Når tilgang blir en blindsone i moderne IT-miljøer

Manuelle prosesser gjør kontrollen svakere

I mange virksomheter oppstår problemene når kompleksitet møtes med manuelle prosesser. Tilganger justeres enkeltvis, systemer får egne unntak, og nye tjenester legges til uten at de passer inn i en tydelig, sentral modell.

– Alle manuelle prosesser er en risiko, sier Wister.

Det gjelder særlig når ansatte bytter rolle, når nye applikasjoner tas i bruk, eller når virksomheten bygger ut nye tjenester i skyen. Hvis tilgangene ikke følger en tydelig struktur, blir det vanskelig å vite hvem som faktisk har adgang til hva, og under hvilke betingelser.

Et annet gjennomgående problem er at legitimasjon og tilgangsnøkler fortsatt håndteres langt mindre modent enn mange tror. Passord ligger i kode, i Git-repositorier, i databaser eller i dokumentasjon som flere enn nødvendig har tilgang til.

Ifølge Joakim Pilo i IBM HashiCorp er dette noe mange virksomheter først nå begynner å ta virkelig alvorlig.

– Det mange sliter med, er at sensitive tilgangsdata blir liggende spredt rundt i miljøet. Det kan være passord og sertifikater som burde vært håndtert sentralt og sikkert, sier han.

Det er nettopp dette Vault er utviklet for å rydde opp i. Løsningen er laget for å gi virksomheter en sikker, sentral og automatisert måte å håndtere tilgangsdata, legitimasjon, sertifikater og krypteringsnøkler – på tvers av applikasjoner, infrastruktur og miljøer.

Hybrid og multi-cloud gjør styringen mer krevende

Når lokale datasentre, offentlige skyer, mobile enheter og eksterne samarbeidspartnere skal fungere sammen, øker kravene til hvordan tilgang styres på tvers.

– Hvis man ikke har en rød tråd for hvordan dette skal settes opp, blir hybrid- og multi-cloud-bildet fort komplisert, sier Wister.

Mange virksomheter har gjerne tilgangsstyring på plass i hvert miljø, men ikke nødvendigvis én modell som replikeres konsekvent overalt. Resultatet kan bli at enkelte løsninger faller utenfor, at policyer ikke følger med, eller at man ender opp med flere identiteter og flere måter å håndtere tilgang på i samme organisasjon.

Her blir en plattformuavhengig tilnærming viktig. De store skyleverandørene tilbyr egne løsninger for håndtering av tilgangsdata i sine respektive skyer. Det kan fungere godt innenfor ett miljø, men blir fort mer begrensende når virksomheten opererer på tvers av skyer og lokale miljøer.

– Med HashiCorp Vault opererer vi som et slags abstraksjonslag, en sentral løsning for håndtering av tilgangsdata uansett hvilken skyleverandør kunden velger, om det er hos en hostingleverandør eller lokalt, sier Pilo.

Sikkerhet må ikke bli en bremsekloss

De fleste virksomheter ønsker sterkere kontroll, men uten å skape mer friksjon for utviklere, plattformteam og sluttbrukere. Hvis tilgangsstyring blir for tung, oppleves den som en bremsekloss.

– Man vil ikke ha løsninger som skaper irritasjon for sluttbrukerne, sier Wister.

Pilo peker på at dette også handler om rollefordeling internt.

– Hvis dette håndteres sentralt, kan teamene fokusere på kjernevirksomheten sin og konsumere dette som en tjeneste, i stedet for å bygge egen kompetanse og egne løsninger for alt selv, sier han.

Det gir mindre friksjon, mer standardisering og mindre rom for skygge-IT.

Derfor er Vault relevant

Vault samler håndteringen av tilgangsdata på ett sted. I stedet for at passord, tilgangstokens, API-nøkler og sertifikater blir liggende spredt i kode, lokale konfigurasjoner eller ulike skytjenester, kan de lagres og håndteres sentralt.

Et sentralt poeng er automatisering. Hvis virksomheten fortsatt bruker statiske passord og nøkler som sjelden endres, øker risikoen for at de kommer på avveie og forblir gyldige lenge. Vault er laget for å støtte en mer dynamisk modell, der tilgangsdata kan opprettes ved behov, roteres automatisk og utløpe av seg selv.

– Selv om tilgangsdata er statiske, kan de havne i feil hender. Derfor bør de roteres automatisk. Når tilgang i tillegg blir dynamisk og kortlivet, får virksomheten et ekstra sikkerhetslag, sier Pilo.

Denne modellen passer godt med moderne zero trust-prinsipper, der tilgang skal være minst mulig, tidsbegrenset og tett koblet til hvem eller hva som faktisk trenger den.

Det er særlig relevant i moderne plattformmiljøer. Når applikasjoner opprettes, endres og flyttes raskt, må også tilgangsstyringen være fleksibel og automatisert.

Tilgang handler også om robusthet

For noen virksomheter handler dette også om robusthet og kontroll over kritiske sikkerhetsmekanismer.

– Hvis alle tilgangsnøklene dine er avhengige av en skytjeneste, og den forsvinner, står du på stedet hvil, sier Wister.

 Det gjør digital suverenitet til en stadig mer relevant del av vurderingene. Hvis tilgangsmodellen er helt avhengig av én stor skyleverandør, blir også sårbarheten større dersom noe svikter, endres eller begrenses utenfor virksomhetens kontroll.

– Se på Vault som en plattformtjeneste for legitimasjon, nøkler og sertifikater, uansett om det ligger i sky, hos en hostingleverandør eller lokalt. Det gir store fordeler sammenlignet med at det vokser frem ulike øyer og teknologier som ikke spiller sammen, sier Pilo.

Start med å kartlegge hvordan tilgang faktisk styres

For mange virksomheter er det vanskeligste å vite hvor de skal begynne. Et godt første steg er derfor å se nærmere på hvordan tilgang faktisk håndteres i dag. Hvor ligger identitetene? Hvordan styres sertifikater og nøkler? Følger policyene brukeren og systemene på tvers av plattformer, eller finnes det lokale unntak som har blitt stående over tid?

Når man først ser tilgang som en del av en større kontrollkjede, blir det også tydeligere hvor de største blindsonene ligger.