완전한 Identity Governance 및 관리 솔루션을 정의하는 것은 무엇인가요?
강력한 IGA 솔루션은 다음과 같은 이점을 제공함으로써 차별화됩니다:
- 계정 및 리소스에 대한 포괄적인 보기 제공 - IGA는 관리되는 각 리소스의 신원, 권한, 위험 정보뿐만 아니라 액세스하는 사람의 신원 및 역할도 보유해야 합니다.
- 고무 도장 승인 방지 - 권한 요청에 대한 검증되지 않은 승인을 방지하는 데 중점을 둔 효과적인 IGA 솔루션에는 IT 관리자가 아닌 정보 및 비즈니스 소유자에게 정보를 제공하도록 특별히 설계된 워크플로가 포함됩니다. 요청에 대한 검사 수준을 높이려면 요청자에 대한 모든 관련 정보와 효과적인 생산성 및 위험 지표를 통해 빠르게 읽을 수 있도록 설계된 리소스를 제공해야 합니다.
- 강력한 증명 - 스냅샷을 제때 보고하는 것이 아니라 지속적인 규정 준수를 확인할 수 있는 정확한 보고서를 제공합니다. 필요한 경우, 잘 설계된 IGA 인프라는 특정 사용자 그룹의 실제 액세스를 확인할 수 있는 분석을 제공할 수 있습니다. 보고서의 디자인은 빠르게 검토할 수 있어야 하며, 증명 보고서를 생성하고 포함하기 쉬워야 합니다. 이러한 수준의 증명은 보안 팀에 확신을 주지만, 액세스 거버넌스가 포괄적인 IGA 환경의 ID 수명 주기 및 액세스 관리 구성 요소와 긴밀하게 통합되어 있어야 합니다.
완전한 IGA 환경은 다른 솔루션에 비해 어떤 특별한 가치가 있나요?
ID 거버넌스 및 관리는 자격을 관리하고 보안 감사자에게 강력한 증명을 제공하지만, 조직의 ID 및 액세스 관리 인프라의 기본 구성 요소가 될 수 있는 잠재력을 가지고 있습니다:
- 권한 관리는 모든 조직의 최소 권한 전략의 기본 요소입니다. 최소 권한 보안은 내부 위협으로부터 보호할 뿐만 아니라 누군가의 자격 증명이 유출되어 악용되었을 때 피해를 제한하는 데 도움이 됩니다. 올바르게 수행하면 ID 수명 주기 작업과 독립적으로 작동하는 것이 아니라 이를 안내하고 호출하는 데 사용할 수 있습니다.
- 거버넌스 플랫폼에서 리소스를 온보딩하는 단계 중 하나는 리소스의 위험 및 위험 기준을 정의하는 것입니다. 민감한 리소스에 대한 적절한 위험 정의는 승인자와 검토자에게 정확한 정보를 제공합니다. 또한 위험 서비스에서 이를 사용하여 적응형 액세스 관리 조치를 지시할 수 있습니다. 잠재적인 인증 및 권한 부여 작업을 위한 세션 기반 액세스 제어에 사용되는 기준이 사용자의 컨텍스트(지리적 위치, IP 범위, 디바이스 ID 등)로 제한되는 경우가 너무 많습니다. 리소스 자체의 위험성을 고려하면 사용자 경험을 최적화하면서 보안을 강화할 수 있는 보다 세분화되고 효과적인 적응형 액세스 접근 방식을 제공할 수 있습니다. 다단계 인증을 위해 사용자가 중단되는 횟수를 제한하면 마찰이 줄어들고 사용자 환경이 최적화됩니다.
NetIQ 는 IGA 솔루션을 더욱 지능적으로 만들기 위해 무엇을 하고 있을까요?
위에서 설명한 대로 견고한 IGA 기반을 구축하는 것이 가장 중요하지만, NetIQ 에서는 거버넌스 자동화를 더욱 포괄적이고 효과적으로 활용하여 정보 소유자가 데이터를 보호할 수 있도록 지원하기 위해 지속적으로 노력하고 있습니다. ID 및 액세스 관리 인프라 내에서 단기적인 ID 거버넌스 및 관리 개발 방향은 다음과 같습니다:
- 차세대 IGA는 승인자와 검토자가 빠르게 이해할 수 있는 형식으로 최상의 정보를 제공하는 것 외에도 최소 권한 모범 사례와 조직 정책을 통합하여 권한 분석을 자동화합니다. 민감한 정보와 해당 정보에 액세스하는 사용자의 위험 점수를 자동으로 상승시켜 검토 및 잠재적인 보안 조치에 대한 우려 사항을 강조합니다.
- 이전 글에서 설명한 인텔리전스 기반 자동화 시나리오는 실제 사용량에 대한 행동 분석으로 보강하는 것이 가장 좋습니다. 이러한 유형의 분석을 통해 특정 ID와 리소스에 집중하여 조직에 가하는 위험을 재평가할 수 있습니다.
- 전통적으로 IGA에는 시스템에 대한 루트 액세스 거버넌스가 포함되지 않았지만, 서버 호스팅 데이터 및 실행 파일에 대한 액세스 보안을 위해서는 보다 공식적인 접근 방식이 필요합니다. 시스템 관리자가 다양한 보안 메커니즘을 우회할 수 있다는 점에서 루트 권한 보안의 중요성은 분명합니다. 이러한 수퍼유저는 다양한 수준의 관리를 위임하고 관리할 수 있을 뿐만 아니라 액세스 권한이 너무 많기 때문에 시스템 관련 작업을 고급 모니터링하면 잠재적으로 중요한 포렌식 정보를 얻을 수 있습니다.
잘 구축된 IGA 환경은 구현하기 쉽지 않습니다. 경영진과 다양한 비즈니스 소유자의 동의를 얻는 것은 길고 고르지 않은 과정이 될 수 있습니다. 정보 소유자를 설득하여 리소스를 적절하게 온보딩하려면 투자가 필요하며, 업데이트가 필요한 환경 변화에 대해 지속적으로 연락을 취하는 것도 마찬가지입니다. 하지만 이러한 유형의 보안 투자는 그만한 가치가 있습니다. 조직은 디지털 비즈니스 운영의 민첩성을 높이는 동시에 위험을 낮출 수 있습니다.
Identity Governance 및 관리에 투자해야 하는 이유는 무엇인가요?
IGA의 포괄적인 특성을 이해하고 나면 자연스럽게 우리 환경에 이 정도의 투자가 필요한지 질문하게 됩니다. 조직마다 고유한 요구 사항이 있을 수 있지만, 다음은 관리의 깊이와 폭을 결정하는 데 도움이 될 수 있는 몇 가지 일반적인 고려 사항입니다:
거의 모든 조직은 재무 및 인사 정보를 보호해야 하지만, 거버넌스가 필요한 다른 유형의 민감한 데이터도 보유하고 있을 수도 있고 그렇지 않을 수도 있습니다:
- 고객 정보 - 이러한 유형의 정보는 매우 다양합니다. 조직은 콘텐츠를 개인화하기 위해 쿠키 정보 또는 소셜 ID를 수집하는 경우에도 다양한 주 또는 연방 규정의 적용을 받을 수 있습니다. GDPR(일반 데이터 보호 규정)과 같은 다른 전 세계적인 의무 사항도 있습니다. 개인 프로필이나 금융 정보를 보유하게 되면 최소 권한 보안이 필요할 가능성이 높기 때문에 GDPR 요건은 IGA 수준의 보호가 필요합니다. 또한 리테일러와 서비스 제공업체(PSP) 및 업계 파트너 간에 조율이 필요합니다. 이러한 운영이 소규모가 아닌 한, 성숙한 ID 거버넌스 솔루션 없이 개인정보 보호 의무를 충족하는 것은 상상하기 어렵습니다.
- 지적 재산은 특허 정보, 기술 또는 비즈니스 핵심 역량, 기타 영업 비밀 등 그 형태에 관계없이 유출 시 조직에 심각한 위험을 초래할 수 있습니다. 조직에서 권한 프로세스를 자동화하는지 여부와 관계없이 거버넌스 전략을 개발하기 전에 소중한 비밀에 대한 신중한 검토가 필요할 수 있습니다.
- 환자 정보 - 의료 업계의 디지털 혁신으로 인해 의료 서비스 제공자는 자격 관리와 규제 대상 정보의 증명을 자동화해야 했습니다. 전자 의료 기록(EHR) 및 기타 보호 대상 건강 정보(ePHI)로의 전환으로 인해 정부는 엄격하고 구체적이며 징벌적인 개인정보 보호를 시행하고 있습니다. 의료 산업은 다른 어떤 산업보다 개인정보 침해로 인한 손실이 가장 큰 산업입니다. 금전적 손실 외에도 의료 기록 유출은 가장 민감한 정보를 포함하고 있기 때문에 환자의 신뢰에 해를 끼칩니다. 건강 정보와 금융 정보를 모두 아우르는 정보는 사기에 악용될 수 있습니다.
- 금융 서비스 - 규제가 엄격한 또 다른 산업인 금융 서비스는 악의적인 담합과 개인정보 침해를 방지하기 위해 고안된 일련의 규제를 받습니다. 개인정보 보호는 사기나 기타 유형의 도난으로부터 보호하기 위해 필요합니다. 모든 금융 기관에는 자동화된 거버넌스가 필요하며 데이터 소유자가 직접 참여하는 솔루션이 큰 도움이 된다는 것은 안전한 주장입니다.