用户供应最佳实践:访问权限重新认证

企业自身的供应系统(provisioning system)在加入并运转后,就开始在多个主要商业应用中进行用户账户的添加、修改和删除。这一工作流程需要创建运作良好的访问参数,并使得各项工作都能按计划进行。但是,实际情况真是这样的吗?企业如何知道自己所使用的访问规则就一定是对的呢?经理如何确信自己对员工的访问授权得当,而没有给予员工远大于他们工作需要的访问权限呢?

供应系统只是按照它事先的配置去工作,如果规则有误,供应系统就会错误地设置账户。 核实供应系统是否按照政策去运行,唯一正确的方法是对它的功能进行审计:“重新认证(Recertification)”就是极佳的审计过程。

何谓重新认证呢?重新认证是指以下过程:收集用户的访问权限信息,做对比性分析,确认该访问权限是否有效,是否有必要。审计功能与企业的供应系统一同使用,从而构成一个反馈回路(feedback loop),以确保供应系统对每项访问权限的授权都是得当的。这个过程定义起来很容易,可是实施起来却很麻烦。因此,企业必须遵循一系列预先确定的步骤,来合理的执行重新认证过程。

重新认证过程的第一步是,获取对所有账户的访问权,收集被供应系统的访问信息。在供应部署的最初阶段,这项工作是由审计者和安全人员进行的。他们要么亲自提取账户的信息,制成类似于电子表格格式的信息来做对比,要么请求授予在业务系统上的管理员权限,对已授权账户的信息进行审查。然后,在供应部署更为成熟的阶段中,大多数企业利用重新认证系统从业务系统上周期性地自动提取文件信息,来进行分析。当企业准备自动地提取访问信息时,会受到以下几个因素影响。

  • 有多少系统是被供应的(provisioned):庞大的系统数目会使个人对账户信息的访问变得困难。
  • 参与到系统审计任务中的安全人员数量。
  • 属企业独有部分的比重有多大:空间上分散的系统,不同业务类型的管理结构,针对不同管理类型的各种授权过程,这些都会影响到信息提取过程的快慢。企业独有的部分比重越小,信息提取速度越快。
  • 由供应系统定期管理的账户数目。

下一步,需要对收集到的访问信息进行标准化处理并做比较。例如,针对主机ACF2权限的隐藏名,比如ASYSRDPRGC1USER11,会导致外部审计者或安全人员无法了解供应系统到底赋予了用户何种权限。每个系统的访问权限都要转化为一套共同的访问规则,要同供应系统保持一致(如,基于角色或业务功能访问),这样就能进行一对一的比较。这一过程可以让人工去完成,使用带有转换公式(translation formulas)的电子表格,并进行高亮显示。但是,如果这一过程涉及较多的系统和账户,那么人工操作所耗的时间和难度就会增大。

这一步骤较为复杂,可以借助商用的企业访问管理工具(如,Aveksa公司的Access Certification、Oracle公司的Oracle Identity Analytics、Novell公司的Access Governance Suite等)来进行这项工作。这些系统都具有应用程序连接器,能够自动提取账户信息,除此之外还配备了知识引擎(knowledge engines),从而将应用程序的权限转化为和供应系统一样的规则。账户信息被标准化处理之后,这些工具的知识引擎就能进行对比性分析了。这一步骤的最终结果是对以下两种情况做出确认和报告:“致命”的访问权限组合、由于供应系统疏忽而导致的不合理授权。

另一种情况,职能经理可能将系统账户和权限授权给某个终端用户。如果是这种情况,在账户的访问权限信息被整理和标准化之后,应该有通知职能经理下述内容:他们需要为职员核实一些应用程序账户。可以通过电子邮件或利用类似于微软Exchange Messaging服务的任务通知系统来进行通知。然后,职能经理可以利用某种应用程序来对职员的访问权限进行审核和更新。如果有必要的话,审核和更新工作应该在职员的访问权限被核准之前进行。虽然这种通知界面部署在内部,但企业在这一步骤中所使用的访问管理工具也提供了通讯接口,用来通知经理,或提供经理在审核时所需的网络应用程序。

最后,如果在上述的重新认证过程中发现了无效的访问权限,该信息必须反馈到供应系统,从而对错误账户进行改正或删除。同时,对创建这些无效账户的访问规则要进行识别和修改,确保不再发生类似的不当配置。在最初的供应实施中,该项操作可以由人来完成。不过,企业在最后肯定希望建立这样一种工作流程,即账户信息可以从核实工具中自动输入到供应系统中,而这些核实工具是用来确保反馈回路能达到最优化的。

供应系统是管理终端用户账户生命周期的强大工具。如果供应系统遵循的规则不健全、或者存在漏洞,那么它们创建的访问规则就会违背企业的政策,或者导致法规遵从的问题。实施重新认证过程属于初期供应系统部署的一部分,是为数不多的用户供应最佳实践之一。对终端用户访问负责的审计人员、安全人员和管理人员而言,他们可以利用该过程来确保工作流程和供应系统内部所配置规则的正确性。另外,通过预先对该过程进行定义,新的系统就可以连接到供应系统上,新的工作流程也可以明确,而重新认证过程也可以被改正,从而确保供应系统在最开始就是正确的,而不是等到有人访问了他没有权限的信息而发生了安全事件之后。