Upravljanje identitetom i autentikacija kroz IDaaS

Dolaskom pandemije, mala poduzeća, velike tvrtke i multinacionalne kompanije svoje su poslovanje ubrzano „selile“ u potpuno remote način rada. Istovremeno su usvajale sve veći broj Software-as-a-Service (SaaS) aplikacija. Od Zooma i Teamsa do Microsoft 365 i stotinu drugih office productivity SaaS aplikacija. Tko god je mislio da je cloud nesiguran ili čak štetan za poslovanje, na tu je skepsu trebao zaboraviti. Digitalna transformacija za čiju bi implementaciju u normalnim okolnostima trebalo nekoliko godina, dogodila se u nekoliko ključnih mjeseci tijekom 2020. godine. 

Ključna karakteristika SaaS aplikacija je da su u pravilu dostupne zaposlenicima sa svakog uređaja koji ima web browser – i to neovisno o lokaciji. I prije pandemije, tradicionalne aplikacije bile su dostupne zaposlenicima za rad izvan organizacijske mreže. Najčešće su bile dostupne kroz SSL VPN pristupnu točku. S rastom SaaS aplikacija, broj pristupnih točaka u organizaciju raste. To neminovno povećava izloženost i površinu napada.

Više passworda, više prilika za napadače?

Rastom broja SaaS (Software as a Service) aplikacija koje zaposlenici koriste u svakodnevnom poslovanju, narastao je i broj zasebnih identiteta za svaku od aplikacija. Da bi pristupali raznim SaaS uslugama, zaposlenici danas moraju pamtiti brojne URL adrese, korisnička imena i lozinke. Ukratko, logon pristupni podaci se množe.

Da bi si olakšali pamćenje, zaposlenici često koriste predvidljive lozinke. One sadrže kombinacije datuma rođenja, osobnih imena, naziva popularnih pjesama te filmova i slično. Zbog zamora lozinkama, korisnici će najčešće koristi istu lozinku za spajanje na više različitih usluga. Koristit će je za spajanje na privatni e-mail i osobne profile na društvenim mrežama, ali i za organizacijske aplikacije.

Usto, lozinke se često pohranjuju u nesigurnim tekstualnim datotekama na osobnom računalu. Često se zapisuju u post-on bilješke i bilježnice koje ostaju nezaštićene na radnom stolu. Lozinke se također često distribuiraju ili dijele kroz e-mail. Tako bivaju dostupne u inboxu pošiljatelja i primatelja lozinke. To otvara dodatne rizike u slučaju neovlaštenog preuzimanja e-mail pretinca od strane napadača.

Mnoštvo lozinki predstavlja mnoštvo prilika za ulazak napadača u organizaciju. Napadači stoga sve češće koriste socijalni inženjering i srodne tehnike kako bi došli do bilo koje od rastućeg broja lozinki. Upravo zato, phishing napadi putem e-maila najpopularniji su oblik neovlaštenog ulaska u organizaciju.

Upravljanje identitetom. Autentikacija

Višefaktorska autentikacija i upravljanje identitetom

U ovakvom okruženju, IT administratori moraju osigurati da se Software as a Service aplikacijama može pristupiti s bilo kojeg mjesta. Također, njihovo korištenje treba biti sigurno za organizaciju. Pritom je najvažnije imati vidljivost o tome kome je i u kojem trenutku omogućen pristup kojoj aplikaciji. Ova je praksa poznata kao Identity and Access Management (IAM).

Autentikacija podrazumijeva lozinke, a ulogu lozinki je danas potrebno smanjiti. Kao što je i Microsoft prenio, uvođenjem MFA smanjuje se mogućnost neovlaštenog pristupa računima za čak 99,9%. Kad postoji tako očito rješenje,  postavlja se pitanje zašto se MFA i IAM ne koriste češće.

Odgovor leži u činjenici da tradicionalna IAM i MFA rješenja znače kompliciranu implementaciju. Također znače infrastrukturne zahtjeve te komplicirano korištenje od strane korisnika. U kontekstu implementacije, integracija s imeničkim servisom te pokrivanje svih pristupnih točaka (od SaaS do tradicionalnih on-premise aplikacija) obično je jako složen i skup proces.

Pritom je potrebno osigurati dosta serverskih resursa, projektirati high availability i slično.  S druge strane, veći broj helpdesk upita znači iscrpljivanje IT resursa, a istovremeno se smanjuje produktivnost korisnika kod pristupa aplikacijama štićenih s MFA.

Moderna Identity-as-a-Service (IDaaS) sigurnosna rješenja otklanjaju obje spomenute prepreke implementacije i donose smanjene infrastrukturne zahtjeve te jednostavnu implementaciju uz mogućnost integracije sa svim aplikacijama koje organizacija koristi. Istovremeno, korištenje je jednostavno za korisnike i smanjuje se količina posla za helpdesk.

Zaštita identiteta svih zaposlenika, ali i korisnika i građana, ključna je za sprječavanje nekontroliranog pristupa i eventualne zloupotrebe internih resursa. Zbog rasta pristupnih točaka kroz SaaS i sve veći broj aplikacija, upravljanje identitetima i snažna te fleksibilna autentikacija korisnika danas postaje nužnost.

Upravljanje identitetom. Autentikacija

Što je Identity as a Service (IDaaS)?

Sve više tvrtki koristi Identity as a Service (IdaaS) rješenja kako bi smanjile troškove poslovanja i prilagodile se ubrzanim tehnološkim promjenama, ali i promjenjivim radnim okolnostima. Identity as a Service predstavlja uslugu koja se temelji na oblaku, a koja kroz višenamjenski ili namjenski model korisnicima omogućuje upravljanje identitetom i pristupom.

Ključni elementi kojima se IDaaS bavi su upravljanje identitetom i administracija (Identity Governance and Administration), upravljanje pristupom te nadgledanje, odnosno izvješćivanje. Kroz upravljanje identitetom, korisnicima se omogućuje pristup aplikacijama i resetiranje lozinka.

U kontekstu pristupa, kroz IDaaS rješenja se omogućava autentifikacija korisnika, SSL i autorizacija temeljem regulatornih standarda. Primarna svrha stvaranja izvještaja je uvid u povijest pristupa, odnosno korištenih identiteta.

IDaaS osigurava zaštitu aplikacija, mreže i uređaja, a odlikuje se brojnim IAM rješenjima baziranima na cloudu. Primjerice, moguće je koristiti prakse poput Single Sign-On (SSO) u svim aplikacijama, stvarajući tako centralno mjesto za pristup svim resursima kroz jedno korisničko ime i lozinku. Single Sign-On koncept se po potrebi može povezati i s lokalnim aplikacijama, što uvelike olakšava poslovanje tvrtkama koje istovremeno moraju koristiti obje vrste resursa.

Također, inovativna IAM rješenja temeljena na oblaku omogućavaju prijavu na temelju blizine, odnosno prilagodljivu provjeru autentičnosti korisnika. Upravljanje pristupom olakšano je i kroz višefaktorsku autentifikaciju (Multi-Factor Authentication) ili pristupom bez lozinke (passwordless access). Zaposlenici tako ne moraju prolaziti rigorozne i komplicirane sigurnosne provjere, a korisničko iskustvo se optimizira.

Jedinstvena platforma za optimizirano IdaaS rješenje

Entrust IDaaS je platforma za upravljanje identitetom i pristupom (IAM) u cloudu koja kombinira višefaktorsku autentikaciju, pristup bez lozinke i Single Sign-On (SSO). Platforma istovremeno pokriva sve ulazne točke odnosno aplikacije – od tradicionalnog on-premise pristupa (npr., VPN i Windows desktop) do modernih SaaS aplikacija (Microsoft 365, G Suite, Salesforce, itd.).

Entrust IDaaS osigurava sigurne prijave na svim razinama i štiti privilegirane račune, a usto podjednako brine o internim zaposlenicima, vanjskim partnerima i korisnicima.

Implementacija IDaaS rješenja je vrlo jednostavna te omogućuje lako dodavanje novih značajki i mogućnosti.

  • Podrška udaljenim zaposlenicima –  Osiguranje sigurnog i efektivnog rada – bilo gdje i bilo kada
  • Pristup bez lozinke (passwordless access) – Sigurne opcije pristupa dostupne zaposlenicima i korisnicima
  • Autentikacija temeljem certifikata – Mogućnost korištenja digitalnih certifikata za osiguranje više razine sigurnosti
  • Prilagodljiva autentikacija na temelju rizika – Dodatna autentikacija se zahtjeva u slučaju prijave na novi uređaj, u neobično doba dana ili s neobične lokacije
  • Siguran vanjski pristup aplikacijama, bazama podataka i mreži
  • Provjera identiteta – Brzi i sigurni korisnički onboarding
  • Jedinstvena prijava (SSO) – Pristup svim aplikacijama – cloud i on-premises – uz snažnu zaštitu protiv neovlaštenog ulaska
  • Prijava na desktop – Pojednostavljen pristup uz zaštitu korporativnih mreža i podataka
  • Ponovno postavljanje lozinke (password resets) – Korisnici samostalno mogu resetirati (poništiti) vlastite lozinke
  • Mobile computing – IDaaS se ponaša kao pametna virtualna kartica koja se nalazi na mobilnim uređajima, bez potrebe za bilo kakvim dodatkom