Napjaink egyre fokozódó biztonsági kihívásai és mind összetettebbé váló informatikai rendszerei nehezen megugorható akadályokat jelentenek a személyazonosság- és hozzáféréskezelés (Identity and Access Management) számára. Természetesen ebből adódóan ez a megállapítás igaz az IAM részét képező személyazonosság-felügyelet területére is. Az angol terminológiában identity governance-nek hívott tevékenységnek azonban nem feltétlenül kell(ene) kezelhetetlenné válnia.

Mi is az a személyazonosság-felügyelet?

Tulajdonképpen egy olyan keretrendszerről beszélünk az identity governance esetében, ami biztosítja, hogy a megfelelő emberek a megfelelő jogosultságokkal és erőforrásokkal a megfelelő időben és módon elvégezhessék üzleti szempontból fontos feladataikat. Mindezt – jogosultság tekintetében legalábbis – transzparens módon, a szervezet egészének jóváhagyása mellett.

Ez a láthatóság egy tökéletes világban elegendő biztosítékot adna arra, hogy a munkavégzés a szabályoknak megfelelő mederben folyjék. A jogosulatlan hozzáférések számát a transzparencia minimálisra szorítaná, a szervezet így könnyen megfelelne az előírásoknak, a felhasználóbarát jelentések pár kattintással előállnának, az auditok pedig különösebb gond nélkül, gyorsan lezajlanának.

De nem egy ideális világban, hanem a valóságban élünk.

A szigorú, rideg valóságban, ahol az identity governance elvárt szintű működése hatalmas kihívást jelent. Tulajdonképpen addig nem is beszélhetünk személyazonosság-felügyelet biztosításáról, amíg az ahhoz szükséges előfeltételek – hozzáférés, biztonság, ellenőrzés és felügyelet – nem biztosítottak. Ha egy egyszerű hozzáférés kiosztása nehéz, akkor annak elérése, hogy ez hozzájáruljon az üzleti rugalmasság (vagyis a governance végső céljának) eléréséhez, lehetetlen feladatnak tűnik.

Mi kell egy személyazonosság-felügyelethez?

Hatékony provízionálás, vagyis hozzáféréskiosztás, beleértve a kiadott jog megbízható visszavonásának lehetőségét is. Megfelelő munkafolyamat (workflow), amivel garantálható, hogy a kérelmek kiszolgálásának lépései eleget tesznek a vonatkozó compliance-nek. Természetesen rendszeres időközönként felül is kell vizsgálni illetve hitelesíteni a kiosztott hozzáférés-jogosultságokat.

Ezenfelül elengedhetetlen a dokumentációkészítés illetve az abban foglalt – a felhasználók adatokhoz és alkalmazásokhoz való hozzáférését leíró – szabályzatok alkalmazásának kikényszerítése. Végül pedig azt is biztosítani kell, hogy a jogosultság jóváhagyása minden, megfelelő hatáskörrel rendelkező ember részéről megtörténjen, mielőtt annak kiosztása ténylegesen megtörténik.

Vagyis, míg a hozzáférés-kezelés elsősorban a feladatok elvégzéséért felel, a személyazonosság-felügyelet célja, hogy mindez a megfelelő – megbízható, átlátható, ellenőrzött – módon menjen végbe.

Jól mutatja az IDC felmérése, hogy mekkora szükség van jól működő identity governance-re. A piackutató cég 2011 Data Breach Investigations Report jelentése, melyet az amerikai titkosszolgálattal és Hollandia high-tech bűnözést üldöző részlegével együtt készített, kiemelte, hogy a jogosulatlan adathozzáférések 96 százaléka(!) elkerülhető lett volna a megfelelő ellenőrző megoldások beiktatásával.

A probléma gyökere

Gyakori hiba, hogy a személyazonosság-felügyelet nem a rendszer egészére, hanem csak annak ilyen-olyan elvek alapján kiválogatott részeire fókuszál. Pedig, ha nem csupán a compliance teljesítése vagy a büntetések elkerülése a cél, hanem a valódi hatékonyságfokozás, akkor mindenképpen tekintettel kell lenni az összes alkalmazást és - helyben, cloudban vagy szolgáltatásként elérhető - adatot érintő felhasználói illetve adminisztrátori hozzáférésekre.

De nem az egyetlen kerékkötője a folyamatnak. A valóságban a szervezetek döntő többségénél a személyazonosság-felügyelet számos, egymástól eltérő rendszerre terjed ki, melyekhez a felhasználóknak hozzáférést kell biztosítani. Ennek kiosztása túl sok, egymástól eltérő módon történik. Ezt tetézi, hogy a különböző informatikus csoportok – ebből a szemszögből nézve – túlságosan specializált tudással rendelkeznek. Emellett túlságosan kevés információ érkezik az üzleti döntéshozóktól az IT-hoz (és fordítva).

Tovább bonyolítja a képet, hogy a legjobb megoldásként alkalmazott eljárásokba vetett bizalom gyakran indokolatlanul nagy; időnkénti felülvizsgálatukat viszont senki sem végzi el. Túl sok a valós indokok nélküli (ön)hitelesítés, azaz a blind verification, amikor az egyik alkalmazott jogosultsága szinte hasraütésszerű döntéssel ítéltetik jónak egy másik munkavállaló esetében is. Szintén hátrányos a biztonsági szabályzatok elburjánzása, melyeket ráadásul többnyire az IT hoz létre, az üzleti döntéshozók helyett.

Az egészet gyakran betetőzi, hogy a döntéshozatalban érdekeltek számára kevésbé vagy egyáltalán nem látható át, milyen hozzáféréssel rendelkeznek az alkalmazottak és hogyan tettek szert rá.

Mi a megoldás?

Hasonló képet mutat az alkalmazásokhoz és a strukturálatlan adatokhoz való hozzáférés felügyelete. Az esetek jelentős részében összefüggések nélküli, nem létező, manuális beavatkozást igénylő vagy inkonzisztens helyzetet találunk a vállalatoknál. Pedig – legalábbis elméletben – viszonylag egyszerű a megoldás. Nincs értelme külön kezelni a strukturálatlan adatokhoz és az alkalmazásokhoz való hozzáférés felügyeletét. Hiszen a felhasználók ugyanazok, a hozzáférési szerepeknek is egyezőnek kell(ene) lenniük, ráadásul az egész governance-témát felügyelő üzleti döntéshozó(k) személye sem változik túl gyakran ahhoz, hogy ez jelentős problémát okozhasson.

Megkülönböztetett figyelmet érdemel ugyanakkor a kiemelt jogosultságokkal bíró felhasználói fiókok (privileged accounts) kezelése. A rendszerek működéséhez elengedhetetlen Unix root account, az alkalmazásadminisztrátori felhasználó vagy a superuser hierarchikus szint ugyanis egy jogosultságkezelési rémálom. Magas szintű hozzáférési jogaik, anonim természetük és (át)láthatóságuk hiánya magas kockázatúvá teszi ezeket a fiókokat.

Ugyanaz megoldás hozza el az ideális állapotot, mint a korábban említett esetben: a személyazonosság-felügyelet egységesítésével, a holisztikus nézőpont elsajátításával gyakorlatilag az identity governance összes méregfoga kihúzható. Ehhez az elvárt működéshez szükséges ellenőrzések, döntéshozatali eljárások lehetőleg minél nagyobb részét – az IT helyett – az üzleti döntéshozókra kell bízni. Csökkenteni kell az auditlépések számát, növelendő a pontosságot és elősegítve a megfelelőséget.

Törekedni kell a blind verification teljes elkerülésére, és be kell vonni az üzleti döntéshozókat a szabályzatok létrehozásába illetve azok végrehajtásának kikényszerítésébe. Az informatikusok ugyanis csak azt tudják, hogyan kell ezeket műszakilag megvalósítani, de azt már nem, hogy miért. Emellett a lehető legszorosabb integrációt kell megvalósítani a felhasználók jogosultságainak kiosztása, hozzáférések elbírálása, (újra)hitelesítése és a megfelelőségi jelentések között.

Szintén fontos feladat, hogy fejben kell tartani a hozzáférések teljes skáláját a személyazonosság-felügyelet kialakítása és üzemeltetése során. Azonosítókról és felhasználói fiókokról, alkalmazásokról és adatokról van szó, akár felhasználóról, akár kiemelt jogosultságokról beszélünk.

Végső soron fel kell ismerni, hogy a személyazonosság-felügyelet biztosítása sosem egy végső állomás, amit el lehet érni, hanem egy folyamatos utazás. Ennek eredményeként jöhet létre egy valódi, az üzleti tevékenységet támogató és nem korlátozó identity governance megoldás, ami pont annyira terheli az informatikusokat és a döntéshozókat, amennyire arra a szervezeti agilitás miatt szükség van.