Identity and Access Management som en del af Zero Trust-tankegangen
Identity and Access Management eller IAM-systemer er et ofte brugt akronym inden for IT-verdenen og handler om de tekniske løsninger, organisatoriske processer og politikker, der er knyttet til at give de rette personer adgang til de rette systemer, applikationer, ressourcer og data. Men hvad dækker IAM egentlig over?
Det tager Jesper Krogh og Jesper Hanno Hansen fat på i denne artikel, som er den tredje artikel i serien om Zero Trust, som er det bagvedliggende koncept, vi benytter, når vi rådgiver, designer og implementerer sikkerhed, identiteter og disses adgange til ressourcer i IT-miljøet.
I vores to første artikler i serien tog vi hul på Zero Trust som afsæt for at skabe en effektiv tilgang til sikkerhed. Du kan læse kan første artikel i serien her ”Zero Trust og pragmatisk sikkerhed
Situationen i dag
Vi ser typisk, at mange konti i virksomheden ligger ubrugte hen, da integrationen mellem diverse HR-systemer og brugerstyringsprocessen måske ikke fungerer optimalt. I den forbindelse ser vi også, at mange system- og servicekonti (ikke personhenførbare konti) er ubrugte og ikke har været benyttet i lang tid, og hvor man af frygt for konsekvenserne ikke får deaktiveret den pågældende konto og slet ikke får skiftet adgangskoden til denne. Dermed efterlader man åbne huller ind til virksomhedens infrastruktur og data – hvor service- og systemkonti ofte kan få adgang til mange systemer.
Men vi ser også aktive konti, som ikke er velbeskrevne, hvor passwordskift aldrig sker, og hvor der ikke er politikker for, hvem der har adgang til hvad, og hvorfor de har adgang. Et ofte benyttet eksempel er, hvad der sker, når brugere flytter afdeling, hvor man aldrig får fjernet rettighederne til den ene afdelings data, når brugeren flytter afdeling.
Kort sagt: Vi oplever dagligt at identitets- og rettighedsstyring er en kompleks disciplin.
Det er en udfordrende øvelse at administrere medarbejderes adgang til de relevante IT-systemer og applikationer, og en opgave som støt vokser med kompleksiteten af det moderne IT-miljø og den hybride arbejdsplads. Derfor oplever vi virksomheder, som går på kompromis og får oprettet nye konti ofte med for høje rettigheder, da disciplinen med at begrænse eller tage rettigheder fra en konto, eller nedlægge efter fratrædelse er kompliceret. Eksempelvis:
- Der tildeles oftest for høje rettigheder til både bruger og service konti, hvor det kan være svært at skabe overblik.
- Der er ikke etableret en fast proces for hygiejnekontrol af konti og rettigheder, endsige beskrevet hvem der skal godkende adgang til de forskellige systemer.
- Findes der brugere, der har en licens tilknyttet, der ikke benyttes?
- Hvem gav en given konti rettigheder til…
Et godt eksempel er denne forespørgsel fra et universitet, som ligesom så mange andre virksomheder har svært ved at få overblik over alle de konti, der findes i deres IT-systemer. Dette kan være personhenførbare, service eller computer konti.
I denne artikel sætter vi fokus på IAM, også kaldet brugeradministration, rettighedstildeling og brugervalidering, og som handler om, at virksomheder skal skabe sig et overblik over, hvilke konti der findes, hvem der benytter og ejer kontoen, samt hvordan og hvorledes der kan tildeles rettigheder til en given konti.
Identity and Access Management er et centralt element i Zero Trust-tankegangen. Fokusset er her at begrænse en brugers adgang til data eller services til ”Need to have” og ikke ”Nice to have”. Adgangene skal derfor være minimale for effektivt at forebygge og begrænse sikkerhedsbrud.
Hvorfor er Identity and Access Management relevant for din virksomhed?
IAM er først og fremmest en disciplin og er i høj grad et spørgsmål om proces, kontinuitet og opfølgning. Der findes IAM-værktøjer, men det er en misforståelse, hvis man tror, at IAM-værktøjer kan håndtere brugeradministration, rettighedstildeling og brugervalidering.
- IAM sikrer at ansatte kan tilgå de værktøjer eller funktioner, der skal til, for at de kan udføre deres job med et minimum af rettigheder.
- IAM er nødvendig for effektivt at kunne oprette, vedligeholde og tildele rettigheder
- IAM er nødvendig for effektivt at kunne nedlægge konti, når disse ikke er nødvendige mere.
Hvordan virker et Identity and Access Management-værktøj?
Lad os indledningsvist dykke ned i, hvad et Identity and Access Management-værktøj egentligt er:
- Et Directory benyttes til at lagre information om brugere og andre objekter og dermed også til at identificere brugere, der logger på systemer og autentikerer og autoriserer brugeren.
- Et IAM-system benyttes til at automatisere processen omkring oprettelse af brugere og objekter og håndterer dermed ofte indholdet i Directoriet.
- Eksempelvis kan man bruge IAM-systemet til at monitorere HR-systemet og holde øje med oprettelser, ændringer og nedlæggelse af brugere og dermed også automatisk at oprette, ændre eller nedlægge objekter i Active Directory.
- Et andet brugsmønster på IAM-systemet er at udstille en web-portal til brugerne, hvor disse selv kan bestille ændringer til system adgang eller ændringer i stamdata (nyt telefonnummer mm.), og hvor disse ændringer igen kan være underlagt en godkendelsesproces.
- Andre brugsscenarier for IAM inkluderer password synkronisering mellem flere systemer, self-service password reset, eller oplåsning af låste konti, fremvisning af Organisationsdiagrammer oma.
- IAM systemet integrerer typisk med mange systemer, som fx HR (Workday, SAP HR m.fl), Directories som AD eller OpenLDAP og lokale konti indenfor Unix/Linux, Oracle m.fl
Skal jeg så bare købe et værktøj?
Identity and Access Management-løsninger er langt fra alene et IT-projekt og et værktøj. Identity Access Management som sikkerhedsdisciplin rammer hele virksomheden, hvorfor det er vigtigt at foretage en analyse af de faktiske behov. Hvem må tilgå hvilke funktioner, systemer, data, fra hvilken enhed, placering eller geografi? Hvornår skal adgangen valideres og med hvilke kriterier?
Vores anbefaling er derfor; få først styr på retningslinjerne og på de organisatoriske processer omkring brugeradministration inden indkøb af et IAM-system.
Se model over procesforløbet her og læs mere neden for om de enkelte processer:
Definer retningslinjer for konti
Det er vigtigt, at der udarbejdes (og kommunikeres) fælles retningslinjer for konti, hvor sikkerheden for disse defineres, eksempelvis.
- Definer, hvilke attributter der skal være udfyldt på alle kontotyper, og hvordan disse skal se ud (fx format for telefonnumre, navne osv.)
- Der skal være en ”journal”, der viser sporbarhed fra vugge til grav på enhver konti.
- MFA (multifaktorautentificering) skal være på alle personlige konti,
MFA kan nemt implementeres på personhenførbare konti:- Administrative konti
- Standard brugere
- Der skal være specielle krav omkring password, som skal være længere og sikrere end på Ikke personhenførbare konti som fx:
- Service Konti
- Applikation/System Konti
Mange Service Konti har mange rettigheder, og kan måske delegere til andre konti, har høje rettigheder, men kan ikke MFA, så derfor skal disse også begrænses til kun at logge på de specielle systemer, hvor de skal bruges og må fx ikke kunne logge på Interaktivt. - Lokale konti
- Konti, der ikke har været aktivt logget på i fx 90 eller 180 dage, skal deaktiveres
- Konti, der har password udløbet, skal deaktiveres
- Konti må ikke have ”Password never expires”
- Har man muligheden så benyt et værktøj som ”Azure AD password protect” til at sikre mod dårlige passwords.
Ret nuværende konti
Mere end 10 procent af brugerkonti i Active Directory registreres ofte som inaktive (forældede), baseret på sidste gang adgangskoden blev ændret eller på brugerens sidste tidsstempel for logon. Forældede brugerkonti i Active Directory er en betydelig sikkerhedsrisiko, fordi de kan bruges af en hacker eller en tidligere medarbejder. Disse inaktive konti bruger også fri adgang til databaseplads.
Alle eksisterende konti skal derfor gennemgås, vedligeholdes og jævnligt opdateres, så de stemmer overens med it-brugernes adgangsbehov og virksomhedens retningslinjer for konti. Dette bør være en del af en automatiseret proces. Den samme proces kan benyttes til selve kontrolprocessen.
Korrekt oprettelse
Det er vigtigt, at oprettelsesprocessen defineres med . Eksempelvis skal man som virksomhed ikke acceptere, at ”bruger A” oprettes som en tro kopi af ”bruger B” konto. Man bør i stedet kigge nøje på de metadata, der måtte være omkring ”bruger A” og få udfyldt alle elementerne i AD korrekt inklusive opsætning af rettigheder.
Med hensyn til opsætning af rettigheder er det vigtigt, at der for alle data og applikationer defineres ejere, som er ansvarlige for at godkende, hvem der har adgang til hvilke systemer og applikationer. Adgangsrettighederne skal gives til en ejergruppe, som hver 3. eller 6. måned evalueres af den overordnede ansvarlige.
Korrekt nedlæggelse
Håndteringen af en brugers nedlæggelse bør fokusere på flere ting, herunder GDPR-relaterede sikringer af data. En række spørgsmål skal være klart besvarede i den forbindelse:
- Må lederen få adgang til medarbejderes postkasse og/eller hjemmedrev
- Skal postkassen opbevares og i så fald hvor lang tid
- Skal konti og relaterede elementer slettes eller deaktiveres
- Hvem kan bestille en nedlæggelse
- Hvad med relaterede konti (som fx administrative konti)
- Hvad med brugere / objekter som er underlagt den bruger der skal slettes i organisationshierarkiet.
Kontroller
Alt ovenstående skal munde ud i kontroller, som automatiseret gennemføres og aktiverer de fornødne processer inkl. mails/notifikationer til managers og ansvarlige omkring, hvad der nu sker med de forskellige konti.
Conditional Access, Zero Trust
I relation til Zero Trust er en væsentlig komponent i hele IAM-disciplinen, at man kontinuerligt evaluerer, hvilke rettigheder den enkelte bruger skal have til IT-miljøet, systemer, services, funktioner, data etc. Dette baseres på kontinuerlige input og evalueringer baseret på:
- Status på enheden?
- Hvilke data tilgås?
- Hvor kommer brugeren fra?
- Hvordan er brugeren autentikeret?
- Hvilken app benyttes?
Dette skal ses i sammenhæng med den klassiske adgangskontrol, som er styret vha. grupper mm.
Eksempelvis vil man ikke give adgang til HR-data fra en ikke godkendt enhed, eller give adgang til mails fra en App, der ikke understøtter MFA. Sådanne regler skal også tages med i beslutningerne og retningslinjerne for data.
Next step?
Vores anbefaling er, at man ikke betingelsesløst implementerer et IAM-system. Men i stedet får styr på processer og politikker, som skal være opfyldt mht. styring af konti.
Når alt dette er på plads, kan man som virksomhed benytte et IAM-system til: ”At sætte strøm til” og ensrette og automatisere processerne omkring brugeradministration.
Om Directories – inklusive Active Directory
- Et Directory er et system, der lagrer data omkring identiteter
- Hvordan disse fysisk lagres er ikke væsentligt her
- Data inkluderer BrugerID, Navn og andre attributter som adresser, telefonnumre osv.
- Der vil typisk være grupper og gruppemedlemsskaber, som bruges til at definere, hvilke systemer og adgange brugeren har.
- Objekter kan repræsentere brugerkonto, men kan også være mange andre typer eksempelvis printere, computer objekter, politikker oma.
- Directories udstiller ofte disse data gennem netværksservices, principielt er det altid via LDAP (Lightweigh Directory Access Proctocol), når denne kombineres med SSL eller TLS bliver det til LDAPS og er krypteret. Dette bør være den primære protokol til at søge, læse, indsætte og opdatere indhold ind i Directoriet.
- Active Directory (AD) er Microsofts bud på et Directory til firmabrug, ydermere findes der også Azure AD. Azure AD er dog ikke som udgangspunkt et Directory, da der eksempelvis ikke er direkte understøttelse for LDAP.
- Der findes mange andre LDAP Directories som fx OpenLDAP, OID (Oracle) m.fl
- AD er dog en de-facto standard af mange årsager:
- Den tætte integration med Windows operativsystemet
- Brugere benytter normalt en PC og logger på med Active Directory ID og password og ikke et lokalt brugernavn/password fra PC’en.
- Der er værktøjer i Active Directory, som understøtter sikkerhedsindstillinger og andre indstillinger (Group Policies)
- AD er særdeles skalerbart og supporterer realtids og fejltolerant replikering på tværs af hundreder af servere
- Azure AD kan synkronisere mange elementer fra Active Directory og kan i dag også benyttes til at oprette brugerkonti mm. direkte heri
- Azure AD kan også i dag benyttes til, at styre sikkerhed på det enkelte device via EndPoint Manager
- Azure AD kan også benyttes til give SSO (Single-Sign On) til flere applikationer som eksempelvis Salesforce, SAP og ServiceNow.
Stay safe, start smart
Globeteam stiller skarpt på cybersikkerhed under temaet “Stay safe, start smart”.
Her kan du gennem fagligt inspirerende webinarer, dybdegående artikler, erfaringsudveksling og indblik i virksomheders daglige arbejde få hjælp og inspiration til at håndtere den komplekse sikkerhedsopgave.
Læs mere her om vores nye temarække
