Cztery najważniejsze wyzwania w zarządzaniu środowiskiem hybrydowym AD/AAD
Obecnie prawie 90% organizacji na całym świecie korzysta z usługi Active Directory (AD) dla zasobów lokalnych (tzw. on-premise), jego kuzyn Azure Active Directory (AAD), oparty na chmurze, także szybko zyskuje na popularności.
W świecie zarządzania tożsamością i dostępem (IAM) AD stało się nieuniknione i absolutnie niezbędne do lokalnego uwierzytelniania i autoryzacji użytkowników. Każdy musi przejść przez AD, po prostu tak się to robi. Może to powodować wiele wyzwań.
We wszystkich, z wyjątkiem najrzadszych przypadków, organizacje, które stosują AAD skoncentrowane na chmurze, robią to, nadal mocno zakorzenione w lokalnym świecie AD. Stanowi to ogromny i nieoczekiwany problem ponieważ:
- usługa AAD nie jest po prostu opartą na chmurze kopią lokalnej usługi AD,
- jest to całkowicie odrębne środowisko.
Innymi słowy, w organizacjach, w których lokalna AD i Azure AD współistnieją i są równie ważne dla sukcesu, organizacja – oraz zespół IT – musi zarządzać dwuczęściowym, hybrydowym środowiskiem AD.
Wyzwanie 1. Ograniczone możliwości narzędzi natywnych AD/AAD
Nie jest tajemnicą, że natywne narzędzia AD, które mają pomagać w zarządzaniu tożsamościami i dostępem, mają co najwyżej ograniczone możliwości. Sytuacja tylko się pogarsza, gdy organizacje wdrażają Azure Active Directory (AAD).
Wykonanie tej samej czynności, takiej jak dodanie użytkownika, w AD i AAD wymaga użycia oddzielnych narzędzi z całkowicie niepowiązanymi interfejsami, odmienną funkcjonalnością i rozbieżnymi metodologiami szkolenia. W związku z tym i tak uciążliwe zadanie dla lokalnej usługi AD musi zostać wykonane również dla usługi AAD.
Wyzwanie 2. Niespójne procesy robocze między różnymi środowiskami.
Zmuszone do polegania na manualnych procesach, nadmiernie obciążone organizacje IT zmagające się z zarządzaniem zawiłościami hybrydowego środowiska AD często robią wszystko, co w ich mocy a przez to popadają w złe nawyki typu „po prostu załatwić sprawę” – bez namysłu jak to powinno być zrobione poprawnie.
To zrozumiałe: mamy niecierpliwych użytkowników domagających się natychmiastowych rezultatów; narzędzia, które utrudniają wykonywanie zadań w sposób spójny w jednym środowisku, a tym bardziej w dwóch; oddzielne i niepowiązane natywne narzędzia o ograniczonych możliwościach.
Te niespójne procesy — zwykle nazywane procesami roboczymi (workflows) w świecie IAM — są często przyczyną błędów synchronizacji lub prowizorycznej aprowizacji użytkowników.
Wyzwanie 3 Trudności w zarządzaniu kontami uprzywilejowanymi (PAM)
Rażącą luką w zabezpieczeniach natywnych narzędzi do zarządzania AD/AAD jest brak zarządzania kontami uprzywilejowanymi (PAM). Za pomocą takich narzędzi konto administratora jest wymagane do wykonania dowolnej czynności o charakterze administracyjnym. Problem polega na tym, że to konto jest powiązane z katalogiem, a nie z osobą. Oznacza to, że:
- wiele osób dzieli dane uwierzytelniające;
- wszyscy używają tych samych danych logowania administratora.
Ta sytuacja obarczona jest ryzykiem z powodu całkowitego braku jednostki odpowiedzialnej za konto administratora. Co więcej, lokalne konto administratora AD nie ma zastosowania do usługi AAD (i na odwrót), co naraża środowisko chmury na ryzyko.
Wyzwanie 4. Synchronizacja danych między AD a AAD
Zazwyczaj zabezpieczenia dostępu w chmurze opierają się na uprawnieniach i członkostwie ustanowionym w lokalnym AD. Tak więc wszelkie błędy, czynniki ryzyka lub luki w zabezpieczeniach, które istnieją w lokalnym AD – być może spowodowane ograniczeniami narzędzi natywnych – zostaną zreplikowane do środowiska Azure AD.
Gdy AD jest zsynchronizowane z AAD, wówczas te same niepożądane prawa/dostępy skojarzone z danym użytkownikiem są teraz obecne również w AAD.
Jak możesz sprostać powyższym wyzwaniom ?
Dzięki zastosowaniu jednego, spójnego rozwiązania Active Roles.
Active Roles firmy One Identity, bo o tym rozwiązaniu mowa, w znacznym stopniu usprawnia zarządzanie cyklem życia tożsamości użytkowników (user identity lifecycle), a ponadto upraszcza oraz ujednolica wszystkie zadania związane z aprowizacją i deaprowizacją (provisioning i deprovisioning) w środowisku AD/AAD oraz powiązanych z chmurą aplikacjach.
Cechy Active Roles:
- automatyzuje i przyspiesza proces provisioningu i deprovisioningu;
- eliminuje możliwość wystąpienia incydentów zagrażających bezpieczeństwu organizacji;
- w znacznym stopniu rozszerza funkcje AD/AAD;
- ułatwia zarządzanie kontami i provisiongiem użytkowników w środowiskach chmurowych mając przy tym na uwadze bezpieczeństwo organizacji.
Active Roles firmy One Identity to idealne rozwiązanie pozwalające:
– uniknąć lub złagodzić uciążliwości związane z opisanymi powyżej wyzwaniami hybrydowymi;
– zmniejszyć ryzyko i wyeliminować luki w zabezpieczeniach;
– zapewnić spójność i wydajność w dowolnym hybrydowym środowisku AD.