IT-kontroll nélkül egy szervezet napok vagy talán órák alatt összeomlana. Vagy a külső, adatok ellopására, erőforrások jogtalan kihasználására irányuló támadások súlya alatt roskadna össze, vagy a belső, ellenőrzés nélkül elszabaduló kíváncsiság fektetné két vállra. Ezeknek a helyzeteknek az elkerülését szolgálja az IAM (Identity and Access Management) első nagy területe, a hozzáférés-kezelés (access management).

Rémálommá is válhat

Végtelenül egyszerűnek tűnik a képlet: hitelesítéssel és engedélyezéssel biztosítható a hozzáférés. Mondani (leírni) persze jóval egyszerűbb, mint megvalósítani. Noha az informatikai részleg a jogosultságok kiosztásával és a felhasználók erőforrásokhoz való hozzáférésének meghatározásával látszólag gyorsan és könnyen elvégzi a dolgát, egy felhasználónév-jelszó párossal még nem oldódott meg az összes probléma.

Napjaink átlagfelhasználója ugyanis már nem csupán a szervezet informatikusai által ellenőrzött területekhez igényel hozzáférést. A gyorsan fejlődő és terjedő, szervezet határain túlnyúló technológiák miatt megjelennek a külső szolgáltatók is, például a szoftvereket szolgáltatásként (SaaS) kínáló vendorok képében. Ráadásul, ahogyan azt már korábbi cikkünkben is említettük, az egykor kizárólag helyszínen telepített formában jelen levő erőforrások is, mint amilyen az Active Directory, egyre inkább a felhőbe költöznek. Ezt az ellenőrzési rémálmot dagasztja még, hogy kezelni kell a partnerek és beszállítók által birtokolt üzletileg kritikus adatokat és alkalmazásokat is.

A felhasználó bárhol és mindenhol ott lehet, az információkhoz, szolgáltatásokhoz hozzá kell férnie, még akkor is, amikor már rég elhagyta a szervezet szigorúan vett határait. A hozzáférések megadása és biztosítása éppen ezért mára olyan lett, mintha egy folyamatosan mozgó célt szeretnénk eltalálni.

Az IAM elsődleges feladata továbbra is az elvárt produktivitás és üzleti rugalmasság biztonságos fenntartása. Lássuk, milyen elvek mentén valósítható meg a hozzáférés-kezelés!

A szükséges minimum

Provízionálás (provisioning), vagyis a hozzáférést biztosító felhasználói fiókok felállítása, életciklus-menedzsmentje és megszüntetése nélkül nincsen hozzáférés-kezelés. Mindezt kézzel elvégezni azonban igencsak elkötelezett informatikus csapatot igényel. Emellett számos egyéb hátránya is van: a biztonság szintje nem fogja elérni a kívánt mértéket, negatív hatással lesz a termelékenységre, és az auditorok legrosszabb rémálmainak ágyaz meg.

A hagyományos IAM keretrendszerek sem jelentenek feltétlenül üdvözülést. Hiába történik a provízionálás a teljes vállalaton keresztül automatikusan, ha szinte minden beállítást – felhasználói fiókok leírása, engedélyezési szabályok, munkafolyamatok meghatározása stb. – egyedileg kell elvégezni a különböző rendszerekre vonatkozóan. Hiába áll fel a keretrendszer, ha a követelmények változásával a testreszabási folyamat újraindul az elejéről.

A második fontos elv a jelszókezelés (password management), a jelszavakkal kapcsolatos szabályzatok létrehozása és betartatása. Például meg kell határozni a bonyolultságukat, és érvényességük időtartamát, ami nem mellesleg folyamatos fejfájást okoz a helpdesknek. És gyakran feleslegesen nagy költséget: konzervatív – amerikai – felmérés szerint egy IT-szakemberek által támogatott 'jelszóreset' nagyjából 25 dollárba kerül.

Szorosan kapcsolódik az előzőhöz az IAM egyik leginkább szem előtt levő területe, az egyszeri bejelentkezés (single sign-on – SSO). A felhasználóhitelesítésre szolgáló jelszavak elszaporodásának megelőzésére létrehozott valódi single sign-on (True SSO) egyetlen felhasználónév-jelszó párossal (és egy bejelentkezéssel) biztosítja a különböző rendszerekhez való hozzáférést.

Végül az erős hitelesítés (strong authentication) gondoskodik arról, hogy a felhasználói bejelentkezések a lehető legbiztonságosabbak legyenek. Ide tartoznak többek között a jelszavak továbbítását védő titkosítási technológiák vagy a fejlettebb azonosságellenőrzést kínáló további tényezők. Ezek alkalmazhatók kiemelt felhasználói csoportokra (például a szervezettel szerződésben álló külső felhasználókra) vagy érzékeny adatokhoz való hozzáférés esetén, illetve akkor is, ha a hozzáférési kérelem az IT közvetlen irányításán kívülről érkezik – például távoli és mobil eszközöket használók esetében.

Automatizáció, egyszerűsítés, tehermentesítés

Egyet hátralépve érdemes áttekinteni, hogy a fenti hozzáférés-kezelési elvekre milyen tényezők vannak hatással. Az IAM rendszerek összetettségét nagyon is befolyásolja többek között azoknak a rendszereknek a száma, amelyeken futtatni kell, illetve a rendszerek egymástól való különbözősége. Egyáltalán nem hagyható figyelmen kívül az IT-től elvárt manuális feladatvégzés mennyisége, a bevont informatikusok száma és az adott rendszer üzleti szempontból mért fontossága sem.

Más szavakkal: ahogy a dolgok egyre összetettebbé, a rendszerek pedig mind inkább inkompatibilissé válnak egymással, úgy lesz egyre nehezebb magas szinten tartani a biztonságot és az üzleti rugalmasságot. Éppen ezért érdemes a lehető legnagyobb szintű automatizációt alkalmazni, elsőként azokon a területeken, ahol azzal a leginkább le lehet venni a terhet az informatikusok válláról. Az Active Directory kiterjesztésével kiiktatható a Unix, Linux és Mac rendszerek egyéni azonosításkezelése. Azzal pedig drága humán IT-erőforrások szabadíthatók fel, ha a felhasználók néhány dolgot maguk intézhetnek, például jelszavaik resetjéhez nem szükséges adminisztrátori beavatkozás.

Hasonlóan pozitív hozadékkal jár az SSO munkába állítása: a felhasználói elégedettség mellett az IT-részleg hatékonysága is növekedni fog. Az erős hitelesítést – akár kétfaktoros autentikációs megoldások bevezetésével – pedig bárhol érdemes bevetni, ahol további  védelemre van szükség. Természetesen érdemes körültekintően eljárni, például lokáció- vagy viselkedésalapokon nyugvó megoldásokat alkalmazni, mivel a felhasználók bejelentkezési eljárásainak indokolatlan bonyolítása végül az informatikusokon csapódik le.