ÜZLETI IT-SECURITY

3 alapvető kérdés a jogosultságkezelésedről

Bikki Mónika cikke

2020. február 27. - EURO ONE

3 alapvető kérdés a jogosultságkezelésedről

Noha sokan továbbra is azt hiszik, hogy minden jól elszeparált és védett, a szembeszökő valóság az, hogy egy folyamatosan fejlődő korlátok nélküli világban élünk, ahol bárki, bárhonnan, bármit elérhet. Vállalati infrastruktúránk is határok nélküli, kritikus adataink felhőalapúak és felhasználóink a világ bármely pontjáról dolgozhatnak.

Az első, és valószínűleg egyetlen védelmi vonalunk a dolgozó: olyan megbízható személy, aki rendelkezik jogosultságokkal, és feltételezzük megbízhatóan dönt és figyelembe veszi a kockázatokat. Sajnos a legtöbb szervezet soha nem nézi át munkatársai felhasználói fiókjait, illetve azok jogosultságait, továbbá kihagyja a lehetőséget egy olyan jogosultságkezelési programnak, amire támaszkodhatna a jövőben.

Az évek során megállapítottuk, hogy néhány kérdésen keresztül rávilágíthatunk a jogosultságkezelési stratégiára, hogy ügyfeleink átgondolják mennyire érett szervezetük jogosultságkezelése. Ezek a kérdések azért nem terjednek ki mindenre, de segítenek megérteni azokat a pontokat, amelyek bármilyen típusú jogosultságkezelési stratégiának az alapját képezik.

1. Hol vannak a jogosultságaid? Először azt érdemes megvizsgálni, hogy rendelkezünk-e megbízható jogosultsági nyilvántartással, vagy sem. A jogosultsági nyilvántartás a felhasználói fiókok, szerepkörök és hozzáférési jogok gyűjteménye, a teljes vállalati környezetre nézve.

A jogosultsági nyilvántartás sok felhasználói fiókot tartalmaz, de felhasználónként csak egy, egyedi azonosító van, amely a dolgozóhoz tartozik. Egy vállalat tipikusan az Active Directory-t (AD) tekinti a jogosultsági nyilvántartásának, hisz az AD felhasználói fiókokokat használják a hozzáférések kezelésére. Ugyanakkor érdemes meggyőződni arról is, hogy ezek kiterjednek-e azokra az infrastruktúra-elemekre is, amelyek nem használnak AD-t a hitelesítéshez. Fontolóra kell venni az összes alkalmazás, hálózati eszköz és a Linux szerver hitelesítési- és jogosultságkezelési folyamatát, valamint azt, hogy létezik-e olyan központi rendszer, amely tartalmazza ezen elemek felhasználói és jogosultsági adatait is.

2. Hogyan működik a hitelesítés? Másodszor, fontos a vállalkozáson belüli összes hitelesítési folyamatot felülvizsgálni. Általánosságban elmondhatjuk, hogy régi infrastruktúrákkal találkozunk a munkánk során, melyek évtizedek óta felügyelet nélkül működnek, ezáltal a technikai felhasználói fiókok felelősei teljesen nyomon követhetetlenné váltak az évek során. Míg a szervezetek túlnyomó többsége az Active Directory-ba központosította Windows-környezetét, jóval kevesebben integrálták hálózati eszközeiket, alkalmazásaikat vagy azok Linux szervereit is AD-hoz. A legtöbb esetben az ilyen típusú rendszerek helyi azonosítókat használnak a hitelesítéshez, ugyanakkor ezeket semmilyen központi nyilvántartási rendszerben nem kezelik vagy rendelik felelősökhöz.

A hitelesítési folyamatok felmérése nehézkes lehet, különösen az évtizedek óta működő alkalmazások esetében. Kihívást jelentenek az alkalmazások adatbázisában vagy a fájlokban eltemetett technikai fiókok, a több éves (vagy évtizedes) régi SSH kulcsok és megbízhatatlan „megosztott” fiókok. Nem kétséges, hogy a rendszerek átvizsgálására fordított idő hosszútávú befektetést jelent a vállalat számára.

3. Hogyan támogatja a vállalatot a jogosultságkezelési stratégiád? Végül fontos, hogy teljesen átlássuk a jogosultságkezelési folyamatok működését vállalatunknál. Noha a manuális folyamat megfelelő szigor mellett sikeres lehet, mégis automatizálás szükséges ahhoz, hogy minimalizáljuk az emberi hibákat, amelyek eredendően előfordulnak a manuális folyamatok során.

Az auditálhatóság is kulcsfontosságú kérdés. Véletlenszerűen kiválasztva a felhasználói fiókok 20% -át, egyértelműen kijelenthető-e, hogy mindegyik követi a fiókok létrehozásának dokumentált folyamatát? Új belépő dolgozók esetén a HR-től indul a beléptetési folyamat? A közvetlen felettes kezdeményezi a jogosultsági igényléseket? A munkatársuk maguknak igénylik a hozzáféréseket? Mi a helyzet az áthelyezésekkel vagy promóciókkal?

Minden jogosultságkezelési stratégia valódi célja a felhasználói fiókok létrehozásának, karbantartásának és végleges törlésének, jóváhagyási folyamatainak megértése. Mindezek mellett biztosítani kell a historikus adatok ellenőrizhetőségét auditok esetén, melyek során mindenképpen kiderül mennyire fontos a megfelelő jogosultságkezelési program.

Három alapvető szempont mindenki számára, aki gondolkozik  minimális jogosultságkezelési stratégia készítésén. Ha előzetesen figyelembe veszed ezt a három szempontot, garantálható, hogy hosszútávon sikeresebb lesz.

Érdekel a téma? Kövess minket a LinkedIn-en is!

Vegyél részt az éves Cyber Security Summit-on! Kattints ide

A bejegyzés trackback címe:

https://euroone.blog.hu/api/trackback/id/tr5415494324

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.