Strona główna/Bezpieczeństwo, Komunikacja i współpraca/4 najważniejsze wyzwania w zarządzaniu środowiskiem hybrydowym AD/AAD

4 najważniejsze wyzwania w zarządzaniu środowiskiem hybrydowym AD/AAD

Cztery najważniejsze wyzwania w zarządzaniu środowiskiem hybrydowym AD/AAD

Obecnie prawie 90% organizacji na całym świecie korzysta z usługi Active Directory (AD) dla zasobów lokalnych (tzw. on-premise), jego kuzyn Azure Active Directory (AAD), oparty na chmurze, także szybko zyskuje na popularności.

W świecie zarządzania tożsamością i dostępem (IAM) AD stało się nieuniknione i absolutnie niezbędne do lokalnego uwierzytelniania i autoryzacji użytkowników. Każdy musi przejść przez AD, po prostu tak się to robi. Może to powodować wiele wyzwań.

Czynniki złożoności zarządzania środowiskiem hybrydowym

wyzwania w zarządzaniu pracą hybrydową

We wszystkich, z wyjątkiem najrzadszych przypadków, organizacje, które stosują AAD skoncentrowane na chmurze, robią to, nadal mocno zakorzenione w lokalnym świecie AD. Stanowi to ogromny i nieoczekiwany problem ponieważ:

  • usługa AAD nie jest po prostu opartą na chmurze kopią lokalnej usługi AD,
  • jest to całkowicie odrębne środowisko.

Innymi słowy, w organizacjach, w których lokalna AD i Azure AD współistnieją i są równie ważne dla sukcesu, organizacja – oraz zespół IT – musi zarządzać dwuczęściowym, hybrydowym środowiskiem AD.

Wyzwanie 1. Ograniczone możliwości narzędzi natywnych AD/AAD

Nie jest tajemnicą, że natywne narzędzia AD, które mają pomagać w zarządzaniu tożsamościami i dostępem, mają co najwyżej ograniczone możliwości. Sytuacja tylko się pogarsza, gdy organizacje wdrażają Azure Active Directory (AAD).

Wyzwanie 1 w zarządzaniu pracą hybrydową - możliwości narzędzi AD/AAD.

Wykonanie tej samej czynności, takiej jak dodanie użytkownika, w AD i AAD wymaga użycia oddzielnych narzędzi z całkowicie niepowiązanymi interfejsami, odmienną funkcjonalnością i rozbieżnymi metodologiami szkolenia. W związku z tym i tak uciążliwe zadanie dla lokalnej usługi AD musi zostać wykonane również dla usługi AAD.

Wyzwanie 2. Niespójne procesy robocze między różnymi środowiskami.

Zmuszone do polegania na manualnych procesach, nadmiernie obciążone organizacje IT zmagające się z zarządzaniem zawiłościami hybrydowego środowiska AD często robią wszystko, co w ich mocy a przez to popadają w złe nawyki typu „po prostu załatwić sprawę” – bez namysłu jak to powinno być zrobione poprawnie.

wyzwania w środowisku hybrydowym - miasto w sieci www

To zrozumiałe: mamy niecierpliwych użytkowników domagających się natychmiastowych rezultatów; narzędzia, które utrudniają wykonywanie zadań w sposób spójny w jednym środowisku, a tym bardziej w dwóch; oddzielne i niepowiązane natywne narzędzia o ograniczonych możliwościach.

Te niespójne procesy — zwykle nazywane procesami roboczymi (workflows) w świecie IAM — są często przyczyną błędów synchronizacji lub prowizorycznej aprowizacji użytkowników.

Wyzwanie 3 Trudności w zarządzaniu kontami uprzywilejowanymi (PAM)

Rażącą luką w zabezpieczeniach natywnych narzędzi do zarządzania AD/AAD jest brak zarządzania kontami uprzywilejowanymi (PAM). Za pomocą takich narzędzi konto administratora jest wymagane do wykonania dowolnej czynności o charakterze administracyjnym.  Problem polega na tym, że to konto jest powiązane z katalogiem, a nie z osobą. Oznacza to, że:

  • wiele osób dzieli dane uwierzytelniające;
  • wszyscy używają tych samych danych logowania administratora.

trudności admina AD w zarządzaniu pracą w środowisku hybrydowym

Ta sytuacja obarczona jest ryzykiem z powodu całkowitego braku jednostki odpowiedzialnej za konto administratora. Co więcej, lokalne konto administratora AD nie ma zastosowania do usługi AAD (i na odwrót), co naraża środowisko chmury na ryzyko.

Wyzwanie 4. Synchronizacja danych między AD a AAD

Zazwyczaj zabezpieczenia dostępu w chmurze opierają się na uprawnieniach i członkostwie ustanowionym w lokalnym AD. Tak więc wszelkie błędy, czynniki ryzyka lub luki w zabezpieczeniach, które istnieją w lokalnym AD – być może spowodowane ograniczeniami narzędzi natywnych – zostaną zreplikowane do środowiska Azure AD.

Gdy AD jest zsynchronizowane z AAD, wówczas te same niepożądane prawa/dostępy skojarzone z danym użytkownikiem są teraz obecne również w AAD.

Jak możesz sprostać powyższym wyzwaniom ?

Active Roles One Identity  - pomoc w zarządzaniu pracą w środowisku hybrydowym

Dzięki zastosowaniu jednego, spójnego rozwiązania Active Roles.

Active Roles firmy One Identity, bo o tym rozwiązaniu mowa, w znacznym stopniu usprawnia zarządzanie cyklem życia tożsamości użytkowników (user identity lifecycle), a ponadto upraszcza oraz ujednolica wszystkie zadania związane z aprowizacją i deaprowizacją (provisioning i deprovisioning) w środowisku AD/AAD oraz powiązanych z chmurą aplikacjach.

Cechy Active Roles:

  • automatyzuje i przyspiesza proces provisioningu i deprovisioningu;
  • eliminuje możliwość wystąpienia incydentów zagrażających bezpieczeństwu organizacji;
  • w znacznym stopniu rozszerza funkcje AD/AAD;
  • ułatwia zarządzanie kontami i provisiongiem użytkowników w środowiskach chmurowych mając przy tym na uwadze bezpieczeństwo organizacji.

Active Roles firmy One Identity to idealne rozwiązanie pozwalające:
– uniknąć lub złagodzić uciążliwości związane z opisanymi powyżej wyzwaniami hybrydowymi;
– zmniejszyć ryzyko i wyeliminować luki w zabezpieczeniach;
zapewnić spójność i wydajność w dowolnym hybrydowym środowisku AD.

 

Autorzy:
Krzysztof Łątkowski – Inżynier systemowy w firmie Greeneris
Subskrybuj
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
ZAPISZ SIĘ NA NEWSLETTER
Bądź na bieżąco z aktualnościami, ciekawostkami i poradami ze świata bezpieczeństwa IT.
Zapisz
Administratorem podanych przez Ciebie w formularzu kontaktowym danych osobowych będzie Greeneris Sp. z o.o. ul. Nad Rzeczką 21B, 03-257 Warszawa, KRS: 0000435724, NIP: 524-275-35-56. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. b RODO w celu odpowiedzi na zapytanie przesłane przez formularz zamieszczony na stronie. Dane będą przechowywane w bazie administratora. Będziesz mieć prawo do żądania od administratora dostępu do swoich danych osobowych oraz do ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych – na zasadach określonych w art. 16 – 21 RODO. Jeżeli uznasz, że Twoje dane są przetwarzane niezgodnie z przepisami prawa, będziesz mógł wnieść skargę do organu nadzorczego. Podanie danych jest dobrowolne, ale niezbędne do otrzymania odpowiedzi.
close-link