In che modo le aziende gestiscono le risorse condivise con terze parti su piattaforme cloud?

Naviga le tue risposte
2

Nel corso degli anni le persone della mia azienda hanno condiviso le risorse sulle piattaforme cloud con la terza parte. Questi possono essere file su Google Drive, articoli su Confluence, repository su Github, canali allentati, qualsiasi cosa su una piattaforma cloud che consenta la collaborazione. Le terze parti comprendono ex dipendenti, clienti ed ex clienti, partner e fornitori. Nel tempo questo sta diventando un rischio significativo per la sicurezza con dati come documenti contenenti segreti commerciali o dati personali condivisi con entità esterne, che non hanno più una legittima necessità di questi dati. Alcuni di questi documenti sono ancora in fase di aggiornamento di volta in volta da persone nella società che non sono a conoscenza di chi ha diritti di accesso! È una situazione comune? In che modo le aziende solitamente gestiscono le risorse cloud? Tutto dipende da quanto diligenti (o non così diligenti) gli amministratori dell'account sono?

Prendi Google Drive come esempio. La piattaforma ti consente di condividere file con persone al di fuori di un'organizzazione. Quando clienti, fornitori e dipendenti vanno e vengono, abbiamo accumulato una grande quantità di file su queste piattaforme che sono condivise con persone che non hanno realmente bisogno di accedervi. Il processo di esaminare tutti i nostri file e determinare chi ha bisogno di accesso e chi no è molto doloroso e deve essere fatto su base regolare. Esiste un modo migliore? Come fanno le altre aziende a gestirlo?

    
posta yoav.aviram 13.02.2018 - 12:45
fonte

2 risposte

3

Quando hai un'organizzazione più grande con un'infrastruttura IT diversificata, devi abituarti al fatto che Gestione identità diventa un lavoro a tempo pieno. Hai bisogno di qualcuno (o anche di un intero reparto) che è responsabile della gestione degli account utente su tutte le risorse IT che hai. Loro (e loro soli) sono responsabili di:

  • Creazione di account per sistemi IT
  • Assegnazione delle autorizzazioni
  • Revoca delle autorizzazioni quando le funzioni delle persone cambiano
  • Controllare regolarmente se gli account vengono ancora utilizzati attivamente e bloccarli quando non sono
  • Controllare regolarmente gli account con autorizzazioni critiche e valutare se sono ancora richiesti
  • Mantenimento delle registrazioni di tutte queste attività in modo da poter sempre indicare chi ha avuto le autorizzazioni durante il periodo di tempo (fondamentale in caso di violazione dei dati)
  • Schiaffi le persone che mettono i dati aziendali sui servizi cloud non gestiti da loro

Se si desidera ridurre al minimo l'overhead del lavoro per questo, è possibile prendere in considerazione la possibilità di centralizzare e consolidare l'infrastruttura IT. Invece di distribuire la tua infrastruttura IT su tutta la rete, potresti voler considerare di ospitarne di più tu stesso. Per ogni prodotto menzionato nella domanda c'è una soluzione che puoi installare on-premise. Ciò ti dà un maggiore controllo sui dati della tua azienda (hai letto in realtà che cosa permetti a Google di fare con i segreti della tua azienda che carichi su Google guidare? ). Ti dà anche la possibilità di centralizzare la gestione dell'account nella tua azienda. Molti prodotti supportano protocolli come Kerberos che consentono loro di utilizzare account utente da un sistema centralizzato. Quando ogni dipendente e partner commerciale ha un solo account per tutto ciò che riguarda la tua azienda diventa molto più facile da gestire (per te e anche per loro).

"esaminare tutti i nostri file e determinare chi ha bisogno di accesso e chi no" è qualcosa che non dovresti fare. I sistemi di autorizzazione su scala aziendale appropriati dovrebbero essere basati sui ruoli. Non hai accesso a /project_x/business_plan_V14.67.docx , ottieni il ruolo "partecipante a progetto" che ti dà accesso a /project_x/* .

    
risposta data 26.02.2018 - 18:28
fonte
1

Non ho visto nessuna soluzione elegante al tuo problema. Ho visto quanto segue:

  1. Identifica il punto di contatto responsabile per ogni entità con accesso e fornisci loro un elenco degli utenti di tale entità ogni trimestre o sei mesi e chiedi loro di convalidare i requisiti in corso degli utenti per poter accedere.

  2. revoca automaticamente l'accesso agli utenti che non hanno effettuato l'accesso a nessuna risorsa nella quantità "valore X" e riabilitano su richiesta.

  3. Richiedi Gestione risorse umane o fornitori ti contatterà per revocare le autorizzazioni per gli appaltatori o i fornitori una volta che i loro contratti sono terminati o permetti alle risorse umane un certo livello di accesso alla piattaforma per la gestione.

Sarebbe possibile per la tua azienda pubblicare un token software di autenticazione a due fattori (ad esempio Google Authenticator) che deve essere utilizzato per accedere a qualsiasi risorsa e potresti riattivare centralmente i token per gli utenti ridondanti?

    
risposta data 13.02.2018 - 16:13
fonte

Leggi altre domande sui tag

Usando solo risorse private non governative, come può essere inviato qualcosa in modo che l'NSA possa vederlo? [chiuso] Openssl visualizza le estensioni csr