Bezpečnost zaměstnanecké identity

Zaměstnanci mají obvykle zřízeno mnoho účtů do řady firemních aplikací a správa vysokého počtu uživatelů představuje bezpečnostní riziko. Jak vyřešit centrální správu uživatelských identit a jejich propagaci do aplikací?

Bezpečnost zaměstnanecké identity


(Partnerský příspěvek)

Digitální schizofrenici

V současnosti má většina lidí více identit, přitom se nemusí nutně jednat o osoby duševně nemocné nebo zařazené do programu na ochranu svědků. Řeč je totiž o našich digitálních identitách.

V digitálním světě vlastní každý uživatel více účtů pro přístup do různých služeb, např. sociálních sítí. V profesním životě zase používáme různé účty pro přístup do aplikací svého zaměstnavatele.

Když více neznamená lépe

S rostoucím počtem účtů rostou nároky na jejich správu nejen námi uživateli, ale zejména administrátory aplikací. Ti mají odpovědnost za správné přidělování přístupových oprávnění a řízení životního cyklu uživatelských identit v systému.

Správa vysokého počtu uživatelů představuje možné bezpečnostní riziko. Hrozbou jsou tzv. zapomenuté účty. Byly zaměstnanci s ukončeným pracovním poměrem zablokovány všechny existující účty? Bylo administrátorovi sděleno, že nějaká osoba odešla z firmy?

Koncept jediné identity

Zaměstnanci mají obvykle zřízeno N účtů do N firemních aplikací. Mohou si zjednodušit život tím, že jim administrátor zřídí účty se stejným uživatelským jménem a oni sami si pro každý účet nastaví stejné heslo. Pokud je ale vyžadována změna hesla po určitém počtu dní, uživatelé jsou nuceni změnit si heslo u všech svých účtů, jestliže chtějí nadále používat jedno heslo do všech aplikací.

Ruční změna hesel je jako stvořená pro zautomatizování v systému pro řízení identit (Identity Management, IDM). Ten je založen na principu, že jedna osoba je držitelem pouze jednoho uživatelského účtu, jedné identity. Identity jsou uloženy v centrálním úložišti v rámci IDM, které je obvykle realizováno LDAP adresářem.

IDM zajišťuje, aby identity a všechny jejich změny byly propagovány do napojených aplikací. Zaměstnanec si tak změní heslo pouze jednou ke svému účtu v centrálním úložišti. IDM se následně postará o to, aby se nové heslo „propsalo“ do firemních aplikací. Zaměstnanec se tak může přihlásit svým novým heslem do cílové aplikace.

Práci mají ulehčenou také administrátoři. Uživatelské účty zakládají pouze na jednom místě a IDM se postará o jejich založení v příslušných integrovaných aplikacích. Podobným způsobem fungují také reset hesla nebo zablokování účtu.

Správa identit

 

A co to ještě vylepšit?

Nyní by se mohlo zdát, že jediným (správným) zdrojem identit je IDM. Identity ale ve skutečnosti vznikají a mění se v personálním systému organizace. Systém řízení identit lze ještě vylepšit propojením IDM s personálním systémem.

IDM bude z personálního systému přebírat informace o nových zaměstnancích, změnách či ukončení pracovního poměru. Tyto informace následně transformuje do centrálního úložiště identit založením, změnou či zablokováním uživatelských účtů. Na základě přiřazené pracovní pozice může IDM dokonce automaticky přiřadit přístupová oprávnění účtu příslušného zaměstnance.

Jednotný přístup

IDM vyřeší centrální správu uživatelských identit a jejich propagaci do aplikací. Uživatelé se však budou do aplikací přihlašovat stále „postaru“. V rámci IDM máme vybudováno centrální úložiště identit a bylo by škoda jej nevyužít pro další účely.

Můžeme vybudovat systém jednotného řízení přístupu. Ten umožňuje mít pod kontrolou komunikační kanál, po kterém uživatelé přistupují do aplikací, a způsob přihlašování uživatelů do aplikací.

Základem systému je centrální přístupová brána fungující jako jediný bod, přes který uživatelé přistupují do aplikací. Brána provádí autentizaci uživatelů právě vůči centrálnímu úložišti identit v IDM a aplikaci je předán již ověřený uživatel.

Nasazení systému řízení přístupu přináší různé výhody a zjednodušení správy a údržby IT prostředí firmy. Lze vynucovat šifrované SSL spojení na přístupové bráně pro zabezpečení přístupů uživatelů. Nebo se na přístupové bráně mohou aktivovat pokročilé metody přihlašování (certifikáty, OTP), aniž je firemní aplikace musejí podporovat.

Pokročilé autentizační metody přitom mohou být nasazeny jen u aplikací, které zpracovávají kritická data (finanční systém, personální systém). Standardní přihlašování jménem a heslem může být nadále požadováno u méně významných systémů.

Centrální přístupová brána může podporovat další funkci, která uživatelům usnadní život. Technologie Single Sign On (SSO) umožní uživateli zadat přihlašovací údaje pouze při přístupu do první aplikace. Pokud ale přistoupí do jiné aplikace, je do ní ihned vpuštěn, aniž je mu zobrazena přihlašovací stránka, protože byl již jednou ověřen.

Přístupová brána však také představuje kritický bod v IT infrastruktuře. Při jejím výpadku by totiž uživatelé nemohli přistupovat do aplikací, a chod firmy by se tak přinejmenším omezil. Proto je nezbytné zajistit vysokou dostupnost této komponenty. Provoz na více strojích bude mít rovněž pozitivní vedlejší efekt v podobě vyššího výpočetního výkonu, který bude při vyšším počtu uživatelů potřeba. Přístupová brána totiž nezajišťuje pouze přihlášení uživatele do aplikace, ale procházejí přes ni všechny klientské požadavky.

Bezpečnostní přínosy

Centrální systém řízení identit se nestará pouze o správu identit, ale také zajistí audit všech činností spojených se životním cyklem identity. Je tak např. možné zjistit, kdo a kdy založil příslušný účet a kdo a kdy mu přiřadil přístupová práva. Je možné zavést schvalovací workflow, kdy příslušnou aktivitu (založení účtu) musejí nejprve odsouhlasit jmenované osoby. Na přidělování přístupových práv může být aplikována funkcionalita SoD (Separation of Duties), která sleduje, zda v jednom účtu není soustředěno příliš mnoho oprávnění.

Také systém řízení přístupu provádí audit, v tomto případě to jsou přístupy uživatelů. Je tedy známo, kdy přistupoval jaký uživatel do jaké aplikace. Kromě podpory pokročilých autentizačních metod a šifrované komunikace s klientskými stanicemi lze pomocí systému řízení přístupu např. omezit přístup do aplikací jen z určitých IP adres nebo definováním doby, po kterou mohou uživatelé do aplikací přistupovat.

Na bezpečnost IT prostředí firmy lze nahlížet z několika úhlů pohledu. Systémy řízení identit a přístupu pomohou zvýšit zabezpečení jedné oblasti, která bývá často opomíjena, přestože se v ní nachází v současnosti snad ta nejzranitelnější část informačních systémů – jejich uživatelé. A kromě toho umožňuje řízení identit a přístupů zjednodušit správu uživatelů.

Ing. Martin Šlancar

Autor je business analytikem ve firmě NEWPS.CZ s.r.o.

 

Úvodní foto: (c) Fotolia - Andrea Danti










Komentáře