IdM és a múlt

Az Identity Management a XXI. század első évtizedének nagy IT-biztonsági slágere volt. Sok bank és más nagyvállalat komoly pénzeket invesztált valamilyen dobozos IdM rendszer bevezetésére, vagy egyedi IdM megoldás kifejlesztésére.

Ezek az amúgy drága projektek így, vagy úgy, de megvalósultak, mégis a legtöbb esetben nem hozták azt a hasznot, amit a megrendelő várt volna tőlük. Ennek legfőbb oka, hogy ezeket a rendszereket elsősorban a jogosultság adminisztráció automatizálására, provisioning célra, informatikusok és rendszer adminisztrátorok számára találták ki, így aztán a bankbiztonsági és compliance feladatokat, melyek ellátását az IdM megoldásoktól várták volna, ezek az eszközök a legtöbb esetben nem tudták megfelelő szinten teljesíteni.

Az utóbbi néhány év tendenciája és a jövő kilátásai

A fentebb említett okok ismeretében nem meglepő a Gartner 2013 decemberi tanulmányának megállapítása, mely szerint "amíg a kezdeti 15 évben a jogosultság adminisztáción és annak automatizálásán (provisioning) volt a fő hangsúly, az elmúlt 5 évben a vezető szerepet az Identity Governance funkciók vették át."

A tanulmány a piac várható fejlődésével, tendenciáival is foglalkozik. E szerint "az Identity Governance piac egy gyors fejlődési perióduson fog keresztülmenni az elkövetkező 4-5 évben melynek során új, innovatív termékek és bevezetési módok jelennek meg."

Ez az előrejelzés megerősíti azt a felismerhető tendenciát, miszerint az Identity Management piacon a hangsúly mára a Provisioning megoldásokról az Audit és Compliance igények kielégítése, vagyis az Identity Governance eszközök felé tolódott el.

Főbb különbségek IdM és Identity Governance eszközök között

Az IdM és az IGA eszközök első ránézésre felépítésükben, funkcióikban nagyban hasonlítanak egymáshoz. Éppen ezért fontos rávilágítani, hogy mik azok a pontok amik leginkább megkülönböztetik őket egymástól. Ezek közül a leggyakrabban három területet emelnek ki, melyek a rendszerintegrálás hatóköre, a jogosultsági adatok részletessége, valamint a felhasználói felület.

Az IdM bevezetések során az a rendszerintegrálás, az adminisztráció automatizálása (provisioning) túlzott költsége miatt általában csak a legfontosabb rendszerekre terjed ki. Ez a korlátozott hatókör pedig nem elégséges az audit és compliance igények teljesítésére, hiszen ott az összes rendszer jogosultságadataira szükség van. Éppen ezért az IGA eszközöknél alapvető, hogy minden rendszerből beolvassuk a jogosultsági adatokat.

A legtöbb provisioning rendszernek nincs rálátása teljes részletességgel arra, hogy a felhasználói accountok, és az ahhoz rendelt jogosultság hozzárendelések (csoporttagságok, alrendszeri szerepkörök) végső soron milyen tényleges jogosultságokat biztosítanak a felhasználóknak. E nélkül pedig lehetetlen a szükséges policy-k betartását, a felelősségi körök szétválasztását (SoD)effektíven kikényszeríteni, illetve szinte lehetetlen ellenőrizni, vagy éppenséggel eldönteni, hogy a felhasználó jogosultságai ténylegesen megfelelnek-e az általa végzendő feladatoknak. Az IGA eszközök a jogosultsági struktúrára teljes mélységben rá kell lássanak, így képesek feltárni és követni a felhasználók tényleges jogosultságait.

Mint azt a bevezetőben is említettük az IdM rendszerek fő célja kezdetben a jogosultságadminisztráció automatizálása volt, így aztán leginkább IT szakemberek számára készültek. Ennek eredményeképpen ezek a rendszerek általában nem nyújtottak olyan, „halandó emberek” számára könnyen kezelhető felhasználói felületet, amit akár egy adatbiztonsági, compliance, vagy éppen a jogosultságok megfelelő kiosztásáért illetve ellenőrzéséért felelős üzleti szakértő napi munkája során egyszerűen használni tudott volna. Az Identity Governance eszközök viszont éppen ezeknek a nem informatikai beállítottságú felhasználók igényeit hivatottak kielégíteni, ezért a szükséges funkciók általában az ergonómiai és usability szempontok szem előtt tartásával valósultak meg.

Végülis…

...a kezdeti lelkesedés és nagy boomot követően a helyzet normalizálódott, hiszen a megoldások és projektek ezena területen is a valós igények és valós üzleti értékek: jelen esetben a rizikók csökkentése felé tolódtak el.

Ezekről részletesebben következő alkalommal írunk majd.

Miért is jött létre ez a Blog?

Manapság egyre égetőbb szükség van az IT biztonságra. Vannak vírusirtóink, tűzfalaink és hasonló eszközeink, amik többé-kevésbé megvédnek a kéretlen behatolásoktól. Az azonosítás terén is hatalmas előrelépések történtek a chipkártyák, tokenek, mobil eszközök használatával. Mindez azonban mit sem ér, ha a behatoló számára magunk nyitjuk ki az ajtót, vagy éppen nem látjuk, hogy az ezer közül valamelyik ajtó bizony tárva nyitva. A jelen blog éppen ezért az átláthatóságra, és az ahhoz kapcsolódó módszerekre és megoldásokra fókuszál.

Miért „Your Easy Sec”?

Biztonság terén mindig is komoly kihívást jelentett az átláthatóság biztosítása. A dolog közel áll a misztikumhoz, aminek költsége – pl. egy IDM rendszer bevezetése – egy-egy cég (pl. bank) esetén a százmillió forintos kategóriába esik. Célunk a misztikummal kapcsolatban olyan apróbb trükköket, egyszerűbb lépéseket és eszközöket bemutatni, melyek viszonylag kis költséggel gyors és kézzelfogható eredményeket hozhatnak a biztonság terén.

Rólunk

Jómagam 2002 óta foglalkozom bankbiztonsági rendszerekkel – eleinte 3A szerver, később IdM rendszerek bevezetésével, fejlesztésével. Ezen projektek során nem csak a bevezetés eszközeit és módszereit volt szerencsém megismerni, de mindazokat a kisebb részben technikai, nagyobb részben emberi projekt buktatókat, melyek időnként megkeserítik az IdM bevezetésre vetemedő szakmabeliek életét.

Vágjunk tehát bele: jó mulatást!

Dr. Brown (Doki)