ID管理システムは、IT部門の中心的な部分です。それが機能している限り、その存在に気付く人はほとんどいないため、システムの品質を向上させるために最適化されていないことがよくあります。中央ID管理(IdM)サーバーソリューションの開発に16年の経験を持つユニベンションは、IdMをオンプレミスで実行しているか、AWSの UCSなどのクラウドで実行しているかに関係なく、IdMを改善するための10のステップを特定しました。 。それらを見ていきましょう。
ステップ1:アプリケーションのインベントリを作成してシャドーITを削除する
IT環境について考えるとき、私たちはしばしば物理的な観点から考え、どのサーバー、スイッチ、ケーブルを持っているかを考えます。それらの在庫を保持することは間違いなく必要であり、経理部門によって要求されます。しかし、通常、私たちは自分たちのソフトウェアに対して同じことをすることについてあまり考えていません。これは、IT部門の外部で成長した可能性のある「シャドーIT」に特に当てはまります。ソフトウェアの完全なリストがなければ、ITを大幅に改善し続けることはできません。
公式のITサービスを見つけることは、ドキュメントを読むことの一部である必要があります。シャドーITの場合、それほど簡単ではないかもしれません。
使用中のシャドーIT製品を特定するための3つのお気に入りの方法は次のとおりです。
- ユーザーに聞いてください!これはおそらく見つけるための最も簡単な方法です。これにより、彼らが最も大切にし、最も必要としているサービスやツールについてさらに学ぶ機会も得られます。
- 経理部門にベンダーのリストを尋ね、それらをスキャンして、サービスを提供するITサービスプロバイダーを探します。ここで最もよく見られるアプリケーションは、Trelloなどの計画およびダッシュボードツールです。
- また、会社のポリシーと適用法で許可されている場合は、ファイアウォールを確認してください。発信接続をエクスポートして接続数で並べ替えるオプションがある場合は、ユーザーが何を使用しているかを確認する必要があります。ほとんどの場合、ここでコンシューマークラウドサービスを見つけます。 DropboxとBoxがおそらくここにポップアップ表示されます。
このスキャンプロセスから得られる使用中のすべてのアプリケーションの概要により、ユーザーに提供される一連のアプリケーションを改善し、シャドーITを徐々に削減できます。これにより、オーバーヘッドが削減され、セキュリティと安定性が向上します。
ステップ2:主要なサービスを1つ作成する
LDAP、SQLデータベース、およびGoogleでのログインなどのオンラインサービスの間には、組織内でIDを管理するためのさまざまな方法があります。ほとんどの場合、各アプリケーションにはユーザーベースを維持するオプションがあり、他のソフトウェアも制御できる可能性があります。
どのシステムがIDを維持するかを明確に決定することは、システムを設計し、主要なシステムが、見つけることができるすべてのアプリケーションを制御するためのすべての情報を確実に持つようにするための重要なステップです。
選択したシステムがアプリケーションを制御できることを確認してください。たとえば、UCSでは、アプリケーションでOpenLDAPとADの両方を使用できるほか、オンラインサービス用の多数のコネクタを使用できます。 UCSで利用できるすべての機能とツールは、 University App Centerにあります。 。
決定後は、さまざまなシステムを一度に1つずつ統合することに重点を置きます。仮想化システムを使用している場合は、関連するサーバーのコピーを作成して、生産環境に適用する前に必要なすべての設定をカバーしていることを確認できる場合があります。
ステップ3:ユーザーをより快適にする
ほとんどのユーザーは、プライバシーとデータ保護について特に心配していません。経営陣はしばしば彼らの重要性を認識していますが、ユーザーはしばしば彼らを彼らの快適さの後ろの2番目の場所に追いやる。したがって、中央のIdMを実装して影響を与えようとする場合、それがユーザーにもたらす利便性は、多くの場合、受け入れと成功のための重要なツールです。したがって、「同じユーザーの同じパスワード」ポリシーで管理者または戦略の要件を満たすのに十分な場合もありますが、シングルサインオンシステムを使用する場合にのみ、サービスが他のどのサービスよりも優れていることをユーザーに納得させることができます。自宅で使用しています。
ステップ4:作業を最小限に抑える
現在、ユーザーの快適さとアプリのカバレッジは、IdMを継続的に受け入れるために不可欠です。しかし、それを管理する方法がなければ、完全な管理システムはありません。テンプレートと適切なデフォルトを使用すると、ユーザーを作成してそれぞれの部門に移動するという日常的なタスクを最小限に抑えることができます。システムでデフォルトを設定できる場合は、これらを利用してください。そうでない場合は、新しいシステムを探すことをお勧めします。
ステップ5:パスワードポリシーを確認する
パスワードポリシーの推奨事項と考えられる要件が変更されました。米国国立標準技術研究所はそのドキュメントを更新しました。セクション5.1.1は、安全なパスワードに関する最新のアイデアを確認するための優れた(そして無料の)出発点を提供します。最新のポリシーは、セキュリティ上の考慮事項であるだけでなく、ユーザーの快適性をさらに高めるものでもあります。 3か月間6文字を使用している場合は、新しい要件を確認することを検討してください。ますます低価格で計算能力が向上しているため、パスワードを半年以上長くすることをお勧めします。パスワードを変更する頻度が少ないほど、ユーザーは妥当な複雑なパスワードを選択する可能性が高くなります。
ステップ6:2要素認証
産業スパイは大企業だけに影響を与えるものではありません。中小企業でさえ、毎日それに見舞われています。情報を取得する最も一般的な方法の1つは、パスワードを解読することです。これで、前述の適切なパスワードポリシーにより、いくつかの問題を軽減できます。ただし、2018年をITランドスケープ全体に2要素認証を実装する年にしてみませんか? privacyIDEAなどのツール およびYubiKey ユーザーがハードウェアベースの認証を使用できるようにします。
ステップ7:個別の管理者アカウントを使用する
ルートと管理者は、サーバーとワークステーションで見つけることができる2つの非常に便利なアカウントです。管理者はすぐに利用でき、誰もが名前を覚えています。もちろん、パスワードを忘れた場合は、同僚全員が喜んでパスワードを共有してくれます。
個々のアカウントはこの問題を軽減します。管理者ごとに、パスワードとユーザー名を持つ1つのアカウントがあります。当然、これらのアカウントは、日常業務でのログインに使用されるアカウントとは異なる必要があります。
ステップ8:変更の記録と変更の監査
管理者用の個別のアカウントを使用すると、変更をログに記録し、誰がどの設定を変更したかを監視することもできます。変更を監視することは、説明責任にとって重要であるだけでなく、環境の将来を検討するときにさらに役立ちます。 1人の管理者が常にオブジェクトのクラスに1つのパラメータを適用していることがわかった場合は、それをデフォルトにすることを検討することをお勧めします。
ステップ9:サーバー設定を確認する
私たちのほとんどは、サーバーを長期間実行しています。特に、仮想マシンを使用してソフトウェアの更新をインプレースする場合、10年前に最初にインストールしたソフトウェアを実行している可能性があります。これは効率性に関しては素晴らしいことですが、それはまた、あなたの設定の多くが、私たちの一部がそのサーバーで作業しているよりも長く使用されている可能性があることを意味します。
デフォルト設定を確認することは忘れられがちです。構成を調べて、改善が必要かどうかを確認することをお勧めします。
ステップ10:オフサイトコピー
サーバールームに電気的な問題があり、動作していないと想像してください。すべてのクラウドサービスがサーバーからパスワードを取得しているため、利用できるクラウドサービスがないため、同僚はラップトップを家に持ち帰ることさえできませんでした。
ここで、オフサイトサーバーが役立ちます。サーバーが十分に離れている場合は、重大な問題があってもその動作に影響はありません。 AWSとAzureのクラウドサービスを使用すると、オフサイトサーバーを作成して、年間数ドルでオフサイトバックアップを作成できます。
オープンで中央のIdMの例としてのUniventionCorporateServerの詳細については、次の以前の記事を参照してください。
- UniventionCorporateServerの概要
- UniventionCorporateServerのインストールと構成
- ownCloud、Kopanoを使用してプライベートサーバーをセットアップし、UCSで暗号化しましょう
結論
IdMを改善すると、管理者の作業が楽になり、IT全体がより安全になります。小さなプロジェクトに1つずつ取り組むことで、これらの変更を1つずつ行い、ITを継続的に改善することができます。上記の変更の影響は最初はそれほど大きくないように思われるかもしれませんが、それぞれが長期的にはITに結果的な影響を与える可能性があります。