Znakomita większość firm i organizacji korzysta z ręcznych metod zarządzania dostępem do zasobów systemu informatycznego. Modyfikacja uprawnień, założenie konta dla nowego pracownika lub jego zablokowanie czy usunięcie to wciąż proces wymagający aktywności wielu osób i narzędzi. Generuje to zatem z jednej strony zwiększone nakłady zasobów ludzkich (w zespołach IT/Security, właścicieli aplikacji), a z drugiej strony, nie gwarantuje właściwego poziomu zarządzania bezpieczeństwem (proces realizowany ręcznie jest znacznie bardziej podatny na pomyłki, opóźnienia itp).
Pojęcie zarządzania tożsamością (IDM – Identity Management), ewaluowało w ostatnich latach i obecnie ta kategoria rozwiązań, określana jest częściej nazwą IAM – Identity and Access Management, bądź IGA – Identity Governance and Administration, gdyż obejmuje znacznie więcej procesów, niż wynikałoby to z podstawowej definicji Identity Management’u:
- Zarządzanie politykami dostępowymi, zarówno dla chmury jak i systemów
- Obsługa procesu wnioskowania o uprawnienia,
- Wsparcie procesu decyzyjnego
- Tworzenie / modyfikowanie / usuwanie kont,
- Automatyczna aprowizacja uprawnień w systemach,
- Zarządzanie hasłami,
- Obsługa modelu ról (RBAC) oraz modelu ryzyka (wykrywanie ryzykownych dostępów),
- Kontrola kont uprzywilejowanych,
- Zarządzanie ”metabazą” tożsamości,
- Certyfikacja istniejących dostępów.
W organizacjach, w których proces ten jest wykonywany bez użycia dedykowanych narzędzi do automatyzacji, należy liczyć się z poniższymi ryzykami:
- ryzyko posiadania nadmiernych uprawnień przez użytkowników,
- funkcjonowanie w systemach kont, które nie powinny funkcjonować (np.: po ustaniu stosunku pracy lub po zmianie obowiązków pracownika),
- brak rozliczalności uprawnień (np.: jakie uprawnienia posiada użytkownik albo którzy użytkownicy posiadają konkretne uprawnienia/dostępy).
Identity IQ umożliwia: granularne zarządzanie dostępem do zasobów, kontrolę dostępu do zasobów chmurowych AWS, a także rozbudowę o moduł FAM oraz integrację z zewnętrznymi systemami PIM/PAM (np. CyberArk).
Rozwiązanie to dostępne jest zarówno w formie chmurowej jak i systemu do wdrożenia OnPrem.
Identity Now – to inteligentna platforma typu SaaS, która umożliwia obsługę procesu Identity Governance u Klientów, bez konieczności budowania własnej infrastruktury pod ten cel. Jako że jest to bardziej usługa, niż system sam w sobie, możliwe jest osiągnięcie korzyści jak poniżej:
- szybki i prosty deployment, korzyści biznesowe w krótkim czasie,
- automatyczne dostarczanie nowych modułów/funkcjonalności,
- skalowalność od małych przedsiębiorstw do dużych organizacji,
- może być użytkowana i zarządzana przez analityków biznesowych, bez wymaganej
wiedzy eksperckiej z zakresu zarządzania tożsamością,
- prosty model subskrypcyjny licencjonowania.
Predictive Identity – Wprowadzając do obszaru zarządzania tożsamością elementy sztucznej inteligencji oraz uczenia maszynowego, firma SailPoint stała się prekursorem innowacyjnego nurtu, którego celem jest wsparcie procesu decyzyjnego, rozumianego jako:
- przewidywanie potrzeb użytkowników w zakresie dostępu,
- wykrywanie ryzykownych zachowań użytkowników,
- dostosowywanie i automatyzacja polityk bezpieczeństwa przy jednoczesnym zachowaniu pełnej kontroli dostępów.
Powyższe funkcjonalności dodatkowe, są możliwe zarówno w obszarze wnioskowania dostępów, certyfikacji, zarządzania hasłami, aprowizacji oraz separacji uprawnień.
Funkcjonalność Predictive Identity obejmuje 4 moduły:
- Access Insights
- Historia dostępów
- Eksploracja danych
- Analiza informacji o dostępach
- Recommendation Engine
- Wsparcie decyzji (rekomendacje)
- Identyfikacja dostępów o wysokim ryzyku
- Auto-akceptacja
- Access Modeling
- Analiza wzorców grupowych
- Identyfikacja ról
- Wykrywanie odstępstw od ogółu
- Cloud Governance
- Scentralizowane zarządzanie dostępami do usług w chmurach największych dostawców (AWS, Azure, and Google Cloud Platform)
- Monitorowanie dostępów z możliwością blokowania podejrzanych / ryzykownych odwołań
- Blokowanie dostępów uprzywilejowanych do krytycznej infrastruktury oraz aplikacji
Rozwiązanie FAM (File Access Manager), to skuteczna kontrola dostępów do danych nieustrukturyzowanych, czyli m.in. tych przechowywanych w plikach, które nie są uwzględnione w podstawowym zakresie zarządzania tożsamością.
System potrafi zintegrować się z większością popularnych rozwiązań do przechowywania danych:
- serwery plików (Windows/Unix),
- storage typu NAS (Hitachi / EMC / NetApp / DFS),
- portale do pracy grupowej (Sharepoint),
- systemy pocztowe (Exchange),
- usługi katalogowe (AD),
- storage chmurowy (box / dropbox / Goggle Drive / OneDrive / Ctera / itp),
- bazy danych (MS SQL).
Rozwiązanie adresuje wszystkie kluczowe etapy zabezpieczania dostępów plikowych, to jest:
- Identyfikacja i klasyfikacja danych wrażliwych
- Wykrywanie / klasyfikacja danych / mapowanie uprawnień / monitorowanie aktywności
- Ustalenie właścicielstwa danych
- Monitorowanie dostępów / identyfikacja potencjalnych właścicieli / typowanie właściciela na podstawie historii / nominowanie właściciela przez grupę
- Kontrola zgodności z regulacjami oraz wymaganiami audytowymi
- Egzekwowanie polityk dostępowych / identyfikacja danych wrażliwych / wsparcie dla procesów audytowych / raporty audytowe
- Skuteczna redukcja ryzyka związanego z bezpieczeństwem danych
- Zarządzanie dostępami / minimalizacja ryzyka / monitoring real-time / analiza zdarzeń
- Kontrola nad migracją danych do Chmury
- Uporządkowanie uprawnień / konsolidacja dostępów oraz polityk zarządzania dostępami
Rozwiązanie FAM może być wdrożone jako niezależny system, lub być w pełni zintegrowanym modułem dla systemu IAM (IdentityIQ), czerpiąc wówczas wszelkie korzyści z tak wytworzonej synergii.
Nasz partner technologiczny – obecna na rynku od 2005 roku amerykańska firma SailPoint Technologies, jest wiodącym dostawcą rozwiązań, służących do zarządzania tożsamością oraz dostępem.
Wiele innowacyjnych koncepcji w obszarze zarządzania tożsamością, zostało na przestrzeni czasu wprowadzonych na rynek, właśnie dzięki firmie SailPoint, między innymi:
- Rozszerzenie koncepcji zarządzania tożsamością o funkcjonalności z obszaru Governance (2007 rok),
- Wprowadzenie Identity Governance jako usługi - SaaS Identity Governance (2013 rok),
- Rozszerzenie obszaru Identity Governance o zarządzanie plikami - File Access Management (2015 rok),
- Wprowadzenie elementów sztucznej inteligencji oraz uczenia maszynowego do zarządzania tożsamością oraz dostępami (2017 rok).
Produkty z portfolio firmy SailPoint umożliwiają implementację całościowej polityki zarządzania nie tylko tożsamościami, ale również dostępami do zasobów:
zarówno infrastrukturalnych jak i aplikacyjnych, czy też danych niestrukturalnych, niezależnie od tego, czy funkcjonują one w chmurze czy w infrastrukturze Klienta (OnPrem).
Ich właściwe wykorzystanie, pozwala na zaadresowanie wszystkich kluczowych obszarów, w szczególności:
- Obsługa procesu wnioskowania o dostępy
- Zapewnienie separacji uprawnień
- Automatyzacja procesu nadawania / odbierania / modyfikowania przyznanych uprawnień
- Zarządzanie hasłami
- (Re)certyfikacja istniejących dostępów
- Wspomaganie procesu decyzyjnego, dzięki zastosowaniu elementów uczenia maszynowego (Machine-Learning)
- Monitorowanie dostępów do danych nieustrukturyzowanych (pliki, dokumenty w chmurze).
