Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)

Опубликовано: 7 Апреля, 2023

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)

Введение

В первой части этой серии статей, посвященной вопросам планирования безопасности BYOD и консьюмеризации ИТ, мы рассмотрели проблемную область «Принеси свое собственное устройство» (BYOD) и обсудили ключевые аспекты планирования и проектирования. Мы завершили статью рассмотрением структуры структуры планирования, которую вы можете использовать для принятия решений по планированию. Во второй части мы обсудили ряд требований к решениям, применимым ко всем безопасным развертываниям BYOD. Это включает в себя технические возможности, которые требуются во всех решениях BYOD. В этой, части 3, мы закончим рассмотрение требований к решениям BYOD, а также смысла и целей, стоящих за ними.

Упростите управление идентификацией для пользователей и администраторов BYOD

Управление идентификацией существует уже давно — с тех пор, как мы начали создавать отдельные учетные записи для разных людей, чтобы использовать их при доступе к компьютерам и сетям. Если вы достаточно взрослый, вы, возможно, помните первые дни вычислительной техники, когда вы просто запускали MS-DOS, запускали свое приложение и начинали работать. Входа в систему не было, и компьютер понятия не имел, кто вы, и был ли человек, использующий программу, тем же, кто использовал ее вчера.

Это работало (хотя и не всегда особенно хорошо), когда персональные компьютеры в основном работали в автономном режиме и не были связаны с другими компьютерами. Затем на сцене появилась сеть, и можно было получить доступ не только к файлам на собственном жестком диске, но и к файлам, находящимся на других компьютерах. Эта возможность делиться ресурсами была и хороша, и плоха. Владельцы этих ресурсов не обязательно хотели «делиться и делиться одинаково». То есть они не хотели делиться файлом со остальными пользователями сети. Им нужен

Самым простым и ранним методом контроля доступа было размещение паролей на файлах. Таким образом, только те люди, которые знали пароли, могли их открыть. И работало, пока было задействовано всего несколько человек и всего несколько файлов. Однако все усложнялось, если вы работали с множеством разных ресурсов, каждый из которых должен был иметь разные пароли. Пользователям приходилось иметь дело с десятками, а потенциально сотнями или тысячами паролей, а также с расположением каждого файла в сети (т. е. с указанием того, на каком компьютере он хранится, и пути к нему). Это был кошмар; Я знаю, потому что я работал в такой ситуации. А с точки зрения владельца ресурса у вас не было записей о том, кто обращался к файлам.

Должен был быть лучший способ — и он был. Назначив каждому пользователю учетную запись с именем пользователя, которое идентифицирует его/ее на компьютере и в сети, вы можете реализовать контроль доступа на основе идентификации. Это позволяло владельцу ресурса назначать разрешения, определяющие, какие учетные записи пользователей могут получить доступ к ресурсу. Теперь пользователю нужно было запомнить только один пароль — пароль для входа в учетную запись — вместо одного для каждого ресурса, а владелец ресурса мог узнать, кто имеет доступ к файлу. Дела шли лучше.

Сначала в одноранговых сетях прежних дней эти учетные записи нужно было создавать на каждом компьютере. Но сетевая операционная система и службы каталогов решили эту проблему. Сначала в Novell Netware, затем в службах каталогов сервера Windows NT, а затем в Windows 2000 и Active Directory учетные записи пользователей могли создаваться и поддерживаться централизованно сетевым администратором, и родилась современная концепция управления идентификацией.

Мы долго качались там с сетевыми администраторами, используя свои вновь обретенные возможности для осуществления жесткого контроля над своими сетями на основе идентификации, и все было хорошо. Затем появилась новая тенденция и поставила в тупик работу: BYOD.

Проблема управления идентификацией в среде BYOD

Мы говорили об идентичности с точки зрения людей. В прошлом большая часть наших головных болей была связана с управлением пользователями. Да, мы также управляли компьютерами, а Active Directory обеспечивает учетные записи компьютеров и пользователей и позволяет нам контролировать и то, и другое с помощью групповой политики, но с компьютерами было гораздо меньше проблем, поскольку они принадлежали компании. ОНО контролировало их с самого начала. Обычно они были несколько стандартизированы как с точки зрения аппаратного, так и программного обеспечения.

С BYOD мы теперь должны управлять как пользователями, так и множеством различных устройств, которые они используют, и многие из этих устройств не принадлежат компании; они были куплены и оплачены пользователем. Некоторые организации по-прежнему ориентированы на пользователя и позволяют авторизованным пользователям получать доступ к корпоративной сети с любых устройств, которые они хотят, без регистрации, отслеживания или идентификации этих устройств. Эти организации в основном находятся на том же уровне в отношении устройств, что и мы в отношении пользователей на заре вычислительной техники.

Неизвестные устройства, даже если они используются известными авторизованными пользователями, могут представлять угрозу безопасности сети. Эффективное решение BYOD требует видимости этой «мобильной инфраструктуры», чтобы ИТ-специалисты могли защищать цифровые активы компании и в то же время обеспечивать более эффективную и удобную работу пользователей. Этого можно достичь путем реализации в сочетании с управлением идентификацией пользователей стратегии управления идентификацией устройств. Это означает регистрацию BYOD-устройств и хранение информации об устройстве/владельце в центральном репозитории, а также элементы управления безопасностью, которые могут потребовать установки агентского программного обеспечения на устройствах пользователей для обеспечения удаленной очистки, удаленного развертывания приложений, двухфакторной аутентификации и т. д.

Однако решение не так просто, как кажется. BYOD обычно означает большое разнообразие марок и моделей устройств, а также различные платформы операционных систем. Ваши решения по управлению идентификацией должны поддерживаться на всех этих разнообразных устройствах.

Но это не все. Управление идентификацией пользователей также не так просто, как раньше. BYOD и потребительство ИТ во многом обусловлены желанием/потребностью пользователей быть подключенными к социальным сетям, таким как Facebook, Twitter и Google+. Однако социальные сети больше не являются просто «игровым» занятием; это становится все более важным для деловых целей. Пользователи могут заходить на эти и другие веб-сайты под разными именами. Итак, теперь, вместо корпоративной учетной записи пользователя в Active Directory, мы оказались в эпицентре кризиса идентичности, когда у всех нас есть несколько удостоверений. Этого достаточно, чтобы немного свести с ума администратора безопасности.

Ваш план должен учитывать это, и ваш дизайн должен стремиться к упрощению управления идентификацией как для пользователей BYOD, так и для администраторов, которые должны отслеживать всех этих пользователей и устройства.

Управление доступом: многогранный подход

Вчерашние решения для управления идентификацией (IdM) стали более сложными и трансформировались в современные системы управления идентификацией и доступом (IAM). В мире BYOD уже недостаточно просто подтвердить личность пользователя, пытающегося получить доступ к корпоративным ресурсам; теперь ваша система управления должна быть достаточно «умной», чтобы идти дальше, а также смотреть на устройство, с которого пользователь пытается получить доступ (статус известный/неизвестный или доверенный/ненадежный), местоположение, из которого пользователь пытается получить доступ ( подключен непосредственно к внутренней сети, подключен к внутренней сети через виртуальную частную сеть или удаленно из внешней сети) и к каким ресурсам пользователь пытается получить доступ. Время попытки доступа также может иметь значение для определения того, является ли действие обычным или необычным (и, следовательно, подозрительным).

Это означает, что решение IAM может отслеживать доступ пользователей для обнаружения и анализа шаблонов и оповещения о любых аномалиях, во многом таким же образом, как компании, выпускающие кредитные карты, отслеживают покупки клиентов по кредитным картам и предупреждают о возможности мошенничества, когда они находятся вне зоны доступа. происходят обычные расходы.

Единый вход: шаг к упрощению

Упрощение процесса управления идентификацией для пользователя начинается с устранения необходимости поддерживать отдельные учетные данные для разных удостоверений при доступе к разным ресурсам. Мы уже однажды проходили подобный переход, когда переходили от разных паролей для доступа к разным файлам к системе доступа на основе идентификации. Это было тогда, когда большая часть того, к чему пользователям нужно было получить доступ, находилась во внутренней сети.

Сегодня пользователи зависят от информации и взаимодействия с использованием множества различных внешних ресурсов. Им может потребоваться войти на сайты поставщиков, социальные сайты, правительственные сайты, финансовые сайты, сайты партнеров и т. д. И снова им приходится запоминать множество паролей. Что необходимо, так это способ консолидировать вход на все эти сайты в один набор учетных данных, который пользователь сможет легко запомнить. Вот где на помощь приходит единый вход (SSO).

Настоящий мир единой регистрации будет поддерживать одну стандартизированную «официальную» идентификацию, подтвержденную высоконадежным органом — цифровой эквивалент водительских прав или паспорта — и эту идентификацию можно будет использовать для каждого сетевого ресурса или веб-сайта, когда-либо необходимого пользователю. доступ. Microsoft пыталась двигаться в этом направлении, когда они выпустили Windows CardSpace с Windows Vista, хотя это была скорее система управления личной идентификацией, чем решение для единого входа. Хорошо это или плохо, но CardSpace так и не прижилась и исчезла на свалке компьютерной истории.

Взгляд Microsoft на управление идентификацией и доступом

Microsoft уже давно пытается упростить управление идентификацией для пользователей и администраторов. В начале 2000-х они выпустили Microsoft Identity Integration Service (MIIS), которая превратилась в Identity Lifecycle Manager, а затем в Forefront Identity Manager. Федеративные службы Active Directory (ADFS) представляют собой «часть» решения Microsoft IAM для единого входа. Microsoft UAG (Unified Access Gateway) был предназначен для расширения SSO для внешних пользователей. В 2013 году Microsoft объявила, что UAG будет удалена из прайс-листов 1 июля 2014 года, но выразила намерение сохранить приверженность IAM и выпустить новую версию FIM в 2015 году.

В соответствии со стратегией Microsoft «все в облаке» ожидается, что следующая версия FIM будет поддерживать гибридные сценарии с Windows Azure AD и соответствующими облачными службами, а также с локальными ресурсами.

Что касается программирования, то в 2012 году Microsoft выпустила «Дорожную карту единого входа» для разработчиков Windows и обновила ее в июне 2014 года, цель которой — помочь разработчикам создавать приложения, с помощью которых пользователи могут получать доступ к облачным службам Microsoft с корпоративными учетными данными Active Directory., используя службу маркеров безопасности, поддерживаемую Azure Active Directory.

На конференции TechEd 2014 в Северной Америке Microsoft продемонстрировала текущее признание компанией важности BYOD/облачной среды в контексте своего «переосмысления» себя как компании, занимающейся «устройствами и услугами», с помощью пакета Enterprise Mobility Suite, который представил Azure AD Premium для Гибридное управление идентификацией. EMS — это служба, которая также включает Windows Intune и Azure Rights Management.

Резюме

В этой части 3 нашей серии статей, посвященных мы более подробно рассмотрели концепцию упрощения управления идентификацией для пользователей и администраторов BYOD. В части 4 мы перейдем к обсуждению необходимости поддержки современных механизмов аутентификации в вашей стратегии BYOD.

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023