SG.hu
Egyre nehezebb a jogosultságok kezelése
Míg régen egy céges hálózatban csak a belépéshez szükséges jelszavak ellopása és kiadása miatt aggódtak a rendszergazdák, addig ma már a felhőkbe helyezett alkalmazások és a bevitt mobil eszközök kezelése is kiemelt feladat.
A hozzáférés- és jogosultságkezelési piacról tartott sajtótájékoztatót a NetIQ Novell SUSE magyarországi képviselete. Szittya Tamás ügyvezető igazgatója elmondta, hogy manapság a modern mobil eszközök és a felhőtechnológiák miatt sok helyen már olyan bonyolult a belépés az informatikai rendszerekbe, és olyan nehéz a személyes adatok megőrzése, a céges- és a magán identitások különálló kezelése, hogy vannak akik emiatt egyszerűen már nem hajlandók foglalkozni ezzel és mindenhol mindent használnak: mobilról olvassák a vállalati levelezést vagy a Dropboxon tárolnak fontos adatokat. Ez adott esetben, ha többe kerül a védekezés mint az esetleges adatszivárgás lehet logikus megoldás, hiszen példája szerint egy tüzép telep felhasználói adatbázisát megvédeni lehet hogy drágább, mint az ellopása esetén adódó kár. Azonban más szervezeteknél, adatoknál ha csak törvényi előírás miatt is, de kötelező egy adott biztonsági szint elérése - pl. egy kórház nem engedheti meg, hogy kikerüljenek a betegei adatai -, emiatt egyre több cég keresi a reális erőfeszítésekkel elérhető optimális megoldást, és ebben lát piaci lehetőséget a NetIQ.
Szittya Tamás
"A helyzet eszkalálódik, mivel eddig csak a vállalatokon belüli jogosultság kezelést kellett megoldani, de a felhők és a közösségi oldalak megjelenésével, illetve a mobiltelefonok vállalati rendszerekben való használatának elterjedésével ez a problémakör sokkal szélesebb lett. Itt nem kis cégekről beszélünk, a méretek érzékeltetésére ha van egy társaságnál tízezer felhasználó, akkor van legalább százféle felhasználói kör. A kereskedelmi osztálynak a kereskedelmi rendszerekhez van hozzáférése, másik részlegnek más szoftverekhez, stb., és azon belül is van hierarchia, hogy hol foglal helyet egy adott ember, egyből egymillió jogosultsági variációs lehetőség adódik. Egy bank vagy egy távközlési cég esetében nagyon gyorsan kezelhetetlenné válik a probléma."
Klikk a képekre a nagyobb változathoz
"Az első az azonosítás, melynek megtörténte után a rendszer hozzáférést enged a különböző alkalmazásokhoz különböző jogosultsági szinteken. Tehát ha belép egy könyvelő hozzáfér a levelezéshez, fájlrendszerhez, nyomtatáshoz, az SAP bizonyos részeihez, míg a főnöke ugyanezekhez, de nagyobb rálátással. Nagyobb halmaz a hozzáférés felügyelet, amelynél nem csak a szinteket állítjuk be, hanem az azonosítás módját is, a jelszó mellett bekért egyéb adatokat (token, egyéb biztonsági kód, chipkártya stb.). A harmadik részhalmaz a felhasználók tevékenységének rögzítése és az adatok elemzése. Nagyon sok vállalat kirakja az információit, alkalmazásait a felhőbe, de ezekben a hozzáférés kezelés egyedileg történik, tehát megmondják melyik felhasználó mihez férhet hozzá. Ez rengeteg munka, ráadásul nagyon nehéz ellenőrizni, hogy a felhasználók ténylegesen mit csinálnak. Szintén sok helyen a felhasználókkal való kapcsolattartáshoz elengedhetetlen a közösségi hálók használata, ami egyik oldalról növelheti a cég kedveltségét, másik oldalról a vállalat információkat tud szerezni magáról a felhasználóról."
Egy megfelelő rendszer azonosítja a felhasználót, tudja, hogy a több száz féle rendszerhez milyen jogosultsággal fér hozzá, és ezekbe egyetlen jelszóval be is lépteti. Azonban Szittya Tamás szerint ma is előfordul Magyarországon, hogy hiába van jogosultság kezelő- és autentikációs rendszer, mégis csak óriási munkával képesek arra válaszolni, hogy ki mihez fér hozzá. Szintén újdonság az a kihívás, hogy meg kell tudni mondani hogy egy adott felhasználó például az utóbbi egy hónapban mihez fért hozzá, mit csinált, és erre egy logmenedzsment rendszer nem képes. Extra feladat a rendszergazdák figyelése úgy, hogy azok ne tudják törölni a róluk tárolt adatokat.
Hargitai Zsolt
Hargitai Zsolt üzletfejlesztési vezető a problémákra adott válaszokat ismertette. "Nyilván mindannyiunknak van rengeteg felhasználói fiókja különböző rendszerekben, levelezőfiókja, használunk Facebookot, mobilon belépünk a szoftveráruházba, stb. Ha ugyanezeket a hozzáféréseket vállalati szinten kell kezelni nagyon komoly biztonsági kérdések merülnek fel. Ha én saját magamnak gyenge jelszót állítok be akkor maximum elolvassák az emailjeimet vagy hozzáférnek valamilyen, az interneten tárolt adatomhoz. Ezektől nem dől össze a világ, de vállalati szinten sokkal nagyobb károkat lehet okozni. Ha a cég kitelepül a felhőbe akkor meg kell oldani a felhasználói fiókok valamilyenfajta automatikus kezelését, új alkalmazottnál a létrehozást, kilépésnél a törlést, letiltást. Kontrollálni kell a jelszavakat: sokan adnak kevéssé biztonságos jelszavakat vagy használják a vállalati jelszót más helyen, és ha ahhoz hozzáférnek akkor a céges adatok is veszélybe kerülhetnek. Licenc szempontok miatt is elengedhetetlen a naplózás, hiszen ha az előzetes felmérések alapján megvettünk egy szolgáltatást 500 emberre, de fél év múlva kiderül, hogy csak 220-an használják, akkor a szükségesnél több, mint kétszer annyit fizetünk."
Mindezekre próbál választ találni a CloudAccess nevű termék, amely a felhőalkalmazásokat is ugyanúgy kezeli, mint a többi szoftvert. "Felmerül a kérdés, hogy egy felhőnél hogy lehet megcsinálni az egylépcsős bejelentkezést. Ha én otthon ülök, alapesetben bejelentkezek egy adott alkalmazásba és használom. Ezt a cég úgy tudja kontrollálni és figyelni, ha a felhasználó nem ismeri a konkrét fiókját, tehát valamilyen azonosító és jelszó legenerálódik a számára, és a felhasználó kénytelen ebbe a CloudAccess alkalmazásban bejelentkezni. Ott be van állítva, hogy jogosult-e az alkalmazás használatára vagy sem, és azon keresztül éri el a felhőben lévő dolgokat. A rendszer bonyolult, nehezen feltörhető jelszavakat generál, mely mindenhol eltérő, ezáltal ha az egyik szolgáltatást feltörik, akkor csak egy jelszó kerül ki, és az sehol máshol nem használható semmire. Jól menedzselhető, biztonságos és naplózható rendszer jön létre." - mondta el az üzletfejlesztési vezető.
Klikk a képekre a nagyobb változathoz
Hargitai Zsolt szerint a közösségi oldalakra mint egyetlen nagy azonosító megoldásként is tekinthetünk, hiszen ott tároljuk kapcsolatainkat és az adatok az üzleti életben is használhatók. Megoldható ezeken keresztül az ügyfelek számára fenntartott portálokra a beléptetés, amire jóval nagyobb hajlandóságuk van, mintha külön űrlapok kitöltésére köteleznénk őket és pontosabb információkhoz jutunk. A publikusan megadott adatokat ki lehet nyerni (nem, kor stb.), amivel a jövőbeli marketingkampányok tervezhetőbbek, hatékonyabbak lehetnek. A mobil eszközök tekintetében fokozott kockázatot jelent, hogy ezek zömében saját kézben vannak, ezáltal nehezebben menedzselhetőek. A céges laptopokkal szemben - melyek általában jól vannak adminisztrálva, megfelelő korlátozásokkal biztosítják őket - az okostelefonokra nagyon könnyen telepítenek az emberek jópofa appokat. Ha ezek közül az egyikben van biztonsági rés és a telefonról hozzá lehet férni vállalati alkalmazásokhoz, máris adott a probléma. Jelenleg a NetIQ ennek a kockázatnak a minimalizálásán dolgozik, közte a kommunikációs csatorna titkosításán és a vállalati és privát alkalmazások elválasztásán, hogy azok egymás adataihoz ne férhessenek hozzá.
A hozzáférés- és jogosultságkezelési piacról tartott sajtótájékoztatót a NetIQ Novell SUSE magyarországi képviselete. Szittya Tamás ügyvezető igazgatója elmondta, hogy manapság a modern mobil eszközök és a felhőtechnológiák miatt sok helyen már olyan bonyolult a belépés az informatikai rendszerekbe, és olyan nehéz a személyes adatok megőrzése, a céges- és a magán identitások különálló kezelése, hogy vannak akik emiatt egyszerűen már nem hajlandók foglalkozni ezzel és mindenhol mindent használnak: mobilról olvassák a vállalati levelezést vagy a Dropboxon tárolnak fontos adatokat. Ez adott esetben, ha többe kerül a védekezés mint az esetleges adatszivárgás lehet logikus megoldás, hiszen példája szerint egy tüzép telep felhasználói adatbázisát megvédeni lehet hogy drágább, mint az ellopása esetén adódó kár. Azonban más szervezeteknél, adatoknál ha csak törvényi előírás miatt is, de kötelező egy adott biztonsági szint elérése - pl. egy kórház nem engedheti meg, hogy kikerüljenek a betegei adatai -, emiatt egyre több cég keresi a reális erőfeszítésekkel elérhető optimális megoldást, és ebben lát piaci lehetőséget a NetIQ.
Szittya Tamás
"A helyzet eszkalálódik, mivel eddig csak a vállalatokon belüli jogosultság kezelést kellett megoldani, de a felhők és a közösségi oldalak megjelenésével, illetve a mobiltelefonok vállalati rendszerekben való használatának elterjedésével ez a problémakör sokkal szélesebb lett. Itt nem kis cégekről beszélünk, a méretek érzékeltetésére ha van egy társaságnál tízezer felhasználó, akkor van legalább százféle felhasználói kör. A kereskedelmi osztálynak a kereskedelmi rendszerekhez van hozzáférése, másik részlegnek más szoftverekhez, stb., és azon belül is van hierarchia, hogy hol foglal helyet egy adott ember, egyből egymillió jogosultsági variációs lehetőség adódik. Egy bank vagy egy távközlési cég esetében nagyon gyorsan kezelhetetlenné válik a probléma."
Klikk a képekre a nagyobb változathoz
"Az első az azonosítás, melynek megtörténte után a rendszer hozzáférést enged a különböző alkalmazásokhoz különböző jogosultsági szinteken. Tehát ha belép egy könyvelő hozzáfér a levelezéshez, fájlrendszerhez, nyomtatáshoz, az SAP bizonyos részeihez, míg a főnöke ugyanezekhez, de nagyobb rálátással. Nagyobb halmaz a hozzáférés felügyelet, amelynél nem csak a szinteket állítjuk be, hanem az azonosítás módját is, a jelszó mellett bekért egyéb adatokat (token, egyéb biztonsági kód, chipkártya stb.). A harmadik részhalmaz a felhasználók tevékenységének rögzítése és az adatok elemzése. Nagyon sok vállalat kirakja az információit, alkalmazásait a felhőbe, de ezekben a hozzáférés kezelés egyedileg történik, tehát megmondják melyik felhasználó mihez férhet hozzá. Ez rengeteg munka, ráadásul nagyon nehéz ellenőrizni, hogy a felhasználók ténylegesen mit csinálnak. Szintén sok helyen a felhasználókkal való kapcsolattartáshoz elengedhetetlen a közösségi hálók használata, ami egyik oldalról növelheti a cég kedveltségét, másik oldalról a vállalat információkat tud szerezni magáról a felhasználóról."
Egy megfelelő rendszer azonosítja a felhasználót, tudja, hogy a több száz féle rendszerhez milyen jogosultsággal fér hozzá, és ezekbe egyetlen jelszóval be is lépteti. Azonban Szittya Tamás szerint ma is előfordul Magyarországon, hogy hiába van jogosultság kezelő- és autentikációs rendszer, mégis csak óriási munkával képesek arra válaszolni, hogy ki mihez fér hozzá. Szintén újdonság az a kihívás, hogy meg kell tudni mondani hogy egy adott felhasználó például az utóbbi egy hónapban mihez fért hozzá, mit csinált, és erre egy logmenedzsment rendszer nem képes. Extra feladat a rendszergazdák figyelése úgy, hogy azok ne tudják törölni a róluk tárolt adatokat.
Hargitai Zsolt
Hargitai Zsolt üzletfejlesztési vezető a problémákra adott válaszokat ismertette. "Nyilván mindannyiunknak van rengeteg felhasználói fiókja különböző rendszerekben, levelezőfiókja, használunk Facebookot, mobilon belépünk a szoftveráruházba, stb. Ha ugyanezeket a hozzáféréseket vállalati szinten kell kezelni nagyon komoly biztonsági kérdések merülnek fel. Ha én saját magamnak gyenge jelszót állítok be akkor maximum elolvassák az emailjeimet vagy hozzáférnek valamilyen, az interneten tárolt adatomhoz. Ezektől nem dől össze a világ, de vállalati szinten sokkal nagyobb károkat lehet okozni. Ha a cég kitelepül a felhőbe akkor meg kell oldani a felhasználói fiókok valamilyenfajta automatikus kezelését, új alkalmazottnál a létrehozást, kilépésnél a törlést, letiltást. Kontrollálni kell a jelszavakat: sokan adnak kevéssé biztonságos jelszavakat vagy használják a vállalati jelszót más helyen, és ha ahhoz hozzáférnek akkor a céges adatok is veszélybe kerülhetnek. Licenc szempontok miatt is elengedhetetlen a naplózás, hiszen ha az előzetes felmérések alapján megvettünk egy szolgáltatást 500 emberre, de fél év múlva kiderül, hogy csak 220-an használják, akkor a szükségesnél több, mint kétszer annyit fizetünk."
Mindezekre próbál választ találni a CloudAccess nevű termék, amely a felhőalkalmazásokat is ugyanúgy kezeli, mint a többi szoftvert. "Felmerül a kérdés, hogy egy felhőnél hogy lehet megcsinálni az egylépcsős bejelentkezést. Ha én otthon ülök, alapesetben bejelentkezek egy adott alkalmazásba és használom. Ezt a cég úgy tudja kontrollálni és figyelni, ha a felhasználó nem ismeri a konkrét fiókját, tehát valamilyen azonosító és jelszó legenerálódik a számára, és a felhasználó kénytelen ebbe a CloudAccess alkalmazásban bejelentkezni. Ott be van állítva, hogy jogosult-e az alkalmazás használatára vagy sem, és azon keresztül éri el a felhőben lévő dolgokat. A rendszer bonyolult, nehezen feltörhető jelszavakat generál, mely mindenhol eltérő, ezáltal ha az egyik szolgáltatást feltörik, akkor csak egy jelszó kerül ki, és az sehol máshol nem használható semmire. Jól menedzselhető, biztonságos és naplózható rendszer jön létre." - mondta el az üzletfejlesztési vezető.
Klikk a képekre a nagyobb változathoz
Hargitai Zsolt szerint a közösségi oldalakra mint egyetlen nagy azonosító megoldásként is tekinthetünk, hiszen ott tároljuk kapcsolatainkat és az adatok az üzleti életben is használhatók. Megoldható ezeken keresztül az ügyfelek számára fenntartott portálokra a beléptetés, amire jóval nagyobb hajlandóságuk van, mintha külön űrlapok kitöltésére köteleznénk őket és pontosabb információkhoz jutunk. A publikusan megadott adatokat ki lehet nyerni (nem, kor stb.), amivel a jövőbeli marketingkampányok tervezhetőbbek, hatékonyabbak lehetnek. A mobil eszközök tekintetében fokozott kockázatot jelent, hogy ezek zömében saját kézben vannak, ezáltal nehezebben menedzselhetőek. A céges laptopokkal szemben - melyek általában jól vannak adminisztrálva, megfelelő korlátozásokkal biztosítják őket - az okostelefonokra nagyon könnyen telepítenek az emberek jópofa appokat. Ha ezek közül az egyikben van biztonsági rés és a telefonról hozzá lehet férni vállalati alkalmazásokhoz, máris adott a probléma. Jelenleg a NetIQ ennek a kockázatnak a minimalizálásán dolgozik, közte a kommunikációs csatorna titkosításán és a vállalati és privát alkalmazások elválasztásán, hogy azok egymás adataihoz ne férhessenek hozzá.