Viitorul serviciilor de director este fără domeniu

Publicat: 2020-05-05

Abordările fundamentale ale securității, gestionării dispozitivelor și controlului accesului se schimbă.

În cea mai mare parte a 30 de ani, aceste priorități IT de bază au fost inseparabile de Active Directory și OpenLDAP, care erau soluții excelente în era domeniului local. Dar recenta trecere la lucrul de la distanță arată clar că securitatea perimetrului tradițional și infrastructura locală nu mai sunt suficiente pentru a proteja identitățile utilizatorilor unei organizații și datele confidențiale în cloud.

Pentru a gestiona mai bine mediile de lucru moderne, trebuie să reimaginăm funcțiile individuale ale unui serviciu de director și să separăm aceste funcții de conceptul datat al domeniului cablat, castel-and-moat. Ceea ce contează cel mai mult astăzi este securizarea utilizatorului și a dispozitivului, indiferent unde se află în lume.

Prin urmare, viitorul serviciilor de directoare este fără domeniu. Iată o privire mai detaliată asupra modului în care am ajuns aici, cum arată întreprinderea fără domeniu în practică și pașii pe care organizațiile pot lua pentru a-și moderniza infrastructura IAM.

Reimaginarea serviciilor de directoare și a conceptului de domeniu

Conceptul de domeniu, așa cum îl cunoaștem noi, a fost proiectat în esență în anii 1990 și a fost o soluție excelentă pentru guvernarea securizată a utilizatorilor și a computerelor în mediile de birou conectate la timp. În timp ce majoritatea celorlalte domenii ale IT s-au transformat complet de atunci, acest model stă la baza abordărilor majorității organizațiilor cu privire la gestionarea identității și a accesului astăzi.

Mulți profesioniști IT consideră domeniul de la sine înțeles și au presupus că următorul pas logic este să-l adapteze și să-l extindă pentru era cloud prin adăugarea de furnizori de conectare unică (SSO) pentru aplicații web și alte punți de identitate. Dar o abordare mai practică ar putea fi să privim înapoi la problemele de bază pentru care domeniul a fost proiectat inițial să le rezolve, să decideți care dintre aceste probleme sunt încă relevante astăzi și să explorați noi modalități de a le rezolva folosind inovațiile moderne.

La mijlocul anilor 1990 până la mijlocul anilor 2000, setările biroului erau foarte diferite. Lucrătorii au pătruns în unități de cărămidă și mortar folosind chei sau chei reale. S-au dus la birourile lor și s-au așezat în fața computerelor staționare. Aceste computere erau legate printr-un cablu Ethernet la un centru de date intern sau la un dulap de server din interiorul biroului fizic. Din interiorul acelei locații centrale, controlerul de domeniu a acordat acces la resursele IT din rețeaua locală. Acea rețea fizică, la rândul său, a fost protejată de atacurile externe printr-un firewall și de către clădirea în sine pentru acces fizic.

La acea vreme, această configurație era în esență sigură și ușor de gestionat și oferea o experiență utilizator atât de simplă încât utilizatorii nu trebuiau să gestioneze mai multe parole sau să se gândească la procesele de autorizare și autentificare care au loc în culise. Mediile erau omogene, cu un turn de birou care rula programe Windows și Microsoft la fiecare stație de lucru. Active Directory (AD) era atât de potrivit pentru acest tip de mediu încât a putut să ofere utilizatorilor ceea ce a fost probabil prima experiență de conectare unică (SSO): un singur set de acreditări pentru a-și accesa resursele IT bazate pe Windows prin intermediul un singur sistem de conectare.

Acum, înainte rapid până în prezent și dărâmă toți pereții acelei clădiri. IT-ul avea tendința spre flexibilitate în afara biroului, posibilă de tehnologia cloud și internetul wireless de mare viteză disponibil pe scară largă. În loc de computere fixe cu turnuri și monitoare cu tuburi, angajații au acum laptopuri și alte dispozitive pe care le pot lua cu ei aproape oriunde, se pot conecta la internet și încep să lucreze. Pe scurt, aceasta este întreprinderea fără domeniu și aceasta este realitatea noastră actuală.

om wfh

Dar într-o lume în care se lucrează atât de mult în afara domeniului, departamentele IT sunt forțate să reevalueze provocările pe care Active Directory le-a rezolvat cândva pe cont propriu.

Deficiențe moderne ale modelului de domeniu

Active Directory s-a străduit să se adapteze și să se integreze cu resursele cloud moderne și cu sistemele de operare non-Windows, iar modelul de securitate perimetru pentru care a fost conceput nu este suficient pentru a proteja lucrătorii de la distanță.

Așadar, întrebarea devine cum să transpuneți fluxul de lucru administrativ centralizat și experiența utilizatorului simplă și sigură oferite cândva de AD într-un mediu modern care include sisteme Mac și Linux, aplicații web, servere cloud și rețele de la distanță și poate sau nu încă să aibă acces. -pre infrastructura, de asemenea. Utilizatorii trebuie să se conecteze la resursele lor IT cu frecări minime, indiferent de locul în care lucrează, iar administratorii IT trebuie să aibă încredere că identitățile utilizatorilor și datele proprietare sunt protejate împotriva atacurilor.

Problema este că IT-ul nu are aproape nivelul de control asupra identităților moderne de utilizatori pe care l-ar fi avut într-un mediu de domeniu AD convențional. Aplicațiile au migrat de la o arhitectură moștenită cu achiziție o singură dată, instalată local la un model de abonament bazat pe cloud. Unele aplicații sunt încă instalate local, cu identitățile și configurațiile gestionate în cloud printr-un browser web.

Lăsați să-și gestioneze propriile identități, utilizatorii ajung să aibă zeci – dacă nu sute – de parole și se confruntă cu tentația de a ignora regulile de securitate și de a partaja sau reutiliza parole slabe.

De asemenea, utilizatorii pot fi tentați să-și creeze propriile conturi pentru aplicații noi după cum consideră de cuviință, fără aprobarea sau reglementarea IT. Acest IT umbră prezintă un risc inutil de securitate pentru organizație. Și chiar și identitățile care sunt gestionate de IT ar putea exista în propriile lor silozuri, fiecare identitate separată necesitând propriul proces manual de furnizare și deprovisionare.

Nu există o identitate unică, centrală, analogă cu identitatea AD de altădată. Administratorii au nevoie de o nouă modalitate de a securiza conexiunile, de a păstra totul în siguranță sub controlul IT, de a îndeplini standardele de securitate și de conformitate și de a pregăti dispozitivele pentru lucrul de la distanță.

Când vine vorba de sisteme, sistemele MacBook și Linux sunt acum obișnuite. Acolo unde administratorii Microsoft experimentați au rezistat cândva introducerii sistemelor Mac la locul de muncă, acum este o practică standard să se adapteze acestor sisteme. Într-un domeniu tradițional Active Directory, managementul sistemului Mac și Linux nu ar fi la fel de clar sau sigur fără adăugarea altor soluții punctuale dincolo de AD, cum ar fi un instrument de gestionare a sistemului sau chiar un MDM.

oameni care stau pe computere


Mediile de domeniu construite în jurul OpenLDAP nu se descurcă mult mai bine: domeniile și serverele LDAP gestionează în primul rând identitățile, parolele, grupurile și unitățile organizaționale, dar adesea lipsesc gestionarea sistemului, aplicarea politicii de securitate și abilitățile de integrare a aplicațiilor cloud. Resursele IT au trecut de la utilizarea LDAP ca protocol de autentificare preferat la utilizarea standardelor moderne precum SAML, SCIM, OAuth, OIDC și multe altele. Mediile LDAP vechi necesită, de asemenea, un grad ridicat de expertiză pentru configurare și întreținere.

Modul logic de a umple golurile de mai sus în supravegherea IT este implementarea unei arhitecturi moderne fără domeniu.

Ce înseamnă cu adevărat fără domeniu în practică?

Perspectiva de a trece fără domeniu poate suna puțin înfricoșătoare pentru administratorii experimentați, dar un mediu fără domeniu configurat corespunzător poate fi considerabil mai sigur decât o configurare tradițională a unui domeniu în peisajul IT de astăzi. Într-un mediu fără domeniu, poziția de securitate a organizației se referă la fiecare utilizator individual, sistemul Mac, Windows sau Linux al acestuia și resursele pe care trebuie să le acceseze, oriunde se află fiecare dintre aceste componente.

Fiecare resursă IT are acum propriul său perimetru strâns. Aceasta înseamnă că, în loc să funcționeze în esență nesecurizat în limitele unui perimetru mai mare întărit după autentificare o dată, identitățile și drepturile de acces sunt verificate și verificate în mod constant. Utilizatorii își accesează resursele direct printr-o conexiune la internet standard, mai degrabă decât prin rutarea printr-un domeniu pentru autentificare. Și în locul unui controler de domeniu, un serviciu de director în cloud se ocupă de gestionarea accesului, autentificarea utilizatorilor și aplicarea securității.

Acest concept de serviciu de directoare în cloud face ca întreprinderea fără domeniu să fie realizabilă în practică. Dar, deși atât de multe alte aspecte ale IT au migrat efectiv în cloud, mulți administratori au rezerve cu privire la implementarea unui spectru complet de servicii de director în cloud.

În cea mai mare parte, asta se datorează faptului că ideea unui serviciu de directoare în sine este atât de indisolubil legată de Active Directory – instrumentul existent reprezintă problemele individuale pe care le-a rezolvat cândva. Iar aspectul de securitate al domeniului este mai intuitiv: firewall-urile și încuietorile ușilor sunt familiare și ne oferă un sentiment de control. Pare logic că renunțarea la domeniu ar însemna expunerea crescută la atacuri și scăderea controlului asupra securității.

Dar adevărul este că, chiar și cu măsuri precum firewall-urile, detectarea rețelei și detectarea și răspunsul punctelor finale, organizațiile încă sunt încălcate. După ce fiecare nou atac de succes intră în ciclul de știri, comunitatea IT se reorientează asupra modului de a pune în aplicare o versiune mai bună și mai puternică a aceleiași abordări a securității. În mod clar, vechiul mod de a face lucrurile nu funcționează. A sosit momentul pentru o abordare fundamental nouă centrată pe cloud.

Funcțiile de bază ale unui serviciu de director în cloud

Expresia serviciu de director în cloud este folosită pentru a descrie o varietate de soluții care se încadrează vag în categoria IAM, dar este greu de stabilit ce înseamnă cu adevărat această expresie de la furnizor la furnizor.

Diferitele soluții de directoare în cloud oferă rareori funcționalități comparabile și aproape niciuna dintre ele nu reproduce întreaga gamă a capacităților originale de guvernanță, autentificare și control al accesului AD, ca furnizor principal de identitate al unei organizații. Dar exact asta trebuie să facă un serviciu de director în cloud pentru a susține și a securiza o arhitectură modernă fără domeniu.

servicii de directoare cloud

De fapt, un serviciu de director în cloud care merită să depășească domeniul inițial al AD, gestionând accesul la aplicații terțe și la sistemele de operare non-Windows, toate de pe o singură platformă.

Această distincție este importantă în compararea unui adevărat serviciu de director cloud cu o platformă SSO pentru aplicații web, care oferă utilizatorilor o identitate pentru a accesa aplicațiile SaaS, dar este posibil să nu poată gestiona accesul la dispozitiv, liniile de bază de securitate sau să autentifice utilizatorii la moștenire sau on-prem. resurse folosind protocoalele lor de autentificare preferate. În acest sens, SSO bazat pe SAML este doar o componentă a unui serviciu de director în cloud; termenii nu sunt interschimbabili.

În loc să creeze o traducere unu-la-unu a modelului de domeniu AD stabilit în cloud, un serviciu de directoare cloud adecvat descompune funcțiile AD în părțile lor componente și reimaginează fiecare dintre acele părți. Dacă putem separa problemele individuale de soluția pe care o luăm de bună, putem ajunge la noi modalități de a le rezolva.

Următoarele caracteristici de bază sunt esențiale pentru un serviciu de director în cloud construit pentru întreprinderile fără domeniu:

  • O identitate de utilizator unică și sigură pentru a accesa dispozitive, aplicații, WiFi/VPN, servere și infrastructură de dezvoltare, atât on-prem, cât și în cloud și indiferent de furnizor
  • Capacitatea de a integra și consolida identitățile utilizatorilor din alte servicii, inclusiv G Suite, Office 365, AWS, AD/Azure și sisteme de resurse umane/satelare
  • Capacitate automată de furnizare și deprovisionare a utilizatorilor
  • Gestionare de la distanță a sistemului cu control al politicii de tip GPO asupra sistemelor Mac, Windows și Linux și raportare profundă asupra stării și atributelor sistemului
  • Autentificare multifactor (MFA) la autentificarea sistemului Mac, Windows și Linux și pentru acces la aproape toate celelalte resurse IT, plus capacitatea de gestionare a cheilor SSH
  • Administrare flexibilă și automată prin scripting, API sau PowerShell
  • Date detaliate și înregistrare a evenimentelor pentru a sprijini nevoile de audit și conformitate

Multe defecțiuni de securitate nu provin din absența totală a oricăreia dintre componentele de mai sus, ci din incapacitatea de a le aplica, aplica și actualiza uniform în cadrul unei organizații. Având în vedere acest lucru, valoarea unui serviciu de director centralizat în cloud devine clară.

Cheile pentru a deveni fără domeniu: încredere în dispozitiv și MFA

Deși multe soluții cloud IAM sunt bazate în întregime pe browser, le lipsește cheia securității moderne fără domenii: dispozitivul. Utilizatorii au încă nevoie de o poartă fizică pentru munca lor, indiferent dacă acea poartă este un laptop, o tabletă sau un smartphone. O mare parte din verificarea constantă necesară pentru a securiza un mediu fără domeniu ar trebui să fie gestionată de dispozitiv, folosind un cadru pe care îl putem considera ca fiind încrederea în dispozitiv .

Ideea este ca utilizatorul să se conecteze la dispozitiv o dată, folosind o combinație de parolă sau acreditări fără parolă plus MFA și apoi să obțină acces securizat la toate resursele sale IT. Fiecare tranzacție este securizată și criptată la nivel atomic, astfel încât munca poate fi efectuată în siguranță printr-o conexiune standard la internet.

Experiența utilizatorului este similară cu experiența SSO de conectare la o mașină desktop în domeniul AD de la sfârșitul anilor 1990/începutul anilor 2000, dar ceea ce se întâmplă în culise este mult mai complex și amploarea resurselor IT disponibile pentru acces este mult mai mare.

mfa

Pentru ca un serviciu de director în cloud să stabilească o relație de încredere cu un dispozitiv, mai multe criterii trebuie îndeplinite și reafirmate în mod constant. Aceste criterii simplifică pentru a verifica că:

  • Utilizatorul potrivit accesează dispozitivul și acel utilizator este cine spune că este
  • Dispozitivul potrivit solicită acces
  • Accesul este solicitat din locația potrivită
  • Permisiunile corecte sunt aplicate pentru utilizator/dispozitiv într-o anumită resursă

Aici conceptul de MFA se extinde dincolo de măsurile adresate utilizatorului, cum ar fi jetoanele TOTP și cheile de securitate WebAuthn. Cerințele de mai sus pot fi confirmate între dispozitiv și serviciul de director în cloud, stabilindu-se al treilea, al patrulea, al cincilea și alții factori de autentificare care ar fi practic imposibil de replicat împreună pentru un atacator.

Ideea de a încălca o rețea este schimbată radical de această autentificare repetată cu mai mulți factori: nu mai există o zonă nesecurizată de parcurs în timpul unei sesiuni deschise după o singură autentificare inițială. Acest lucru se datorează faptului că, în modelul fără domeniu, securitatea și controlul accesului au loc efectiv la fiecare nivel, nu doar la nivel de rețea. Doar persoana potrivită, cu mașina potrivită, care accesează din locația potrivită cu permisiunile corespunzătoare poate accesa date și aplicații.

Un serviciu de director în cloud stabilește încrederea dispozitivului printr-o combinație de guvernare a sistemului asemănătoare GPO, software construit pe principiul celui mai mic privilegiu și criptarea tuturor datelor în tranzit și în repaus. Un alt mod de a gândi această abordare este în contextul securității zero-trust .

Securitate cu încredere zero în practică

Securitate zero-trust înseamnă că serviciul de director însărcinat cu autentificare nu ia niciodată drept de la sine înțeles legitimitatea unui utilizator, dispozitiv, aplicație sau altă resursă IT. Se realizează prin securizarea următoarelor patru domenii: angajați, sisteme, aplicații și rețea.

Angajatii

Un sistem este în vigoare pentru a verifica dacă sunt cu adevărat cine spun că sunt prin confirmarea parolei lor (ceva pe care îl știu) și a simbolului MFA (ceva pe care îl au) în baza de date a directorului, care servește ca o sursă autorizată de adevăr.

Sisteme

Sistemul, probabil o mașină emisă de corporație, pe care o persoană validată îl folosește pentru a accesa resursele IT trebuie să fie curat, iar persoana trebuie să aibă acces în mod corect la acea mașină. În practică, aceasta înseamnă un fel de mecanism pentru a se asigura că mașina este cunoscută, politicile și setările impun standardele de securitate și un grad ridicat de certitudine că utilizatorul este cine spune că este. Software-ul de securitate este verificat și actualizat. Telemetria sistemului ajută la asigurarea vizibilității că mașina în sine nu este compromisă.

Aplicații

Este esențial ca numai persoanele potrivite, pe sisteme de încredere, să acceseze aplicațiile. Prin urmare, extensia logică a celor de mai sus este de a verifica dacă utilizatorul și mașina au drepturi asupra aplicației și rețelei în care se află aplicația și pentru a verifica securitatea acelei rețele. Aici un VPN poate juca uneori un rol crucial în întreprinderea fără domeniu, ca un tunel securizat către o aplicație sau o resursă.

Reţea

Indiferent de rețea în care se află utilizatorul, ar trebui să fie cât mai sigură posibil, dar chiar dacă nu este complet sigură, utilizatorul poate crea o enclavă sigură în acea rețea folosind un VPN. În plus, rețelele pot fi securizate prin mijloace suplimentare, cum ar fi MFA și chiar segmentarea VLAN.

Primii pași către implementarea unei arhitecturi fără domeniu

Această idee a unei arhitecturi fără domeniu, activată de un serviciu de director în cloud și de securitate zero-trust nu este pur filozofică sau o aspirație îndepărtată pentru viitor: este aici acum, iar echipele IT pot începe să o implementeze imediat, fie complet, fie complet. într-o abordare graduală, adaptată infrastructurii lor existente.

Pentru organizațiile care sunt investite profund într-un domeniu AD funcțional, un serviciu de director în cloud poate învălui instanța AD, oferind multe dintre beneficiile modelului fără domeniu și servind ca o piatră de temelie către modelul all-cloud.

Un serviciu de directoare cloud puternic va avea capacitatea de a fi singur ca furnizor de identitate de bază, astfel încât chiar și organizațiile care nu sunt pregătite să treacă 100% fără domeniu au acum opțiunea de a se muta fără probleme de la AD atunci când această migrare are sens.

Dacă doriți să aflați mai multe, explorați informații despre serviciile de directoare cloud pe G2.