Управление идентификацией: Всё, что нужно знать
Современные утечки данных, такие как атаки SolarWinds и T-Mobile, - это не единичные случаи; это яркие примеры того, как кто-то может украсть учетные данные сотрудников вашей организации и использовать их для получения незаконного приоритетного доступа к важным активам. Утечки данных происходят ежедневно, причем в слишком большом количестве мест одновременно, чтобы их можно было сосчитать. Они напоминают нам о том, что, независимо от инвестиций в информационную безопасность, критически важные для бизнеса ресурсы могут быть скомпрометированы, если доступ к ним не защищен.
Деятельность компаний зависит от множества различных систем, приложений и устройств, а пользователям требуется доступ к ним, для эффективного выполнения своей работы. Управление ими может быть непростой задачей, особенно в крупных корпорациях, где сотни или тысячи пользователей нуждаются в персонализированном доступе. Управление идентификацией и доступом обеспечивает дополнительный уровень безопасности, отслеживая, контролируя и защищая идентификационные данные пользователей и связанные с ними данные. Оно помогает отслеживать, «кто есть кто», чтобы люди могли получать доступ к информации, которую они имеют право видеть, и совершать операции, которые им разрешено совершать.
Оглавление
Что такое управление идентификацией?
Управление идентификацией - это процесс централизованного управления идентификационными данными пользователей и их правами доступа. Оно включает в себя регистрацию и контроль идентификационных данных в организации и применение политик управления идентификационными данными. Проще говоря, ваша сетевая идентификация - это профиль, идентифицирующий вас при использовании сети, а ваш доступ - это права, которые вы имеете после входа в систему. Вместе они составляют важную часть вашего взаимодействия с компьютером - именно так система узнаёт, что это именно вы, а не кто-то другой, кто пытается войти в ваш аккаунт.
Управление идентификацией на практике
С помощью управления идентификацией и доступом (IAM) только определенным пользователям в организации разрешается получать доступ к конфиденциальной информации и работать с ней. Вот несколько примеров управления идентификацией в действии:
- Создание и обслуживание идентификационных данных: Создавая автоматизированные рабочие процессы для таких сценариев, как прием на работу нового сотрудника или переход на другую должность, IAM централизует жизненный цикл управления идентификацией и доступом сотрудников компании, что сокращает время на обработку изменений доступа и сокращает количество ошибок.
- Управление правами доступа: Права на протяжении всего жизненного цикла назначаются отдельным сотрудникам и их должностям. Например, оператор производства может просматривать онлайн-процедуры, но не имеет права их изменять. С другой стороны, руководитель будет иметь право не только просматривать, но и изменять файлы или создавать новые.
- Проверка личности: Идентификация личности является основой повседневных действий гражданина. После того как государство ввело регистрацию граждан, IAM позволяет правительствам предоставлять людям право доступа к своим данным (свидетельство о рождении, водительские права и т. д.) и подтверждать свою личность.
В ряде систем управления идентификацией и доступом используется управление доступом на основе ролей (RBAC). При данном подходе существуют предопределенные должностные роли с определенными наборами привилегий для доступа. Например, если сотрудник отдела кадров отвечает за обучение, то нет смысла предоставлять ему доступ к ролям и файлам с данными о зарплате. Существует множество других форм автоматического управления доступом, каждая из которых обладает различными функциями и возможностями.
Подпишитесь на обновления по электронной почте
Зарегистрируйтесь для получения дополнительных ресурсов и обновлений по ИТ и смежным технологиям!
How your data will be used
Please see ISO privacy notice. This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Общие характеристики управления идентификацией
На рынке существует множество различных видов программного обеспечения для управления идентификацией, и нет официального определения того, что они должны включать, а что нет. Однако, несколько основных функций все же можно выделить:
- Единая регистрация (SSO): Пользователи могут получить доступ к нескольким приложениям и сервисам из одного места, что избавляет их от необходимости вводить разные имена пользователей и пароли.
- Двухфакторная аутентификация: Проверка личности пользователя осуществляется не только с помощью имени пользователя и пароля, но и с помощью другой информации, например PIN-кода или токена.
Другие функции управления идентификацией могут включать автоматическое создание учетных записей пользователей, управление паролями, документооборот, а также услуги по обеспечению соответствия и аудиту. В последние годы появилось новое поколение технологий управления идентификацией, в которых помимо безопасности особое внимание уделяется простоте использования. В качестве примера можно привести биометрическую аутентификацию (например, по отпечаткам пальцев или распознаванию лиц), многофакторную аутентификацию (требующую нескольких факторов проверки) и систему федеративного управления идентификационными данными, при которой ответственность за аутентификацию отдельных лиц или организаций передается доверенной внешней стороне. SSO - важный аспект управления федеративными идентификаторами.
Данные ключевые особенности управления идентификацией присущи практически всем современным системам управления идентификацией (IMS). IMS - это онлайн-платформа, которая помогает организациям безопасно и эффективно управлять различными идентификационными данными. Она интегрируется с различными другими системами организации, такими как системы управления персоналом, платформы электронной торговли и бухгалтерское программное обеспечение.
Как работает система управления идентификацией?
В широком смысле системы управления идентификацией выполняют три основные задачи: идентификацию, аутентификацию и авторизацию. Благодаря этому нужные люди, в зависимости от их должностных функций, получают доступ к инструментам, необходимым для выполнения их обязанностей, не получая при этом доступа к тем, в которых они не нуждаются.
Идентификация и доступ - в чем разница? Термины «управление идентификацией» и «управление доступом» часто используются как взаимозаменяемые, однако это две разные концепции. Принципиальная разница заключается в том, что управление идентификацией имеет дело с учетными записями пользователей (аутентификация), а управление доступом - с разрешениями и привилегиями (авторизация).
Рассмотрим пример. Когда пользователь вводит свои учетные данные для входа в систему, его личность проверяется по базе данных, чтобы убедиться, что введенные данные совпадают с теми, что хранятся в базе, - это и есть аутентификация. После того как личность пользователя установлена, ему предоставляется доступ к ресурсам, для которых создана учетная запись, - это авторизация.
Управление идентификацией: что это дает?
Система управления идентификацией - это ценный инструмент для защиты информации и ресурсов организаций любого размера. Она позволяет надежно хранить пользовательские данные и управлять привилегиями доступа пользователей, обеспечивая безопасный и надежный способ поддержания бесперебойной работы предприятия.
Преимущества управления идентификацией заключаются в следующем:
- Повышенная безопасность: Система управления идентификацией помогает защитить вашу организацию от несанкционированного доступа и кражи пользовательских данных.
- Повышение эффективности: С помощью системы управления идентификацией вы можете эффективно управлять процедурами входа пользователей в систему и отслеживать их активность на различных платформах, используя единый набор учетных данных.
- Сокращение времени/затрат на обработку: Автоматизированные рабочие процессы в системе позволяют легко управлять и администрировать учетные записи пользователей, экономя время и деньги на административных задачах.
- Повышенное соответствие нормативным требованиям: С помощью системы вы сможете легко обеспечить соответствие нормативным требованиям и стандартам, таким как GDPR и HIPAA (см. ниже).
Внедрение системы управления идентификацией
Внедрение эффективного решения по управлению идентификацией не гарантирует полной безопасности, но соблюдение следующих принципов может сделать вас менее уязвимыми к нарушениям и атакам злоумышленников. Вот несколько рекомендаций, которые следует принять во внимание:
- Внедряйте надежные методы аутентификации (например, многофакторную аутентификацию), чтобы снизить риск несанкционированного доступа.
- Регулярно пересматривайте правила управления доступом, чтобы убедиться, что только авторизованные пользователи имеют доступ к конфиденциальной информации и ресурсам.
- Контролируйте и проверяйте доступ к конфиденциальной информации и ресурсам, чтобы обнаружить и предотвратить несанкционированный доступ.
- Часто обновляйте учетные записи пользователей, чтобы обеспечить их актуальность и точность.
- Внедрите решение для управления паролями, чтобы снизить риск связанных с паролями инцидентов безопасности, таких как их повторное использование или кража.
Что это значит для соответствия нормативным требованиям
Если процессы управления идентификацией и доступом не будут эффективно контролироваться, это может привести к несоответствию отраслевым стандартам или государственным нормам. Мир переходит к более строгим правилам и стандартам управления идентификацией, таким как европейский GDPR (требующий явного согласия пользователей на сбор данных) и американский NIST 800-63 Digital Identity Guidelines (дорожная карта для передовой практики использования систем управления идентификацией).
Существует несколько протоколов, поддерживающих строгую политику использования систем управления идентификацией путем защиты данных и обеспечения их целостности при передаче. Известные как «Аутентификация, авторизация, учет», или AAA (Authentication, Authorization, Accounting), данные протоколы управления идентификацией и доступом обеспечивают стандарты безопасности для упрощения управления доступом, обеспечения соответствия и создания единой системы для управления взаимодействием между пользователями и системами.
Хотя соответствие стандартам ИСО не является законодательным требованием, они естественным образом согласуются с нормативными актами различных отраслей. Поэтому соблюдение стандарта ISO/IEC 27001 в области информационной безопасности может предотвратить возникновение у вашей организации юридических проблем, связанных с важнейшими аспектами управления идентификацией. Основанная на разделении обязанностей и политике «один пользователь - один идентификатор», она продемонстрирует, что ваша корпоративная информация находится под надлежащим контролем.
- ISO/IEC 27001 Information security management systems
- ISO/IEC 24760-1 IT security and privacy — A framework for identity management
- ISO/IEC 27018 Protection of personally identifiable information (PII) in public clouds acting as PII processors
На пути к продвинутому управлению идентификацией
Сложные требования к соблюдению нормативных требований и обеспечению безопасности ставят организации перед необходимостью защитить свою информацию и бросают вызов традиционным способам управления идентификационными данными пользователей. Еще полдесятка лет назад пароли были самым близким к цифровой идентификации способом. Но современные подходы к аутентификации требуют не только пароля. Широкое распространение облачных вычислений, масштабируемость и гибкость которых делают их привлекательными для большинства организаций, привело к новой нагрузке на информационную безопасность.
Сегодня вход в систему без пароля с использованием биометрии или многофакторной аутентификации представляет собой альтернативу традиционной аутентификации, но и этого недостаточно. Когда речь заходит о защите данных в мультиоблачных средах, ИТ-специалисты рассматривают шифрование как важнейший элемент контроля безопасности. Хранение идентификационных данных в блокчейне стало одним из решений, позволяющих получить неизменные записи о конкретной системе без централизованного органа управления. Мы задумываемся о будущем систем управления идентификацией, и, возможно, пройдет совсем немного времени, и системы идентификации на основе блокчейна станут нормой для обеспечения безопасности и сохранности данных пользователя.