Sätta de 8 principerna för tillgång av infrastruktur i verket
IT- och säkerhetsteam vill skydda känsliga data och system från hot, dels för att verksamheten ska fungera och dels för att skydda organisationens anseende. Detta innebär att säkra tillgång till molnet och till lokalt installerad infrastruktur. Men äldre teknik har redan ratats av användare och IT-administratörer av detta skäl och det är dags för en modern inriktning.
Varför fungerar inte äldre verktyg?
När organisationer skaffar IaaS i molnet för att använda det parallellt med traditionell, lokal infrastruktur så behöver de ha en säker hantering av identitet och åtkomst (IAM) för att kunna använda kritiskt viktig infrastruktur.
Traditionella statiska inloggningsdata för att få tillgång till servers är bristfälliga eftersom de enkelt kan komma bort eller stjälas. Eftersom det inte finns någon inbyggd länk till användaridentitetens profil så är detta svårt att hantera i stor skala. Manuell provisionering och deprovisionering samt att dela inloggningsdata över flera system utsätter organisationer för säkerhetsrisker.
Organisationer letar efter nya metoder som är utformade för moderna molnmiljöer och stöder automatisering av deras DevOps-metoder. Okta ändrade spelreglerna när man införde Zero Trust för all tillgång till infrastrukturen med Advanced Server Access (ASA).
Framgången med Oktas åtta principer för säker infrastruktur
För att få en säker tillgång till infrastrukturen rekommenderar Okta att organisationer följer åtta centrala principer för att bättre klara utmaningarna än de traditionella lösningarna gör.
Mailchimp är ett bra exempel på en modern, DevOps-centrerad organisation som har förverkligat stora förbättringar med denna metod som en väg till framgångsrik Zero Trust. Jordan Conway på Mailchimp beskrev på Oktane19 hur Okta hjälpte dem att ta fram en mer effektiv metod för säker infrastruktur med Oktas Advanced Server Access. Här följer en sammanfattning av hur Mailchimp följde dessa åtta principer med Okta.
1. Automatisering istället för manuellt
Världen blir alltmer molncentrerad och därför bör en effektiv åtkomstkontroll vara helt automatiserad och inte utgöras av traditionella manuella processer. Allt från registrering till provisionering och konfigurering bör automatiseras för att inte dra ner på verksamhetens takt.
För Mailchimp gav Oktas sätt att smidigt automatisera identitets- och åtkomstkontroll över alla servers direkt maximal utdelning. ASA eliminerade snabbt och enkelt manuell hantering av centrala processer och gjorde det enklare för serveradministratörer att lägga in nya konton och ta bort gamla.
2. Tillfälliga inloggningsuppgifter istället för permanenta
Att spåra och hantera inloggningsuppgifter fungerar inte med en automatiserad infrastruktur, oavsett skala. Zero Trust gör klokare beslut möjliga med kontextbaserad åtkomst men det måste kombineras med en säker kontroll av inloggningsdata. Okta har byggt upp ett revolutionerande sätt som löser problemet med inloggningsuppgifter med minskade risker som följd.
På Mailchimp lagrade utvecklarna permanenta inloggningsdata på sina egna laptops vilket skapade säkerhetsproblem för bolaget. Genom att använda ASA kunde Mailchimp göra inloggningarna för serveradministratörer och utvecklare mycket smidigare, utan att behöva oroa sig vem som hade tillgång till vilka servers.
3. Användaridentiteter istället för delade konton
Delade administrativa konton ger upphov till säkerhetsrisker även om de formellt sett är väl skyddade. Detta beror på att det är svårt att avgöra vem som hade tillgång till vad och när, och det är också svårt att upprätta principer för vem som får tillgång till vad och när. För att följa organisationens principer måste all tillgång kunna knytas till ett enskilt användarkonto.
Mailchimp insåg att det är en "stor bonus" när varje användare har sin egen identitet när de utför något på en server. De fick genom detta en noggrann revisionslista över all aktivitet vilket har ökat individuellt ansvar och eliminerat risker som har att göra med delade inloggningsuppgifter.
4. Lokala konton istället för kataloggränssnitt
Kataloggränssnitt som LDAP skapar stora administrativa problem för företag som jobbar i stor skala, särskilt när det gäller att upprätta kontakt med deras datalagringssystem. Okta erbjuder nu möjligheten att eliminera behovet av ett intermediärt gränssnitt genom att lokala konton provisioneras direkt från datalagringssystemet.
Under årtionden har organisationer försökt att lista ut hur man synkroniserar serveranvändare med deras datalagringssystem. Okta löste detta på ett elegant sätt som minskade administratörernas arbetsbörda. Mailchimp har sett fördelarna av detta genom minskad arbetsbörda för administratörer och förbättrad säkerhet över hela fältet.
5. Single Sign-On istället för inloggningsprocesser
Traditionella verktyg och rutiner ger systemadministratörer plågsamma, störande inloggningsprocesser och de gillar inte sådana hinder. Single Sign-On (SSO) tar bort det problemet och gör det lika användarvänligt som när anställda får tillgång till affärsappar i infrastrukturen.
På Mailchimp tvekade företagets tekniker först om att övergå till detta nya arbetsflöde eftersom de var vana vid att arbeta manuellt med sina egna inloggningsuppgifter. Men direkt när de hade börjat använda ASA såg de fördelarna för säkerheten och insåg att arbetsflödet inte störde det dagliga arbetet.
6. Rollbaserad åtkomst istället för privilegieeskalering
Traditionellt delegerar företagen behörigheter för delade konton till användare för specifika uppgifter och därigenom tvingar de fram åtkomst med lägsta möjliga behörighet. Denna metod kan missbrukas eftersom det är svårt att veta om en viss användare ska ha behörighet eller inte. Identitetsbaserad åtkomstkontroll ger uttryckligen behörighet som är länkad till användarens roll.
För Mailchimp ger detta nya angreppssätt "rätt roll och rätt behörighet till rätt utvecklare" vilket höjer säkerheten. Detta är viktigt när organisationen växer och när tekniska avdelningar utökar sina specialistinriktningar.
7. Bastioner istället för VPN
Den yttre gränsen för traditionella nätverket finns inte längre vilket gör VPN meningslöst. Istället har vi "bastioner" som ger användare en autentiseringsgateway för att nå privat infrastruktur vilket ger smidigare inloggningar.
Trots att Mailchimp fortfarande använder VPN så ser de bristerna. När nätverksutrustning eller ett nytt kontor eller ny plats läggs till medför det en påtaglig kostnad för omkonfigurering av VPN och motsvarande tillgång. För ett snabbväxande företag som Mailchimp är detta ett stort problem. Avskaffandet av VPN kommer att ta bort riskerna med misstag i IP-baserad konfigurering och förenkla för användarna.
8. Strukturerade loggar istället för registrering av sessioner
Kraven från flertalet regelverk anger specifikt behovet av att registrera administratörers aktivitet så att de senare kan granskas. För att göra det så tydligt som möjligt är det bättre att använda strukturerade loggar istället för registrering av sessioner.
Erfarenheterna på Mailchimp är ett exempel på detta. Nu har de ett system som lätt kan indexeras och är sökbart istället för svårlästa revisionsloggar. Detta ger insikter om vad som pågår och till vilka endpoints användarna ansluter.
Vill du ha mer information?
För att lära dig mer om Oktas Advanced Server Access-lösning kan du läsa vårt senaste produktmeddelande om ASA. Du kan också läsa mer om de åtta principerna för modern åtkomst av infrastruktur eller se videon i Oktane19-sessionen Bringing Modern Identity to Infrastructure Access nedan.