Mitä on identiteetin ja pääsynhallinta?
Identiteetin- ja pääsynhallinta (IAM) on nykyaikaisen IT-infrastruktuurin kriittinen osa, jolla varmistetaan, että oikeilla henkilöillä on pääsy oikeisiin resursseihin oikeaan aikaan ja oikeista syistä.
Johdanto IAM:ään
Identiteetin- ja pääsynhallinta, yleensä lyhennettynä IAM, on tietotekniikan tieteenala ja ohjelmistoratkaisujen luokka, joka koskee käyttäjien pääsyn hallintaa arkaluonteisiin yritysresursseihin, kuten tietokantoihin, sovelluksiin, järjestelmiin, laitteisiin ja fyysisiin resursseihin, kuten rakennuksiin ja tiloihin.
Teknologiamaisemien monimutkaistuessa, kun laitteita, sovelluksia ja tietoja on yhä enemmän, on yhä tärkeämpää varmistaa, että näihin resursseihin pääsevät käsiksi vain oikeat henkilöt, oikeaan aikaan ja oikeista syistä. IAM-järjestelmillä tämä saavutetaan todennuksen, valtuutuksen ja pääsynvalvonnan avulla. Todentaminen on prosessi, jossa resurssin käyttöä pyytävän henkilön tai järjestelmän henkilöllisyys tarkistetaan. Tämä voidaan tehdä erilaisin keinoin, kuten salasanoin, biometrisin tiedoin tai turvatunnuksin. Kun henkilöllisyys on todennettu, käyttäjälle on annettava lupa tiettyihin toimiin resurssin sisällä. Valtuuttaminen tarkoittaa sen määrittämistä, minkä tason käyttöoikeus käyttäjällä pitäisi olla hänen roolinsa tai oikeuksiensa perusteella. Lopuksi pääsynvalvonnalla varmistetaan, että vain valtuutetuille henkilöille myönnetään pääsy resursseihin.
IAM-ratkaisun käyttöönotosta organisaatiossa on monia etuja. Ensinnäkin se parantaa turvallisuutta varmistamalla, että vain valtuutetuilla käyttäjillä on pääsy arkaluonteisiin resursseihin. Tämä auttaa estämään tietomurtoja ja yrityksen tietojen luvatonta käyttöä.
Pääsynhallinta vs. identiteetinhallinta
IAM käsittää pääasiassa kaksi keskeistä tieteenalaa. Identiteetinhallinta vahvistaa, kuka käyttäjä on, kun taas pääsynhallinta varmistaa, että käyttäjä voi käyttää vain niitä resursseja, joihin hänellä on oikeus.
Identiteetinhallinta
Identiteetinhallinta keskittyy käyttäjäidentiteettien luomiseen, hallintaan ja todennukseen organisaatiossa. Se vastaa pääasiassa siitä, kuka vastaa järjestelmiin pääsyn yhteydessä. Tähän kuuluu käyttäjäroolien, käyttöoikeuksien ja -oikeuksien määrittely ja hallinta.
Identiteetinhallintaan kuuluu tyypillisesti keskitetyn käyttäjähakemiston luominen ja ylläpitäminen, joka on usein sidottu tiettyihin sovelluksiin tai järjestelmiin. Tavoitteena on tarjota yksi ainoa tietolähde kaikille organisaation käyttäjäidentiteeteille ja virtaviivaistaa käyttöoikeuksien hallintaprosesseja.
Keskeiset komponentit:
-
Käyttäjien käyttöönotto - Varmistaa, että oikeat käyttöoikeustasot asetetaan, kun työntekijät liittyvät, vaihtavat roolia tai lähtevät yrityksestä.
-
Todentaminen - Varmentaa käyttäjien henkilöllisyyden esimerkiksi salasanojen, biometristen tunnisteiden tai kaksitekijätodennuksen (2FA) avulla.
-
Hakemistopalvelut - Ylläpitää keskitettyjä käyttäjätietovarastoja tehokasta identiteetin seurantaa ja käyttöoikeuksien hallintaa varten.
Edut:
-
Yksinkertaistaa käyttäjien sisään- ja uloskirjautumisprosessia.
-
Vähentää salasanojen hallinnan haasteita ottamalla käyttöön kertakirjautumisen (SSO).
Esimerkki käyttötapauksesta: Kun työntekijä palkataan, identiteetinhallinta varmistaa, että hänelle annetaan hänen rooliinsa liittyvät asianmukaiset järjestelmäoikeudet. Vastaavasti hänen käyttöoikeutensa peruutetaan nopeasti, kun hän lähtee, mikä vähentää turvallisuusriskejä.
Pääsynhallinta
Kehys, jossa määritellään, osoitetaan, hallitaan ja hallinnoidaan käyttäjien käyttöoikeuksia organisaation resursseihin sekä todennetaan käyttäjät, kun he käyttävät näitä resursseja. IAM:n A-kirjain voi joskus viitata "todennukseen" eikä "pääsyyn". Vaikka identiteetin ja käyttöoikeuksien hallintaan on olemassa monia ohjelmistoratkaisuja, monet niistä on suunnattu ensisijaisesti suurille organisaatioille. Tämän seurauksena pienemmät ja keskisuuret organisaatiot turvautuvat usein manuaalisiin menetelmiin käyttäjäidentiteettien ja käyttöoikeuksien hallinnassa, kuten taulukkolaskentataulukoihin, joilla pidetään kirjaa käyttäjistä ja heidän käyttöoikeuksistaan.
Käyttöoikeuksien hallinta (Access Rights Management, ARM) on prosessi, jossa valvotaan ja hallitaan resurssien ja tietojen käyttöoikeuksia organisaatiossa. ARM auttaa varmistamaan, että arkaluonteiset tiedot on suojattu ja että vain valtuutetuilla käyttäjillä on pääsy niihin.
Tyypillisiä haasteita, joita eurooppalaiset organisaatiot kohtaavat ARM:n suhteen, ovat muun muassa seuraavat:
- Organisaatiossa käytettävissä olevien työkalujen rajallisuus: käyttöoikeuspyynnöt saatetaan edelleen tehdä sähköpostin, MS Word- ja MS Excel -mallien avulla, eikä ole yhtä ainoaa pistettä, jossa kaikkia tietoja säilytetään.
- Vaikeus valvoa ja hallita hyväksymisketjuja joustavasti.
- Vaikeus tarkastaa hyväksyntöihin, käyttöoikeuksiin tai omistajuuteen liittyviä muutoksia tai päivityksiä.
Pääsynhallinnan keskeiset osat
-
Valtuutus - Määrittää, mitkä toimet ovat sallittuja kullekin käyttäjäryhmälle.
-
Roolipohjainen pääsynvalvonta (RBAC) - Rajoittaa pääsyä työtehtävien perusteella, jotta voidaan vähentää tarpeetonta altistumista arkaluonteisille järjestelmille.
-
Käytäntöjen täytäntöönpano - Varmistaa, että organisaation käyttöoikeussääntöjä ja -ehtoja sovelletaan johdonmukaisesti.
Esimerkki käyttötapauksesta: Johtava kirjanpitäjä voi olla oikeutettu käyttämään palkanlaskentajärjestelmiä, mutta häneltä on kielletty insinöörityön projektitiedostojen katselu.
IAM-ratkaisujen käytön edut
IAM-ratkaisu tarjoaa parempaa identiteetin ja käyttöoikeuksien hallintaa sekä pienempiä kustannuksia ja suurempaa ajallista tehokkuutta.
Virtaviivaistettu identiteetin ja pääsyn hallinta
Nykyaikaiset IAM-järjestelmät tarjoavat helppokäyttöisen itsepalveluportaalin käyttöoikeuspyyntöjä, poistoja ja hyväksyntöjä varten (jota voidaan laajentaa muihin IT- ja yrityspalveluihin), mikä lisää tehokkuutta.
Parempi turvallisuus ja vaatimustenmukaisuus
Cybersecurity Insidersin mukaan 70 prosentilla käyttäjistä on enemmän käyttöoikeuksia kuin heidän työnsä edellyttää. IAM-ratkaisujen avulla saat näkyvyyttä nykyisiin ja aktiivisiin käyttöoikeuksiin ja identiteetteihin (käyttäjä- ja ryhmäjäsenyysyhteydet), ja niiden avulla voit:
- tarkastaa käyttäjät ja käyttöoikeudet
- Vahvistaa uudelleen minkä tahansa käyttäjän käyttöoikeudet
- Varmistaa, että käyttäjillä on vain tehtäviensä suorittamiseen tarvittavat oikeudet.
- estää ei-toivottujen tietojen paljastuminen ja tietomurrot automaattisen käyttöönoton poistamisen avulla.
- tunnistaa ja poistaa SoD-käytännön (separation-of-duties) rikkomukset, jotka johtuvat käyttäjien käyttöoikeuksien myrkyllisistä yhdistelmistä.
- Ratkaistaan ongelma, joka liittyy siihen, että etuoikeutetuilla käyttäjillä on sopimattomat resurssien käyttöoikeudet.
Kustannussäästöt
Vähennä IT- ja tietoturvakustannuksiasi monin tavoin, kuten:
- Vähennä manuaalista työtä ja virheriskiä. IAM voi auttaa sinua automatisoimaan identiteetin ja käyttöoikeuksien hallintaprosesseja, ja jos täysi automatisointi ei ole mahdollista, IGA yhdistää nämä prosessit tehtävien hallintaan, jotta SLA:t ja hyväksynnät ovat selkeät.
- Tunnista ja poista tarpeettomat ohjelmistolisenssit. Keskimääräisellä keskisuurella yrityksellä on Blissfully-verkkosivuston mukaan 4,3 orpoa SaaS-tilausta. IAM voi tuoda esiin, jos käyttäjä on säilyttänyt käyttöoikeudet organisaatiosta poistumisen jälkeen, jolloin nämä oikeudet voidaan peruuttaa tai jakaa uudelleen.
Ajan ja tehokkuuden säästöt
Säästät merkittäviä määriä työtä ja odotusaikaa keskeisissä IAM-toiminnoissa verrattuna manuaaliseen ratkaisuun:
- Säästää jopa 30 minuuttia jokaista luotua uutta käyttäjää kohden.
- Säästä jopa 30 minuuttia joka kerta, kun käyttäjäprofiili päivitetään.
- Säästät jopa 8 tuntia odotusaikaa yhden uuden käyttäjän lisäoikeuksien luomisessa.
- Säästää viikkojen odotusaikaa, kun käyttäjän käyttöoikeuksia päivitetään.
Mihin haasteisiin organisaatiot vastaavat IAM-ratkaisuilla?
IT- ja tietoturvaryhmät etsivät parempaa tapaa hallita ja automatisoida käyttöoikeuksia ja identiteettejä, koska manuaaliset menetelmät ovat liian vaikeita ja riskialttiita. Paine ottaa käyttöön IAM-käytäntöjä, jotka soveltuvat tarkoitukseen uudentyyppisessä työympäristössä, jolle on ominaista:
Työntekijöiden joustavuus lisääntyy.
Määräaikainen ja osa-aikainen työ lisääntyi Euroopassa jo ennen pandemiaa: Eurostatin mukaan 14,8 prosenttia EU-27:n työntekijöistä työskentelee määräaikaisessa tehtävässä ja 18,3 prosenttia osa-aikaisessa työssä vuonna 2019.
Pandemia on ajanut työelämän muutosta entisestään: yhä useammat ihmiset valitsevat joustavan työn ja freelancer-työvoiman määrä on kasvanut joissakin Euroopan maissa. Joustavaa työtä, työnjakoa ja sopimus-/freelancer-työtä tarjoavien yritysten on pystyttävä hallitsemaan näitä erilaisia työntekijäidentiteettejä turvallisesti ja tehokkaasti.
Kasvava uhkakuva
Mobiililaitteiden käytön lisääntyminen työssä on laajentanut uhkakuvaa paljon perinteisen organisaation rajojen ulkopuolelle. IT-tiimien on nyt hallittava identiteettejä ja käyttöoikeuksia erilaisilla mobiililaitteilla, kuten henkilökohtaisilla tableteilla ja älypuhelimilla.
Työympäristöt ovat entistä avoimempia ja kytkeytyneempiä toisiinsa paitsi työntekijöiden myös alihankkijoiden, tavarantoimittajien ja kumppaneiden sekä IT-järjestelmäresurssien ja fyysisten resurssien välillä, mikä aiheuttaa suurta monimutkaisuutta ja riskejä. Myös hyökkäykset lisääntyvät, ja hakkerit kohdistuvat usein käyttäjiin päästäkseen käsiksi arvokkaisiin järjestelmiin ja tietoihin.
Kehittyvä tietosuojalainsäädäntö
Tarve hallita henkilötietoja EU:n yleisen tietosuoja-asetuksen (GDPR) sekä kansallisten tietosuoja- ja kyberturvallisuuslakien ja -säädösten mukaisesti edellyttää entistä vankempaa lähestymistapaa henkilöllisyyden ja käyttöoikeuksien hallintaan.
Etätyön voimakas lisääntyminen
COVID-19-pandemia kiihdytti hybridityöskentelyn suuntausta, jolloin IT-tiimien odotetaan nyt tarjoavan ja hallinnoivan pääsyä tärkeimpiin tiloissa oleviin ja pilvipohjaisiin järjestelmiin etäältä ja mahdollisesti turvattomista sijainneista.
Digitaalisen muutoksen tarve
Kaiken kokoiset organisaatiot etsivät keinoja lisätä tehokkuutta ja vähentää kustannuksia digitalisoimalla ja automatisoimalla ydinprosesseja. IAM on vahva ehdokas transformaation kohteeksi, sillä manuaaliset menetelmät vievät IT:n aikaa, joka voitaisiin käyttää ydinliiketoimintaan.
Single Sign-On (SSO) - Yksinkertaistaa kirjautumisprosesseja antamalla käyttäjille mahdollisuuden käyttää useita sovelluksia samoilla tunnuksilla.
Monitekijätodennus (Multi-Factor Authentication, MFA) - Lisää ylimääräisen turvallisuuskerroksen vaatimalla kahta tai useampaa varmistusta.
Salasanaton todennus - Vähentää salasanoihin liittyviä riskejä ottamalla käyttöön biometriikkaa tai muita kehittyneitä todentamismenetelmiä.
Tarkastus ja raportointi - Seuraa käyttäjien toimintoja ja käyttölokeja poikkeamien tunnistamiseksi ja tarkastusten helpottamiseksi.
Matrix42 Identiteetin hallinta ja hallinta
Oletko valmis tehostamaan identiteetinhallintaprosesseja ja vahvistamaan organisaatiosi turvallisuutta? Tutustu siihen, miten Matrix42 Identity Governance and Administration voi antaa yrityksellesi mahdollisuuden vaivattomaan vaatimustenmukaisuuteen, saumattomiin integraatioihin ja ennakoivaan uhkien torjuntaan.