apius-logo
upper-burgerbottom-burger
Zarządzanie
cyfrową tożsamością
W każdej współczesnej organizacji, niezależnie od jej skali, użytkownicy reprezentowani są w postaci cyfrowych tożsamości, które muszą być efektywnie zarządzane.
01.
Informacje ogólne

Znakomita większość firm i organizacji korzysta z ręcznych metod zarządzania dostępem do zasobów systemu informatycznego. Modyfikacja uprawnień, założenie konta dla nowego pracownika lub jego zablokowanie czy usunięcie to wciąż proces wymagający aktywności wielu osób i narzędzi. Generuje to zatem z jednej strony zwiększone nakłady zasobów ludzkich (w zespołach IT/Security, właścicieli aplikacji), a z drugiej strony, nie gwarantuje właściwego poziomu zarządzania bezpieczeństwem (proces realizowany ręcznie jest znacznie bardziej podatny na pomyłki, opóźnienia itp).

W tej sytuacji do dyspozycji mamy sprawdzone i bardzo skuteczne rozwiązania, zwane Systemami Zarządzania Tożsamością oraz dodatkowe systemy wspomagające, które pozwalają na automatyzację całego procesu zarządzania uprawnieniami użytkownika w systemach informatycznych.

Pojęcie zarządzania tożsamością (IDM Identity Management), ewaluowało w ostatnich latach i obecnie ta kategoria rozwiązań, określana jest częściej nazwą IAM – Identity and Access Management, bądź IGA – Identity Governance and Administration, gdyż obejmuje znacznie więcej procesów, niż wynikałoby to z podstawowej definicji Identity Management’u:

  • Zarządzanie politykami dostępowymi, zarówno dla chmury jak i systemów
  • Obsługa procesu wnioskowania o uprawnienia,
    • Wsparcie procesu decyzyjnego
  • Tworzenie / modyfikowanie / usuwanie kont,
    • Automatyczna aprowizacja uprawnień w systemach,
    • Zarządzanie hasłami,
  • Obsługa modelu ról (RBAC) oraz modelu ryzyka (wykrywanie ryzykownych dostępów),
  • Kontrola kont uprzywilejowanych,
  • Zarządzanie ”metabazą” tożsamości,
  • Certyfikacja istniejących dostępów.

W organizacjach, w których proces ten jest wykonywany bez użycia dedykowanych narzędzi do automatyzacji, należy liczyć się z poniższymi ryzykami:

  • ryzyko posiadania nadmiernych uprawnień przez użytkowników,
  • funkcjonowanie w systemach kont, które nie powinny funkcjonować (np.: po ustaniu stosunku pracy lub po zmianie obowiązków pracownika),
  • brak rozliczalności uprawnień (np.: jakie uprawnienia posiada użytkownik albo którzy użytkownicy posiadają konkretne uprawnienia/dostępy).
    02.
    IAM
    Identity IQ
    – jest to w pełni funkcjonalne rozwiązanie klasy IAM / Governance, adresowane dla organizacji w których rozbudowana struktura organizacyjna stanowi wyzwanie w procesie zarządzania kontami, uprawnieniami oraz dostępami.
    Identity IQ umożliwia: granularne zarządzanie dostępem do zasobów, kontrolę dostępu do zasobów chmurowych AWS, a także rozbudowę o moduł FAM oraz integrację z zewnętrznymi systemami PIM/PAM (np. CyberArk).

    Rozwiązanie to dostępne jest zarówno w formie chmurowej jak i systemu do wdrożenia OnPrem.

    Identity Now – to inteligentna platforma typu SaaS, która umożliwia obsługę procesu Identity Governance u Klientów, bez konieczności budowania własnej infrastruktury pod ten cel. Jako że jest to bardziej usługa, niż system sam w sobie, możliwe jest osiągnięcie korzyści jak poniżej:

    • szybki i prosty deployment, korzyści biznesowe w krótkim czasie,
    • automatyczne dostarczanie nowych modułów/funkcjonalności,
    • skalowalność od małych przedsiębiorstw do dużych organizacji,
    • może być użytkowana i zarządzana przez analityków biznesowych, bez wymaganej

    wiedzy eksperckiej z zakresu zarządzania tożsamością,

    • prosty model subskrypcyjny licencjonowania.

    Predictive Identity – Wprowadzając do obszaru zarządzania tożsamością elementy sztucznej inteligencji oraz uczenia maszynowego, firma SailPoint stała się prekursorem innowacyjnego nurtu, którego celem jest wsparcie procesu decyzyjnego, rozumianego jako:

    • przewidywanie potrzeb użytkowników w zakresie dostępu,
    • wykrywanie ryzykownych zachowań użytkowników,
    • dostosowywanie i automatyzacja polityk bezpieczeństwa przy jednoczesnym zachowaniu pełnej kontroli dostępów.

    Powyższe funkcjonalności dodatkowe, są możliwe zarówno w obszarze wnioskowania dostępów, certyfikacji, zarządzania hasłami, aprowizacji oraz separacji uprawnień.

    Funkcjonalność Predictive Identity obejmuje 4 moduły:

    • Access Insights
      • Historia dostępów
      • Eksploracja danych
      • Analiza informacji o dostępach
    • Recommendation Engine
      • Wsparcie decyzji (rekomendacje)
      • Identyfikacja dostępów o wysokim ryzyku
      • Auto-akceptacja
    • Access Modeling
      • Analiza wzorców grupowych
      • Identyfikacja ról
      • Wykrywanie odstępstw od ogółu
    • Cloud Governance
      • Scentralizowane zarządzanie dostępami do usług w chmurach największych dostawców (AWS, Azure, and Google Cloud Platform)
      • Monitorowanie dostępów z możliwością blokowania podejrzanych / ryzykownych odwołań
      • Blokowanie dostępów uprzywilejowanych do krytycznej infrastruktury oraz aplikacji
    03.
    FAM

    Rozwiązanie FAM (File Access Manager), to skuteczna kontrola dostępów do danych nieustrukturyzowanych, czyli m.in. tych przechowywanych w plikach, które nie są uwzględnione w podstawowym zakresie zarządzania tożsamością.

    System potrafi zintegrować się z większością popularnych rozwiązań do przechowywania danych:

    • serwery plików (Windows/Unix),
    • storage typu NAS (Hitachi / EMC / NetApp / DFS),
    • portale do pracy grupowej (Sharepoint),
    • systemy pocztowe (Exchange),
    • usługi katalogowe (AD),
    • storage chmurowy (box / dropbox / Goggle Drive / OneDrive / Ctera / itp),
    • bazy danych (MS SQL).

    Rozwiązanie adresuje wszystkie kluczowe etapy zabezpieczania dostępów plikowych, to jest:

    • Identyfikacja i klasyfikacja danych wrażliwych
      • Wykrywanie / klasyfikacja danych / mapowanie uprawnień / monitorowanie aktywności
    • Ustalenie właścicielstwa danych
      • Monitorowanie dostępów / identyfikacja potencjalnych właścicieli / typowanie właściciela na podstawie historii / nominowanie właściciela przez grupę
    • Kontrola zgodności z regulacjami oraz wymaganiami audytowymi
      • Egzekwowanie polityk dostępowych / identyfikacja danych wrażliwych / wsparcie dla procesów audytowych / raporty audytowe
    • Skuteczna redukcja ryzyka związanego z bezpieczeństwem danych
      • Zarządzanie dostępami / minimalizacja ryzyka / monitoring real-time / analiza zdarzeń
    • Kontrola nad migracją danych do Chmury
      • Uporządkowanie uprawnień / konsolidacja dostępów oraz polityk zarządzania dostępami


    Rozwiązanie FAM może być wdrożone jako niezależny system, lub być w pełni zintegrowanym modułem dla systemu IAM (IdentityIQ), czerpiąc wówczas wszelkie korzyści z tak wytworzonej synergii.

    Nasz partner technologiczny – obecna na rynku od 2005 roku amerykańska firma SailPoint Technologies, jest wiodącym dostawcą rozwiązań, służących do zarządzania tożsamością oraz dostępem.

    Wiele innowacyjnych koncepcji w obszarze zarządzania tożsamością, zostało na przestrzeni czasu wprowadzonych na rynek, właśnie dzięki firmie SailPoint, między innymi:

    • Rozszerzenie koncepcji zarządzania tożsamością o funkcjonalności z obszaru Governance (2007 rok),
    • Wprowadzenie Identity Governance jako usługi - SaaS Identity Governance (2013 rok),
    • Rozszerzenie obszaru Identity Governance o zarządzanie plikami - File Access Management (2015 rok),
    • Wprowadzenie elementów sztucznej inteligencji oraz uczenia maszynowego do zarządzania tożsamością oraz dostępami (2017 rok).

     

    Produkty z portfolio firmy SailPoint umożliwiają implementację całościowej polityki zarządzania nie tylko tożsamościami, ale również dostępami do zasobów:

    zarówno infrastrukturalnych jak i aplikacyjnych, czy też danych niestrukturalnych, niezależnie od tego, czy funkcjonują one w chmurze czy w infrastrukturze Klienta (OnPrem).

    Ich właściwe wykorzystanie, pozwala na zaadresowanie wszystkich kluczowych obszarów, w szczególności:

    1. Obsługa procesu wnioskowania o dostępy
      1. Zapewnienie separacji uprawnień
    2. Automatyzacja procesu nadawania / odbierania / modyfikowania przyznanych uprawnień
      1. Zarządzanie hasłami
    3. (Re)certyfikacja istniejących dostępów
    4. Wspomaganie procesu decyzyjnego, dzięki zastosowaniu elementów uczenia maszynowego (Machine-Learning)
    5. Monitorowanie dostępów do danych nieustrukturyzowanych (pliki, dokumenty w chmurze).
    04.
    Nasi partnerzy w zakresie Zarządzania Cyfrową Tożsamością
    05.
    Zobacz także