Mis on kasutaja- ja juurdepääsuhaldus (IAM)?
Siit saate teada, mis on kasutaja- ja juurdepääsuhaldus (IAM) ning kuidas see tagab ettevõtte andmete ja ressursside turvalisuse.
Mis on IAM ja mida see teeb?
Töötajatel peab olema juurdepääs ettevõtte ressurssidele (rakendused, failid ja andmed) olenemata sellest, kust nad töötavad. Traditsiooniliselt töötas suurem osa töötajaid ettevõttes kohapeal ja ettevõtte ressursse kaitses tulemüür. Ettevõttes kohapeal sisse logides oli töötajatel juurdepääs vajalikele asjadele.
Praegusel hetkel on aga hübriidtöö tegemine populaarsem kui kunagi varem ning töötajatel on vaja turvalist juurdepääsu ettevõtte ressurssidele hoolimata sellest, kas nad töötavad ettevõttes kohapeal või teevad kaugtööd. Siin tulebki mängu kasutaja- ja juurdepääsuhaldus. Ettevõtte IT-osakonnal on vaja hallata seda, millele kasutajatel on juurdepääs ja millele mitte – juurdepääs delikaatsetele andmetele ning funktsioonidele on piiratud ainult nende inimeste ja üksustega, kes peavad neid kasutama.
IAM tagab kinnitatud üksuste jaoks turvalise juurdepääsu ettevõtte ressurssidele (näiteks e-kirjadele, andmebaasidele, andmetele ja rakendustele) ning teeb seda võimalikult väikese sekkumisega. Eesmärgiks on hallata juurdepääsu, et õiged inimesed saaksid teha tööd ja valedel inimestel (näiteks häkkeritel) puuduks juurdepääs.
Turvalise juurdepääsu vajadus ei hõlma ainult töötajaid, kes töötavad ettevõtte arvutites. See hõlmab ka töövõtjaid, edasimüüjaid, äripartnereid ja inimesi, kes töötavad oma isiklikes seadmetes. IAM tagab, et igal juurdepääsuga inimesel on õige tasemega juurdepääs õigel ajal ja õiges seadmes. Tänu sellele ja IAM-i rolli tõttu ettevõtte küberturve seisukohast on tegemist tänapäeva infotehnoloogia ülitähtsa osaga.
IAM-süsteem võimaldab ettevõttel inimese identiteeti kiiresti ja täpselt kinnitada. Samuti aitab see iga juurdepääsukatse ajal kindlaks teha, et inimesel on vajalikud load taotletud ressursi kasutamiseks.
Kuidas IAM töötab?
Ettevõtte ressurssidele turvalise juurdepääsu tagamine koosneb kahest järgmisest osast: kasutaja- ja juurdepääsuhaldus.
Kasutajahaldus kontrollib sisselogimiskatse vastavust kasutajahalduse andmebaasile, kuhu on jooksvalt salvestatud kõik, kellel peaks juurdepääs olema. Sellist teavet tuleb pidevalt värskendada, sest inimesed lahkuvad ettevõttest või tulevad sinna tööle, nende rollid ja projektid muutuvad ning ettevõtte tegevus areneb edasi.
Kasutajahalduse andmebaas sisaldab näiteks järgmisi andmeid: töötajate nimed, ametinimetused, juhid, otsesed alluvad, mobiiltelefoninumbrid ja isiklikud meiliaadressid. Autentimiseks nimetatakse kellegi sisselogimisteabe (näiteks kasutajanime ja parooli) ühildamist nende identiteediga andmebaasis.
Täiustatud turvalisuse tagamiseks nõuavad paljud ettevõtted kasutajatelt identiteedi kinnitamist mitmikautentimise (MFA) kaudu. Tuntud ka kui kaheastmeline kontrollimine või kahekordne kontrollimine – MFA on turvalisem kui ainult kasutajanime ja parooli kasutamine. See lisab sisselogimisprotsessi juurde etapi, mille puhul peab kasutaja kinnitama oma identiteedi mõne muu kinnitusmeetodi abil. Kõnealused kinnitusmeetodid võivad hõlmata mobiiltelefoninumbreid ja isiklikke meiliaadresse. Tavaliselt saadab IAM-süsteem ühekordse koodi mõnele muule kinnitusmeetodile, mille puhul peab kasutaja koodi ettenähtud aja jooksul sisselogimisportaali sisestama.
IAM-i teine pool on juurdepääsuhaldus. Pärast seda, kui IAM-süsteem on kinnitatud, et ressursile juurde pääseda üritav inimene või asi vastab oma identiteedile, jälgib juurdepääsuhaldus seda, millistele ressurssidele on inimesel või asjal luba juurde pääseda. Suurem osa ettevõtteid tagavad ressursside ja andmete jaoks erineva tasemega juurdepääsud, mis määratletakse selliste tegurite järgi nagu ametinimetus, tööstaaž, juurdepääsuload ja projekt.
Õige juurdepääsutaseme tagamine pärast kasutaja identiteedi autentimist nimetatakse autoriseerimiseks. IAM-süsteemide eesmärgiks on tagada, et iga juurdepääsukatse ajal toimub autentimine ning autoriseerimine õigesti ja turvaliselt.
IAM-i tähtsus ettevõtete jaoks
Üks põhjus, miks IAM on küberturve oluline osa: see aitab ettevõtte IT-osakonnal leida õige tasakaalu oluliste andmete ja ressursside juurdepääsu piiramisel suurema osa inimeste jaoks, tagades juurdepääsu siiski mõningatele inimestele. IAM võimaldab määrata kontrollmeetmed, mis tagavad turvalise juurdepääsu töötajatele ja seadmetele ning muudavad juurdepääsu kõrvaliste isikute jaoks keeruliseks või võimatuks.
IAM on oluline ka seetõttu, et küberkurjategijad arendavad oma tööviise igapäevaselt edasi. Keerukad ründed nagu andmepüügimeilid on üks kõige sagedasem häkkimise ja andmeturbemurde allikas ning kasutajad valitakse välja olemasoleva juurdepääsu alusel. Ilma IAM-süsteemita on raske hallata seda, kellel ja millel on juurdepääs ettevõtte süsteemidele. Turbemurded ja ründed võivad muutuda ohjeldamatuks, sest peale inimeste juurdepääsu on raske tühistada ka ründe ohvriks langenud kasutaja juurdepääs.
Kuigi täiuslikku kaitset pole kahjuks olemas, pakuvad IAM-i lahendused siiski suurepärase mooduse rünnete mõju ennetamiseks ja minimeerimiseks. Selle asemel et turbemurde korral kõikide kasutajate juurdepääsu piirata, on paljud IAM-süsteemid tehisintellektipõhised ning võimelised ründeid tuvastama ja peatama enne, kui need suuremaid probleeme valmistavad.
IAM-süsteemide eelised
Õige IAM-süsteem tagab ettevõttele mitmed eelised.
Õige juurdepääs õigete inimeste jaoks
Kuna IAM-süsteem võimaldab luua ning jõustada tsentraliseeritud reegleid ja pääsuõigusi, siis lihtsustab IAM-süsteem kasutajate juurdepääsu vajalikele ressurssidele ilma juurdepääsuta delikaatsetele andmetele, mida neil pole vaja. Seda nimetatakse rollipõhise juurdepääsu haldamiseks (RBAC). RBAC on skaleeritav viis juurdepääsu piiramiseks ainult inimeste jaoks, kes vajavad juurdepääsu oma rolli täitmiseks. Rolle on võimalik määrata fikseeritud õiguste kogumi või kohandatud sätete alusel.
Takistamatu tööviljakus
Kuigi turvalisus on oluline, peetakse oluliseks ka tööviljakust ja kasutuskogemust. Kuigi keeruka turvasüsteemi rakendamine turbemurrete vastu võib tunduda ahvatlev, muudavad tööviljakust pärssivad tõkked (näiteks mitu sisselogimist ja parooli) kasutuskogemuse halvemaks. IAM-i tööriistad nagu ühekordne sisselogimine (SSO) ja ühtlustatud kasutajaprofiilid võimaldavad anda töötajatele turvalise juurdepääsu mitme kanali kaudu, kasutades näiteks kohapealseid ressursse, pilvepõhiseid andmeid ja kolmanda osapoole rakendusi ilma mitme sisselogimiseta.
Kaitse andmeturbemurrete eest
Kuigi ükski turvasüsteem ei ole eksimatu, vähendab IAM-i tehnoloogia kasutamine märkimisväärselt andmeturbemurrete ohtu. IAM-i tööriistad nagu MFA, paroolivaba autentimine ja SSO tagavad kasutajatele võimaluse oma identiteedi kinnitamiseks, kasutades rohkem kui ainult kasutajanime ja parooli, mis võivad ununenda ning mida võidakse jagada või mis võivad häkkimise ohvriks langeda. Kasutaja sisselogimisvõimaluste laiendamine IAM-i lahendusega vähendab seda riski, tagades sisselogimisprotsessile lisaturbekihi, mida pole võimalik kergesti häkkida või jagada.
Andmete krüptimine
Üks põhjuseid, miks IAM on ettevõtte turvalisuse suurendamisel nii tõhus, seisneb mitmete IAM-süsteemide krüptimistööriistades. Need kaitsevad delikaatset teavet, kui seda ettevõttesse edastatakse või sealt väljastatakse. Funktsioonid nagu tingimusjuurdepääs võimaldavad IT-administraatoritel määrata juurdepääsutingimused näiteks seadme, asukoha ja reaalajas riskiteabe järgi. See tähendab, et andmete turvalisus on tagatud ka andmeturbemurde korral, sest andmeid on võimalik dekrüptida ainult kontrollitud tingimustes.
Vähem käsitsi töötamist IT jaoks
IAM-süsteemid säästavad IT-osakondade aega ja jõudu tänu IT-osakonna ülesannete automatiseerimisele, mis hõlmab inimeste aitamist paroolide lähtestamisel, kontode avamist ja juurdepääsulogide juurdepääsu jälgimist anomaaliate tuvastamise eesmärgil. Tänu sellele võib IT-osakond keskenduda muudele olulistele ülesannetele, näiteks täisusaldamatuse strateegia elluviimisele muudes ettevõtte osakondades. IAM on täisusaldamatuse jaoks hädavajalik. Täisusaldamatus on turberaamistik, mille põhimõteteks on põhjalik kinnitamine, miinimumpääsu kasutamine ja turbemurde eeldamine.
Täiustatud koostöö ja tõhusus
Sujuv koostöö töötajate, edasimüüjate, töövõtjate ja tarnijate vahel on esmatähtis, et kaasaegse töötempoga sammu pidada. IAM võimaldab sellist laadi koostööd ning tagab turvalise, kiire ja hõlpsa koostöö. IT-administraatorid võivad luua ka automatiseeritud rollipõhiseid töövooge, et kiirendada lubade andmise protsesse rollide vahetumise ja uute töötajate palkamise korral, mis säästab tööle asumise puhul aega.
IAM ja nõuetele vastavuse eeskirjad
Ilma IAM-süsteemita peaks ettevõtte jälgima käsitsi igat üksust, kellel on juurdepääs ettevõtte süsteemidele ning seda, kuidas ja millal nad oma juurdepääsu kasutavad. See muudab käsitsi koostatud auditite loomise aeganõudvaks ja intensiivseks protsessiks. IAM-süsteemid automatiseerivad selle protsessi ning muudavad auditi koostamise ja aruandluse palju kiiremaks ning lihtsamaks. IAM-süsteemid võimaldavad ettevõtetel auditite ajal näidata, et juurdepääsu delikaatsetele andmetele juhitakse õigesti – seda nõutakse mitmete lepingute ja seaduste osana.
Auditid on vaid üks osa kindlatele regulatiivsetele nõuetele vastamise protsessist. Paljude määruste, seaduste ja lepingute puhul on nõutud andmete juurdepääsu haldamist ja privaatsuse haldamist, mille puhul IAM-id abi pakuvadki.
IAM-i lahendused võimaldavad kasutajaid kinnitada ja hallata, kahtlast tegevust tuvastada ning juhtumitest teavitada – see kõik on vajalik nõuetele vastavuse eesmärgil (näiteks tunne oma klienti (TOK), kahtlase tegevuse aruandluse tehingute jälgimine ja punaste lipude reeglid). Samuti on olemas andmekaitsestandardid nagu isikuandmete kaitse üldmäärus (GDPR) Euroopas ning tervisekindlustuse ülekantavuse ja aruandluse seadus (HIPAA) ning Sarbanes-Oxley seadus Ameerika Ühendriikides, mille puhul on nõutud ranged turvalisuse standardid. Õige IAM-süsteemi olemasolu hõlbustab vastavust kõnealustele tingimustele.
IAM-i tehnoloogiad ja tööriistad
IAM-i lahendused on integreeritavad mitmesuguste tehnoloogiate ja tööriistadega, mis muudavad võimalikuks turvalise autentimise ning autoriseerimise suurettevõtte tasemel:
- Turvadeklaratsioonide märgistuskeel (SAML) – SAML muudab SSO kasutamise võimalikuks. Kui kasutaja on edukalt autenditud, teavitab SAML teisi rakendusi sellest, et kasutaja puhul on tegemist kinnitatud üksusega. SAML on oluline seetõttu, et töötab erinevates operatsioonisüsteemides ja masinates, tänu millele on võimalik tagada turvaline juurdepääs erinevate kontekstide puhul.
- OpenID Connect (OIDC) – OIDC lisab identiteedi 0Auth 2.0 funktsioonile, mille puhul on tegemist autoriseerimise raamistikuga. See saadab identiteedi pakkuja ja teenusepakkuja vahel kasutaja teavet sisaldavaid tõendeid. Selliseid tõendeid saab krüptida ning need võivad sisaldada teavet kasutaja kohta, näiteks järgmist: nimi, meiliaadress, sünnikuupäev või foto. Teenustel ja rakendustel on tõendeid kerge kasutada – seetõttu on OIDC abil kasulik mobiiltelefoni mänge, sotsiaalmeediat ja rakenduse kasutajaid autentida.
- Domeenidevahelise kasutajahalduse süsteem (SCIM) – SCIM aitab ettevõtetel kasutajaidentiteete standardselt hallata, mis töötab mitmete rakenduste ja lahenduste (teenusepakkujate) puhul.
Teenusepakkujatel on kasutajaidentiteedi teabe puhul erinevad nõuded ning SCIM võimaldab luua kasutaja jaoks IAM-tööriistas identiteedi, mis integreeritakse teenusepakkujaga, et kasutajal oleks juurdepääs ilma eraldi kontot loomata.
IAM-i juurutamine
IAM-süsteemid mõjutavad igat osakonda ja igat kasutajat. Seetõttu on IAM-lahenduse edukaks juurutamiseks vaja sooritada eelnevalt põhjalik planeerimine. Alustuseks tuleb kasuks välja arvutada kasutajate arv, kellel läheb juurdepääsu vaja, ja koostada loend lahendustest, seadmetest, rakendustest ja teenustest, mida ettevõte kasutab. Sellised loendid aitavad IAM-lahendusi võrrelda, et tagada nende vastavus ettevõtte olemasoleva IT-seadistusega.
Järgmiseks on oluline kaardistada erinevad rollid ja olukorrad, mille puhul läheb IAM-süsteemi vaja. Sellest raamistikust saab IAM-süsteemi arhitektuur ja see moodustab IAM-i dokumentatsiooni põhialuse.
IAM-i juurutamise teine aspekt, millega arvestada, seisneb lahenduse pikaajalises tegevuskavas. Ettevõte areneb ja laieneb ning koos sellega muutuvad ka aspektid, mida ettevõtte IAM-süsteemilt vajab. Sellise arengu varajane planeerimine tagab IAM-lahenduse ühildamise ärialaste eesmärkidega ning pikaajalise edu.
IAM-i lahendused
Kuna turvalise juurdepääsu vajadus platvormide ja seadmete ressurssidele kasvab, muutub IAM-i tähtsus selgemaks ning hädavajalikumaks. Ettevõtted vajavad tõhusat viisi kasutajate ja õiguste haldamiseks suurettevõtte tasemel, mis hõlbustab koostööd ning suurendab tööviljakust.
Sobiva IAM-i lahenduse rakendamine olemasolevas IT-ökosüsteemis, mis kasutab näiteks tehisintellektipõhist tehnoloogiat, et aidata IT-administraatoritel kogu ettevõtte ulatuses juurdepääsu jälgida ja kontrollida, on üks parimaid viise ettevõtte turbeseisundi tugevdamiseks. Selleks et teada saada, kuidas Microsoft võimaldab teil kaitsta juurdepääsu mis tahes rakendusele või ressursile, igat identiteeti kaitsta ja kinnitada, tagada ainult vajalik juurdepääs ning lihtsustada sisselogimisprotsessi, tutvuge Microsoft Entra ja muude Microsofti turbelahendustega.
Lisateave Microsofti turbeteenuse kohta
Microsoft Entra
Kaitske identiteete ja ressursse identiteetide ja võrgupääsu mitmikpilvlahenduste abil
Azure Active Directory
Kaitske identiteete ja andmeid, hõlbustades samal ajal juurdepääsu. Azure AD-st saab Microsoft Entra ID
Microsoft Entra ID-korraldus
Kaitske, jälgige ja auditeerige juurdepääsu olulistele varadele.
Korduma kippuvad küsimused
-
Kasutajahaldus on seotud selliste atribuutide haldamisega, mis aitavad kinnitada kasutaja identiteeti. Atribuudid salvestatakse kasutajahalduse andmebaasis. Atribuudid hõlmavad näiteks järgmist: nimi, ametinimetus, määratud töökoht, otsesed alluvad ning kinnitusmeetod, mida süsteem kasutab inimese tõelise isiku kinnitamiseks. Kõnealused kinnitusmeetodid võivad hõlmata mobiiltelefoninumbreid ja isiklikke meiliaadresse.
Juurdepääsuhaldus reguleerib seda, millele on kasutajal pärast identiteedi kinnitamist juurdepääs. Sellised juurdepääsu reguleerimise funktsioonid võivad põhineda rollil, juurdepääsuloal, haridustasemel või kohandatud sätetel.
-
Kasutaja- ja juurdepääsuhaldus on mõeldud selleks, et tagada ainult õigetele inimestele juurdepääs ettevõtte andmetele ning ressurssidele. Tegemist on küberturbe tavaga, mis võimaldab IT-administraatoritel piirata juurdepääsu ettevõtte ressurssidele, et tagada juurdepääs vaid neile, kes seda vajavad.
-
Kasutajahalduse süsteem on andmebaas, kuhu salvestatakse tuvastamist võimaldav teave inimeste ja seadmete kohta, kes peavad ettevõtte andmetele ning ressurssidele juurde pääsema. Andmebaasis talletatakse järgmised atribuudid: kasutajanimed, meiliaadressid, telefoninumbrid, juhid, otsesed alluvad, määratud töökoht, haridustase ja juurdepääsuload. Neid atribuute kasutatakse selleks, et kontrollida, kas kasutaja on see, kes ta väidab end olevat. Kasutajahalduse süsteemi peab pidevalt värskendama, sest inimesed lahkuvad ettevõttest ja tulevad sinna tööle, vahetavad rolle ning alustavad või lõpetavad projekte.
-
Kasutaja- ja juurdepääsuhalduse tarkvara annab teie käsutusse tööriistad, mis aitavad ettevõtetel tuvastada inimesi ja seadmeid, kes proovivad sisse logida, ning tagab, et kinnitatud kasutajatel on juurdepääs õigetele ressurssidele. Tegemist on tsentraliseeritud viisiga identimiseks, juurdepääsu haldamiseks ja turbemurrete märkimiseks.
-
IAM on pilvandmetöötluse oluline komponent, kuna kasutajanimed ja paroolid ei ole enam piisavalt tugevad, et kaitsta organisatsiooni turbemurrete eest. Paroole saab häkkida, jagada või ära unustada ning paljud organisatsioonid on niivõrd suured, et juurdepääsukatseid pole võimalik käsitsi hallata ja jälgida. IAM-süsteem muudab identiteediatribuutide ajakohasena hoidmise, rollipõhise juurdepääsu andmise ja piiramise ning kõrvalekallete ja turbemurrete märgistamise lihtsamaks.
Jälgige Microsofti