비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
신분 도용은 모든 사람, 특히 IT 보안 담당자에게 큰 문제입니다. 이 문제를 해결하기 위해 기업은 아이덴티티 거버넌스에 대한 강력하면서도 신중하게 관리되고 통제 된 접근 방식이 필요합니다. 응용 프로그램과 서비스에 액세스 할 수있는 사람을주의 깊게 관리하고 필요한 사람들이 정보를 올바르게 기록하고 쉽게 액세스 할 수 있도록하는 것이 특히 어렵습니다. 회사에서 원격 액세스에 사용하는 VPN (가상 사설망) 게이트웨이를 무단으로 손상시키는 경우 게이트웨이에 액세스 할 수있는 사람과 해당 사용자가 각각 어떤 권한을 제어하는지 정확히 파악하여 수정을 시작해야합니다.
또한 ID 관리에는 건강 관리 데이터에 대한 HIPAA (Health Insurance Portability and Accountability Act) 및 EU의 일반 데이터 보호 규정 (GDPR)을 비롯하여 데이터 개인 정보 보호에 관한 규정을 준수하는 것이 포함됩니다. GDPR은 신원 확인을 요구하고 개인 식별 정보 (PII)에 액세스하는 모든 사람을 위해 MFA (다단계 인증)를 제정합니다. 강력한 ID 관리는 클라우드 및 온-프레미스에서 IDM (ID Management)에 대한 하이브리드 접근 방식을 취하는 것을 의미합니다. 기업 IDM 공급 업체 인 Semperis의 제품 책임자 Darren Mar-Elia에 따르면 이러한 통합 관리 방식에는 통합 프로세스를 사용해야합니다. 최근 뉴욕시에서 열린 하이브리드 신원 보호 회의에서 PCMag는 Mar-Elia와 함께 신원 관리에 대한 모범 사례를 얻었습니다.
PCMag (PCMag): 하이브리드 IDM에는 무엇이 포함됩니까?
DME (Darren Mar-Elia): 하이브리드 IDM 시스템은 온-프레미스에서 클라우드로 확장 된 ID 시스템 일 뿐이며 일반적으로 클라우드 기반 애플리케이션에 대한 액세스를 제공하기위한 것입니다.
DME: 많은 회사들이 AD를 운영하고 있으며 수년간 운영해 왔습니다. 여기에서 사용자 이름과 비밀번호가 유지되고 그룹 멤버쉽이 유지됩니다. 이 모든 것들이 클라우드로 향하거나 클라우드에서 처음부터 계정을 만들면서 온-프레미스 AD를 가질 수 있습니다. 이제 클라우드 응용 프로그램에 대한 액세스 권한을 부여하는 클라우드 기반 자격 증명 시스템이 있으며 자격 증명을 제공하는 방법 일뿐입니다. 다시 말해서, 클라우드 환경에서 Microsoft Azure이든 Amazon이든 관계없이 클라우드 환경에서 내가 누구이며 무엇에 액세스 할 수 있습니까?
PCM: 해당 유형의 거버넌스를 관리하는 데 실제 소프트웨어 대시 보드는 어디에 사용됩니까?
DME: 물론 Microsoft는 클라우드 ID 관리를위한 관리 포털을 제공합니다. 또한 온-프레미스 조각을 사용하여 Microsoft Azure Active Directory와 동기화 할 수 있습니다. 그래서 당신은 그 조각을 제어합니다. 그것은 당신이 실행하고 관리 할 소프트웨어의 한 부분이며, 작동하고 있는지 확인하십시오. 필요한 유연성에 따라 포털에서 대부분을 수행 할 수 있습니다. 분명히 Microsoft 클라우드에서 실행 중이며 테넌트를 볼 수 있습니다. 따라서 모든 사용자와 앱에 대한 모든 액세스 권한을 정의하는 테넌트가 있습니다.
PCM: 액세스를 관리하려면 어떤 유형의 앱이 필요합니까?
DME: Microsoft의 경우 Exchange, SharePoint 및 OneDrive와 같은 Office 앱에 대한 액세스를 관리 할 수 있습니다. 그것들은 일반적으로 해당 환경에서 관리하는 앱입니다. 그리고 관리 란 다른 사용자 대신 보내거나보고 할 수있는 누군가의 사서함에 액세스하는 것을 의미합니다. 예를 들어, 시스템을 통해 전송 된 메시지 수와 전송 위치를 볼 수 있습니다. SharePoint의 경우 사람들이 공동 작업 할 수있는 사이트를 설정하거나 해당 정보에 대한 액세스 권한을 부여 할 수있는 사람을 지정할 수 있습니다.
PCM: 클라우드 및 온 프레미스에서 IDM을 해결하는 데있어 주요 과제는 무엇입니까?
DME: 클라우드와 온-프레미스 모두에서 일관되게이를 수행 할 수있는 것이 큰 과제라고 생각합니다. 온 프레미스와 클라우드에서 액세스 할 수 있습니까? 온 프레미스에 비해 클라우드에 너무 많은 액세스 권한이 있습니까? 따라서 온 프레미스에서 수행 할 수있는 작업과 클라우드에서 수행 할 수있는 작업 간의 불일치는 추적하는 것이 중요합니다.
PCM: 온 프레미스 IDM과 클라우드에서 수행하는 작업 간의 균형을 유지하는 가장 좋은 방법은 무엇입니까?
DME: 사용자 프로비저닝, 사용자 액세스 관리 또는 사용자 인증에 관계없이 온 프레미스 외에도 여러 클라우드 ID에있을 수 있다는 사실을 모두 고려해야합니다. 따라서 액세스 검토를 수행하는 경우 온-프레미스에 액세스 할 수있는 것만으로는 안됩니다. 프로비저닝 이벤트를 수행하는 경우 클라우드에서 무엇에 액세스 할 수 있어야합니까? HR (인사) 직무를 수행하는 경우 클라우드뿐만 아니라 온 프레미스의 앱에 액세스 할 수 있습니다. 해당 직무에 프로비저닝 될 때 모든 액세스 권한이 내게 부여되어야합니다. 작업 기능을 변경할 때 해당 작업 기능에 대한 모든 액세스 권한을 제거해야하며 이는 온-프레미스 및 클라우드에 있습니다. 그게 도전입니다.
PCM: 머신 러닝 (ML)은 IDM 또는 하이브리드 ID에서 어떤 역할을합니까?
DME: 클라우드 자격 증명 공급자는 누가 로그인하고, 어디에서 로그인하고 있는지, 얼마나 자주 로그인하고 있는지를 파악할 수 있습니다. 대규모 데이터 세트에서 ML을 사용하여 서로 다른 테넌트에서 패턴을 유추 할 수 있습니다. 예를 들어, 테넌트 내에서 의심스러운 로그인이 진행되고 있습니까? 사용자가 뉴욕에서 로그인 한 다음 5 분 후에 베를린에서 로그인합니까? 그것은 근본적으로 ML 문제입니다. 누군가가 로그인 할 때마다 많은 감사 데이터를 생성하고 있으며 컴퓨터 모델을 사용하여 의심스러운 패턴을 기본적으로 상관시킵니다. 앞으로 ML에 액세스 검토와 같은 프로세스에 적용되어 액세스 그룹에 대한 컨텍스트를 유추 할 수 있다고 생각합니다. 내가 속한 그룹 목록을 제공하고 "그렇습니다.이 그룹에 있어야합니다. "또는"아니요, 나는 그 그룹에 속하지 않아야합니다. " 아마도 이것이 결국에는 해결 될 수있는 고차 문제라고 생각하지만 ML이 도움이 될 것이라고 생각합니다.
PCM: ML이 하이브리드 IDM을 돕는 한, 온 프레미스와 클라우드 모두에서 도움을주고 있습니까?
DME: 어느 정도는 사실입니다. 예를 들어 온-프레미스 AD와 클라우드 ID 데이터 간의 감사 또는 AD 상호 작용 데이터를 수집하고 의심스러운 로그인이 온-프레미스 인 동일한 종류의 위험 목록으로이를 드러 낼 수있는 특정 기술 제품이 있습니다. 광고 또는 클라우드. 나는 그것이 오늘 완벽하다고 생각하지 않습니다. 상황에 맞는 완벽한 변화를 보여주는 그림을 그리려고합니다. 온-프레미스 AD의 사용자 인 경우 손상 될 경우 온-프레미스 및 Azure AD 모두에서 손상 될 수 있습니다. 이 문제가 아직 완전히 해결되었다는 것을 모르겠습니다.
PCM: 당신은 "생명의 조항"에 대해 이야기했습니다. 이것이 무엇이며 하이브리드 IDM에서 어떤 역할을합니까?
DME: 생년월일 프로비저닝은 단순히 신입 사원이 회사에 합류 할 때 얻는 액세스입니다. 계정과 프로비저닝, 액세스 권한 및 프로비저닝 위치를 제공받습니다. 이전 예로 돌아가서 회사에 입사하는 HR 담당자 인 경우 AD가 생성됩니다. 아마 동기화를 통해 Azure AD를 얻지 못하고 어쩌면 그렇지 않을 수도 있으며 내 일을하기 위해 일련의 작업에 액세스 할 수 있습니다. 이들은 앱일 수도 있고 파일 공유 일 수도 있고 SharePoint 사이트이거나 Exchange 사서함 일 수도 있습니다. 모든 프로비저닝 및 액세스 권한 부여는 내가 가입 할 때 발생합니다. 그것은 본질적으로 선천적 인 조항입니다.
PCM: "고무 스탬핑"이라는 개념에 대해서도 말씀하셨습니다. 어떻게 작동합니까?
DME: 많은 상장 기업의 규정에 따르면 개인 정보, 고객 데이터 및 민감한 정보가 포함 된 중요한 시스템에 대한 액세스 권한을 검토해야한다고합니다. 따라서 정기적으로 액세스를 검토해야합니다. 일반적으로 분기 별이지만 규정에 따라 다릅니다. 그러나 일반적으로 작동하는 방식은 액세스 검토를 생성하고 해당 그룹 또는 앱을 담당하는 관리자에게 특정 그룹의 사용자 목록을 보낸 다음 해당 사용자가 모든 사용자가 여전히 해당 그룹에 속합니다. 많은 것을 생성하고 관리자가 과로하면 불완전한 프로세스입니다. 당신은 그들이 그것을 검토하고 있는지 모른다. 필요한만큼 철저하게 검토하고 있습니까? 이 사람들이 여전히 액세스해야합니까? 이것이 바로 고무 스탬핑입니다. 따라서 실제로주의를 기울이지 않으면 "예, 검토를 마쳤습니다. 완료되었습니다. 머리에서 가져 왔습니다"라는 표시 만하는 것입니다. 여전히 필요했다.
PCM: 고무 스탬핑 액세스 검토가 문제입니까 아니면 효율성 문제입니까?
DME: 둘 다라고 생각합니다. 사람들은 과로합니다. 그들은 많은 것들을 던져 버리고, 나는 다른 일뿐 만 아니라 위에 계속하는 것이 어려운 과정이라고 생각합니다. 그래서 나는 그것이 전적으로 동의하고 이해하는 규제 이유 때문에 이루어 졌다고 생각합니다. 그러나 이것이 액세스 검토를 수행하는 데 가장 적합한 방법인지 또는 최상의 기계적 방법인지는 알 수 없습니다.
PCM: 기업은 어떻게 역할 발견을 해결합니까?
DME: 역할 기반 액세스 관리는 조직에서 사용자의 역할에 따라 액세스를 할당하는 것입니다. 어쩌면 개인의 업무 기능이나 직무 일 수도 있습니다. 개인의 제목을 기반으로 할 수 있습니다. 역할 검색은 오늘날 ID 액세스가 부여되는 방식에 따라 조직에 자연적으로 존재하는 역할을 검색하는 프로세스입니다. 예를 들어, 이 HR 담당자가이 그룹의 구성원이라고 말할 수 있습니다. 따라서 HR 담당자 역할이 해당 그룹에 액세스 할 수 있어야합니다. 기본적으로 환경에서 부여 된 기존 액세스를 기반으로 역할을 구축하는 데 도움이되는 도구가 있습니다. 이것이 바로 역할 기반 액세스 관리 시스템을 구축 할 때 수행하는 역할 검색 프로세스입니다.
PCM: 하이브리드 IDM에 접근하는 방법에 대해 중소기업 (SMB)에게 제공 할 수있는 팁이 있습니까?
DME: 당신이 중소 기업이라면 목표는 하이브리드 신원 세계에 살지 않는 것입니다. 목표는 클라우드 전용 ID를 확보하고 가능한 빨리 도착하는 것입니다. 중소 기업의 경우 하이브리드 신원 관리의 복잡성은 원하는 비즈니스가 아닙니다. 온 프레미스 제품이 많기 때문에 대기업에게는 스포츠입니다. SMB 세계에서 목표는 "나중이 아니라 클라우드 아이덴티티 시스템에 더 빨리 도달하는 방법은 무엇입니까? 나중에보다 빨리 온-프레미스 비즈니스에서 나가려면 어떻게해야합니까?"라고 생각합니다. 아마도 가장 실용적인 방법 일 것입니다.
PCM: 회사는 언제 하이브리드 또는 온 프레미스 또는 클라우드를 사용합니까?
DME: 하이브리드가 존재하는 가장 큰 이유는 온-프레미스 ID 시스템에 레거시 기술이 많은 대규모 조직이 있기 때문입니다. 오늘날 회사가 처음부터 시작했다면 AD를 새로운 회사로 배포하지는 않습니다. Google G Suite를 사용하여 Google AD를 가동하고 있으며 이제는 완전히 클라우드에 살고 있습니다. 온-프레미스 인프라가 없습니다. 수년 동안 사용되어 온 기술을 보유한 대규모 조직의 경우 실용적이지 않습니다. 그래서 그들은이 하이브리드 세계에서 살아야합니다. 클라우드 전용이 될지 여부는 비즈니스 모델과 우선 순위 및 해결하려는 문제에 따라 결정될 수 있습니다. 그것에 들어가는 모든 것. 그러나 저는 그러한 조직들에 대해 오랫동안 하이브리드 세계에있을 것이라고 생각합니다.
PCM: 클라우드로 전환하기위한 비즈니스 요구 사항은 무엇입니까?
DME: 일반적으로 클라우드에있는 비즈니스 앱, Salesforce, Workday 또는 Concur와 같은 SaaS 앱과 같습니다. 그리고 이러한 앱은 클라우드 ID를 프로비저닝하여 액세스 권한을 부여 할 것으로 기대합니다. 어딘가에 그 클라우드 아이덴티티가 있어야하는데, 이것이 일반적으로 일어나는 방식입니다. 마이크로 소프트는 완벽한 예입니다. Office 365를 사용하려면 ID를 Azure AD로 프로 비전해야합니다. 선택의 여지가 없습니다. 따라서 사람들이 Azure AD를 가져 오도록 한 다음, 일단 도착하면 다른 웹 앱, 클라우드의 다른 SaaS 앱에 싱글 사인온을 수행하기로 결정하고 이제는 클라우드에 있습니다.
- 온라인 신원을 보호하기위한 10 가지 필수 단계 온라인 신원을 보호하기위한 10 가지 필수 단계
- 2019 년 최고의 ID 관리 솔루션 2019 년 최고의 ID 관리 솔루션
- CEO 사기 및 신원 스푸핑을 최소화하는 7 단계 CEO 사기 및 신원 스푸핑을 최소화하는 7 단계
PCM: IDM 또는 거버넌스의 미래에 대한 큰 예측이 있습니까?
DME: 사람들은 아직 하이브리드 아이덴티티 거버넌스 또는 하이브리드 IDM을 단일 한 것으로 생각하지 않습니다. 규정에 의해 추진되거나 공급 업체가 강화되어 하이브리드 세계를위한 엔드 투 엔드 아이덴티티 거버넌스 솔루션을 제공하는지 여부에 관계없이 이러한 상황이 발생해야한다고 생각합니다. 필연적으로 둘 중 하나가 발생해야한다고 생각하고 사람들은 하이브리드 아이덴티티 및 액세스 관리를 통한 업무 분리와 같은 문제를 해결해야 할 것입니다. 나는 이것이 아마도 나중에보다 빨리 일어날 가장 필연적 인 결과라고 생각합니다.
