자동화 또는 기타: 권한 스프롤을 당시에 그리고 모두를 위해 무력화하는 방법
게시 됨: 2022-01-11
올라가는 것은 내려와야 합니다. 또는 그렇게 표현이 진행됩니다.
규칙에 대한 예외는 귀하의 회사에 쌓이는 진입 권한의 범위로 나타납니다.
점점 더 디지털 방식으로 작업을 수행하는 방식으로 이전함에 따라 앱, 권한 및 권한의 범위는 향상될 뿐입니다.
이러한 열풍은 SaaS, IaaS 및 기타 XaaS 환경의 도입 비용이 증가하면서 클라우드로의 가속화된 움직임에서 분명히 알 수 있습니다. 이는 기업이 애플리케이션과 수단에 액세스하는 데 있어 그 어느 때보다 신원을 중요하게 생각하고 있음을 의미합니다.
엔터프라이즈 측면에서 우리는 글로벌 무대에서 계속 경쟁력을 유지하기 위해 조직이 구매에 앞서 그 어느 때보다 더 빠른 속도로 추가 작업을 수행할 수 있도록 권한을 부여해야 합니다. 대부분의 기업에서 현실은 소비자가 상당한 확률의 응용 프로그램 및 데이터에 참여할 수 있는 전력이 그 어느 때보다 많다는 것입니다.
그러나 우수한 전력에는 엄청난 책임이 따릅니다.
훨씬 더 많은 액세스 권한으로 훨씬 더 많은 ID를 실행한다는 것은 보안이 필요한 추가 위협과 더 넓은 위협 영역을 의미합니다. 2021년에 기업은 이러한 ID를 처리해야 한다는 것을 알고 있지만 시나리오의 복잡성은 레거시 도구 및 핸드북 프로세스로 계속 실행할 수 있는 단계를 훨씬 지난 상태입니다.
우리의 장애물을 소개하는 것은 우리가 비즈니스 외부의 사용자와 더 많은 장치 및 세부 정보에 대한 액세스를 공유하고 있으며 계속 증가하는 위험 층의 위협을 도입하면서도 귀중한 협업을 위해 자산을 노출한다는 사실입니다.
어떤 경우에는 조직 외부의 최종 사용자가 평판이 좋은 이유가 있는 후에도 오랫동안 이러한 자산에 대한 액세스 권한을 유지하는지 추적하는 사람이 있는지 궁금합니다.
여기에 나열된 관리 대상의 규모와 복잡성을 감안할 때 기업이 앞으로 보안 및 규정 준수를 유지할 가능성이 있는지 고려해야 할 몇 가지 사항이 남아 있습니다.
모든 것을 자동화
2020년 이전과 재택근무가 유비쿼터스화되기 전에 현재 중견 제공업체는 Salesforce 및 O365와 같은 일반적인 137 SaaS 애플리케이션에 적용하고 있는 것으로 알려졌습니다. 그 다양성은 기업의 경우 두 배 이상이며 운영 방식이 완료된 것으로 간주되는 인프라 및 기타 XaaS 클라우드 회사의 선택을 포함하지 않습니다.
이러한 애플리케이션과 연결된 모든 ID 및 권한을 계속 추적하는 것은 이상적인 인스턴스 아래에 있는 Sysaphean 활동입니다. 그리고 수동으로 실행하는 것은 완전히 불가능합니다.
동시에, 사업의 규모가 커지고 있으며, 계속해서 교육을 진행하는 데 필요한 유능한 보호 전문 지식은 지속적으로 자원이 부족합니다. 오늘날 IAM 안정성 관리에 전념하는 인력이 있는 기업에서도 그룹을 계속해서 보호하고 규정을 준수할 수 있는 팀의 능력을 능가합니다.
좋은 정보는 모든 기업이 자동화해야 한다는 사실을 인식하고 있다는 것입니다. 문제는 '만약'이 아니라 '얼마나 의미 있게 갈 수 있는가'이다.
우리는 이 장애물을 몇 번이고 의견을 구하면서 봅니다. 전략을 준비하고 규제할 수 있는 대안이 시장에 나온 지 얼마 되지 않았습니다. 그러나 이러한 도구는 개선되기는 하지만 개인 전문가 개요를 획득하고 체크리스트에 있는 거의 모든 자격을 승인하는 조건에서 실질적인 인간 대화가 계속 필요합니다.
우리의 목표는 달성 가능한 모든 작은 일을 자동화하고 비즈니스 보험 정책의 개요를 설명할 수 없는 심각하고 거친 요구에 대해 인간 선택권자에게만 제공하여 실제로 누가 무엇에 가입해야 하는지를 적절하게 설정하는 것이어야 합니다. 단순한 자격 결정을 자동화하는 것이 우리의 기본이 되어야 합니다. 특히 사람들에게 이미 대안을 제시하는 데 필요한 사실이 있는 경우에는 더욱 그렇습니다.
계속되다
우리는 "적절한 시점"이 "충분히 좋은" 마음의 틀에서 벗어나야 할 것입니다. 지속적인 기반 위에서 ID 관리 계획을 실행하지 않으면 예방 가능한 안전 및 규정 준수 격차가 발생합니다.
예를 들어, 직원이 그룹을 떠났지만 즉시 완전히 퇴장하지 않으면 직원이 귀중한 데이터를 훔치거나 파괴할 수 있는 창을 열어두고 출발합니다. 마찬가지로, 실시간으로 발생한 관리자 계정 변경이나 권한이 높은 ID를 찾지 못하면 매우 유사한 문제가 발생할 수 있습니다.
원하는 것은 절차 위반을 반복적으로 확인하고 작업이 효율적이도록 제 시간에 자동으로 워크플로를 시작할 수 있는 가드레일입니다. 가드레일은 현대 자동차에서 차선 이탈 경고와 같은 역할을 할 수 있습니다. 그들은 나쁜 일이 실현될 수 있음을 비즈니스에 알리고 조치를 고려할 방법과 시기를 결정할 수 있도록 합니다.
모든 액세스가 유사한 것은 아닙니다.
언제든지 확장되는 클라우드 설정에서는 모든 앱과 데이터에 대한 액세스를 정확하게 제어할 수 없습니다. 관리하기에는 너무 많은 접근성이 있습니다.
중요한 것은 초점과 우선순위를 정하는 수단입니다.
가장 큰 위험 자산이 무엇인지 파악하고 초기에 규제하십시오. 이전에는 아무도 일반 대중의 사실을 서류 보관함에 가두지 않았으며 정확한 것은 디지털 지식의 실제입니다. 조직의 중요한 위험 응용 프로그램 및 지식을 이해함으로써 해당 지역에 대한 통제의 우선 순위를 지정하고 목표로 삼을 수 있습니다.
변경을 위한 시간
이제 회사 내에서 계속 증가하는 디지털 입력량을 제어하는 방법에 대한 대화를 시작할 때입니다. 조직의 통제 및 규정 준수 보고를 재구성하기 위한 전술의 요소로 감사관 및 규제 기관과 같은 항목을 포함하는 것을 정말 무시하지 마십시오.
현상 유지는 더 이상 적절하지 않습니다. 진입 후기가 규정 준수 체크리스트의 요소가 되면서 조직은 결국 다소 제한된 다양한 수단만 관리하게 되었습니다. 이제 "고가치" 자산이든 아니든 거의 모든 것을 비판해야 한다는 압력이 있습니다.
이러한 전략을 다루는 두 사람보다 더 많은 사람이 제 시간에 전략을 완료하는 유일한 방법은 검토자가 이사회 전체에 걸쳐 승인을 "고무 도장"하도록 하는 것이라고 나에게 지시했습니다. 규정을 준수하는 유일한 방법이 훈련의 기능을 무력화하는 것이라면 우리는 어떤 것이 변화해야 한다는 것을 압니다.
검토자는 개인에 대한 작업 부하의 더 많은 부분을 관리할 수 있는 솔루션에 투자함으로써 가장 인식할 가치가 있는 작업과 선택 사항에 대한 이니셔티브를 목표로 삼을 수 있습니다.
장기적으로 실행하는 것보다 감사인의 기대는 현장의 조건을 충족하도록 적응해야 합니다. 이는 감사자가 신뢰할 수 있는 보다 스마트하고 자동적인 방법으로 주기적인 수동 절차, 스크린샷 및 스프레드시트에서 벗어나는 것을 의미합니다.
Paul Trulove, 고문, 권한 부여