznanie, że ta nowa rzeczywistość traktuje tożsamość pracownika jako fundament bezpieczeństwa i przyjęcie ram, które tę rzeczywistość uwzględniają. Dzięki dobremu systemowi zarządzania tożsamością, można wykorzystać analizy do stworzenia profilu dla dzisiejszego pracownika i wykorzystywać go, aby upewnić się, że pracownik logujący się jest autentycznie tą osobą, za którą się podaje.
Identity and Access Management (IAM)
Zarządzanie Tożsamościami i Dostępem (IAM) to dziedzina związana z bezpieczeństwem, która obejmuje wiele technologii i procesów biznesowych mających na celu umożliwienie odpowiednim osobom lub maszynom dostępu do odpowiednich zasobów w odpowiednim czasie z odpowiednich powodów, jednocześnie zapobiegając nieautoryzowanemu dostępowi i oszustwom.
IAM zakłada opracowanie procesów biznesowych, wdrożenie polityk i wykorzystanie technologii, które ułatwią zarządzanie elektronicznymi lub cyfrowymi tożsamościami. Dzięki ramom zdefiniowanym przez IAM, menedżerowie IT mogą kontrolować dostęp użytkowników do krytycznych informacji w swoich organizacjach.
Służą temu systemy będące częścią projektów IAM, w tym systemy jednokrotnego logowania (single sign-on), uwierzytelnianie dwuskładnikowe (two-factor authentication) i wieloetapowe (multifactor authentication) oraz zarządzanie uprawnieniami dostępu (access management). Projekty IAM pozwalają także na wdrożenie bezpiecznych mechanizmów przechowywania danych dotyczących tożsamości i profili, a także funkcji zarządzania danymi, aby zapewnić, że są udostępniane tylko niezbędne i istotne informacje.
Identity Governance and Administration (IGA)
Identity Governance and Administration (IGA) to podejście oparte na politykach do zarządzania tożsamością oraz kontroli dostępu. Jak sama nazwa wskazuje, systemy IGA łączą zarządzanie tożsamością z zarządzaniem administracyjnym, dostarczając dodatkowych funkcji poza tradycyjnymi narzędziami do zarządzania tożsamością i dostępem (IAM). W szczególności oferują wsparcie w zakresie audytów i spełniania wymagań związanych z zgodnością.
Systemy IGA mogą również pomóc w automatyzacji procesów przydzielania i odbierania dostępu użytkownikom. Jest to szczególnie istotne, biorąc pod uwagę rosnącą potrzebę logowania się przez użytkowników z dowolnego miejsca i urządzenia, co sprawia, że zarządzanie tożsamością i dostępem staje się trudne do kontrolowania.
IGA jako koncept składa się z dwóch składników:
- Zarządzanie tożsamością – Procesy i polityki obejmujące segregację obowiązków, zarządzanie rolami, logowanie, przeglądy dostępu, analizy i raportowanie.
- Administracja tożsamością – Zarządzanie kontami i poświadczeniami, przydzielanie i odbieranie dostępu użytkownikom i urządzeniom, oraz zarządzanie uprawnieniami.
Autoryzacja i autentykacja użytkowników - SSO/MFA
Pomimo faktu, że technologie MFA (Multi-Factor Authentication) i SSO (Single Sign-On) są w praktyce elementami kontroli dostępu, to stanowią one niezwykle istotny element zarządzania tożsamością w dzisiejszym cyfrowym środowisku. Zapewniają one znaczną poprawę bezpieczeństwa poprzez uszczelnienie procesu autentykacji i autoryzacji użytkowników (i tym samym właściwego potwierdzenia ich tożsamości) przy dostępie do systemów i aplikacji.
MFA to metoda, która wymaga od użytkownika podania co najmniej dwóch lub więcej składników uwierzytelniających przed uzyskaniem dostępu do konta lub zasobów. Typowe składniki uwierzytelniające to coś, co użytkownik wie (np. hasło), coś, co użytkownik ma (np. token generujący kody, smartfon), oraz coś, czym użytkownik jest (np. biometryczne skanowanie odcisku palca). Dzięki MFA nawet jeśli haker uzyska dostęp do hasła, nie będzie w stanie złamać dodatkowych warstw zabezpieczeń, co zwiększa poziom bezpieczeństwa.
SSO, z drugiej strony, pozwala użytkownikom na jednokrotne logowanie się do wielu aplikacji i usług, korzystając tylko z jednego zestawu poświadczeń, np. hasła. Po zalogowaniu użytkownik ma dostęp do wszystkich skonfigurowanych aplikacji, bez potrzeby ponownego podawania hasła dla każdej z nich. To nie tylko usprawnia proces logowania, ale także pozwala na bardziej kontrolowany dostęp do aplikacji poprzez centralne zarządzanie.
Przejdź do strony rozwiązania: OKTA SSO, OKTA MFA, Rozwiązanie Secfense, Rozwiązania Yubikey
Audyt katalogu użytkowników (Audyt AD)
Active Directory (AD) stanowi serce zarządzania tożsamościami większości organizacji. Problemy związane z AD mogą prowadzić do kosztownych zakłóceń usług i przestoju, który może być szkodliwy dla biznesu. Naruszenia danych i brak zgodności z przepisami SOX, PCI, HIPAA, GDPR lub innymi regulacjami mogą spowodować znaczące wydatki. Dlatego też, narzędzia do audytu, które zapewniają kontrolę nad zmianami zachodzącymi w AD są niezwykle istotne dla zachowania bezpieczeństwa i ciągłości działania.
Kluczowymi aspektami nadzoru nad katalogiem użytkowników są m.in.:
- wykrywanie wszystkich możliwych zmian w usłudze Active Directory, dostarczając szczegółów na temat tego „kto, co, kiedy i gdzie”, wraz z wartościami przed i po zmianach,
- przywracanie zmian, które nie powinny zostać wprowadzone, czy to z powodu braku autoryzacji, czy przypadkowego działania,
- zabezpieczenie przed zmianami w krytycznych obiektach usługi Active Directory, takich jak grupa Enterprise Admins, przypadkowo usunięte jednostki organizacyjne (OUs), czy też obiekty polityki grupy (GPOs).
Zarządzanie cyklem zatrudnienia użytkownika
Lifecycle Management (LCM) czyli zarządzanie cyklem zatrudnienia użytkownika to nic innego jak automatyzacja zarządzania tworzeniem, aktualizacją oraz usuwaniem użytkowników w aplikacjach docelowych. Jest to jedna z funkcji nowoczesnych systemów IAM dzięki której można w prosty sposób zapanować nad zarządzaniem użytkownikiem w organizacji. Jest to również rozwiązanie problemów „zapomnianych dostępów” kiedy to pracownik, który nie pracuje dla organizacji od kilku miesięcy nadal może uzyskać dostęp do newralgicznych systemów firmy.
Dodatkowe funkcję LCM to możliwość żądania dostępu do aplikacji przez użytkowników czy tworzenie przepływów pracy w oparciu o istniejące aplikację bez potrzeby programowania. Wszystko po to, by uzyskać jak największy poziom automatyzacji procesów zarządzania tożsamością i dostępem.
Dodatkowy składnik uwierzytelnienia
Multifactor Authentication jest to rozwiązanie znacząco podnoszące bezpieczeństwo organizacji. Użytkownik w momencie logowania się do aplikacji jest proszony o potwierdzenie swojej tożsamości. To w jaki sposób użytkownik potwierdzi swoją tożsamość zależy od zastosowanego składnika dodatkowego uwierzytelnienia oraz od polityki organizacji, która może dopuścić lub wymusić używanie jednego bądź wielu z nich. Dodatkowym składnikiem uwierzytelnienia może być aplikacja instalowana na telefonie komórkowym, odcisk palca, kod sms/email i wiele innych. Dodatkowy składnik uwierzytelnienia może być uruchomiony nie tylko do newralgicznych aplikacji, może również chronić sesję RDP, logowanie do systemu operacyjnego czy logowanie poprzez VPN.
