Controle in identiteit uitleggen

  • 3 minuten

Er is behoefte aan inzicht in de waarde en het doel van controles in uw identiteitsoplossing. Controle biedt een manier voor een beheerder om een aanval te detecteren die al is opgetreden of wordt uitgevoerd. Controle is ook een hulpprogramma voor naleving en het bijhouden van wat de identiteit heeft gedaan. Daarnaast kan controle een ontwikkelaar helpen bij het opsporen van beveiligingsproblemen. Als bijvoorbeeld een fout in de configuratie van de autorisatie of het controleren van beleid per ongeluk de toegang tot een geautoriseerde gebruiker weigert, kan een ontwikkelaar de oorzaak van deze fout snel detecteren en isoleren door het gebeurtenislogboek te bekijken.

Elke activiteit van aanmelden tot een wachtwoordwijziging in de configuratie en het gebruik van meervoudige verificatie kan worden geregistreerd, gerapporteerd en bewaakt. Deze logboeken geven de identiteitsbeheerder een resource om te controleren hoe de identiteits- en toegangsoplossing wordt uitgevoerd. Gezonde controleprocedures zorgen ervoor dat uw identiteiten veilig zijn, waardoor uw gegevens en oplossingen op hun beurt veilig blijven. Enkele van de verschillende logboeken waarvan u op de hoogte wilt zijn voor controle, zijn Activiteitenlogboeken van Microsoft Entra, aanmeldingslogboeken, inrichtingslogboeken en auditlogboeken. U kunt verschillende hulpprogramma's van Azure Monitor naar Microsoft Sentinel gebruiken om rapporten en controle uit te voeren.

Inzicht in het concept van governance

Merriam-Webster-woordenlijst zegt dat governance de handeling of het proces is van toezicht op de controle en richting van een systeem. Dat systeem kan een overheid, een budget of een identiteitsoplossing in Azure zijn. Governance heeft processen en besturingselementen om zowel de systemen te bedienen als om de verantwoordelijke uitvoering van het systeem te evalueren. Het is nooit genoeg om een oplossing te bouwen en deze vervolgens te vergeten. U moet de uitvoering ervan controleren, de processen regelmatig bijwerken, verouderde functies verwijderen of vervangen, enzovoort. Als u dat niet doet, gaat het systeem langzaam afnemen en mislukken. Governance is hetzelfde met een oplossing voor identiteitsbeheer die u bouwt op Azure. U moet het systeem na verloop van tijd bewaken, evalueren en bijwerken.

Scenario Het eenvoudige maar waarschijnlijk verhaal
Juan de app-ontwikkelaar U hebt een gebruiker met de naam Van Juan. Juan krijgt een account in uw bedrijf en werkt al enkele jaren. Gedurende die tijd krijgt de gebruiker beheerderstoegang om een toepassing te implementeren Die Juan heeft geholpen bij het bouwen. Later verlaat Juan het bedrijf in goede zin; het gebruikersaccount wordt echter nooit verwijderd uit het systeem. Juan's manager vergat het papierwerk in te dienen om het account te sluiten. Er is geen beheersysteem om te zien dat het account niet wordt gebruikt en dat Juan niet meer in de HR-systemen wordt vermeld. Een jaar later valt Juan slachtoffer van een phishing-e-mail en heeft een persoonlijke gebruikersnaam en wachtwoord gestolen. Als veel mensen, gebruikte Juan een vergelijkbaar wachtwoord voor persoonlijke leven en werkaccounts. U hebt nu een scenario waarin uw systemen kunnen worden onderverdeeld, door wat een geldig account lijkt te zijn.

Waarom governance? In dit scenario kan governance op veel verschillende gebieden helpen:

  • Neem regelmatig contact op met HR om te zien of alle accounts nog steeds aanwezig zijn in de HR-database als werknemers.
  • Controleren wanneer de laatste keer dat een account is aangemeld.
  • Controleren of het account alle rechten nodig heeft die het momenteel heeft.
  • Controleren of wachtwoorden regelmatig worden gewijzigd; of beter nog dat uw werknemers MFA gebruiken.
  • En vele andere manieren.

Inzicht in het concept van identiteitslevenscyclusbeheer

Beheer van identiteitslevenscycli vormt de basis voor Identity Governance en voor een effectief beheer op schaal moet de infrastructuur voor het identiteitslevenscyclusbeheer voor toepassingen worden gemoderniseerd. Beheer van identiteitslevenscycli is gericht op het automatiseren en beheren van het hele proces voor de levenscyclus van digitale identiteiten.

Het beheren van digitale identiteiten is een complexe taak. U moet echte objecten correleren, zoals een persoon en hun relatie met een organisatie. Denk aan de gebruiker als werknemer van de organisatie, met een digitale weergave. In kleine organisaties kan het bijhouden van de digitale weergave van personen die een identiteit vereisen een handmatig proces zijn. Wanneer iemand wordt ingehuurd of een aannemer binnenkomt, kan een IT-specialist een account voor hen maken in een directory. Vervolgens krijgen ze de toegang die ze nodig hebben. In middelgrote en grote organisaties kan automatisering de organisatie echter in staat stellen om te schalen. Automatisering stelt IT in staat om de identiteiten nauwkeurig te houden.

Het gebruikelijke proces voor het opzetten van Beheer van identiteitslevenscycli volgt de volgende stappen:

  1. Zijn er al systemen van record: gegevensbronnen, die de organisatie als gezaghebbend behandelt. De organisatie kan bijvoorbeeld een HR-systeem hebben. Dit systeem is gezaghebbend voor het opgeven van de huidige lijst met werknemers en sommige van hun eigenschappen, zoals de naam of afdeling van de werknemer.
  2. Vergelijk het recordsysteem met een of meer directory's en databases die door toepassingen worden gebruikt en los eventuele inconsistenties tussen de mappen en de recordsystemen op.
  3. Bepaal welke processen kunnen worden gebruikt om gezaghebbende informatie te verstrekken voor bezoekers. Het is noodzakelijk om een alternatieve manier te vinden om te bepalen wanneer een digitale identiteit voor een bezoeker niet meer nodig is.

Strategie voor identiteitslevenscyclusbeheer

U moet plannen voor identiteitslevenscyclusbeheer voor werknemers of andere personen met een organisatierelatie. Bij elke aannemer of student modelleren veel organisaties het proces 'deelnemen, verplaatsen en verlaten'. Definitie voor join, verplaatsing en verlof zijn:

  • Join : wanneer een persoon toegang nodig heeft, is er een identiteit nodig voor deze toepassingen. Er moet dus mogelijk een nieuwe digitale identiteit worden gemaakt als deze nog niet beschikbaar is.
  • Verplaatsen : wanneer een persoon tussen grenzen navigeert, moet er extra toegangsautorisatie worden toegevoegd of verwijderd aan hun digitale identiteit.
  • Verlaten : wanneer een persoon het bereik van toegang nodig heeft, moet de toegang mogelijk worden verwijderd en is de identiteit niet meer vereist voor andere toepassingen dan voor audit- of forensische doeleinden.

Als een nieuwe werknemer bijvoorbeeld lid wordt van uw organisatie, die nog nooit aan uw organisatie is gekoppeld, heeft die werknemer een nieuwe digitale identiteit nodig, vertegenwoordigd als een gebruikersaccount in Microsoft Entra ID. Het maken van dit account zou in een 'Join'-proces vallen, dat kan worden geautomatiseerd. Als uw organisatie later een werknemer heeft verplaatst van Bijvoorbeeld Verkoop naar Marketing, zouden ze in een proces 'Verplaatsen' vallen. Voor een verplaatsing moeten de toegangsrechten worden verwijderd die de gebruiker had in de verkooporganisatie, die ze niet meer nodig hebben. Vervolgens verleent u hen rechten in de marketingorganisatie die ze nu nodig hebben.

Bewakingsprogramma's

Altijd denken aan Zero Trust: expliciet verifiëren - Toegang met minimale bevoegdheden gebruiken - Inbreuk aannemen

Bewakingsservices:

  • Azure Monitor
  • Analyses van toepassingen
  • Azure Service Health
  • Azure Resource Health
  • Azure Resource Manager
  • Azure Policy