ข้อมูลเชิงลึกของอุตสาหกรรม: การกำกับดูแลตัวตนและเหตุผลที่คุณต้องการ

การขโมยข้อมูลประจำตัวเป็นปัญหาใหญ่สำหรับทุกคน แต่โดยเฉพาะอย่างยิ่งสำหรับผู้ที่อยู่ในความปลอดภัยด้านไอที เพื่อต่อสู้กับปัญหานี้ บริษัท จำเป็นต้องมีวิธีการจัดการและควบคุมอย่างเข้มงวด นั่นเป็นเรื่องยากโดยเฉพาะอย่างยิ่งเนื่องจากมีการจัดการอย่างรอบคอบว่าใครสามารถเข้าถึงแอพพลิเคชั่นและบริการและทำให้แน่ใจว่าข้อมูลนั้นได้รับการบันทึกอย่างถูกต้องและเข้าถึงได้ง่ายสำหรับผู้ที่ต้องการ หากใครบางคนที่ไม่ได้รับอนุญาตประนีประนอมเกตเวย์เครือข่ายส่วนตัวเสมือน (VPN) บริษัท ของคุณใช้สำหรับการเข้าถึงระยะไกลคุณต้องเริ่มต้นการแก้ไขของคุณโดยการรู้ว่าใครสามารถเข้าถึงเกตเวย์และสิทธิ์ในการควบคุมของผู้ใช้แต่ละคน

การกำกับดูแลข้อมูลประจำตัวยังเกี่ยวข้องกับการปฏิบัติตามกฎระเบียบที่ควบคุมความเป็นส่วนตัวของข้อมูลรวมถึงพระราชบัญญัติการประกันสุขภาพและความรับผิดชอบ (HIPAA) สำหรับข้อมูลการดูแลสุขภาพและระเบียบป้องกันข้อมูลทั่วไปของสหภาพยุโรป (GDPR) GDPR เรียกร้องให้มีการตรวจสอบตัวตนและการรับรองความถูกต้องหลายปัจจัย (MFA) มีไว้สำหรับทุกคนที่เข้าถึงข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) การกำกับดูแลตัวตนที่แข็งแกร่งยังหมายถึงการใช้วิธีการแบบผสมผสานเพื่อการจัดการข้อมูลผู้ใช้ (IDM) ในระบบคลาวด์และในสถานที่ วิธีไฮบริดเพื่อการกำกับดูแลนี้ต้องใช้กระบวนการแบบครบวงจรตาม Darren Mar-Elia หัวหน้าผลิตภัณฑ์ที่ Semperis ผู้ขาย IDM ขององค์กร ในการประชุม Hybrid Identity Protection ที่นิวยอร์กเมื่อเร็ว ๆ นี้ PCMag ได้ติดต่อกับ Mar-Elia เพื่อรับแนวทางปฏิบัติที่ดีที่สุดในการกำกับดูแลตัวตน

PCMag (PCM): ไฮบริด IDM นำมาซึ่งอะไร

Darren Mar-Elia (DME): ระบบ IDM แบบไฮบริดเป็นเพียงระบบตัวตนที่ขยายจากในสถานที่ไปยังระบบคลาวด์และโดยปกติจะเป็นการให้การเข้าถึงแอพพลิเคชั่นบนระบบคลาวด์

PCM: ไฮบริด IDM เกี่ยวข้องกับ Active Directory (AD), Microsoft Office 365 และคลาวด์อย่างไร

DME: มี บริษัท จำนวนมากที่ใช้งานโฆษณาและใช้งานมาหลายปี นี่คือที่ชื่อผู้ใช้และรหัสผ่านของคุณและที่เป็นสมาชิกกลุ่มของคุณ ทุกสิ่งนั้นสามารถนำไปสู่คลาวด์ได้หรือคุณสามารถสร้างบัญชีตั้งแต่เริ่มต้นในคลาวด์และยังมีโฆษณาในสถานที่ ตอนนี้คุณมีระบบข้อมูลประจำตัวแบบคลาวด์ที่อนุญาตการเข้าถึงแอพคลาวด์และเป็นเพียงวิธีการระบุตัวตน กล่าวอีกนัยหนึ่งว่าฉันคือใครและฉันจะเข้าถึงอะไรในสภาพแวดล้อมคลาวด์ไม่ว่าจะเป็น Microsoft Azure หรือ Amazon หรืออะไรก็ตามที่เกิดขึ้น

PCM: แดชบอร์ดซอฟต์แวร์จริงใช้ในการจัดการการกำกับดูแลประเภทนั้นอยู่ที่ไหน

DME: แน่นอนว่า Microsoft เป็นพอร์ทัลการจัดการสำหรับการจัดการข้อมูลประจำตัวบนคลาวด์ นอกจากนี้ยังมีชิ้นส่วนในสถานที่ช่วยให้คุณสามารถทำข้อมูลให้ตรงกันกับ Microsoft Azure Active Directory เพื่อให้คุณควบคุมชิ้นส่วนนั้น นั่นคือซอฟต์แวร์ชิ้นหนึ่งที่คุณจะเรียกใช้และจัดการตรวจสอบให้แน่ใจว่ามันใช้งานได้และทุกอย่างนั้น ขึ้นอยู่กับว่าคุณต้องการความยืดหยุ่นมากแค่ไหนคุณสามารถทำได้มากที่สุดจากพอร์ทัลของพวกเขา เห็นได้ชัดว่ามันทำงานบนคลาวด์ของ Microsoft และทำให้คุณเห็นผู้เช่าของคุณ ดังนั้นคุณมีผู้เช่าที่กำหนดผู้ใช้ทั้งหมดของคุณและการเข้าถึงแอพทั้งหมดของคุณ

PCM: คุณต้องจัดการแอพประเภทใด?

DME: ในกรณีของ Microsoft คุณสามารถจัดการการเข้าถึงแอพ Office เช่น Exchange, SharePoint และ OneDrive นี่คือแอพที่คุณมักจะจัดการในสภาพแวดล้อมนั้น และการจัดการหมายถึงการอนุญาตให้เข้าถึงกล่องจดหมายของใครบางคนเพื่อให้สามารถส่งในนามของผู้ใช้รายอื่นหรือสามารถรายงานได้ ตัวอย่างเช่นคุณสามารถดูจำนวนข้อความที่ถูกส่งผ่านระบบของฉันและที่พวกเขาถูกส่งไปยัง ในกรณีของ SharePoint อาจมีการตั้งค่าไซต์ที่ผู้ใช้สามารถทำงานร่วมกันหรือระบุผู้ที่สามารถให้สิทธิ์การเข้าถึงข้อมูลนั้น

PCM: อะไรคือความท้าทายหลักในการจัดการกับ IDM ในระบบคลาวด์และในสถานที่

DME: ฉันคิดว่าความท้าทายที่ยิ่งใหญ่สามารถทำได้อย่างต่อเนื่องทั้งในระบบคลาวด์และในสถานที่ ดังนั้นฉันมีสิทธิ์เข้าใช้ในสถานที่และในระบบคลาวด์หรือไม่ ฉันเข้าถึงคลาวด์มากเกินไปเมื่อเทียบกับสิ่งที่ฉันมีในสถานที่หรือไม่ ดังนั้นความแตกต่างระหว่างสิ่งที่ฉันสามารถทำได้ในสถานที่และสิ่งที่ฉันสามารถทำได้ในคลาวด์จึงเป็นสิ่งสำคัญในการติดตาม

PCM: อะไรคือวิธีที่ดีที่สุดในการสร้างสมดุลระหว่าง IDM ในสถานที่และสิ่งที่ฉันทำในคลาวด์

DME: ไม่ว่าจะเป็นการจัดเตรียมผู้ใช้การจัดการการเข้าถึงของผู้ใช้หรือการรับรองผู้ใช้สิ่งเหล่านี้จำเป็นต้องคำนึงถึงข้อเท็จจริงที่ว่าคุณอาจมีตัวตนแบบคลาวด์หลายตัวนอกเหนือจากในสถานที่ ดังนั้นหากฉันทำการตรวจสอบการเข้าถึงมันไม่ควรเป็นสิ่งที่ฉันสามารถเข้าถึงได้ในสถานที่ มันควรจะเป็นอย่างนั้นฉันจะมีสิทธิ์เข้าถึงอะไรในคลาวด์ถ้าฉันทำกิจกรรมการจัดสรร ถ้าฉันอยู่ในฟังก์ชั่นงานทรัพยากรบุคคล (HR) ฉันจะสามารถเข้าถึงแอพในสถานที่เช่นเดียวกับในระบบคลาวด์ เมื่อฉันได้รับการจัดสรรให้กับฟังก์ชั่นงานนั้นฉันควรจะให้สิทธิ์การเข้าถึงทั้งหมดแก่ฉัน เมื่อฉันเปลี่ยนฟังก์ชั่นงานฉันควรจะลบการเข้าถึงทั้งหมดสำหรับฟังก์ชั่นงานนั้นและนั่นคือสถานที่และในคลาวด์ นั่นคือความท้าทาย

PCM: การเรียนรู้ของเครื่อง (ML) เล่นบทบาทอะไรใน IDM หรือเอกลักษณ์ไฮบริด

DME: ผู้ให้บริการข้อมูลประจำตัวแบบคลาวด์มีการมองเห็นว่าใครกำลังเข้าสู่ระบบที่พวกเขากำลังเข้าสู่ระบบและความถี่ที่พวกเขากำลังเข้าสู่ระบบพวกเขากำลังใช้ ML ในชุดข้อมูลขนาดใหญ่เหล่านั้นเพื่อให้สามารถอนุมานรูปแบบทั่วผู้เช่าที่แตกต่างกัน ตัวอย่างเช่นมีการลงชื่อเข้าใช้ที่น่าสงสัยเกิดขึ้นภายในผู้เช่าของคุณหรือไม่ ผู้ใช้เข้าสู่ระบบจากนิวยอร์กและจากนั้นอีกห้านาทีต่อจากเบอร์ลิน นั่นคือปัญหา ML โดยพื้นฐานแล้ว คุณกำลังสร้างข้อมูลการตรวจสอบจำนวนมากเมื่อใดก็ตามที่มีคนลงชื่อเข้าใช้และคุณกำลังใช้โมเดลเครื่องเพื่อเชื่อมโยงรูปแบบโดยทั่วไปซึ่งอาจเป็นที่น่าสงสัย ในอนาคตฉันคิดว่า ML จะถูกนำไปใช้กับกระบวนการต่าง ๆ เช่นการตรวจสอบการเข้าถึงเพื่อให้สามารถสรุปบริบทสำหรับการตรวจสอบการเข้าถึงแทนที่จะให้รายชื่อกลุ่มที่ฉันเข้ามาและพูดว่า "ใช่ฉันควรอยู่ในกลุ่มนี้ "หรือ" ไม่ฉันไม่ควรอยู่ในกลุ่มนั้น " ฉันคิดว่านั่นเป็นปัญหาที่มีลำดับสูงกว่าซึ่งอาจจะได้รับการแก้ไขในที่สุด แต่ก็เป็นพื้นที่ที่ฉันคิดว่า ML จะช่วยได้

PCM: เท่าที่ ML ช่วยไฮบริด IDM หมายความว่าช่วยทั้งในสถานที่และในระบบคลาวด์หรือไม่

DME: ในระดับหนึ่งมันเป็นเรื่องจริง มีผลิตภัณฑ์เทคโนโลยีเฉพาะที่จะเก็บรวบรวมตัวอย่างเช่นการตรวจสอบหรือข้อมูลการโต้ตอบระหว่างโฆษณาในสถานที่และข้อมูลประจำตัวของคลาวด์และสามารถแสดงให้เห็นว่ามีรายการความเสี่ยงประเภทเดียวกันที่มีการเข้าสู่ระบบที่น่าสงสัย โฆษณาหรือในคลาวด์ วันนี้ฉันไม่คิดว่ามันสมบูรณ์แบบ คุณต้องการทาสีรูปภาพที่แสดงการเปลี่ยนแปลงตามบริบทที่ไร้รอยต่อ หากฉันเป็นผู้ใช้โฆษณาในสถานที่โอกาสที่ฉันจะถูกประนีประนอมฉันอาจถูกโจมตีทั้งในสถานที่และ Azure AD ฉันไม่ทราบว่าปัญหานี้ได้รับการแก้ไขอย่างสมบูรณ์แล้วหรือยัง

PCM: คุณเคยพูดเกี่ยวกับ นี่คืออะไรและมีบทบาทอย่างไรในไฮบริด IDM

DME: การ จัดเตรียมแบบไม่เป็นธรรมเป็นเพียงการเข้าถึงพนักงานใหม่ที่จะได้รับเมื่อเข้าร่วม บริษัท พวกเขาได้รับการจัดสรรด้วยบัญชีและการเข้าถึงที่พวกเขาได้รับและที่พวกเขาได้รับการจัดเตรียม ย้อนกลับไปที่ตัวอย่างก่อนหน้าของฉันถ้าฉันเป็นคน HR ร่วมงานกับ บริษัท ฉันได้รับโฆษณา ฉันอาจได้รับ Azure AD อาจจะผ่านการซิงโครไนซ์ แต่อาจจะไม่และฉันจะเข้าถึงชุดของสิ่งต่าง ๆ เพื่อทำงานของฉัน พวกเขาอาจเป็นแอพพวกเขาอาจแชร์ไฟล์พวกเขาอาจเป็นไซต์ SharePoint หรืออาจเป็นกล่องจดหมาย Exchange การจัดสรรและการอนุญาตการเข้าถึงทั้งหมดควรเกิดขึ้นเมื่อฉันเข้าร่วม นั่นคือการจัดเตรียมสิทธิบุตรหัวปีเป็นหลัก

PCM: คุณเคยพูดถึงแนวคิดที่เรียกว่า "ยางปั๊ม" มันทำงานอย่างไร

DME: กฎระเบียบสำหรับ บริษัท ที่มีการซื้อขายหุ้นสาธารณะหลายแห่งกล่าวว่าพวกเขาต้องทบทวนการเข้าถึงระบบที่สำคัญซึ่งมีสิ่งต่าง ๆ เช่นข้อมูลส่วนบุคคลข้อมูลลูกค้าและข้อมูลที่ละเอียดอ่อน ดังนั้นคุณต้องตรวจสอบการเข้าถึงเป็นระยะ โดยปกติจะเป็นรายไตรมาส แต่ขึ้นอยู่กับกฎระเบียบ แต่โดยทั่วไปแล้ววิธีการทำงานคือคุณมีแอพที่สร้างบทวิจารณ์การเข้าถึงเหล่านั้นส่งรายชื่อผู้ใช้ในกลุ่มใดกลุ่มหนึ่งไปยังผู้จัดการที่รับผิดชอบกลุ่มหรือแอพนั้นจากนั้นบุคคลนั้นต้องรับรองว่าผู้ใช้ทั้งหมดยังคงอยู่ อยู่ในกลุ่มนั้น หากคุณกำลังสร้างสิ่งเหล่านี้จำนวนมากและผู้จัดการทำงานหนักเกินไปมันเป็นกระบวนการที่ไม่สมบูรณ์ คุณไม่รู้ว่าพวกเขากำลังตรวจสอบมัน พวกเขาตรวจสอบอย่างละเอียดเท่าที่จำเป็นหรือไม่ เป็นเรื่องจริงหรือที่คนเหล่านี้ยังต้องการการเข้าถึง? และนั่นคือสิ่งที่ปั๊มยาง ดังนั้นหากคุณไม่ได้ให้ความสนใจกับมันจริง ๆ มันมีแนวโน้มที่จะเป็นเพียงเครื่องหมายที่ระบุว่า "ใช่ฉันทำการตรวจสอบเสร็จแล้วฉันเอามันออกไปจากผม" ซึ่งตรงข้ามกับการเข้าใจว่าการเข้าถึงนั้นเป็นจริงหรือไม่ ยังจำเป็น

PCM: การเข้าถึงการปั๊มยางตรวจสอบปัญหาหรือเป็นเรื่องของประสิทธิภาพหรือไม่?

DME: ฉันคิดว่ามันทั้งคู่ ผู้คนทำงานหนักเกินไป พวกเขาได้รับสิ่งต่าง ๆ มากมายถูกโยนใส่พวกเขาและฉันสงสัยว่ามันเป็นกระบวนการที่ยากที่จะดำเนินการให้ดียิ่งกว่าสิ่งอื่นใดที่ทำ ดังนั้นฉันคิดว่ามันทำขึ้นด้วยเหตุผลด้านกฎระเบียบซึ่งฉันเห็นด้วยและเข้าใจ แต่ฉันไม่รู้ว่ามันเป็นวิธีการที่ดีที่สุดหรือวิธีการทางกลที่ดีที่สุดในการทำการตรวจสอบการเข้าถึง

PCM: บริษัท ต่างๆจัดการกับการค้นพบบทบาทอย่างไร

DME: การจัดการการเข้าถึงตามบทบาทเป็นแนวคิดที่คุณกำหนดการเข้าถึงตามบทบาทของผู้ใช้ในองค์กร อาจจะเป็นหน้าที่ทางธุรกิจของบุคคลหรืองานของบุคคล มันอาจขึ้นอยู่กับชื่อของแต่ละบุคคล การค้นหาบทบาทคือกระบวนการของการพยายามค้นหาว่าบทบาทใดที่อาจมีอยู่ตามธรรมชาติในองค์กรโดยขึ้นอยู่กับการเข้าถึงข้อมูลประจำตัวในปัจจุบัน ตัวอย่างเช่นฉันอาจพูดได้ว่าบุคคล HR คนนี้เป็นสมาชิกของกลุ่มเหล่านี้ ดังนั้นบทบาทบุคคล HR ควรมีการเข้าถึงกลุ่มเหล่านั้น มีเครื่องมือที่สามารถช่วยได้โดยทั่วไปแล้วการสร้างบทบาทตามการเข้าถึงที่มีอยู่ที่ได้รับในสภาพแวดล้อม และนั่นคือกระบวนการค้นหาบทบาทที่เราดำเนินการเมื่อคุณพยายามสร้างระบบการจัดการการเข้าถึงตามบทบาท

PCM: คุณมีเคล็ดลับใดบ้างที่คุณสามารถให้สำหรับธุรกิจขนาดเล็กถึงขนาดกลาง (SMBs) เกี่ยวกับวิธีเข้าถึงไฮบริด IDM ได้หรือไม่

DME: หากคุณเป็น SMB ฉันคิดว่าเป้าหมายคือการไม่ได้อยู่ในโลกของตัวตนแบบลูกผสม เป้าหมายคือการเข้าถึงตัวตนแบบคลาวด์เท่านั้นและพยายามไปที่นั่นโดยเร็วที่สุด สำหรับ SMB นั้นความซับซ้อนของการจัดการเอกลักษณ์ไฮบริดไม่ใช่ธุรกิจที่พวกเขาต้องการมันเป็นกีฬาสำหรับองค์กรขนาดใหญ่ที่ต้องทำเพราะพวกเขามีสิ่งต่างๆมากมาย ในโลกธุรกิจ SMB ฉันคิดว่าเป้าหมายควรเป็น "ฉันจะไปยังระบบเอกลักษณ์บนคลาวด์ได้เร็วกว่าในภายหลังได้อย่างไรฉันจะออกจากธุรกิจในสถานที่ได้เร็วกว่าในภายหลัง" นั่นอาจเป็นวิธีที่ใช้งานได้จริงที่สุด

PCM: เมื่อใดที่ บริษัท ต่างๆจะใช้ระบบไฮบริดเมื่อเทียบกับในสถานที่หรือบนระบบคลาวด์

DME: ฉันคิดว่าเหตุผลที่ดีที่สุดที่มีไฮบริดอยู่ก็คือเพราะเรามีองค์กรขนาดใหญ่ที่มีเทคโนโลยีดั้งเดิมจำนวนมากในระบบเอกลักษณ์ในสถานที่ หาก บริษัท เริ่มจากศูนย์ในวันนี้ … พวกเขาไม่ได้ปรับใช้ AD เป็น บริษัท ใหม่ พวกเขากำลังหมุน Google AD ด้วย Google G Suite และตอนนี้พวกเขาอาศัยอยู่ในคลาวด์โดยสิ้นเชิง พวกเขาไม่มีโครงสร้างพื้นฐานในสถานที่ใด ๆ สำหรับองค์กรขนาดใหญ่จำนวนมากที่มีเทคโนโลยีที่ใช้งานกันมาหลายปีแล้วนั่นก็ไม่สามารถนำไปใช้ได้จริง ดังนั้นพวกเขาจึงต้องอยู่ในโลกไฮบริดนี้ ไม่ว่าพวกเขาจะไปที่คลาวด์เท่านั้นหรือไม่มันอาจขึ้นอยู่กับรูปแบบธุรกิจของพวกเขาและความสำคัญเป็นลำดับแรกสำหรับพวกเขาและปัญหาที่พวกเขากำลังพยายามแก้ไข ทุกสิ่งที่เกิดขึ้น แต่ฉันคิดว่าสำหรับองค์กรเหล่านั้นพวกเขาจะอยู่ในโลกไฮบริดเป็นเวลานาน

PCM: อะไรคือข้อกำหนดของธุรกิจที่จะผลักพวกเขาสู่คลาวด์

DME: แอปทั่วไปเหมือนแอปธุรกิจที่อยู่ในคลาวด์แอพ SaaS เช่น Salesforce, Workday หรือ Concur และแอพเหล่านั้นคาดว่าจะจัดเตรียมข้อมูลประจำตัวแบบคลาวด์เพื่อให้สามารถเข้าถึงได้ คุณต้องมีข้อมูลประจำตัวของคลาวด์นั้นอยู่ที่ไหนสักแห่งและโดยทั่วไปนั่นคือสิ่งที่เกิดขึ้น Microsoft เป็นตัวอย่างที่สมบูรณ์แบบ หากคุณต้องการใช้ Office 365 คุณต้องจัดเตรียมข้อมูลประจำตัวใน Azure AD ไม่มีทางเลือกเกี่ยวกับมัน เพื่อผลักดันให้ผู้คนได้รับ Azure AD ของพวกเขาจากนั้นเมื่อพวกเขาอยู่ที่นั่นพวกเขาอาจตัดสินใจว่าพวกเขาต้องการลงชื่อเข้าใช้เว็บแอพอื่น ๆ แอพ SaaS อื่น ๆ ในระบบคลาวด์และตอนนี้พวกเขาอยู่ในคลาวด์

• 10 ขั้นตอนที่จำเป็นสำหรับการปกป้องตัวตนของคุณออนไลน์ 10 ขั้นตอนที่จำเป็นสำหรับการปกป้องตัวตนของคุณทางออนไลน์
• โซลูชั่นการจัดการข้อมูลบุคคลที่ดีที่สุดสำหรับปี 2562 โซลูชั่นการจัดการข้อมูลบุคคลที่ดีที่สุดสำหรับปี 2562
• 7 ขั้นตอนในการลดการฉ้อโกงของ CEO และการปลอมแปลงตัวตน 7 ขั้นตอนในการลดการฉ้อโกงของ CEO และการปลอมแปลงตัวตน

PCM: การคาดการณ์ครั้งใหญ่สำหรับอนาคตของ IDM หรือการกำกับดูแล?

DME: ผู้คนยังไม่ได้คิดเกี่ยวกับการกำกับดูแลตัวตนแบบผสมหรือแบบผสม IDM เป็นเรื่องเดียว ฉันคิดว่ามันต้องเกิดขึ้นไม่ว่าพวกเขาจะถูกผลักดันจากกฎระเบียบหรือผู้ขายที่ก้าวขึ้นมาและนำเสนอโซลูชั่นการกำกับดูแลอัตลักษณ์แบบ end-to-end สำหรับโลกลูกผสมนั้น ฉันคิดว่าจะต้องเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้และผู้คนจะต้องแก้ปัญหาเช่นการแยกหน้าที่ข้ามตัวตนแบบไฮบริดและการจัดการการเข้าถึง ฉันคิดว่านั่นอาจเป็นผลลัพธ์ที่หลีกเลี่ยงไม่ได้ที่สุดที่จะเกิดขึ้นเร็วกว่าในภายหลัง