Systém správy identit je centrální součástí každého IT oddělení. Dokud funguje, málokdo si jeho existence všimne, a proto často není optimalizován pro zlepšení kvality systému. Díky 16letým zkušenostem s vývojem serverového řešení pro centrální správu identit (IdM) identifikovala Univention deset kroků, jak zlepšit své IdM, bez ohledu na to, zda své IdM provozujete v prostorách nebo v cloudu, jako je UCS na AWS. . Pojďme si je projít.
Krok 1:Udělejte si inventuru svých aplikací + odstraňte Shadow IT
Když přemýšlíme o našich IT prostředích, často uvažujeme ve fyzických termínech a zvažujeme, jaké máme servery, přepínače a kabely. Vedení jejich inventury je rozhodně nutností a vyžaduje ji každé účetní oddělení. Ale obvykle méně přemýšlíme o tom, že bychom udělali totéž pro náš software. To platí zejména pro jakékoli „stínové IT“, které mohlo vyrůst mimo oddělení IT. Pouze s úplným seznamem softwaru můžete pokračovat ve významných vylepšeních svého IT.
Vyhledání oficiálních IT služeb by mělo být součástí čtení vaší dokumentace. Pro stínové IT to nemusí být tak snadné.
Naše tři oblíbené způsoby, jak určit používané stínové IT produkty, jsou následující:
- Zeptejte se svých uživatelů! To je asi nejjednodušší způsob, jak to zjistit. To vám také dává příležitost dozvědět se více o tom, jaké služby a nástroje si cení a potřebují nejvíce.
- Požádejte své účetní oddělení o seznam dodavatelů a vyhledejte v nich poskytovatele IT služeb, kteří vám poskytují služby. Nejčastěji se zde vyskytují aplikace pro plánování a řídicí panely, jako je Trello.
- Pokud to zásady vaší společnosti a příslušné zákony umožňují, podívejte se na svůj firewall. Pokud máte možnost exportovat odchozí připojení a třídit je podle čísel připojení, měli byste zjistit, co vaši uživatelé používají. Nejčastěji zde najdete spotřebitelské cloudové služby. S největší pravděpodobností zde vyskočí Dropbox a Box.
Přehled všech používaných aplikací, které získáte z tohoto procesu skenování, vám umožní vylepšit sadu aplikací nabízených vašim uživatelům a postupně sníží stínové IT, což zase sníží režii a zlepší bezpečnost a stabilitu.
Krok 2:Vytvořte jednu přední službu
Mezi LDAP, databázemi SQL a online službami, jako je přihlášení přes Google, existuje mnoho způsobů, jak spravovat své identity v rámci organizace. Ve většině případů bude mít každá aplikace možnost zachovat si svou uživatelskou základnu a může mít možnost ovládat i další software.
Učinit jednoznačné rozhodnutí, který systém by měl udržovat identity, je zásadním krokem při navrhování systému a zajištění toho, že přední systém má všechny informace pro řízení jakékoli aplikace, kterou najdete.
Ujistěte se, že vámi zvolený systém může ovládat vaše aplikace. Například UCS má pro vaše aplikace k dispozici jak OpenLDAP, tak AD, stejně jako četné konektory pro online služby. Všechny funkce a nástroje dostupné pro UCS lze nalézt v Centru aplikací Univention .
Po rozhodnutí se zaměříte na integraci různých systémů jeden po druhém. Pokud používáte virtualizované systémy, možná budete schopni vytvořit kopii zapojených serverů, abyste měli jistotu, že jste pokryli všechna potřebná nastavení, než je použijete v produktivním prostředí.
Krok 3:Udělejte svým uživatelům větší pohodlí
Většinu uživatelů nijak zvlášť nezajímá ochrana soukromí a dat. Zatímco vedení si je často vědomo jejich důležitosti, uživatelé je často odsouvají až na druhé místo za jejich pohodlí. Když se tedy snažíte zapůsobit implementací centrálního IdM, pohodlí, které může vašim uživatelům přinést, je často kritickým nástrojem pro přijetí a úspěch. Proto i když zásady „stejný uživatel a stejné heslo“ mohou stačit ke splnění požadavků administrátora nebo vaší strategie, pouze pomocí systému s jediným přihlášením budete schopni přesvědčit uživatele, že vaše služby jsou lepší než jakékoli jiné služby, které by mohli používat doma.
Krok 4:Minimalizujte svou práci
Uživatelský komfort a pokrytí aplikací jsou nyní základem pro pokračující přijímání vašeho IdM. Žádný systém řízení však není úplný bez způsobu, jak jej spravovat. Díky šablonám a rozumným výchozím hodnotám můžete minimalizovat rutinní úkoly vytváření uživatelů a jejich přesouvání do příslušného oddělení. Pokud vám váš systém umožňuje nastavit výchozí hodnoty, skvělé, využijte je. Pokud ne, možná budete chtít hledat nový systém.
Krok 5:Zkontrolujte zásady pro hesla
Doporučení a možné požadavky na zásady hesel se změnily. Národní institut pro standardy a technologie aktualizoval svou dokumentaci a oddíl 5.1.1 poskytuje vynikající (a bezplatný) výchozí bod pro zobrazení aktuálních nápadů na bezpečná hesla. Aktuální zásady nejsou pouze bezpečnostním hlediskem, ale také zvyšují uživatelský komfort. Pokud stále používáte 6 znaků po dobu tří měsíců, možná budete chtít zvážit kontrolu nových požadavků. Se stále rostoucím výpočetním výkonem za stále nižší ceny se doporučení týká delších hesel na půl roku nebo i déle. Čím méně často musíte heslo měnit, tím je pravděpodobnější, že si uživatelé zvolí rozumné komplexní heslo.
Krok 6:Dvoufaktorové ověření
Průmyslová špionáž není něco, co se týká pouze velkých společností. Každý den jsou jím zasaženy i střední a malé firmy. Jedním z nejběžnějších způsobů, jak získat informace, je prolomení hesel. Dobrá politika hesel, jak bylo zmíněno výše, nyní může zmírnit některé problémy. Proč však neudělat rok 2018 rokem, kdy implementujete dvoufaktorovou autentizaci v rámci vašeho IT prostředí? Nástroje jako privacyIDEA a YubiKey vám umožní umožnit uživatelům používat hardwarové ověřování.
Krok 7:Použití individuálních administrátorských účtů
Root a správce jsou dva velmi pohodlné účty, které můžete najít na svých serverech a pracovních stanicích. Jsou snadno dostupné pro vaše administrátory a každý si zapamatuje jejich název. Pokud heslo zapomenete, všichni vaši kolegové ho samozřejmě rádi sdělí.
Individuální účty tento problém zmírňují. Na každého administrátora máte jeden účet s jeho heslem a uživatelským jménem. Tyto účty by se přirozeně měly lišit od těch, které se používají k každodennímu přihlášení.
Krok 8:Zaznamenejte změny a auditujte změny
Samostatné účty pro administrátory vám také umožňují zaznamenávat změny a sledovat, kdo mění která nastavení. Sledování změn není důležité pouze pro odpovědnost, ale je ještě užitečnější při zkoumání budoucnosti vašich prostředí. Pokud vidíte, že jeden administrátor vždy aplikuje jeden parametr na třídu objektů, možná budete chtít zvážit jeho nastavení jako výchozí.
Krok 9:Zkontrolujte nastavení serveru
Většina z nás provozuje své servery po dlouhou dobu. Zejména při používání virtuálních počítačů a aktualizací softwaru můžete stále používat software, který jste původně nainstalovali před deseti lety. I když je to skvělé z hlediska efektivity, znamená to také, že mnohá z vašich nastavení mohou být používána déle, než někteří z nás na tomto serveru pracovali.
Na kontrolu výchozího nastavení se často zapomíná a může být dobré podívat se do konfigurace, abyste zjistili, zda není potřeba nějaká vylepšení.
Krok 10:Kopie mimo web
Představte si, že vaše serverová místnost má elektrický problém a není funkční. Nyní, když všechny vaše cloudové služby získávají hesla ze serveru, vaši kolegové si ani nemohli vzít své notebooky domů, protože žádná z vašich cloudových služeb není dostupná.
Zde je užitečný server mimo web. Pokud je server od vás dostatečně daleko, ani významný problém neovlivní jeho provoz. S cloudovými službami od AWS a Azure je možné vytvořit externí server a vytvořit zálohu mimo pracoviště za pár dolarů ročně.
Více informací o Univention Corporate Server jako příkladu otevřeného a centrálního IdM naleznete v následujících předchozích článcích:
- Úvod do Univention Corporate Server
- Instalace a konfigurace Univention Corporate Server
- Nastavení soukromého serveru s ownCloud, Kopano a Let's Encrypt na UCS
Závěr
Vylepšení vašeho IdM vám usnadní život správce a vaše celkové IT bude bezpečnější. Tím, že budete řešit malé projekty jeden po druhém, budete moci provádět tyto změny jednu po druhé a neustále zlepšovat své IT. I když se účinky výše uvedených změn na začátku nemusí zdát velké, každá z nich může mít z dlouhodobého hlediska následný dopad na vaše IT.