Paweł Łąka

Head of Security Solutions

IDM: zarządzanie tożsamością w praktyce

Nie da się prowadzić dziś firmy bez centralnego Active Directory (AD). Wielkie korporacje przechowujące dane o tysiącach użytkowników prześcigają się w pomysłach, jak odpowiednio pilnować dostępu do swoich usług i danych.

Wyzwaniem jest zarówno decyzja, kto powinien mieć dostęp do jakich danych, jak i wyegzekwowanie tych założeń. Aby zapewnić odpowiedni poziom bezpieczeństwa takich treści należy nie tylko odpowiednio logować użytkowników, ale także prawidłowo zarządzać tożsamościami użytkowników.

Z pomocą przychodzą systemy Identity Management (IDM) lub Identity and Access Management (IAM), które pozwalają zarządzać dostępami przez przypisywanie użytkowników do grup oraz ról, wyznaczanie zakresu dostępu do danych treści, administrację uprawnień oraz ich aktualizację, weryfikację i zarządzanie hasłami. Przyjrzyjmy się tym funkcjom po kolei.

Przynależność do grup

Nie ma wątpliwości, że pracownik firmy powinien mieć dostęp do danych, do których zwykły śmiertelnik, współpracownik czy dostawca nie powinien się zbliżać. Odpowiednie przyporządkowanie poszczególnych osób do grup (takich jak: pracownicy, kontraktorzy, zarząd) pozwala na rozróżnienie, kto powinien mieć dostęp do jakich zasobów.

Gdy brakuje jasnej klasyfikacji danych i uporządkowania zasad ich dostępności, łatwo może dojść do sytuacji, gdzie udostępnienie osobie postronnej jednego niewinnego adresu url automatycznie dopuszcza ją do ściśle tajnych informacji.

Role

Każdy użytkownik nie tylko przynależy do jakiejś zdefiniowanej grupy, ale i występuje w jakiejś roli, np. administratora czy testera, przy czym ten pierwszy ma oczywiście szersze dostępy. Zwykle aplikacje czy usługi zachowują się inaczej w zależności od roli, w jakiej użytkownik z nich korzysta.

Jest dobrą praktyką, by ściśle łączyć ze sobą systemy IDM oraz SSO, dzięki czemu od razu w procesie logowania aplikacja czy system otrzymuje informację o roli konkretnego użytkownika oraz o tym, do jakich danych można go dopuścić.

Zakres dostępu do danych

Odpowiednie zarządzanie treścią to ważny czynnik przy projektowaniu systemów i aplikacji. Należy pamiętać, że kontent (w zależności od przypisywanej roli) jest udostępniany odpowiednio przez właścicieli konkretnych systemów. Decyzja o tym, jakie funkcje danego systemu są dostępne dla poszczególnych ról i grup zależy od specyfiki konkretnej aplikacji. Odpowiednie zarządzanie zarówno tożsamościami, jak i aplikacjami umożliwia stworzenie bezpiecznej infrastruktury.

Administracja uprawnień

Dużym wyzwaniem staje się zarządzanie uprawnieniami do poszczególnych systemów. Odpowiedni administratorzy i właściciele systemów powinni mieć możliwość definiowania odpowiednich ról czy grup związanych z daną aplikacją. To oni posiadają największą wiedzę na temat danych prezentowanych dla administratorów, właścicieli biznesowych, działu marketingu czy użytkowników końcowych. Oczywiście do samego systemu IDM różni administratorzy powinni logować się z różnymi poziomami dostępu w zależności od aplikacji.

Aktualizacja danych o użytkownikach (provisioning)

Lista odpowiednio sklasyfikowanych tożsamości nie jest statyczna. W każdej firmie nieustannie dochodzi do zmian kadrowych. Odejście pracownika czy zmiany stanowiskowe powinny być odpowiednio aktualizowane także w systemach. Niekoniecznie administratorzy systemów powinni pamiętać o takich zmianach. To zautomatyzowany proces do osiągnięcia dzięki odpowiednim integracjom IDM z innymi systemami.

Zarządzanie hasłami

Obecnie wciąż głównym sposobem na uwierzytelnianie użytkowników jest metoda opierająca się na hasłach statycznych. Aby ta metoda pozostawała bezpieczna, należy odpowiednio zarządzać także hasłami użytkowników.

Po pierwsze hasła należy regularnie zmieniać. Przechowywanie informacji na temat ważności hasła jest kluczowe dla utrzymywania bezpieczeństwa haseł statycznych. Należy pamiętać, aby nowe hasło odpowiednio różniło się od poprzedniego.

Ponadto takie hasła powinny być odpowiednio skomplikowane. Niestety znajomość technik solenia, pieprzenia czy hash’owania haseł nie wystarcza do uzyskania odpowiedniego poziomu bezpieczeństwa haseł statycznych. Ostatecznie wciąż najsłabszym ogniwem pozostaje człowiek.

Weryfikacja

Bardzo często działy bezpieczeństwa i ochrony danych osobowych nie mają danych ani narzędzi do kontrolowania odpowiedniego poziomu bezpieczeństwa. Systemy takie jak SSO, systemy do zarządzania ochroną danych osobowych czy IDM pozwalają na przeprowadzenie dokładnego audytu z zakresu bezpieczeństwa i ochrony danych.

Podsumowanie

Zarządzanie tożsamościami to kluczowy problem, szczególnie dla większych przedsiębiorstw. Nie sposób zarządzać firmą bez wiedzy kto i na jakich zasadach ma dostęp do informacji oraz jak może je wykorzystać. Panowanie nad tożsamościami, daje możliwość kontroli nad dostępami do oferowanych usług, informacji i danych czy nawet do pomieszczeń w budynku.