Az Active Directory (AD) mára a jogosultság- és hozzáféréskezelés (IAM) alapvető eszközévé vált: a Gartner szerint a vállalatok több mint 90 százaléka használja helyi (on-premise) fiókjainak kezelésére, a jogosultságok kiosztásától kezdve azok visszavonásán vagy megváltoztatásán át a törlésükig, míg 85 százalékuk az Azure Active Directoryt (AAD) alkalmazza ugyanerre a célra felhős környezetben.

Az AAD-n keresztül végrehajtott napi 10 milliárd hitelesítési művelet nagy részét az Office 365, az Exchange Online vagy a SharePoint teszik ki, de a többfaktoros hitelesítés (Multi Factor Authentication –MFA), az egyszeri bejelentkezéssel történő azonosítás (Single Sign-On – SSO) és a jelszókezelés is egyre nagyobb mértékben támaszkodik az Azure-platformra. Az AAD-t használó vállalatok esetében az alapot szinte mindig az AD képezi. Mivel azonban az AAD nem a helyi AD felhőalapú másolata, hanem egy különálló környezet, a vállalatok IT-részlegének egy több részből álló, hibrid AD-környezetet kell menedzselnie.

Ez különösen annak fényében lehet problematikus, hogy az adatlopások 80 százalékában szerepet játszanak a gyenge vagy feltört jelszavak. Ennek egyik oka, hogy a vállalatok 97 százaléka vezet be az AAD-hez hasonló, digitális átalakulást támogató megoldásokat, de közben csupán 18 százalékuk figyel arra, hogy befoltozza az ebből fakadó potenciális biztonsági réseket.

A One Identity a fenti kihívásokat figyelembe véve alkotta meg Active Roles nevű alkalmazását, amely az AD és az AAD adminisztrációjának egyszerűsítésével és egységesítésével orvosolja a közép- és nagyvállalatok hibrid AD-környezetének biztonsági, megfelelőségi és kezelhetőségi hiányosságait. A Balasys, a régió legnagyobb One Identity IAM-szolgáltató központja az alábbi három szempontra hívja fel az AAD-t vagy hibrid AD-környezetet használó szervezetek figyelmét, ha szeretnék elkerülni, hogy egy adatlopás miatt a lapok címoldalára kerüljenek.

    • Manuális beállítások helyett előre definiált munkafolyamat-sablonok használata. Minél több egy folyamatban a manuálisan végrehajtandó lépés, annál nagyobb a valószínűsége az emberi és szinkronizálási hibáknak, valamint hogy a jogosultságkezelés kaotikussá válik. Az Active Roles előre definiált munkafolyamat-sablonjai több ezer vállalat tapasztalatai alapján készültek, és a címtárakon belüli jogosultságkiosztási műveletektől kezdve a vezetők jóváhagyásának megszerzésén és a csoportok bővítésén át egészen az Exchange/Exchange Online tiltólistáinak kezeléséig terjednek. Ha minden folyamat automatikusan, előre definiált szabályok szerint zajlik, megelőzhetők az emberi hibából, mulasztásból vagy rosszindulatból eredő problémák.

    • A legkisebb jogosultság elvének alkalmazása. A natív AD-/AAD-menedzsment eszközök legszembetűnőbb biztonsági rése a kiemelt felhasználói fiókok kezelése. Az Active Roles a legkisebb jogosultság elvén alapuló biztonsági réteget ad az AD-hez és az AAD-hez, amellyel felügyelhető az egyes rendszergazdák tevékenysége. A jelszavak helyreállításával megbízott rendszergazda csak a jelszavakat tudja helyreállítani, aki a jogosultságok kiosztásáért felelős, nem fér hozzá a naplókhoz, a szoftverek telepítéséért felelős kolléga pedig nem hajthat végre egyéb rendszergazdai feladatokat.
     
    • Az AD és az AAD adminisztrációs folyamatainak egységesítése. Ha az adminisztrációs feladatokat nem külön az AD-ben és az AAD-ben, hanem az Active Roles által alkalmazott egységes felületen hajtják végre, a rendszergazdák visszajelzése alapján akár a munkavégzésre fordított idő 80 százaléka is megspórolható.

A hibrid AD-környezet olyan egyedi kihívásokkal jár, amelyek kezelése natív eszközökkel és manuális folyamatokkal rendkívül nehézkes. A One Identity Active Roles ideális megoldás a hibrid környezettel kapcsolatos problémák kiküszöbölésére, valamint a biztonsági rések lezárására, a kockázatok csökkentésére és a hatékonyság növelésére. Ha mélyebben érdeklődik az Active Roles előnyei és esetleges bevezetése iránt, forduljon a Balasys több mint 20 éves tapasztalattal bíró feketeöves mérnökeinkhez.