Dizin Hizmetlerinin Geleceği Etki Alanı Yoktur

Yayınlanan: 2020-05-05

Güvenlik, cihaz yönetimi ve erişim kontrolüne yönelik temel yaklaşımlar değişiyor.

30 yılın daha iyi bir bölümünde, bu temel BT öncelikleri, şirket içi etki alanı çağında mükemmel çözümler olan Active Directory ve OpenLDAP'den ayrılamaz olmuştur. Ancak son zamanlarda uzaktan çalışmaya geçiş, geleneksel çevre güvenliği ve şirket içi altyapının artık bir kuruluşun kullanıcı kimliklerini ve buluttaki gizli verilerini korumak için yeterli olmadığını açıkça ortaya koyuyor.

Modern çalışma ortamlarını daha iyi yönetmek için, bir rehber hizmetinin bireysel işlevlerini yeniden tasavvur etmemiz ve bu işlevleri eski tarihli kablolu, kale ve hendek etki alanı kavramından ayırmamız gerekir. Bugün en önemli şey, dünyanın neresinde olursa olsun kullanıcıyı ve cihazı güvence altına almaktır.

O halde, dizin hizmetlerinin geleceği alansızdır. Buraya nasıl geldiğimize, alansız kuruluşun pratikte nasıl göründüğüne ve kuruluşların IAM altyapılarını modernize etmek için atabilecekleri adımlara daha ayrıntılı bir bakış.

Dizin hizmetlerini ve etki alanı kavramını yeniden tasarlama

Bildiğimiz etki alanı kavramı esasen 1990'larda tasarlandı ve zamanın kablolu ofis ortamlarında güvenli kullanıcı ve bilgisayar yönetimi için mükemmel bir çözümdü. BT'nin diğer birçok alanı o zamandan bu yana tamamen değişmiş olsa da, bu model bugün hala çoğu kuruluşun kimlik ve erişim yönetimine yönelik yaklaşımlarının temelini oluşturmaktadır.

Birçok BT uzmanı, etki alanını hafife alır ve bir sonraki mantıklı adımın, web uygulaması çoklu oturum açma (SSO) sağlayıcıları ve diğer kimlik köprülerini ekleyerek onu bulut çağına uyarlamak ve genişletmek olduğunu varsaymıştır. Ancak daha pratik bir yaklaşım, alanın başlangıçta çözmek için tasarlandığı temel sorunlara bakmak, bu sorunlardan hangisinin bugün hala geçerli olduğuna karar vermek ve bunları modern yenilikleri kullanarak çözmenin yeni yollarını keşfetmek olabilir.

1990'ların ortasından 2000'lerin ortasına kadar ofis ortamları çok farklıydı. İşçiler, gerçek mekanda faaliyet gösteren işyerlerine anahtar kartlarını veya gerçek anahtarları kullanarak girdiler. Masalarına yürüdüler ve sabit bilgisayarların önüne oturdular. Bu bilgisayarlar, bir ethernet kablosuyla fiziksel ofis içindeki bazı dahili veri merkezlerine veya sunucu dolabına bağlandı. Etki alanı denetleyicisi, bu merkezi konumun içinden yerel ağ içindeki BT kaynaklarına erişim izni verdi. Bu fiziksel ağ, sırayla, bir güvenlik duvarı tarafından ve fiziksel erişim için binanın kendisi tarafından dış saldırılara karşı korunuyordu.

O zamanlar, bu kurulum esasen güvenli ve yönetimi kolaydı ve kullanıcıların birden fazla parolayı yönetmesine veya sahne arkasında gerçekleşen yetkilendirme ve kimlik doğrulama süreçleri hakkında düşünmesine gerek kalmayacak kadar sorunsuz bir kullanıcı deneyimi sunuyordu. Her iş istasyonunda Windows ve Microsoft programlarını çalıştıran bir masaüstü kulesiyle ortamlar homojendi. Active Directory (AD) bu tür bir ortam için o kadar uygundu ki, kullanıcılara belki de ilk tek oturum açma (SSO) deneyimini sunabildi: Windows tabanlı BT kaynaklarına erişmek için tek bir kimlik bilgileri kümesi. tek bir sistem girişi.

Şimdi, şimdiki zamana hızla ilerleyin ve o binanın tüm duvarlarını yıkın. BT, bulut teknolojisi ve yaygın olarak bulunan yüksek hızlı kablosuz internet tarafından sağlanan ofis dışında esnekliğe doğru ilerliyordu. Kule ve tüp monitörlü sabit bilgisayarlar yerine, çalışanların artık neredeyse her yere yanlarında taşıyabilecekleri, internete bağlanabilecekleri ve çalışmaya başlayabilecekleri dizüstü bilgisayarları ve diğer cihazları var. Kısaca etki alanı olmayan girişim budur ve şu anki gerçekliğimiz budur.

adam wfh

Ancak, etki alanı dışında çok fazla işin gerçekleştiği bir dünyada, BT departmanları, Active Directory'nin bir zamanlar kendi başına ele aldığı zorlukları yeniden değerlendirmek zorunda kalıyor.

Etki alanı modelinin modern eksiklikleri

Active Directory, modern bulut kaynakları ve Windows olmayan işletim sistemlerine uyum sağlamak ve bunlarla bütünleşmek için mücadele etti ve tasarlandığı çevre güvenlik modeli, uzaktaki çalışanları korumak için yeterli değil.

Bu nedenle soru, bir zamanlar AD tarafından sağlanan merkezi yönetim iş akışının ve basit, güvenli kullanıcı deneyiminin Mac ve Linux sistemlerini, web uygulamalarını, bulut sunucularını ve uzak ağları içeren modern bir ortama nasıl çevrileceği ve hala sahip olabilir veya olmayabilir. -prem altyapısı da. Kullanıcıların, nerede çalıştıklarından bağımsız olarak, BT kaynaklarına minimum sürtünme ile bağlanması gerekir ve BT yöneticilerinin, kullanıcı kimliklerinin ve özel verilerin saldırılara karşı korunduğundan emin olmaları gerekir.

Sorun, BT'nin modern kullanıcı kimlikleri üzerinde geleneksel bir AD etki alanı ortamında sahip olacağı kontrol düzeyine neredeyse sahip olmamasıdır. Uygulamalar, bir kez satın alınan, yerel olarak yüklenen eski bir mimariden bulut tabanlı bir abonelik modeline taşınmıştır. Bazı uygulamalar, kimlikleri ve yapılandırmaları bir web tarayıcısı aracılığıyla bulutta işlenerek yerel olarak yüklenmeye devam eder.

Kendi kimliklerini yönetmeye bırakılan kullanıcılar, yüzlerce değilse de onlarca parola elde ederler ve güvenlik yönergelerini göz ardı etme ve zayıf parolaları paylaşma veya yeniden kullanma eğilimiyle karşı karşıya kalırlar.

Kullanıcılar ayrıca, BT'nin onayı veya düzenlemesi olmaksızın, uygun gördükleri yeni uygulamalar için kendi hesaplarını oluşturmaya yönelebilirler. Bu gölge BT, kuruluş için gereksiz bir güvenlik riski oluşturur. Ve hatta BT tarafından yönetilen kimlikler bile kendi silolarında var olabilir ve her bir ayrı kimlik, kendi manuel provizyon ve provizyon kaldırma sürecini gerektirir.

Geçmiş yılların AD kimliğine benzer tek bir merkezi kimlik yoktur. Yöneticilerin bağlantıların güvenliğini sağlamanın, her şeyi güvenli bir şekilde BT'nin denetimi altında tutmanın, güvenlik ve uyumluluk temellerini karşılamanın ve cihazları uzaktan çalışmaya hazırlamanın yeni bir yoluna ihtiyacı var.

Sistemler söz konusu olduğunda, MacBook'lar ve Linux sistemleri artık yaygın. Deneyimli Microsoft yöneticilerinin bir zamanlar Mac sistemlerinin işyerine getirilmesine direndiği yerlerde, bu sistemleri barındırmak artık standart bir uygulamadır. Geleneksel bir Active Directory etki alanında, bir sistem yönetim aracı veya hatta bir MDM gibi AD'nin ötesinde başka nokta çözümleri eklenmeden Mac ve Linux sistem yönetimi, aynı düzeyde veya güvenli olmayacaktır.

bilgisayar başında oturan insanlar


OpenLDAP etrafında oluşturulan etki alanı ortamları çok daha iyi performans göstermiyor: LDAP etki alanları ve sunucuları öncelikle kimlikleri, parolaları, grupları ve kuruluş birimlerini yönetir, ancak genellikle sistem yönetimi, güvenlik politikası zorlaması ve bulut uygulaması entegrasyon yeteneklerinden yoksundur. BT kaynakları, tercih edilen kimlik doğrulama protokolü olarak yalnızca LDAP kullanmaktan SAML, SCIM, OAuth, OIDC ve daha fazlası gibi modern standartlardan yararlanmaya geçti. Eski LDAP ortamları ayrıca yapılandırmak ve sürdürmek için yüksek derecede uzmanlık gerektirir.

BT gözetiminde yukarıdaki boşlukları doldurmanın mantıklı yolu, modern bir alansız mimari uygulamaktır.

Alansız , pratikte gerçekten ne anlama geliyor?

Alansız olma olasılığı deneyimli yöneticiler için biraz korkutucu gelebilir, ancak uygun şekilde yapılandırılmış bir alansız ortam, günümüzün BT ortamında geleneksel bir alan kurulumundan çok daha güvenli olabilir. Etki alanı olmayan bir ortamda, kuruluşun güvenlik duruşu, her bir kullanıcıyı, onların Mac, Windows veya Linux sistemini ve bu bileşenlerin her biri nerede bulunursa bulunsun, erişmeleri gereken kaynakları sarar.

Her BT kaynağının artık kendi sıkı çevresi vardır. Bu, bir kez kimlik doğrulaması yapıldıktan sonra sertleştirilmiş daha geniş bir çevrenin sınırları içinde esasen güvencesiz çalışmak yerine, kimlikler ve erişim haklarının sürekli olarak kontrol edilip doğrulandığı anlamına gelir. Kullanıcılar, kimlik doğrulama için bir etki alanı üzerinden yönlendirmek yerine kaynaklarına doğrudan standart bir internet bağlantısı üzerinden erişir. Ve bir etki alanı denetleyicisi yerine, bir bulut dizin hizmeti erişim yönetimini, kullanıcı kimlik doğrulamasını ve güvenlik uygulamasını yönetir.

Etki alanı olmayan işletmeyi pratikte ulaşılabilir kılan bu bulut dizin hizmeti kavramıdır. Ancak BT'nin diğer pek çok yönü etkili bir şekilde buluta taşınmış olsa da, birçok yöneticinin bulutta tam bir dizin hizmetleri yelpazesi uygulama konusunda çekinceleri vardır.

Çoğunlukla bunun nedeni, bir dizin hizmeti fikrinin Active Directory'ye ayrılmaz bir şekilde bağlı olmasıdır - mevcut araç, bir zamanlar çözdüğü bireysel sorunları temsil eder. Ve etki alanının güvenlik yönü daha sezgiseldir: güvenlik duvarları ve kapı kilitleri tanıdıktır ve bize bir kontrol hissi verirler. Etki alanından vazgeçmenin, saldırılara daha fazla maruz kalma ve güvenlik üzerindeki kontrolün azalması anlamına geleceği mantıklı görünüyor.

Ancak gerçek şu ki, güvenlik duvarları, ağ tespiti ve uç nokta tespiti ve müdahalesi gibi önlemler uygulansa bile, kuruluşlar hala ihlal ediliyor. Her yeni başarılı saldırı haber döngüsüne girdikten sonra, BT topluluğu, aynı güvenlik yaklaşımının daha iyi ve daha güçlü bir versiyonunun nasıl uygulanacağına yeniden odaklanır. Açıkçası, işleri yapmanın eski yolu çalışmıyor. Temelde yeni bir bulut merkezli yaklaşımın zamanı geldi.

Bir bulut dizin hizmetinin temel işlevleri

Bulut dizin hizmeti ifadesi, IAM kategorisine gevşek bir şekilde uyan çeşitli çözümleri tanımlamak için kullanılır, ancak bu ifadenin satıcıdan satıcıya gerçekten ne anlama geldiğini belirlemek zordur.

Farklı bulut dizini çözümleri nadiren karşılaştırılabilir işlevsellik sunar ve bunların neredeyse hiçbiri, bir kuruluşun temel kimlik sağlayıcısı olarak AD'nin tüm orijinal sistem yönetişimi, kimlik doğrulama ve erişim denetimi yeteneklerini çoğaltmaz. Ancak, modern bir alansız mimariyi desteklemek ve güvence altına almak için bir bulut dizin hizmetinin tam olarak yapması gereken şey budur.

bulut dizin hizmetleri

Aslında, değerli bir bulut dizin hizmeti, üçüncü taraf uygulamalara ve Windows dışı işletim sistemlerine erişimi tek bir platformdan yöneterek AD'nin orijinal kapsamının ötesine geçmelidir.

Bu ayrım, gerçek bir bulut dizin hizmetini, kullanıcılara SaaS uygulamalarına erişmeleri için tek bir kimlik veren, ancak cihaz erişimini, güvenlik temellerini yönetemeyebilen veya eski veya şirket içi kullanıcıların kimliğini doğrulayamayan bir web uygulaması SSO platformuyla karşılaştırırken önemlidir. tercih edilen authN protokollerini kullanan kaynaklar. Bu anlamda SAML tabanlı SSO, bir bulut dizin hizmetinin yalnızca bir bileşenidir; terimler birbirinin yerine kullanılamaz.

Bulutta yerleşik AD etki alanı modelinin bire bir çevirisini oluşturmak yerine, uygun bir bulut dizin hizmeti, AD'nin işlevlerini bileşen parçalarına ayırır ve bu parçaların her birini yeniden tasarlar. Bireysel sorunları doğal olarak kabul ettiğimiz çözümlerden ayırabilirsek, onları çözmenin yeni yollarına ulaşabiliriz.

Etki alanı olmayan kuruluş için oluşturulmuş bir bulut dizin hizmeti için aşağıdaki temel özellikler gereklidir:

  • Cihazlara, uygulamalara, WiFi/VPN'lere, sunuculara ve geliştirme altyapısına hem şirket içinde hem de bulutta ve satıcıdan bağımsız olarak erişmek için tek, güvenli bir kullanıcı kimliği
  • G Suite, Office 365, AWS, AD/Azure ve HR/bordro sistemleri dahil olmak üzere diğer hizmetlerden kullanıcı kimliklerini entegre etme ve birleştirme yeteneği
  • Otomatik kullanıcı yetkilendirme ve yetkilendirme kaldırma yeteneği
  • Mac, Windows ve Linux sistemleri üzerinde GPO benzeri politika kontrolü ve sistem durumu ve özellikleri hakkında derin raporlama ile uzaktan sistem yönetimi
  • Mac, Windows ve Linux sistem oturumunda ve neredeyse tüm diğer BT kaynaklarına erişim ve ayrıca SSH anahtar yönetimi özelliği için çok faktörlü kimlik doğrulama (MFA)
  • Komut dosyası oluşturma, API veya PowerShell aracılığıyla esnek ve otomatikleştirilmiş yönetim
  • Denetim ve uyumluluk ihtiyaçlarını desteklemek için ayrıntılı veri ve olay günlüğü

Çoğu güvenlik hatası, yukarıdaki bileşenlerden herhangi birinin tamamen yokluğuna değil, bunları bir kuruluşta tek tip olarak uygulama, zorlama ve güncelleme yetersizliğinden kaynaklanır. Bunu akılda tutarak, merkezi bir bulut dizin hizmetinin değeri netleşir.

Alansız olmanın anahtarları: cihaz güveni ve MFA

Pek çok bulut IAM çözümü tamamen tarayıcı tabanlı olsa da, modern alansız güvenliğin anahtarını kaçırıyorlar: cihaz. Bu ağ geçidi bir dizüstü bilgisayar, tablet veya akıllı telefon olsun, kullanıcıların çalışmaları için hala fiziksel bir ağ geçidine ihtiyaçları vardır. Etki alanı olmayan bir ortamın güvenliğini sağlamak için gereken sürekli doğrulamanın büyük bir kısmı, cihaz güveni olarak düşünebileceğimiz bir çerçeve kullanılarak cihaz tarafından gerçekleştirilmelidir.

Buradaki fikir, kullanıcının parola veya parolasız kimlik bilgileri ile MFA kombinasyonunu kullanarak cihazda bir kez oturum açması ve ardından tüm BT kaynaklarına güvenli erişim elde etmesidir. Her işlem atomik düzeyde güvenlik altına alınır ve şifrelenir, bu nedenle çalışma standart bir internet bağlantısı üzerinden güvenli bir şekilde yürütülebilir.

Kullanıcı deneyimi, 1990'ların sonlarında/2000'lerin başlarında AD etki alanında bir masaüstü makinede oturum açmanın SSO deneyimine benzer, ancak sahne arkasında olup bitenler çok daha karmaşıktır ve erişilebilecek BT ​​kaynaklarının genişliği, çok daha büyük.

mfa

Bir bulut dizin hizmetinin bir cihazla güvenilir bir ilişki kurması için çeşitli kriterlerin karşılanması ve sürekli olarak yeniden doğrulanması gerekir. Bu kriterler şunları doğrulamayı kolaylaştırır:

  • Doğru kullanıcı cihaza erişiyor ve bu kullanıcı, olduklarını söyledikleri kişidir.
  • Doğru cihaz erişim istiyor
  • Doğru konumdan erişim isteniyor
  • Belirli bir kaynak içinde kullanıcı/cihaz için doğru izinler uygulanıyor

Bu, MFA kavramının TOTP belirteçleri ve WebAuthn güvenlik anahtarları gibi kullanıcıya yönelik önlemlerin ötesine geçtiği yerdir. Yukarıdaki gereksinimler, bir saldırganın birlikte çoğaltması neredeyse imkansız olan üçüncü, dördüncü, beşinci ve daha fazla kimlik doğrulama faktörü oluşturarak aygıt ve bulut dizin hizmeti arasında doğrulanabilir.

Bir ağı ihlal etme fikri, bu tekrarlanan çok faktörlü kimlik doğrulama ile kökten değişti: Artık sadece bir ilk kimlik doğrulamasından sonra açık bir oturum sırasında geçilecek güvenli olmayan bir alan yok. Bunun nedeni, etki alanı olmayan modelde güvenlik ve erişim denetiminin yalnızca ağ düzeyinde değil, her düzeyde etkin bir şekilde gerçekleşmesidir. Yalnızca doğru kişi, doğru makine ile, doğru yerden, uygun izinlerle erişerek verilere ve uygulamalara erişebilir.

Bir bulut dizin hizmeti, GPO benzeri sistem yönetişimi, en az ayrıcalık ilkesine dayalı yazılım ve geçiş halindeki ve beklemedeki tüm verilerin şifrelenmesinin bir kombinasyonu aracılığıyla cihaz güveni oluşturur. Bu yaklaşımı düşünmenin başka bir yolu da sıfır güven güvenliği bağlamındadır.

Uygulamada sıfır güven güvenliği

Sıfır güven güvenliği, kimlik doğrulamayla görevli dizin hizmetinin hiçbir zaman bir kullanıcı, cihaz, uygulama veya başka bir BT kaynağının meşruluğunu kabul etmediği anlamına gelir. Aşağıdaki dört alanın güvence altına alınmasıyla elde edilir: çalışanlar, sistemler, uygulamalar ve ağ.

Çalışanlar

Şifrelerini (bildikleri bir şey) ve MFA belirteçlerini (sahip oldukları bir şey) yetkili bir hakikat kaynağı olarak hizmet eden dizin veritabanına karşı onaylayarak gerçekten olduklarını söyledikleri kişi olduklarını doğrulamak için bir sistem mevcuttur.

Sistemler

Onaylanmış bir kişinin BT kaynaklarına erişmek için kullandığı, muhtemelen şirket tarafından verilen bir makine olan sistem temiz olmalı ve kişinin bu makineye haklı olarak erişimi olmalıdır. Pratikte bu, makinenin bilinmesini, politikaların ve ayarların güvenlik standartlarını zorlamasını ve kullanıcının söylediği kişi olduğundan yüksek derecede emin olmasını sağlamak için bir tür mekanizma anlamına gelir. Güvenlik yazılımı kontrol edilir ve güncellenir. Sistem telemetrisi, makinenin kendisinin tehlikeye atılmadığının görünürlüğünü sağlamaya yardımcı olur.

Uygulamalar

Güvenilir sistemlerde yalnızca doğru kişilerin uygulamalara erişmesi çok önemlidir. O halde yukarıdakilerin mantıksal uzantısı, kullanıcının ve makinenin uygulama ve uygulamanın açık olduğu ağ üzerinde haklara sahip olduğunu doğrulamak ve bu ağın güvenliğini doğrulamaktır. Bu, bir VPN'nin bazen bir uygulama veya kaynağa güvenli bir tünel olarak etki alanı olmayan kuruluşta hala çok önemli bir rol oynayabileceği yerdir.

Kullanıcı hangi ağda olursa olsun, mümkün olduğunca güvenli olmalıdır, ancak tamamen güvenli olmasa bile, kullanıcı bir VPN kullanarak bu ağ içinde güvenli bir yerleşim bölgesi oluşturabilir. Ek olarak ağlar, MFA ve hatta VLAN segmentasyonu gibi ek yollarla güvence altına alınabilir.

Etki alanı olmayan bir mimari uygulamaya yönelik ilk adımlar

Bir bulut dizin hizmeti ve sıfır güven güvenliği tarafından etkinleştirilen bu etki alanı olmayan mimari fikri, yalnızca felsefi veya gelecek için çok uzak bir istek değildir: Şimdi burada ve BT ekipleri onu hemen uygulamaya başlayabilir, ya tamamen ya da mevcut altyapılarına uygun kademeli, adım adım bir yaklaşımla.

İşleyen bir AD etki alanına derinden yatırım yapan kuruluşlar için, bir bulut dizin hizmeti, AD örneğini kaplayabilir, etki alanı olmayan modelin birçok avantajını sağlayabilir ve tam bulut modeline bir atlama taşı görevi görebilir.

Güçlü bir bulut dizin hizmeti, bir temel kimlik sağlayıcısı olarak kendi başına ayakta durma yeteneğine sahip olacaktır, bu nedenle, %100 alansız olmaya hazır olmayan kuruluşlar bile, artık bu geçiş mantıklı olduğunda AD'den sorunsuz bir şekilde geçme seçeneğine sahip olacaktır.

Daha fazla bilgi edinmek istiyorsanız , G2'deki bulut dizin hizmetleriyle ilgili bilgileri keşfedin.