אלי שלמה

ניהול והגנה על זהויות OneLogin

by · 01/01/2019

ניהול והגנה על זהויות הינו רובד הגנה חשוב ואף קריטי, הסיבה נעוצה בכך שכיום אנו נמצאים (ארגונים רבים) בתצורות שונות, חלקן מורכבות וחלקן מגוונות עם סביבות מקומיות וענן עלולות לכלול בין היתר:

  • סביבות ענן מרובות
  • סביבה מקומית (ולעיתים תשתית הבנויה מכמה סביבות מקומיות)
  • מגוון רחב אפליקציות ענן (SaaS Apps)
  • אפליקציות מקומיות לעיתים ישנות
  • ניידות של משתמשי קצה ארגוניים
  • ספקים וקבלני משנה עם גישה חיצונית וחיבור למערכות שונות
  • אינטגרציה עם פלטפורמות הגנה נוספות מקומיות ובענן

כיום ישנם בארגונים מצב של תשתית המורכבת לפחות משלושה דגשים עיקריים שהוזכרו, כלומר מצב בסיסי מאוד של תשתית מקומית, תשתית ענן ומגוון אפליקציות. ולכן, במקרים כאלה ניהול והגנה על זהויות הוא רובד קריטי שמרכז את כל האינטגרציה של כלל האפליקציות, חיבור בין כל התשתיות השונות וכן מאפשר גישה מאובטחת.

לצד זה ישנם מקרים מורכבים יותר של עבודה עם מספר תשתיות ענן (Microsoft, Google, AWS), מגוון רחב של אפליקציות ענן ואפליקציות מקומיות, תשתיות מקומיות המורכבות ממספר אתרים ומספר AD forest שונים, במצבים כאלה האינטגרציה של זהויות הוא מפתח להצלחה, גם בהגנה וגם בניהול.

במקרים מורכבים וגם פחות, תשתית זהויות היא מפתח להצלחה במעבר לענן ותקבע איך ייראה המעבר לענן וחיבור מול תשתיות נוספות, האם יהיה יישום פשוט עם Quick win או שכל חיבור אפליקציה או חיבור מערכת צד שלישי יהיה פרויקט בפני עצמו.

כיום ישנם פלטפורמות שונות לניהול והגנה על זהויות החל מתשתית מבוססת OneLogin, או תשתית Azure AD וכן תשתית זהויות נוספות. במקרים מסוימים התכונות של כלל תשתית הזהויות דומה באופן העבודה, אך עדיין כל תשתית זהויות עובדת באופן שונה.

למשל, בתשתית OneLogin ישנה אפשרות לבצע Kill Token לסשן של משתמש לאחר משך זמן מסוים ,או Kill Token לאחר כל יציאה מהפורטל או לחלופין יציאה מתוך אותה מערכת ספציפית.

תשתית זהויות חייבת להיות קודם כל תשתית עם יכולות הגנה מתקדמות ומענה לאבטחת מידע ולאחר מכן מענה לדרישות נוספות כגון, אינטגרציה עם מגוון אפליקציות (מקומיות וענן), מנגנון מובנה המאפשר דלגציה וחלוקת הרשאות ומנגנון המאפשר אוטומציה.

לצד זה ישנם אפשרויות מוכרות של ניהול משתמשי הקצה, אפשרויות Bookmark מתוך מכשיר המובייל םע הזדהות חזקה, חיבור ואינטגרציה מול תרחיש Zero trust וכן הלאה.

חשוב להדגיש שיישום של ניהול והגנה על זהויות חשוב מאוד, אך יחד עם זאת אין צורך “לעשות” מזה פרויקט ארוך ומעיק, אלא להיפך יישום מהיר, פשוט במידת האפשר ויישום המאפשר Quick Win (וברוב המקרים זה התרחיש של היישום, מהיר עם Quick Win).

תכונות בתשתית OneLogin

בתשתית הגנה וניהול זהויות של OneLogin ישנם מגוון רחב של יכולות, החל מחיבור אפליקציות באופן מהיר בגלל Market עצום ומובנה של אפליקציות Native ועד מענה להגנות שונות של אכיפת מדיניות אבטחה מידע מתקדמת עם Adaptive MFA על גבי MFA עם הזרקת תעודה דיגיטלית לסשן של המשתמש (Seamless למשתמש).

בתשתית הזהויות של OneLogin ישנם מאפיינים יחודיים לניהול והגנה על זהויות, בין היתר:

  • Universal Directory – מסד נתונים לניהול משתמשים, הרשאות, סגרגציה של הרשאות,  קבוצות המאפשר אינטגרציה עם מערכות מבוססות Active Directory, מערכות מבוססות LDAP, וכל Directory עצמאי.
    החוזקה במסד נתונים של OneLogin היא באופן שהוא בנוי ובאופן שהוא מאפשר אינטגרציה מול כלל המערכות בארגון מבלי לבצע התאמות מיוחדות ושינוי תצורה מול Directory שונים.
  • אינטגרציה עם אפליקציות – הפלטפורמה של OneLogin מגיעה עם אינטגרציה למעל 6000 אפליקציות מוכרות ואפליקציות קצת פחות מוכרות המספקות חיבור באמצעות מנגנונים שונים, תקנים ופרוטוקולים מגוונים כדוגמת SAML\OAuth וכן הלאה.
    החוזקה היא בפשטות של חיבור אפליקציות מכיוון שרוב האפליקציות הם אפליקציות Native.
    למשל חיבור מול Office 365 נעשה על גבי API ומכיל כבר את כלל ההגדרות ונותר לבצע רק את החיבור (אפילו הגדרת דומיין כפדרציה נעשית באופן אוטומטי)

2018-12-31_13h44_46.png

כמובן אם נקח אפליקציות כמו: Salesforce, חילן וכן הלאה החיבור פשוט.

  • Multi Factor Authentication – מנגנון מוכר וידוע לביצוע הזדהות חזקה על גבי מזהה נוסף ועם הזדהות באמצעות אפליקציית מובייל או שיחת טלפון, אך הדבר החזק בתשתית OneLogin הוא שניתן בנוסף לכך להזריק תעודה דיגיטלית לאותה הזדהות ספציפית ולפרק זמן מסוים.
  • Life Cycle Management – מנגנון לניהול משתמשים, חלוקת הרשאות, דלגציה ואוטומציה מול משתמשים אשר מספק בין היתר אוטומציה בתהליך ארגוני בין כלל המערכות המחוברות מול תשתית OneLogin
    למשל, תהליך של הקמת משתמש מתוך HR ארגוני מוקם באופן אוטומטי בכלל המערכות הרלוונטיות, מקבל הרשאה לאפליקציות ספציפיות ובנוסף לכך כולל הגדרת רישוי מול ישרותי הענן השונים. לאוטומציה ישנו יתרון גדול בגלל שאין דבר כזה רישוי.
  • Kill Token – היחידי מבין כלל תשתית הזהויות שמאפשר Revoke לטוקנים מול אפליקציות שונות בינהן Office 365.
  • API Access Management – מנגנון המספק אבטחת גישה והרשאות לשירותי ענן, כגון Microservices וע”י כך ניתן לבצע אינטגרציה בין הזהויות לבין שירות עם אפשרויות לניהול מדיניות ארגונית.

2019-01-01_08h53_35

לצד היכולות שהוזכרו מעלה ישנם יכולות נוספות המבוססות על חוקים, תנאים וגרנולוריות מלאה של משתמשים, פוליסי והגנה.בין היתר:

  • תרחיש VPN מקומי לחיבור על גבי SAML
  • אפשרויות לחיבור מול אפליקציה מקומית על גבי reverse proxy ייעודי לביצוע
  • חיבור מול Radius ייעודי לחיבור מאובטח ומוצפן כבר מתוך הסביבה המקומית
  • VLDAP וחיבור מול סביבות מקומיות, בין היתר על גבי ערכים ספציפיים כגון Virtual DN
  • חיבור מותאם מול פלטפורמות שונות, כגון Javelin ADP, MobileIron, Office365, G-Suite ועוד

תרחישים אופציונליים בארגונים עם OneLogin

קליטת עובד חדש Provision

לעיתים רבות קליטת עובד חדש בארגון היא תהליך מעצבן ומסורבל ועל אחת כמה וכמה גם לא אוטומטית, התשתית של OneLogin מספקת תהליך אוטומטי המאפשר לייבא נתוני עובד, הקמה במערכות השונות, הקצאת רישוי מול מערכות שונות, הגדרת הרשאות ומשאבים, הגדרת אפליקציות וכן הלאה.

עזיבת עובד De-provision

כיום במקרים שבהם עובד עוזב אין תהליך מסודר להסרה של גישה מאפליצקיות שונות, אין אפילו את המידע הבסיסי איזה הרשאות יש ובאיזה אפליקציה, במקרים של Office365 העובד נשאר עם הרישוי לאורך זמן וכל זאת ללא ידיעה, כלומר משיפה של הארגון לדלף מידע ובנוסף עלויות מיותרות של רישוי שאינו נדרש.

במקרה הצורך ישנה אפשרות של מנגנון הפוך של עזיבת עובד וחסימת גישה לכלל המערכות שהוגדרו.

איך מתחילים

הפתרון הנדרש בניהול זהויות הוא על סמך Unified Directory של כלל העובדים, קבלני משנה, שותפים עסקיים ולקוחות. החיבור יכול להיעשות מול מערכות קיימות על בסיס LDAP או Active Directory ואינו דורש שינויים מול Directory אחרים וקיימים, דגשים ביישום ניהול והגנה על זהויות:

  • מיפוי הסביבות, אפליקציות ואופי חיבור תשתיות הענן
  • אפיון דרישות אבטחת מידע
  • חיבור אפליקציות צד שלישי מול OneLogin
  • הקצאת משאבים ואפליקציות בממשק OneLogin
  • הקצאת גישה על בסיס פוליסי המכיל תנאים וחוקים מתקדמים
  • הפעלת הזדהות מבוססת MFA עם הזדהות חזקה ברמת Session
  • הפעלת מדיניות ארגונית לפי קטגוריות וסוגי משתמשים
  • מעקב אחר פעולות משתמשים, התנהגות חשודה וכן הלאה

לסיכום

תשתית לניהול והגנה על זהויות היא תשתית קריטית בארגון שמלווה אותנו לאורך זמן ולכן חשוב מאוד ליישם לפי הדגשים שהוזכרו קודם לכן.
איך מגדירים OneLogin, אכיפת מדיניות אבטחה, איך עובדים עם תנאים וחוקים במאמרים הבאים.

Tags:

You may also like...

2 Responses

  1. חיבור Active Directory לתשתית OneLogin – הבלוג של אלי שלמה
    08/03/2019

    […] ניהול והגנה על זהויות OneLogin […]

  2. הגדרת AD Connector בתשתית OneLogin – הבלוג של אלי שלמה
    08/03/2019

    […] ניהול והגנה על זהויות OneLogin […]

השאר תגובה

%d