A személyazonosság- és hozzáféréskezelés (Identity and Access Management, IAM) világa folyamatos változásban van. Rögtönzött határidők, szűk költségvetések, túlfeszített informatikai alkalmazottak és elképesztő szabályok jellemzik, ráadásul a hagyományos IAM megközelítések gyakran félmegoldásoktól szenvednek. A remény hal meg utoljára, szokták mondani, de hosszú távon nem lehet sikeres az a stratégia, amely az aktuális problémák megoldásának kulcsát kizárólag a holnap technológiájában látja (és annak megjelenésére vár).

Káosz a "négy A" nélkül

Régen túl vagyunk a 90 naponta lecserélendő jelszavak korszakán, a felhasználói hozzáférés és biztonság üzemeltetése napjainkban ennél jóval bonyolultabb. Az IAM hátterét a "négy A"-ként ismert alapelv adja: az autentikáció, az autorizáció, az adminisztráció és az audit.

Az autentikáció, azaz hitelesítés; a jellemzően felhasználónév-jelszó páros alkalmazásával elérhető, hogy csak az arra jogosultak tudjanak belépni a rendszerbe. Az autorizáció, avagy engedélyezés meghatározza a hitelesített felhasználók tevékenységi körét az adott rendszerben. Állomány és alkalmazáshozzáférési jogosultságoktól a megosztásokig – mindent előre lefektetett szabályok alapján hajthatnak (vagy nem hajthatnak) végre az érintettek.

Hiába működik azonban a hitelesítés és engedélyezés az elvártaknak megfelelően, adminisztráció nélkül eluralkodna a káosz az IT-ban. Biztosítani kell a munkavégzés hatékonysága és a biztonság közötti törékeny egyensúlyt, és meg kell határozni azokat a szerepeket, amik a megfelelő embereket (felhasználói fiókokat) a megfelelő pozícióba helyezik. Szintén az adminisztráció jelenti az üdvözülés útját a jelszókezelés (komplexitás, változtatás gyakorisága, felülírásának egyszerűsége) biztonságos megvalósításához.

Ha mindez rendelkezésre áll, még mindig meg kell győződni arról, hogy a leírtaknak megfelelően is működik-e. Erre szolgál az utolsó "A", vagyis az audit. Magába foglalja azokat a szabványosított tevékenységeket, melyek megvizsgálják, hogy a hitelesítés, az engedélyezés és az adminisztráció megfelel-e az elvárt biztonsági szintnek. Külső és belső megfelelőségek ellenőrzésére egyaránt használható.

Miért bonyolult, ha egyszerűnek tűnik?

Hiába tűnik egyszerűnek a fenti rendszer, rögtön bonyolulttá válik a helyzet a különböző technológiák megjelenésével. A felhasználók zömét vagy a Microsoft féle Active Directory-ban, vagy a szintén redmondi gyökerekkel bíró, felhőalapú Azure Active Directory-ban kezelik. Csakhogy számos nem-Microsoft alapú környezet is létezik; a unixos, linuxos és egyéb platformok pedig saját felhasználó-kezelési megoldással rendelkeznek.

Egy ember átlagosan 14 különböző felhasználónév-jelszó párossal rendelkezik, melyeket egymástól eltérő rendszerekben használ. Minden egyes új engedélyezés felbukkanásával az érintett alkalmazásnál új szerep jön létre. Ez a folyamat újra és újra megismétlődik az alkalmazások teljes skáláján, így a szervezetek jelentős részénél előáll az a helyzet, hogy sokkal több szerep van, mint felhasználó.

Tovább rontja az összképet, hogy a megfelelő felhasználóazonosítás és -engedélyezés adminisztratív felelőssége is az IT-re hárul. A jólfizetett és speciális feladatköröket betöltő informatikai szakemberek ezért gyakran találják magukat a hétköznapi személyazonosság-kezelési feladatok hálójában. Mivel nekik megvan a jogosultságuk ezeknek a feladatoknak az elvégzésére, tulajdonképpen egy nagytudású – és igen drága – helpdeskes feladatkörben (is) kénytelenek helyt állni, hovatovább az auditálások során megkerülhetetlen szerepet töltenek be. Ez a kritikusan fontos IT-feladatok csúszásával jár együtt, hiszen az érintetteknek meg kell osztaniuk figyelmüket és idejüket.

Szintén nagyon gyakori hiba, hogy az adott rendszert napi szinten használó, vezető beosztásban dolgozók helyett az informatikusokra hárul a felhasználókezelési szabályzat megtervezése. Pusztán azért, mert tudják, hogyan működik az IAM, azt feltételezik róluk (hibásan), hogy azt is teljes mértékben értik, miért van szükség az adott szabályokra. Ahelyett tehát, hogy üzleti döntés lenne a szabályrendszer felállítása, IT-s feladattá válik.

Miből áll a modern IAM?

A helyzet megoldása a Maslow-piramishoz hasonló struktúra megértésben és adaptálásában rejlik. Ahogy egyre feljebb haladunk a szükséglet-piramis csúcsa felé, úgy kell(ene) csökkennie az informatikusok szerepkörének, és egyre inkább holisztikus szemlélettel kell(ene) keresni a megoldást.
 

Könnyen belátható tehát, hogy az egyik legfőbb IAM-stratégiának a rendszerek összetettségének csökkentésére kell irányulnia. Az üzleti sikerek eléréséhez azonban a fenti piramis minden szintjének igényét ki kell elégíteni. Ez történhet ad-hoc módon vagy egységesítetten is. Utóbbi hozzáállással a hozzáférések kiosztása, a biztonság létrehozása és fenntartása, az ellenőrzés és a felügyelet a megfelelő emberek kezébe kerül, ezzel segítve a szervezet egészének elvárt módon történő irányítását.

Ennek eléréséhez tudni kell, hogy három fő területet fed le a modern IAM. A hozzáférés-kezelés bőven hagy teret az egyszerűsítésnek; a single sign-on (SSO), vagyis az egyetlen felhasználó-jelszó párosra alapuló azonosítástól kezdve, a felhasználók létrehozásának, módosításának és törléslének feladatán és a jelszókezelésen át, egészen a különböző rendszerek komplexitásának csökkentéséig. A privilege management az adminisztrátori tevékenységek megértésére és ellenőrzésére irányul, beleértve a feladatok szétválasztását (Separation of Duties, SoD), a munkafolyamat auditálását és a leütések naplózását.

A harmadik terület az üzletileg kritikus adatokhoz való hozzáférések kezelésével foglalkozó azonosságirányítás (identity governance). Ide tartozik a hozzáférési kérelmek, tanúsítványok és az adathozzáférések kezelése, a szerepkezelés, az adminisztrációs szintű hozzáférések és a kiemelt fiókok menedzselése, illetve a hibák és kockázatok eltávolítására szolgáló azonosság-elemzés.

Mindig a jobbra kell törekedni

Talán említeni sem kell, hogy a fentiek egyetlen vetületét sem hagyhatják figyelmen kívül a szervezetek. Ugyanakkor, függetlenül az adott vállalat IAM-érettségi szintjétől, nem lehet minden feladatot tökéletesen megvalósítani, mindig marad helye a fejlődésnek. A fejlődésnek, amivel javítható a biztonság, jobb megfelelőség érhető el és növelhető a működési hatékonyság.

Cikksorozatunk következő részeiben ennek lehetőségeit, a személyazonosság- és hozzáféréskezelés három fő területét fogjuk részletesebben áttekinteni.