رؤية الصناعة: حوكمة الهوية ولماذا تحتاجها

تمثل سرقة الهوية مشكلة كبيرة للجميع ، ولكن خاصة بالنسبة لأولئك الذين يتمتعون بأمان تكنولوجيا المعلومات. لمكافحة هذه المشكلة ، تحتاج الشركات إلى نهج قوي ومدار بعناية لإدارة الهوية. هذا أمر صعب للغاية لأنه يستلزم إدارة من لديه حق الوصول إلى التطبيقات والخدمات ، والتأكد من أن المعلومات مسجلة بشكل صحيح ويمكن الوصول إليها بسهولة لمن يحتاجون إليها. إذا قام شخص ما غير مصرح به بتسوية عبّارة الشبكة الخاصة الافتراضية (VPN) التي تستخدمها شركتك للوصول عن بُعد ، فأنت بحاجة إلى بدء الإصلاح الخاص بك عن طريق معرفة بالضبط من لديه حق الوصول إلى العبّارة والحقوق التي يتحكم فيها كل من هؤلاء المستخدمين بالتحديد.

تتضمن حوكمة الهوية أيضًا الالتزام بالقواعد التي تحكم خصوصية البيانات ، بما في ذلك قانون قابلية تحمل التأمين الصحي والمساءلة (HIPAA) لبيانات الرعاية الصحية واللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). يطلب إجمالي الناتج المحلي التحقق من الهويات ويتم إنشاء مصادقة متعددة العوامل (MFA) لأي شخص يصل إلى أي معلومات تعريف شخصية (PII). تعني حوكمة الهوية القوية أيضًا اتباع نهج مختلط لإدارة الهوية (IDM) في السحابة والأماكن الداخلية. تتطلب هذه الطريقة المختلطة للحوكمة استخدام عملية موحدة ، وفقًا لما قاله Darren Mar-Elia ، رئيس المنتج في شركة IDM IDM Sempre. في مؤتمر حماية هوية الهجين الذي انعقد مؤخرًا في مدينة نيويورك ، اكتشف PCMag مع Mar-Elia للحصول على أفضل ممارساته في إدارة الهوية.

PCMag (PCM): ماذا يعني IDM المختلط؟

Darren Mar-Elia (DME): نظام IDM المختلط هو مجرد نظام هوية تم تمديده من الموقع الداخلي إلى السحابة ، وعادة ما يكون لمنح الوصول إلى التطبيقات المستندة إلى مجموعة النظراء.

PCM: كيف يرتبط IDM المختلط بـ Active Directory (AD) و Microsoft Office 365 والسحابة؟

بورصة دبي للطاقة: هناك الكثير من الشركات التي تدير شركة AD وتقوم بإدارتها لسنوات. هذا هو المكان الذي يتم فيه الاحتفاظ بأسماء المستخدمين وكلمات المرور الخاصة بك ، وفيه يتم عقد عضوية مجموعتك. كل هذه الأشياء يمكن أن تشق طريقها إلى السحابة ، أو يمكنك إنشاء حسابات من نقطة الصفر في السحابة ولا يزال لديك مواقع م. الآن لديك نظام هوية قائم على السحابة يمنح الوصول إلى التطبيقات السحابية ، وهو مجرد وسيلة لتوفير الهوية. بمعنى آخر ، من أنا وما الذي يمكنني الوصول إليه في بيئة سحابية ، سواء أكانت Microsoft Azure أو Amazon أو أيًا كان ما يحدث.

PCM: أين يتم استخدام لوحة معلومات البرنامج الفعلية لإدارة هذا النوع من الحوكمة؟

DME: توفر Microsoft ، بالطبع ، بوابة إدارة لإدارة الهويات السحابية. هناك أيضًا قطعة داخلية تتيح لك القيام بذلك المزامنة حتى Microsoft Azure Active Directory ؛ لذلك يمكنك التحكم في هذه القطعة. هذا برنامج يمكنك تشغيله وإدارته ، وتأكد من أنه يعمل وكل ذلك. بناءً على مقدار المرونة الذي تحتاجه ، يمكنك تحقيق أقصى استفادة من بوابتهم. من الواضح أنه يعمل في سحابة Microsoft ، وهو يوفر لك نظرة على المستأجر. لذلك لديك مستأجر يحدد جميع المستخدمين وكل وصولك إلى التطبيقات.

PCM: ما أنواع التطبيقات التي تحتاجها لإدارة الوصول؟

DME: في حالة Microsoft ، يمكنك إدارة الوصول إلى تطبيقات Office مثل Exchange و SharePoint و OneDrive. تلك هي التطبيقات التي ستديرها عادةً في تلك البيئة. الإدارة تعني منح حق الوصول إلى صندوق البريد الخاص بشخص ما حتى يتمكن من إرساله نيابة عن مستخدم آخر أو القدرة على إعداد التقارير. على سبيل المثال ، يمكنك عرض عدد الرسائل التي تم إرسالها من خلال نظامي والمكان الذي تم إرسالها إليه. في حالة SharePoint ، قد يكون إعداد مواقع يمكن من خلالها للأفراد التعاون أو تحديد من يمكنه منح الوصول إلى تلك المعلومات.

PCM: ما هي التحديات الرئيسية في معالجة IDM في السحابة مقابل المحلية؟

بورصة دبي للطاقة: أعتقد أن التحدي الكبير يتمثل في التمكن من القيام بذلك باستمرار عبر السحابة المحلية. لذلك ، هل لدي الحق في الوصول إلى الموقع وفي السحابة؟ هل يمكنني الوصول إلى الكثير في السحابة مقابل ما أمتلكه؟ لذلك هذا النوع من التباين بين ما يمكنني القيام به في أماكن العمل وما يمكنني القيام به في السحابة أمر مهم لتتبعه.

PCM: ما هي أفضل طريقة لتحقيق التوازن بين IDM الداخلي وما أقوم به في السحابة؟

بورصة دبي للطاقة: سواء كان ذلك من خلال توفير المستخدم أو إدارة وصول المستخدم أو شهادة المستخدم ، كل هذه الأشياء تحتاج إلى أن تأخذ في الاعتبار حقيقة أنك قد تكون في هويات سحابة متعددة بالإضافة إلى أماكن العمل. لذلك ، إذا كنت أقوم بمراجعة الوصول ، فلا ينبغي أن يكون مجرد الأشياء التي يمكنني الوصول إليها محليًا. يجب أن يكون كذلك ، ما الذي يمكنني الوصول إليه في السحابة إذا كنت أقوم بحدث توفير؟ إذا كنت في وظيفة وظيفة الموارد البشرية (HR) ، فسيكون بإمكاني الوصول إلى التطبيقات في أماكن العمل وكذلك في السحابة. عندما أحصل على وظيفة في تلك الوظيفة ، يجب أن أتاح لي كل هذا الوصول. عندما أقوم بتغيير وظائف الوظيفة ، يجب أن أزيل كل هذا الوصول لوظيفة الوظيفة ، وهذا في الموقع وفي السحابة. هذا هو التحدي.

PCM: ما هو الدور الذي يلعبه التعلم الآلي (ML) في IDM أو الهوية المختلطة؟

DME: يتمتع مقدمو الهوية السحابية برؤية حول من يقوم بتسجيل الدخول ، ومن أين يسجلون الدخول ، وعدد المرات التي يسجلون فيها. إنهم يستخدمون ML على مجموعات البيانات الكبيرة هذه لتتمكن من استنتاج أنماط عبر مختلف المستأجرين. لذلك ، على سبيل المثال ، هل هناك عمليات تسجيل دخول مشبوهة تحدث داخل المستأجر الخاص بك ؛ يقوم المستخدم بتسجيل الدخول من نيويورك وبعد ذلك بخمس دقائق من برلين؟ هذه هي مشكلة ML أساسا. أنت تقوم بإنشاء الكثير من بيانات التدقيق كلما قام شخص ما بتسجيل الدخول ، وكنت تستخدم طرازات الجهاز لربط النماذج التي قد تكون مريبة بشكل أساسي. للمضي قدمًا ، أعتقد أن ML سيتم تطبيقه على عمليات مثل مراجعات الوصول لتكون قادرًا على استنتاج السياق لمراجعة الوصول بدلاً من مجرد إعطائي قائمة بالمجموعات التي أستخدمها وأقول "نعم ، يجب أن أكون في هذه المجموعة "أو" لا ، لا ينبغي أن أكون في هذه المجموعة. " أعتقد أن هذه مشكلة ذات مستوى عالٍ من المحتمل أن يتم حلها في نهاية المطاف ، ولكن هذا مجال أعتقد أن ML سيساعده.

PCM: بقدر ما يساعد ML في الهجين IDM ، هل يعني هذا أنه يساعد في الداخل وفي السحابة؟

بورصة دبي للطاقة: إلى حد ما ، هذا صحيح. هناك منتجات تقنية معينة من شأنها أن تجمع ، على سبيل المثال ، بيانات التدقيق أو التفاعل AD بين AD المحلي وكذلك بيانات الهوية السحابية ، وتكون قادرة على السطح مع نفس النوع من قائمة المخاطر حيث توجد عمليات تسجيل الدخول المشبوهة في أماكن العمل م أو في السحابة. لا أعتقد أنه مثالي اليوم. تريد أن ترسم صورة تُظهر تغييراً سلسًا للسياق. إذا كنت مستخدمًا في إعلان داخلي ، فحينئذٍ تكون هناك احتمالات ، إذا تعرضت للاختراق ، فقد أواجه خطرًا في كل من الموقعين الداخليين و Azure AD. لا أعرف أن هذه المشكلة قد تم حلها بالكامل حتى الآن.

PCM: لقد تحدثت عن "توفير حق مكتسب". ما هذا ، وما هو الدور الذي يلعبه هذا في IDM المختلطة؟

بورصة دبي للطاقة: توفير ميراث هو مجرد وصول الموظفين الجدد عندما ينضمون إلى شركة. يحصلون على حساب وحساب ما يحصلون عليه ، وأين يحصلون عليه. بالعودة إلى مثالي السابق ، إذا كنت من موظفي الموارد البشرية ينضم إلى الشركة ، فقد حصلت على إنشاء إعلان. من المحتمل أن أحصل على إعلان Azure ، ربما من خلال المزامنة ولكن ربما لا ، وسوف أحصل على مجموعة من الأشياء لأؤدي وظيفتي. قد تكون تطبيقات أو قد تكون ملفات مشتركة أو قد تكون مواقع SharePoint أو قد تكون صناديق بريد Exchange. يجب أن يحدث كل هذا التوفير ومنح الوصول عند انضمامي. هذا هو حق مكتسب بشكل أساسي.

PCM: لقد تحدثت أيضًا عن مفهوم يسمى "ختم المطاط". كيف يعمل هذا؟

DME: تقول اللوائح الخاصة بالكثير من الشركات المتداولة في البورصة إنه يتعين عليها مراجعة الوصول إلى الأنظمة الحيوية التي تحتوي على أشياء مثل المعلومات الشخصية وبيانات العملاء والمعلومات الحساسة. لذلك عليك مراجعة الوصول على أساس دوري. عادة ما يكون كل ثلاثة أشهر لكنه يعتمد على التنظيم. ولكن عادةً ما تكون الطريقة التي تعمل بها ، لديك تطبيق ينشئ مراجعات الوصول هذه ، ويرسل قائمة المستخدمين في مجموعة معينة إلى مدير مسؤول عن تلك المجموعة أو التطبيق ، ومن ثم يتعين على هذا الشخص التصديق على أن جميع هؤلاء المستخدمين لا يزالون تنتمي في هذه المجموعة. إذا كنت تولد الكثير من هذه العناصر وأجهد مدير العمل ، فهذه عملية غير كاملة. أنت لا تعرف أنهم يراجعونها. هل يراجعونها بدقة كما يحتاجون؟ هل حقا أن هؤلاء الناس ما زالوا بحاجة للوصول؟ وهذا ما ختم المطاط. لذلك ، إذا كنت لا تهتم به حقًا ، فهذا يميل إلى أن يكون مجرد شيك يشير إلى "نعم ، لقد قمت بالمراجعة ، لقد تمت ، لقد خرجت من شعري" ، بدلاً من فهم حقيقة ما إذا كان الوصول لا تزال هناك حاجة.

PCM: هل تعتبر مراجعات الوصول إلى ختم المطاط مشكلة أم أنها مجرد مسألة كفاءة؟

بورصة دبي للطاقة: أعتقد أنهما كلاهما. الناس مرهقون. إنهم يحصلون على الكثير من الأشياء ، وأظن أنه من الصعب الاحتفاظ بها بالإضافة إلى أي شيء آخر يفعله. لذلك أعتقد أن هذا يتم لأسباب تنظيمية ، وأنا أتفق معها تمامًا وأتفهمها تمامًا. لكنني لا أعرف ما إذا كانت هذه هي الطريقة الأفضل أو الطريقة الميكانيكية الأفضل لإجراء مراجعات الوصول أم لا.

PCM: كيف تتعامل الشركات مع اكتشاف الأدوار؟

DME: إدارة الوصول المستند إلى الأدوار هي هذه الفكرة التي تقوم بتعيين الوصول إليها استنادًا إلى دور المستخدم في المؤسسة. ربما هي وظيفة الفرد التجارية أو وظيفة الشخص. يمكن أن يستند إلى لقب الفرد. اكتشاف الأدوار هو عملية محاولة لاكتشاف الأدوار التي قد توجد بشكل طبيعي في المؤسسة بناءً على كيفية منح الوصول إلى الهوية اليوم. على سبيل المثال ، قد أقول أن هذا الشخص الذي ينتمي إلى الموارد البشرية هو عضو في هذه المجموعات ؛ لذلك ، يجب أن يكون دور الشخص HR الوصول إلى تلك المجموعات. هناك أدوات يمكن أن تساعد في ذلك ، وبناء الأدوار بشكل أساسي بناءً على الوصول الحالي الممنوح في البيئة. وهذه هي عملية اكتشاف الأدوار التي نمر بها عندما تحاول بناء نظام لإدارة الوصول القائم على الدور.

PCM: هل لديك أي نصائح يمكنك تقديمها للشركات الصغيرة والمتوسطة الحجم (SMB) حول كيفية التعامل مع IDM المختلطة؟

بورصة دبي للطاقة: إذا كنت من الشركات الصغيرة والمتوسطة ، أعتقد أن الهدف هو عدم العيش في عالم هوية هجين. الهدف هو الوصول إلى هوية سحابة فقط ومحاولة الوصول إليها في أسرع وقت ممكن. بالنسبة إلى الشركات الصغيرة والمتوسطة ، فإن تعقيدات إدارة الهوية المختلطة ليست من الأعمال التي يريدونها. إنها رياضة للمؤسسات الكبيرة حقًا التي يتعين عليها القيام بها لأن لديها الكثير من الأشياء الداخلية. في عالم SMB ، أعتقد أن الهدف يجب أن يكون "كيف يمكنني الوصول إلى نظام هوية سحابية عاجلاً أم آجلاً؟ كيف يمكنني الخروج من العمل المحلي عاجلاً أم آجلاً؟" ربما هذا هو النهج الأكثر عملية.

PCM: متى ستقوم الشركات باستخدام الهجينة مقابل العمليات المحلية فقط أم السحابة؟

بورصة دبي للطاقة: أعتقد أن السبب الأكبر لوجود هجين هو أن لدينا مؤسسات أكبر لديها الكثير من التكنولوجيا القديمة في أنظمة الهوية المحلية. إذا كانت الشركة تبدأ من نقطة الصفر اليوم… فهي لن تنشر شركة إعلانية كشركة جديدة ؛ إنهم يدورون في Google AD باستخدام Google G Suite ، والآن يعيشون في السحابة تمامًا. ليس لديهم أي بنية تحتية محلية. بالنسبة لكثير من المؤسسات الكبيرة التي لديها تكنولوجيا موجودة منذ سنوات ، فهذا ليس بالأمر العملي. لذلك عليهم أن يعيشوا في هذا العالم الهجين. سواء أكان سيتم الوصول إلى السحابة فقط ، فربما يعتمد ذلك على نموذج أعمالهم ومدى أولوية ذلك بالنسبة لهم والمشكلات التي يحاولون حلها. كل ما يذهب إلى ذلك. لكنني أعتقد بالنسبة لتلك المنظمات ، أنها سوف تكون في عالم هجين لفترة طويلة.

PCM: ما هو شرط العمل الذي سيدفعهم إلى السحابة؟

DME: تطبيق نموذجي مثل تطبيق أعمال موجود في السحابة أو تطبيق SaaS مثل Salesforce أو Workday أو Concur. وتتوقع هذه التطبيقات توفير هوية سحابة لتكون قادرة على منح الوصول إليها. يجب أن يكون لديك هوية السحابة هذه في مكان ما ، وهذا هو ما يحدث عادةً. مايكروسوفت مثال مثالي. إذا كنت تريد استخدام Office 365 ، فعليك توفير الهويات في Azure AD. ليس هناك خيار حول هذا الموضوع. بحيث يدفع الناس للحصول على Azure AD الخاصة بهم ، وبعد ذلك ، بمجرد وجودهم هناك ، ربما يقررون أنهم يريدون تسجيل الدخول الموحد لتطبيقات الويب الأخرى وتطبيقات SaaS الأخرى في السحابة ، وهم الآن في السحابة.

• 10 خطوات أساسية لحماية هويتك على الإنترنت 10 خطوات أساسية لحماية هويتك على الإنترنت
• أفضل حلول إدارة الهوية لعام 2019 أفضل حلول إدارة الهوية لعام 2019
• 7 خطوات لتقليل الاحتيال والتزوير من قبل الرئيس التنفيذي

PCM: أي تنبؤات كبيرة لمستقبل IDM أو الحوكمة؟

بورصة دبي للطاقة: الناس لا يفكرون بعد في حوكمة الهوية المختلطة أو IDM المختلطة كشيء واحد. أعتقد أن هذا يجب أن يحدث ، سواء تم دفعهم إلى هناك من خلال اللوائح أو قيام البائعين بالتقدم وتقديم حل إدارة الهوية من البداية إلى النهاية لتلك العوالم المختلطة. أعتقد أنه يجب أن يحدث أي منهما ، ويجب أن يحل الناس مشاكل مثل الفصل بين الواجبات عبر الهوية المختلطة وإدارة الوصول. أعتقد أن هذه هي النتيجة الأكثر حتمًا التي ستحدث عاجلاً وليس آجلاً.