Поиск по сайту:

10 шагов по улучшению вашей системы управления идентификацией

Система управления идентификацией является центральной частью любого ИТ-отдела. Пока он работает, мало кто заметит его существование, и, следовательно, он часто не оптимизируется для улучшения качества системы. Имея 16-летний опыт разработки серверного решения для централизованного управления идентификацией (IdM), Univention определила десять шагов, как улучшить ваш IdM, независимо от того, используете ли вы IdM локально или в облаке, например UCS на AWS. . Давайте пройдемся по ним.

Шаг 1. Проведите инвентаризацию своих приложений и удалите теневые ИТ-ресурсы

Размышляя о нашей ИТ-среде, мы часто думаем в физических терминах и учитываем, какие серверы, коммутаторы и кабели у нас есть. Ведение их инвентаризации определенно является необходимостью и требуется любой бухгалтерской службой. Но обычно мы меньше думаем о том, чтобы сделать то же самое для нашего программного обеспечения. Это особенно верно для любых «теневых ИТ», которые могли вырасти за пределами ИТ-отдела. Только имея полный список программного обеспечения, вы сможете продолжать существенно улучшать свою ИТ-инфраструктуру.

Поиск официальных ИТ-услуг должен быть частью чтения документации. Для теневых ИТ-специалистов это может быть не так просто.

Нашими тремя любимыми способами определения используемых теневых ИТ-продуктов являются следующие:

  1. Спросите своих пользователей! Это, наверное, самый простой способ узнать. Это также дает вам возможность узнать больше о том, какие услуги и инструменты они ценят и в чем нуждаются больше всего.
  2. Попросите в своей бухгалтерии список поставщиков и отсканируйте их, чтобы найти поставщиков ИТ-услуг, которые предоставляют вам услуги. Наиболее часто встречающиеся здесь приложения — это инструменты планирования и информационной панели, такие как Trello.
  3. И если политика вашей компании и действующее законодательство это позволяют, обратите внимание на свой брандмауэр. Если у вас есть возможность экспортировать исходящие соединения и сортировать их по количеству подключений, вам следует выяснить, что используют ваши пользователи. Чаще всего здесь вы найдете потребительские облачные сервисы. Скорее всего, здесь появятся Dropbox и Box.

Обзор всех используемых приложений, который вы получаете в результате этого процесса сканирования, позволяет вам улучшить набор приложений, предлагаемых вашим пользователям, и постепенно сократить теневые ИТ-отделы, что, в свою очередь, снизит накладные расходы и повысит безопасность и стабильность.

Шаг 2. Создайте одну ведущую службу

Благодаря LDAP, базам данных SQL и онлайн-сервисам, таким как вход в систему через Google, существует множество способов управления вашей идентификацией внутри организации. В большинстве случаев каждое приложение будет иметь возможность поддерживать свою базу пользователей, а также может иметь возможность контролировать другое программное обеспечение.

Принятие явного решения о том, какая система должна поддерживать идентификаторы, является важным шагом в разработке системы и обеспечении того, чтобы ведущая система имела всю информацию для управления любым приложением, которое вы можете найти.

Будьте уверены, что выбранная вами система может контролировать ваши приложения. UCS, например, предлагает для ваших приложений как OpenLDAP, так и AD, а также многочисленные соединители для онлайн-сервисов. Все функции и инструменты, доступные для UCS, можно найти в Центре приложений Univention.

После принятия решения вы сосредотачиваетесь на последовательной интеграции различных систем. Если вы используете виртуализированные системы, вы можете создать копию задействованных серверов, чтобы убедиться, что вы задействовали все необходимые настройки, прежде чем применять их в продуктивной среде.

Шаг 3. Сделайте ваших пользователей более комфортными

Большинство пользователей не особо беспокоятся о конфиденциальности и защите данных. Хотя руководство часто осознает их важность, пользователи зачастую отводят их на второй план после комфорта. Таким образом, при попытке оказать влияние путем внедрения централизованного IdM удобство, которое оно может принести вашим пользователям, часто является решающим инструментом для принятия и успеха. Таким образом, хотя политики «один и тот же пользователь, тот же пароль» могут быть достаточными для выполнения требований администратора или вашей стратегии, только с помощью системы единого входа вы сможете убедить своих пользователей, что ваши услуги лучше, чем любые услуги, которые они могли бы предложить. использовать дома.

Шаг 4. Сведите к минимуму свою работу

Теперь комфорт пользователя и охват приложений являются необходимыми условиями для дальнейшего принятия вашего IdM. Однако ни одна система управления не является полной без способа управления ею. Наличие шаблонов и разумных настроек по умолчанию позволяет свести к минимуму рутинные задачи по созданию пользователей и перемещению их в соответствующий отдел. Если ваша система позволяет вам устанавливать настройки по умолчанию, отлично, используйте их. Если нет, возможно, вам стоит поискать новую систему.

Шаг 5. Просмотрите свою политику паролей

Рекомендации и возможные требования к политикам паролей изменились. Национальный институт стандартов и технологий обновил свою документацию, и раздел 5.1.1 представляет собой отличную (и бесплатную) отправную точку для ознакомления с актуальными идеями о безопасных паролях. Обновленные политики не только обеспечивают безопасность, но и повышают комфорт пользователя. Если вы все еще используете 6 символов в течение трех месяцев, возможно, вам стоит рассмотреть возможность проверки новых требований. Учитывая постоянно растущую вычислительную мощность при все более низких ценах, рекомендуется использовать более длинные пароли на полгода или даже дольше. Чем реже вам придется менять пароль, тем больше вероятность, что пользователи выберут разумный сложный пароль.

Шаг 6. Двухфакторная аутентификация

Промышленный шпионаж затрагивает не только крупные компании. Даже средние и малые фирмы страдают от этого каждый день. Одним из самых распространенных способов получения информации является взлом паролей. Хорошая политика паролей, как упоминалось ранее, может смягчить некоторые проблемы. Однако почему бы не сделать 2018 год годом внедрения двухфакторной аутентификации в своей ИТ-среде? Такие инструменты, как privacyIDEA и YubiKey, позволяют пользователям использовать аппаратную аутентификацию.

Шаг 7. Используйте отдельные учетные записи администратора

Корень и администратор — две очень удобные учетные записи, которые вы можете найти на своих серверах и рабочих станциях. Они легко доступны вашим администраторам, и каждый запомнит это название. Конечно, если вы забудете пароль, ваши коллеги будут рады поделиться им с вами.

Индивидуальные аккаунты решают эту проблему. У вас есть одна учетная запись на каждого администратора с его паролем и именем пользователя. Естественно, эти учетные записи должны отличаться от тех, которые используются для входа в систему в повседневной работе.

Шаг 8. Запись изменений и аудит изменений

Отдельные учетные записи для администраторов также позволяют регистрировать изменения и отслеживать, кто какие настройки меняет. Мониторинг изменений важен не только для обеспечения подотчетности, но еще более полезен при изучении будущего вашей среды. Если вы видите, что один администратор всегда применяет один параметр к классу объектов, возможно, вы захотите сделать его значением по умолчанию.

Шаг 9. Проверьте настройки сервера

Большинство из нас используют свои серверы в течение длительного времени. Особенно при использовании виртуальных машин и установленных обновлений программного обеспечения вы все еще можете использовать программное обеспечение, которое изначально установили десять лет назад. Хотя это хорошо с точки зрения эффективности, это также означает, что многие из ваших настроек могут использоваться дольше, чем некоторые из нас работали на этом сервере.

О просмотре настроек по умолчанию часто забывают, и было бы неплохо изучить конфигурацию, чтобы увидеть, есть ли необходимые улучшения.

Шаг 10: Внешние копии

Представьте, что в вашей серверной комнате возникла проблема с электричеством, и она не работает. Теперь, когда все ваши облачные сервисы получают свои пароли с сервера, ваши коллеги даже не смогут забрать свои ноутбуки домой, поскольку ни один из ваших облачных сервисов недоступен.

Вот тут-то и пригодится внешний сервер. Если сервер находится от вас достаточно далеко, даже существенная проблема не повлияет на его работу. С помощью облачных сервисов AWS и Azure можно создать удаленный сервер для создания удаленной резервной копии за несколько долларов в год.

Дополнительную информацию о Univention Corporate Server как примере открытого и централизованного IdM можно найти в следующих предыдущих статьях:

  • Введение в корпоративный сервер Univention
  • Установка и настройка корпоративного сервера Univention
  • Настройка частного сервера с помощью ownCloud, Kopano и Let’s Encrypt On UCS

Заключение

Улучшение вашего IdM облегчит вашу жизнь администратору и сделает вашу ИТ-инфраструктуру более безопасной. Решая небольшие проекты по одному, вы сможете вносить эти изменения один за другим и постоянно улучшать свою ИТ. Хотя эффект от вышеупомянутых изменений поначалу может показаться незначительным, каждое из них может оказать существенное влияние на вашу ИТ-инфраструктуру в долгосрочной перспективе.

Статьи по данной тематике