Pro menší společnost je snadné tyto přístupy spravovat. Pro větší společnost je však velmi těžké uhlídat, zda někde nevznikají bezpečnostní pochybení nesprávným přidělením přístupu či opomenutím smazání nepotřebného účtu. Také je mnohem složitější definovat přístupy ke zdrojům nového zaměstnance, pokud požadavky na vytvoření účtů vznikají odděleně (od manažera zaměstnance, z HR sekce, Request Managementu nebo jen přes uživatelovu poštu). Všechny tyto kroky mohou vést k vnitřním bezpečnostním incidentům, zneužití firemních informací, poškození prestiže firmy nebo dokonce k finančním ztrátám.
Na základě popisovaných faktů se ve společnostech nasazuje centrální řešení pro správu uživatelských účtů, tj. implementuje se řešení, které pokrývá všechny důležité firemní zdroje v jejich rozličnosti a šíři a přiděluje jejich přístupové účty daným zaměstnancům dle definovaných bezpečnostních politik. Vytváření či mazání aplikačních účtů již není prácí odpovědného IT administrátora, ale vše je centrálně řízeno automatickým přidělením či schvalovacím procesem. Již se tedy nemůže stát, že by ve společnosti vznikaly přístupy, které nejsou svázané s daným zaměstnancem nebo které nikdo nekontroluje a nespravuje.
Řešení pro centrální správu uživatelských účtů (tzv. Identity Management) se nenasazuje u nově vznikající společnosti. Je to řešení, které by se mělo postupně integrovat do vnitřní infrastruktury, nemělo by měnit vnitřní strukturu společnosti nebo prosazovat globální změnu již existujících uživatelských přístupů. Na začátku je nutné pojmout a centrálně spravovat nejdůležitější zdroje (uživatelské adresáře, kritické operační systémy a aplikace) a teprve postupně rozšiřovat své zaměření na další zdroje dle nastavených priorit. Je to řešení, které by se mělo implementovat krok po kroku a neustále přizpůsobovat měnícím se požadavkům.
V každé fázi nasazení se řešení dá snadno nastavovat a využívat přes přehledné webové rozhraní. Toto rozhraní by mělo být graficky přizpůsobitelné a rozličné pro různé typy přístupů (uživatelé, administrátoři, schvalovatelé, auditoři a jiní). Také je zde nutné zvážit schopnost integrace do již využívaných firemních webových portálů. Výsledkem je, že každý vidí svou část bezpečnostní skládanky přístupových účtů.
Nedílnou součástí centrálního řešení pro správu uživatelských účtů je možnost celkového auditu nastavení, použité administrace řešení, uživatelského přístupu ke zdrojům nebo souladu s firemní bezpečnostní politikou účtů a jejich hesel. Výhodou takového řešení je, že vše je z jednoho rozhraní dostupné a je možné dle nadefinovaných požadavků vytvářet, (automaticky nebo manuálně) aktuální nebo historické reporty typu tabulky, sloupcové či koláčové grafy aj. Tyto reporty pak slouží pro zjištění současného stavu a dokáží odhalit možné bezpečnostní problémy ve společnosti.
Jaké jsou tedy jednotlivé části centrálního řešení pro správu uživatelských účtů a co jsou nejdůležitější aspekty nastavení takového řešení?
Rozdělení a napojení na firemní zdroje
Mezi firemní zdroje, které se centrálně spravují, patří již existující adresářové uživatelské seznamy (LDAP Directory) různých typů a zaměření. Mezi nejznámější patří Microsoft Active Directory, IBM Tivoli Directory Server, Novell NDS/eDirectory a jiné. Dále jsou tu existující operační systémy, které potřebují mít lokálně či globálně definované administrátorské a uživatelské přístupy. Dále se jedná o podporu heterogenní šíře nejpoužívanějších operačních systémů ve společnosti – MS Windows, Linux, Unix, Novell, IBM Mainframe a jiné. Spadají sem také poštovní aplikace (mezi ty nejznámější patří IBM Lotus Domino a MS Exchange Server) a databázové aplikace s širokým výběrem (Oracle, Sybase, IBM DB2, IBM Informix, MS SQL, MySQL a další). Velmi důležitou částí jsou ERP řešení (jako například řešení od společnosti SAP), portálové webové řešení (IBM Websphere), bezpečnostní aplikace či hardware a mnoho dalších aplikací s různým druhem zaměření a prioritou pro danou společnost.
Z tohoto přehledu by mělo být patrné, že každá společnost může disponovat různými typy zdrojů s odlišnými prioritami integrace do centrální správu. Zvláště u tzv. aplikací vytvořených na míru požadavků dané společnosti je nutné mít dodatečnou možnost integrace do centrální správy přes dostupné komunikační rozhraní (API).
Centrální řešení pro správu uživatelských účtů by mělo disponovat již vytvořenou klientskou aplikací, které umožní oboustrannou komunikaci mezi zdrojem a centrálním řešením pro různé typy úkonů - zakládání, mazání, úprava, deaktivace či aktivace daného uživatelského účtů. V některých případech (například u LDAP aplikací) je možné použít integrační nástroj (softwarová aplikace od dodavatele řešení Identity Managementu) umožňující synchronizace či úpravu záznamů mezi uživatelskou adresářovou strukturou zdroje a centrálního řešení. Jakoukoliv komunikaci mezi centrálním řešením a zdrojem je nutné zabezpečit (autentizace, šifrování).
Tímto propojením odpadá nutnost zásahu IT oddělení při vzniku požadavku. Vše je pak spravováno přes možnosti centrálního řešení dle nastavených politik a povolených požadavků.
---Tento článek vyšel v tištěném SecurityWorldu 4/2008