Image

Slepé uličky správy identít

Správa identít a prístupov (identity and access management, IAM) je jadrom každého seriózneho riešenia kybernetickej bezpečnosti. Funckie správy identít sú spomínané v takmer každej regulácií a štandarde pre kybernetickú bezpečnosť. Aj napriek tomu sú IAM komponenty v projektoch kybernetickej bezpečnosti podceňované a veľmi často sú nesprávne používané. 

Príspevok sa zaoberá často sa opakujúcimi problémami v projektoch nasadenia správy identít (identity governance and administration, IGA). Uvedieme niekoľko notorických príkladov zlej praxe, ako napríklad: 

  • Nevhodná kompozícia IAM komponentov, 
  • dôvera v nesprávne vstupné údaje, 
  • zlé poradie krokov, 
  • časté problémy pri použití rolí (RBAC), 
  • problémy pri správe politík, vlastníkov rolí a aplikácií, 
  • nesprávne použitie certifikácií ako aj prehnané očakávania prínosov umelej inteligencie. 

Pre každú slepú uličku si ukážeme aj správnu cestu, ktorá vedie k udržateľnému prístupu k správe identít. Príspevkom ukazujeme inkrementálny a iteratívny prístup k nasadeniu správy identít, založený na metóde “z dola nahor”, rešpektujúc aktuálny stav organizácie.

Dobre riadená správa identít nie je šprint, ale beh na dlhú trať, preto tento prístup umožňuje postupné zavedenie správy identít v organizácií a jej inkrementálne zlepšovanie.

Predstavíme dynamické použitie RBAC modelu (policy-driven RBAC), s použitím analýzy rolí pomcou algoritmov umelej inteligencie (role mining), ktoré umožní dlhodobo udržateľnú správu prístupových politík. Ukážeme, ako IGA platforma s podporou vysokoúrovňových politík a s využitím prvkov umelej inteligencie môže tvoriť pevný základ pre kybernetickú bezpečnosť a súlad s legislatívou, reguláciami a štandardami.

 Ing. Radovan Semančík, PhD.

Vyštudoval odbor softvérové inžinierstvo na Slovenskej Technickej Univerzite v Bratislave a na rovnakej univerzite získal titul PhD. Pracuje v spoločnosti Evolveum na pozícií softvérového architekta. Bol jedným zo zakladateľov spoločnosti Evolveum. Jeho hlavnými oblasťami záujmu sú digitálna identita a architektúry softvérových systémov. Bol zapojený do mnohých nasadení riešení pre spávu podnikových identít (IDM, IGA) približne od roku 2000. Je aktívny prispievateľ do opensource projektov a spolupracuje na rozsiahlych medzinárodných softvérových projektoch. Väčšinu svojho času venuje vedeniu projektu midPoint, ktorý je najrozsiahlejším voľne dostupným open source systémom pre správu identít. Podieľal sa na práci Apache Foundation ako committer a člen project management commitee.