Yhä useammin kyberrikolliset voivat murtautumisen sijaan vain kirjautua sisään. Tämä pakottaa yritykset pohtimaan tietoturvaa uudesta näkökulmasta. Lue, miten IAM, IGA ja PAM parantavat tietoturvaa.
Tietoturvauhkat ja rikollisten käyttämät keinot ovat muuttuneet digitalisaation ja pilveistymisen myötä. Identiteeteistä on tullut keskeinen osa puolustusta.
Tämä lyhyt opas työntekijöiden digitaalisten identiteettien hallinnan eli IAM:in peruspalikoihin kertoo, mitä eroa on lyhenteillä AM, IGA ja PAM, ja miksi nämä käsitteet kannattaa ottaa haltuun.
IAM on kattotermi digitaalisten identiteettien hallinnalle
IAM (Identity and Access Management) kattaa useita osa-alueita, jotka ovat tärkeitä organisaation tietoturvan ja liiketoiminnan sujuvuuden kannalta. Työntekijöihin keskittyvä IAM sisältää esimerkiksi identiteettien elinkaaren hallinnan, pääsynhallinnan, käyttövaltuuksien hallinnan ja pääkäyttäjätunnusten hallinnan.
Mitä on pääsynhallinta?
Pääsynhallinta (Access Management, AM) varmistaa, että työntekijöillä on tarvittava pääsy sovelluksiin, palveluihin ja tietoihin voidakseen suorittaa työtehtävänsä tehokkaasti. Sen tarkoitus on myös estää ei-toivotut pääsyt tai tietomurrot ja tehostaa käyttäjähallintaa.
Pääsynhallinta on perinteisesti ratkaistu on-prem ympäristössä Active Directorylla ja pilviympäristössä esimerkiksi Entra-ID:llä tai muilla pilvipohjaisilla pääsynhallintaratkaisuilla, kuten Oktalla. Miten pääsynhallinta sitten kannattaa toteuttaa?
Pääsynhallinta ehdollisesti ja kontekstiriippuvaisesti
Ehdollinen ja kontekstiriippuvainen lähestymistapa mahdollistaa tarkan ja joustavan pääsynhallinnan, joka perustuu käyttäjän tai järjestelmän tilanteeseen ja ympäristöön.
Tämä tarkoittaa sitä, että käyttäjätunnuksen ja salasanan lisäksi on tiedossa, millä laitteella (hallitulla vai jollain muulla), mistä sijainnista ja kuinka sensitiiviseen tietoon käyttäjä on kirjautumassa, ja mikä on laitteen tietoturvan tila. Sen jälkeen kirjautumispyyntö voidaan joko sallia tai vahvistaa muilla faktoreilla (MFA, biometrinen tunnistus, Fido2-token jne.).
Keskitetty pääsynhallinta mahdollistaa myös kertakirjautumisen (Single Sign-On, SSO) sekä seuraa ja valvoo pääsyä reaaliajassa. Seuranta on keskeistä, jotta mahdolliset uhkat tai epäilyttävät kirjautumisyritykset voidaan havaita välittömästi.
Mitä tarkoittaa IGA?
Tunnusten luominen ja poistaminen aikanaan kannattaa hoitaa mahdollisimman automaattisesti. Tästä pääsemmekin käyttövaltuushallinnan eli IGA:n (Identity Governance and Administration) pariin. IGA tunnettiin aikaisemmin nimellä IdM (Identity Management), mutta painottaa nykyisin enemmän käyttövaltuuksia – mitä oikeuksia identiteetille on myönnetty ja miten näitä käyttövaltuuksia hallitaan.
IGA-ratkaisuilla voit automatisoida tunnusten elinkaaren hallinnan, keskittää pääsyoikeuksien myöntämisen ja lisäkäyttövaltuuksien pyynnöt ja hyväksynnät sekä provisioida käyttäjät ja käyttövaltuudet kohdesovelluksiin.
IGA varmistaa, että oikeudet pysyvät ajan tasalla
Koska käyttövaltuudet ja roolit muuttuvat, säännölliset tarkistukset ja raportointi auttavat pitämään käyttövaltuudet ajan tasalla ja vähentämään riskejä.
IGA-työkalujen avulla voit tarkastaa, kenellä on pääsy kriittisiin järjestelmiin tai mihin järjestelmiin yksittäisellä käyttäjällä on pääsyoikeus. IGA:n ansiosta ylimääräisiä käyttövaltuuksia tai pääsyoikeuksia jää elämään vähemmän.
Mitä tarkoittaa PAM?
Järjestelmänvalvojien, pääkäyttäjien ja muiden työntekijöiden, joilla on laajat oikeudet ja pääsy kriittisiin järjestelmiin ja resursseihin, tunnusten väärinkäyttö on suuri riski liiketoiminnan jatkuvuudelle. Siksi PAM eli pääkäyttäjien tunnusten hallinta (Privileged Access Management) , joka tunnetaan myös nimillä Privileged Identity Management ja Privileged User Management) on tärkeä osa identiteettien hallintaa. PAM varmistaa, että näiden käyttäjien toiminta on valvottua ja heillä on pääsy vain tarpeellisiin järjestelmiin.
Tutustu tarkemmin pääkäyttäjätunnusten hallintaan
PAM sallii pääsyn kertaluontoisesti ja tapauskohtaisesti
Korkeiden käyttöoikeuksien väärinkäyttöön liittyviä riskejä voit minimoida keskitetyllä pääkäyttäjätunnusten hallinnalla. PAM voi automaattisesti muuttaa salasanat jokaista kirjautumista varten, jolloin pääkäyttäjien ei tarvitse edes tietää salasanoja. Pääkäyttäjien pääsyn voi sallia tapauskohtaisesti, rajatuksi ajaksi ja vain tietyn tahon hyväksynnän jälkeen.
Kaikki PAM:n kautta tehdyt pääkäyttäjäsessiot voidaan myös tallentaa ja epäilyttävistä toimista varoittaa. Valvonta suojelee pääkäyttäjien etua, koska sen ensisijaisena tarkoituksena on estää ja jäljittää pahantahtoinen toiminta.
Zero Trust ja PAM täydentävät toisiaan
Monet organisaatiot ovat siirtymässä kohti Zero Trust -arkkitehtuuria tietoturvan vahvistamiseksi. Zero Trust Network Access on turvallinen etäkäyttöratkaisu (Secure Remote Access) ja vaihtoehto perinteisille VPN-ratkaisuille, jotka antavat usein käyttäjälle liikaa pääsyoikeuksia, ovat vaikeasti hallittavissa ja seurattavissa.
Moderni Secure Remote Access tarjoaa identiteettipohjaisen, pääkäyttäjätason yhteyden keskeisiin resursseihin, palvelimiin, infrastruktuuriin ja palveluihin. Matka kohti Zero Trust-arkkitehtuuria onkin syytä aloittaa pääkäyttäjistä ottamalla käyttöön moderni Secure Remote Access, Zero Trust Network Access tai Remote PAM (RPAM), kuten Gartner asian ilmaisee. Kaikki nämä tarkoittavat lopulta pääosin samankaltaista teknologiaa, vain painotukset vaihtelevat.
Työntekijöiden IAM lisää turvallisuutta ja työtehoa
IAM-, IGA- ja PAM-akronyymien takaa löytyy siis tehokas työkalupakki, jolla voit vähentää nykypäivän tietoturvariskejä. Ne auttavat huolehtimaan siitä, että organisaatiosi arkaluontoiset tiedot pysyvät turvassa. Niiden ansiosta työntekijät voivat suorittaa tehtävänsä tehokkaasti, ja ylläpitäjien manuaalisen työn määrä vähenee. Ja kun IAM-järjestelmä mahdollistaa myös auditoinnin ja raportoinnin, voit seurata IAM:in toteutumista ja varmistaa organisaatiosi vaatimustenmukaisuuden.
Jos organisaatiossasi on vielä kehitettävää näillä osa-alueilla, autamme mielellämme. Kokeneen IAM-konsultin kanssa selvität nopeasti, mihin kannattaa panostaa. Ota yhteyttä ja sovi keskustelu!