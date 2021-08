Definition av IAM

Identitets- och accesshantering i organisationer går ut på att fastställa och hantera rollerna och behörigheterna för individuella användare i nätverket – användare i denna betydelse kan vara både människor och datorer. Detta görs i relation till program och tjänster i molnet och i organisationens it-center. Bland användare finns medarbetare, kunder och andra organisationer. Bland datorer finns persondatorer, mobiltelefoner, routrar, servrar, styrenheter och sensorer. Ett centralt mål för IAM-system är att det ska finnas en, och bara en, digital identitet per person eller dator. När en identitet har etablerats måste den underhållas, uppdateras och övervakas under hela sin livscykel.

Det övergripande målet för identitetshantering är att bevilja access till en resurser och tillgångar i företagets it-system som användare och datorer har rätt till i varje givet sammanhang. Då ingår ”inskolning” av nya användare och system, tillståndsauktorisering och avmönstring av användare och utrustning i rätt tid.

Men en del av problemet är användarna och deras hatkärlek till lösenord. Alla har vi för många lösenord, vilket gör det lockande att använda samma för flera inloggningar – med ty åtföljande it-säkerhetsproblem. En undersökning som Forrester gjorde i augusti 2020 visade att 53 procent av alla it-anställda lagrar sina lösenord på ett osäkert sätt. Och en undersökning som Transmit Security gjorde i mars 2021 bland amerikanska konsumenter visade att mer än hälften av dem har slutat använda webbsidor därför att inloggningen var för krånglig. Uppenbarligen finns det mycket att göra här.

IAM-system förser administratörerna med de verktyg de behöver för att förändra en användares roll, följa användarnas aktiviteter, skapa resurser om de aktiviteterna och upprätthålla policy löpande. Systemen är utformade för att ge möjlighet att administrera användarnas access i en hel organisation och att säkerställa efterlevnad av organisationens policy och myndigheters regelverk.

– Identitet har blivit viktigare efter att covid har gjort fysiska avstånd irrelevanta, säger Andras Cser, vice vd och IAM-analytiker på Forrester Research.

Många företag har fått fler distansarbetare och de har också gett användare utanför den egna organisationen mer access till sina interna system:

– En allt snabbare digital omvandling har gjort identitet till hörnstenen i kundvärvning, hantering av kunder och kundlojalitet, säger han.

Covid-betingade störningar har blottlagt brister i många organisationers IAM-arkitektur och snabbat på utvecklingen av IAM, allt enligt Gartners rapport ”2021 planning guide för IAM”: ”Ekonomin vilar numera på IAM.”

Det kan vara därför som utgifterna för IAM ökar. Enligt en studie från mars 2021 av mer än 1300 företagsledare, sponsrad av Ping Identity ”planerar ungefär 70 procent av alla globala företagschefer att öka utgifterna för IAM för personalen under de kommande tolv månaderna”. Detta till följd av de högre krav som distansarbetet ställer på it-avdelningarna och it-säkerheten. Det visade sig också att mer än hälften av de tillfrågade företagen har investerat i nya IAM-produkter sedan pandemin började.

Så fungerar IAM

Förr var det så att det typiska systemet för identitets- och accesshantering bestod av fyra huvuddelar:

En katalog eller identitetsförråd med de persondata som systemet behöver för att identifiera individuella användare;

En uppsättning verktyg för tillägg, ändring och radering av data (knutet till accesslivscykelhantering);

Ett system som reglerar och upprätthåller användarnas access;

Ett system för revision och rapportering.

Accesshantering: Accesshantering är de processer och tekniker som används för att styra och övervaka access till nätverk. Funktioner i accesshantering, som autentisering, auktorisering, tillit och säkerhetsrevision är centrala delar av de ledande identitetshanteringssystemen, både för datacenter och molnbaserade system.

Active Directory (AD): Microsoft utvecklade AD som en katalogtjänst för användaridentiteter i Windowsnätverk. Det är ett slutet system, men eftersom AD ingår i operativsystemet Windows Server så är det ofta förekommande.

Biometrisk autentisering: En säkerhetsprocess för autentisering som utgår från varje användares unika fysiska egenskaper. Det kan vara fingeravtrycksavkännare, avläsning av iris och ögonbotten eller ansiktsigenkänning.

Sammanhangsmedveten åtkomststyrning i nätverk (context-aware network access control): En policybaserad metod för att bevilja tillgång till resurser i nätverket med utgångspunkt i vad man vet om användaren som begär access. Om användaren till exempel försöker autentisera sig från en IP-adress som inte är godkänd så blir svaret nej.

Inloggningsuppgift (credential): En identifieringsuppgift som användaren uppger för att få access till ett nätverk. Det kan vara lösenord, PKI-certifikat eller biometrisk information..

Avmönstring (de-provisioning): Proceduren när man avlägsnar en identitet från en identitetsdatabas och avslutar alla behörigheter.

Digital identitet: Själva identiteten, inklusive en beskrivning av användaren och hans/ hennes/ dess behörighet. (Det står dess, eftersom till exempel en dator eller en mobiltelefon kan ha en digital identitet.)

Berättigande (entitlement): De attribut som anger vilken behörigheter och accesstillstånd som en autentiserad säkerhetsansvarig har.

Identitet som tjänst (identity-as-a Service, IDaaS): Molnbaserade tjänster som tillhandahåller identitets- och accesshantering till organisationer med it-system som kan finnas i eget datacenter eller i molnet.

Identitetslivscykelhantering: Det påminner om accesslivscykelhantering. Uttrycket syftar på hela uppsättningen processer och tekniker som används för att underhålla och uppdatera digitala identiteter. Identitetslivscykelhantering omfattar identitetssynkronisering, påmönstring, avmönstring och löpande hantering av användarattribut, inloggningsuppgifter och berättiganden.

Identitetssynkronisering: Att se till att flera identitetsdatabaser innehåller samstämmiga uppgifter för varje given digital identitet. Till exempel efter att två företag har gått ihop.

Lightweight Directory Access Protocol (LDAP): LDAP är ett protokoll och en öppen standard för att hantera och komma åt en distribuerad katalogtjänst som Microsofts AD.

Flerfaktorsautentisering (multi-factor authentication, MFA): Fler än en faktor behövs i kombination med användarnamnet. Förutom till exempel lösenord kan det krävas en siffergrupp som skickas till användarens mobiltelefon, att man sätter in ett kort eller ett USB-minne eller biometrisk autentisering.

Lösenordsåterställning: En funktion i id-hanteringssystem som ger användare möjlighet att återställa sina lösenord. Det befriar administratörer från det jobbet och minskar belastningen på supporten. Återställningsfunktionen kan ofta nås genom en webbläsare. Programmet ber om ett hemligt ord eller ställer några förinställda frågor för att säkerställa användarens identitet.

Privilegierad kontohantering : Detta handlar om hantering och granskning av konton och data för användare med särskilda rättigheter. Privilegierade användare har, på grund av sin jobb eller sina arbetsuppgifter, fått administratörsrättigheter till system. En privilegierad användare kan till exempel lägga till och ta bort användarkonton och roller.

Påmönstring (provisioning): Processen där identiteter skapas, deras accessbehörigheter definieras och de läggs till i en identitetskatalog.

Riskbaserad autentisering (RBA): Autentisering med krav som varierar beroende på användarens situation när han eller hon begär access. Om användaren till exempel vill autentisera sig från en plats eller en IP-adress som han eller hon tidigare inte har använt kan det ställas högre krav på autentiseringen, till exempel flerfaktorsautentisering i stället för bara lösenord.

Enkelinloggning (Single sing-on, SSO): Ett slags access till flera system som är separata men som hör ihop på något sätt. En användare kan komma åt flera system med ett och samma användarnamn och lösenord.

Användarbeteendeanalys (User behavior analysis, UBA): UBA-tekniker upptäcker mönster i användarnas beteende och använder sedan algoritmer för att upptäcka avvikelser som kan tyda på säkerhetshot. UBA skiljer sig från annan säkerhetsteknik, som är inriktad på utrustning eller händelser. UBA kopplas ibland med entity behavior analysis, EBA – analys av utrustnings beteende – och då talar man om UEBA.

Reglering av användaraccess har traditionellt gjorts med autentiseringsmetoder som verifierar en användares eller anordnings identitet. Till exempel lösenord, digitala certifikat, hårdvara och mjukvarufaktorer i mobiltelefoner. De sistnämnda har funnits sedan 2005 och kan nu påträffas i mobiltelefoner, både IOS och Android, med program från Google, Microsoft, Cisco/Duo, Authy och många andra IAM-företag. Moderna metoder är bland annat biometri och stöd för Fast identity alliance (FIDO).I dagens invecklade it-miljöer, som dessutom utsätts för att värre hot, förslår det inte längre med starka användarnamn och lösenord. Den mest påtagliga förändringen har varit införandet av flerfaktorsautentisering (multi-factor authentication, MFA) i IAM-produkter. Numera ingår det ofta sådant som biometri, maskininlärning och artificiell intelligens samt riskbaserad autentisering.IAM har flera viktiga funktioner i flera delar av en organisations ”säkerhetsstack”, men man tänker ofta inte på det så, eftersom de funktionerna är spridda över olika grupper, som utvecklingsteam, infrastruktur, driftsansvariga, juridik och så vidare.– Det är inte längre IAM-team som fattar alla beslut som berör IAM, skriver Gartner.Till att börja med är IAM-teknikerna bara början på uppbyggandet av ett säkert nätverk. De förutsätter att företagen specificerar sin accesspolicy och klart och tydligt anger vilka som ska ha tillgång till vilka data och program, och under vilka omständigheter som de har access.Många företag har ändrat sin accesspolicy under årens gång och det har lett till att de har överlappande regler och rolldefinitioner som ofta är föråldrade och, i vissa fall, felaktigt etablerade:– Man måste rensa upp bland identiteterna och ta tillbaka alla extra behörigheter som användarna inte behöver, så att man inte migrerar en röra, säger Andras Cser:– Det betyder att man måste ägna mer tid åt förarbetet.Vidare måste IAM ha kopplingar till alla delar av verksamheten. Det krävs integrering med analys, omvärldsbevakning, portaler för kunder och partnerföretag samt marknadsföring.– Annars kommer IAM snabbt att bli irrelevant, säger Andras Cser.Gartner rekommenderar att IAM börjar använd samma modell för löpande tillförsel av värde som Devops-team använder för att leverera mjukvara. Men så har det inte gått till på särskilt många it-avdelningar hittills.Dessutom går IAM längre än till att skydda användare. Det gäller också autentisering av icke-mänskliga objekt som applikationsnycklar, api:er, hemliga uppgifter, mjukvaruagenter och containers. Gartner rekommenderar att sådana enheter får bli ”första klassens medborgare” och skriver att de lämpligen bör hanteras av sammansatta team där alla intressenter ingår. Detta är ett område där IAM utvecklas snabbt, vilket bland annat framgår av Oktas köp av Auth0 tidigare i år.Slutligen måste IAM knytas tätt till adaptiv autentisering och MFA-verktyg. Autentisering sågs länge som ett binärt beslut, ja eller nej. vid inloggningsögonblicket, som när man loggar in på ett VPN. Det är ett föråldrat tänkesätt. I dag behöver IAM mer finkornighet för att kunna förhindra kontokapningar och nätfiskeattacker. Gartner rekommenderar att man rullar ut adaptiv MFA till alla användare och har en föränderlig auktoriseringsmodell som ger säkra möjligheter till distansuppkoppling. Det stärker förtroendet samtidigt som det förbättrar användbarheten, och, som det står i Gartners planeringsguide: ”adaptiv access är bara början på smartare autentiseringslösningar. De flesta produkter av detta slag saknar bedrägeridetektering baserat på passiva biometriska data och de stöder inte elektroniska id och identitetsorkestrering. Det är skydd som behövs nu på grund av nya, mer sofistikerade metoder för attacker och kapningar.”IAM-system kan främja efterlevnad av regelverk genom att de tillhandahåller verktyg för tillämpning av övergripande policyer för it-säkerhet, granskning och access. Många system levereras numera med funktioner som säkerställer att organisationen efterlever regelverk.Det finns många myndigheter, inte minst i USA, som kräver av organisationer att de sköter din identitetshantering. Regelverk som Sarbanes-Oxley, Gramm-Leach-Biley och HIPAA (amerikansk sjukförsäkringslag) gör organisationer juridiskt ansvariga för att begränsa åtkomst till information om kunder och anställda. Dessa amerikanska regelverk är också bindande för svenska företag som hanterar uppgifter om amerikanska förhållanden. System för identitetshantering kan hjälpa organisationer att efterleva sådana bestämmelser.EU:s dataskyddsförordning (GDPR) kräver noggrann styrning av it-säkerhet och användaraccess. GDPR kräver att alla organisationer, även utanför EU, skyddar personuppgifter och personlig integritet för medborgare och företag i USA. Många amerikanska delstater har infört liknande lagar. För att efterleva sådana lagar måste man automatisera många aspekter av IAM och man måste se till att arbetsflöden, processer, accessbehörigheter och program följer bestämmelserna.Den goda – och dåliga – nyheter om IAM är att det finns många öppna standarder att hålla reda på och använda. Standarderna är en bra utgångspunkt, men organisationer behöver, som Gartner påpekar i sin planeringsguide, gå längre än att bara ansluta sig till en viss öppen standard. Man måste vara mer nyanserad när det gäller hur man tar till sig dessa standarder och bli mer effektiv när det gäller hantering av access:”IAM-teamet bör till exempel ta fram dokument om god praxis om hur dessa standarder är integrerade och används på alla program, enheter och användare”, står det i guiden.Auktoriseringsmeddelanden mellan betrodda parter skickas ofta med Security assertion markup language, SAML. Det är en öppen specifikation som anger ett XML-ramverk för utväxling av säkerhetsförsäkranden mellan säkerhetsorgan. SAML ger interoperabilitet mellan olika företags plattformar för autentisering och auktorisering. Men SAML är inte det enda identitetsprotokollet som är öppet. Det finns också OpenID, Web services trust (WS-Trust) och WS-Federation (med stöd av storföretag som Microsoft och IBM) och OAuth, som gör det möjligt för tredjepartstjänster att använda information från en användares konto utan att lösenordet röjs.Den största nyheter i identitetsstandarder sedan 2013 är anammandet av FIDO bland många IAM-företag, hårdvarutillverkare och operativsystem. FIDO ger möjligheter att eliminera lösenord helt och hållet och ersätta det med sådant som hårdvarunycklar, biometriska metoder och mobiltelefonprofiler.Trots att IAM finns med överallt i organisationernas säkerhetsstack så täcker det inte allt. En fråga är hur användarnas ”födslorättaccess” utvecklas. Det börjar med den access som alla nya användare tilldelas när de börjar på företaget. Men formerna för hur nya anställda, entreprenörer och partner tilldelas access berör många avdelningar, och ”att delegera detta till rätt personer och rätt chefer blir ett problem”, säger Andras Cser:– IAM-system borde kunna upptäcka accessförändringar med automatik, men det gör de ofta inte.Sådan automatisering blir viktig, särskilt med tanke på automatiserad inskolning och avmönstring av användare, användarnas självbetjäning och ständig bevisning av efterlevnad. Det skrev Steve Brasen, forskningschef på EMA, i ett blogginlägg. Att manuellt rätta till accessbehörigheter och styrning för hundratals eller tusentals användare går helt enkelt inte. Att till exempel sakna automatiserade avgångsprocesser (som ses över regelbundet) är ett praktiskt taget ofelbart sätt att se till att obehövliga accessbehörigheter inte återkallas ordentligt.– Detta kan inte göras med Excelark eller andra manuella metoder, säger Andras Cser, men den bakomliggande komplexiteten i påmönstring har inte blivit mindre med tiden, även om IAM-produkterna har blivit bättre på att sköta arbetsflöden och verksamhetsprocesser.Och även om nolltillit är den stora grejen just nu så är problemet att ständigt kunna bevaka de förtroendebaserade relationerna när nya program läggs till i företagets infrastruktur:– Vi måste kunna se vad folk gör efter att de har loggat in och se på deras normala beteende. Det finns många möjligheter till falsklarm, som ifall en användare bryter ett finger, som kan krångla till förhållandena, säger Andras Cser.Därtill måste förhållandet mellan IAM och enkelinloggning (single sign-on, SSO) orkestreras noggrant. Gartner skriver:”Målet är att ha ett integrerat SSO-system per användargrupp med möjlighet att förmedla access till alla generationer av de program som organisationen använder. Lägg märke till att detta inte nödvändigtvis betyder att ett och samma SSO-verktyg ska användas i hela organisationen.”En annan sak är att den stora föreningen av IAM med kundcentrerad IAM har börjat, vilket framgår av Oktas köp av Auth0. Så länge som säkerhetsproffsen ser detta som två olika saker kommer IAM alltid att vara ett steg efter.Och en annan sak är att IAM-team måste vara kunniga om flera olika molnarkitekturer. De måste ha bekantat med IAM-praxis för Amazon web services (AWS), Google cloud platform och Microsoft Azure. Att integrera dessa med organisationens nätverk och infrastruktur är en utmaning och att överbrygga säkerhetsklyftan mellan dessa molnföretag är inte lätt.Slutligen måste it-ansvariga se till att bygga in identitetshantering från första början i alla nya applikationer. Andras Cser föreslår att man väljer ut ett målprogram som kan användas som mall för all IAM och identitetsstyrning och att man sedan breddar det till andra program i företaget.Trendiga ord kommer och går, men det finns en del termer i identitetshantering som det lönar sig att lägga på minnet: