Access Governance

Le violazioni della sicurezza costano alle organizzazioni milioni di dollari ogni anno. La forza della sicurezza è forte quanto l'anello più debole. È necessario rispettare i requisiti normativi salvaguardando le informazioni sui clienti. La chiave per applicare la conformità è ottenere visibilità sulle informazioni di sicurezza, come il tipo di accesso consentito in tutta l'infrastruttura. È inoltre necessario rivedere periodicamente le informazioni di accesso per garantire che le persone giuste abbiano il giusto livello di accesso alle risorse giuste. Per raggiungere questo obiettivo, automatizza le attività correlate e semplifica la presa di decisioni relative alla sicurezza da parte della tua organizzazione.

Man mano che le aziende crescono e si spostano in un ambiente multi-cloud, mantenere il giusto livello di sicurezza diventa una sfida più grande. Con la crescita del numero di sistemi on-premise e in tutto il cloud, governare le identità e l'accesso ai sistemi diventa più complesso. Il controllo manuale non funziona più in modo efficace. Per una governance efficace sono necessarie soluzioni automatizzate e intelligenti che utilizzano l'intelligenza artificiale (AI) e il machine learning (ML). Ciò si applica a una serie di task correlati alla sicurezza, ad esempio il provisioning e l'annullamento del provisioning degli utenti, il controllo dell'accesso basato sul flusso di lavoro e la visibilità su chi dispone di accesso, revisioni degli accessi e certificazioni.

Quando le identità non sono governate, possono rappresentare diversi problemi e rischi per l'azienda. Le seguenti informazioni riassumono queste sfide:

• Non c'è visibilità su chi ha accesso a cosa, aumentando il rischio.
• Se non selezionato, i privilegi di accesso vengono accumulati.
• Le politiche eccessivamente permissive e generalizzate concedono autorizzazioni ampie o illimitate.
• Gli ambienti multi-cloud e ibridi causano la duplicazione di identità e incoerenze tra i sistemi.
• Gestire e gestire le identità e l'accesso manualmente porta a problemi di complessità e scalabilità.
• L'aggregazione, la correlazione e l'orchestrazione dei dati di identità e diritti di accesso vengono distribuiti in tutto l'ecosistema IT, causando incongruenze.
• La mancanza di analytics in tempo reale porta a un processo decisionale basato su informazioni di identità e accesso non più valide.

Per affrontare queste sfide, implementa soluzioni basate su funzionalità avanzate di identity governance e amministrazione (IGA) che forniscono abilità intelligenti e in tempo reale (come l'analisi prescrittiva) per identificare anomalie e mitigare i rischi per la sicurezza in modo efficace.

Governance e amministrazione delle identità

Gartner definisce IGA come una soluzione aziendale per gestire il ciclo di vita delle identità digitali e gestire l'accesso degli utenti in ambienti on-premise e cloud. Per raggiungere questo obiettivo, gli strumenti IGA aggregano e mettono in correlazione dati eterogenei di identità e diritti di accesso distribuiti in tutto il panorama IT per migliorare il controllo sull'accesso umano e alle macchine.

IGA è una serie di criteri e tecnologie che consentono di gestire le identità digitali e i diritti di accesso. IGA adotta un approccio ampio alla gestione delle identità digitali e dei diritti di accesso. L'obiettivo di IGA è garantire che solo gli utenti autorizzati abbiano accesso alle risorse di cui hanno bisogno per svolgere il proprio lavoro, migliorare la conformità e semplificare i processi aziendali. Le soluzioni IGA in genere includono funzioni per la gestione del ciclo di vita delle identità, la governance dell'accesso, il reporting e l'analisi. Le informazioni riportate di seguito descrivono l'area IGA.

• Gestione del ciclo di vita delle identità: i processi coinvolti nella creazione, gestione e ritiro delle identità degli utenti. Sono inclusi task quali l'onboarding dei nuovi dipendenti, la licenziamento dei dipendenti cessati e la gestione delle modifiche ai ruoli e alle autorizzazioni utente.
• Governance degli accessi: la pratica di garantire che gli utenti abbiano accesso solo alle risorse di cui hanno bisogno per svolgere il proprio lavoro. Sono inclusi task quali l'assegnazione delle autorizzazioni, l'applicazione di privilegi minimi e l'audit dell'attività di accesso.
• Reporting e analytics: fornisce insight sui tuoi dati di identità e accesso. Queste informazioni possono essere utilizzate per identificare potenziali rischi, migliorare la conformità e prendere decisioni migliori sulla gestione delle identità.

L'IGA è una parte importante del livello di sicurezza generale. Implementando soluzioni IGA, i vantaggi includono:

• Rischi per la sicurezza ridotti: IGA può aiutarti a ridurre i rischi per la sicurezza garantendo che solo gli utenti autorizzati abbiano accesso ai dati sensibili. A tale scopo, è possibile implementare funzioni quali i privilegi minimi, il controllo dell'accesso basato sui ruoli, gli insight intelligenti e la separazione dei compiti.
• Migliore compliance: IGA può aiutarti a migliorare la compliance a normative come Sarbanes-Oxley, 21 CFR Part 11, Gramm-Leach-Bliley, Health Insurance Portability and Accountability Act (HIPAA) e General Data Protection Regulation (GDPR). Ciò può essere fatto fornendo funzionalità per gestire l'accesso ai dati riservati, tenere traccia dell'attività degli utenti e generare report.
• Simplified self-service: IGA può aiutarti a semplificare i processi aziendali automatizzando i task di gestione delle identità come l'onboarding e il licenziamento degli utenti e l'assegnazione delle autorizzazioni. Ciò può consentire al personale IT di concentrarsi su altre attività e migliorare l'efficienza dell'organizzazione.
• Risparmio sui costi: IGA può aiutarti a risparmiare costi e tempo grazie a dashboard efficienti e di facile utilizzo, flussi di lavoro senza codice e onboarding delle applicazioni basato su procedure guidate.

Lo scopo di IGA è quello di gestire il complesso array di diritti di accesso e repository di identità all'interno delle organizzazioni, sia on-premise che nel cloud. Garantisce l'accesso appropriato alle risorse in ambienti IT altamente connessi.

Alcune delle funzionalità chiave per una suite IGA completa per soddisfare le esigenze di un'organizzazione tipica sono:

• Gestione del ciclo di vita delle identità
• Gestione delle autorizzazioni
• Supporto per le richieste di accesso
• Orchestrazione del flusso di lavoro
• Certificazione accesso
• Provisioning tramite connettori automatizzati
• Analitica e report
• Gestione di criteri e ruoli
• Gestione password
• Separazione dei compiti

Alcune di queste funzionalità sono più essenziali per una soluzione IGA rispetto ad altre. Questo elenco descrive le funzionalità generalmente previste in una soluzione IGA.

Oracle Access Governance

Oracle Access Governance è una soluzione cloud nativa che consente di soddisfare i requisiti di governance e conformità degli accessi in molte applicazioni, carichi di lavoro, infrastrutture e piattaforme di identità. Scopri continuamente le identità, monitora i loro privilegi, apprende i modelli di utilizzo e automatizza i processi di revisione degli accessi e compliance con suggerimenti prescrittivi per fornire una maggiore visibilità sull'accesso all'intero ambiente cloud e on-premise di un'organizzazione. Access Governance semplifica le campagne di certificazione per la compliance e suggerisce in modo intelligente azioni per ridurre i rischi in tutta l'organizzazione.

Access Governance offre una soluzione di governance completa che viene eseguita con altre soluzioni di identità in un modello di distribuzione ibrido. Le organizzazioni che optano per un modello ibrido possono sfruttare le funzionalità avanzate disponibili dai servizi cloud nativi, pur conservando parti della suite IAM on-premise per i requisiti di conformità o residenza dei dati. Il servizio consente microcertificazioni ad hoc, periodiche e automatizzate basate su eventi, ad esempio una revisione dell'accesso attivata da un codice mansione o da una modifica del manager. Può eseguire revisioni degli accessi quasi in tempo reale e fornisce consigli dettagliati insieme alle opzioni che consentono ai revisori di accettare o rivedere un'abilitazione in base al livello di rischio identificato.

Per ulteriori informazioni sui dettagli e sull'uso di Access Governance, vedere:

• Access Governance - Scheda tecnica
• Documentazione su Access Governance

Access Governance è necessario per gestire l'accesso a più funzionalità per gli utenti di un'organizzazione. In un ambiente complesso in cui un utente ha accesso a più applicazioni in esecuzione in un ambiente on-premise, cloud o ibrido, è importante assicurarsi che l'utente abbia la giusta quantità di accesso per eseguire il proprio lavoro senza concedere loro un accesso eccessivo che può essere utilizzato in modo improprio.

Le organizzazioni devono avere visibilità su chi ha accesso a cosa e sulla possibilità di definire varie violazioni per evitare combinazioni pericolose di accesso. Access Governance consente di documentare l'accesso e ottenere informazioni dettagliate sull'uso degli accessi per rilevare e prevenire eventuali abusi.

Oracle Access Governance offre una piattaforma intelligente e intuitiva che consente di individuare le identità, monitorare l'accesso e mitigare i rischi sia attraverso risorse multi-cloud che on-premise sfruttando l'intelligenza artificiale e il machine learning. Automatizza le azioni correttive e applica la compliance alle policy aziendali, riducendo il carico sui team IT e di sicurezza.

Architettura di Access Governance

Il diagramma riportato di seguito mostra l'architettura funzionale di alto livello di Oracle Access Governance. Di base, offre una serie di funzionalità IGA, tra cui orchestrazione delle identità, analisi e insight, campagne di accesso e revisione dei criteri, controllo dell'accesso, audit e compliance. Fornisce connettori da integrare con una serie di sistemi on-premise, servizi cloud e applicazioni Software as a Service (SaaS).

Le organizzazioni in genere dispongono di più applicazioni, Oracle e-Business Employee Reconciliation (HRMS) e sistemi di gestione delle identità. Questi diversi sistemi possono essere inclusi in Access Governance, che a sua volta correla le identità. Access Governance consente di identificare le modalità di accesso, l'accesso di cui dispongono e il modo in cui vengono utilizzati. Sulla base di questo, il rischio di identità può essere controllato. Nei servizi cloud e nelle aree on-premise sul lato destro del diagramma, sono disponibili più servizi cloud e sistemi on-premise con accesso che deve essere controllato per queste identità.

Funzionalità di Access Governance

Le aree funzionali di base di Oracle Access Governance sono:

• Orchestrazione identità
• Controllo dell'accesso
• Controllo e conformità
• Intelligence delle identità

Il diagramma riportato di seguito mostra le funzionalità principali di ciascuna di queste aree funzionali.

Orchestrazione identità

L'orchestrazione delle identità integra i molteplici sistemi di identità di un'organizzazione nei cloud e nei sistemi di identità on-premise. Consente identità e accesso coerenti alle applicazioni indipendentemente da dove vengono eseguite e dal provider di identità. Si tratta di una funzionalità essenziale per ambienti multi-cloud e ibridi complessi in cui un singolo utente potrebbe avere più identità in sistemi diversi.

Le funzionalità chiave correlate all'orchestrazione delle identità sono le seguenti:

• Sistemi connessi
• Integrazione senza codice
• Attributi identità personalizzati
• Marcatura di identità

Sistemi connessi

Oracle Access Governance può essere integrato con i sistemi di identità di destinazione definendo un sistema connesso. Un sistema connesso consente di caricare i dati da un sistema di identità di destinazione remoto in Oracle Access Governance. Il sistema connesso definirà i parametri, ad esempio i dettagli di connessione, necessari per accedere ai dati di identità remota. Se non è possibile stabilire una connessione diretta tra Oracle Access Governance e il sistema di identità di destinazione, è possibile che un agente venga distribuito per fungere da bridge tra i due.

Un sistema connesso è la definizione di struttura per un sistema di identità di destinazione che può essere integrato e fornire dati a Oracle Access Governance. Una volta definito, il sistema connesso consente l'integrazione e la sincronizzazione dei dati tra i sistemi di identità di destinazione e Oracle Access Governance tramite una connessione diretta o un agente.

Il componente principale del servizio cloud di governance dell'accesso è l'istanza di governance dell'accesso che fornisce la separazione fisica dei dati e della configurazione per Access Governance. Nell'area In locale del lato sinistro del diagramma, è disponibile un esempio di sistemi connessi in locale. Alcuni di questi sistemi potrebbero essere fonti autorevoli che gestiscono le informazioni sull'identità. Alcuni potrebbero essere sistemi di destinazione in cui si desidera gestire l'accesso alle risorse.

Integrazione senza codice

Uno dei principi di progettazione chiave di Access Governance è quello di consentire l'integrazione senza codice e intuitiva ai sistemi connessi. La maggior parte dei sistemi on-premise utilizza un'architettura basata su agenti per l'integrazione con Access Governance. Per ogni sistema connesso in cui non è disponibile alcuna connessione diretta tra AG e il sistema di destinazione, viene generato un agente quando il sistema connesso è configurato. L'agente deve essere scaricato ed eseguito per integrare il sistema connesso con Access Governance. L'agente è in genere un'immagine contenitore eseguita come microservizio. È possibile avere uno o più di questi sistemi connessi alla governance degli accessi.

Il diagramma precedente mostra l'integrazione di Oracle Identity Governance (OIG) e Access Governance. OIG è integrato in Access Governance tramite un agente OIG che può essere eseguito nella stessa virtual machine (VM) in cui viene eseguito OIG o un'istanza VM standalone con un motore container compatibile che è Docker o Podman.

I sistemi connessi basati su cloud potrebbero anche essere fonti autorevoli o sistemi di destinazione. Per molti dei sistemi connessi basati sul cloud, viene fornita l'integrazione diretta. Ad esempio, puoi eseguire l'integrazione con IAM OCI utilizzando una chiave API. Il diagramma riportato di seguito mostra l'integrazione di Oracle OCI con Access Governance.

Puoi stabilire una connessione tra Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) e Oracle Access Governance immettendo i dettagli di connessione e configurando l'ambiente del provider di servizi cloud. Per ottenere questo risultato, utilizzare l'opzione Sistemi connessi nella console di Oracle Access Governance. Questa integrazione viene eseguita tramite una chiave API. Viene creata una chiave API per l'utente AGCS e configurata nella pagina Sistemi connessi. Una volta connesso, è possibile eseguire le revisioni dei criteri per i criteri OCI.

Attributi identità personalizzati

Oracle Access Governance recupera automaticamente gli attributi core e personalizzati definiti in un sistema connesso. I dettagli degli attributi vengono caricati automaticamente in Access Governance quando i dati vengono caricati da un sistema connesso. Se si creano ulteriori attributi personalizzati nel sistema di destinazione, dopo il caricamento iniziale dei dati, è possibile aggiornare gli attributi personalizzati nello schema di Access Governance in modo da includere gli attributi personalizzati più recenti nel successivo caricamento dei dati.

È possibile utilizzare questi attributi in Oracle Access Governance per eseguire varie funzioni, ad esempio l'esecuzione di campagne di revisione accessi, la scelta di identità per le raccolte di identità, la definizione di certificazioni basate su eventi o l'applicazione di condizioni di attributo per abilitare/disabilitare il set di dati di identità disponibile.

Contrassegno identità

La funzione di contrassegno delle identità consente agli amministratori di attivare o disattivare le identità all'interno del servizio e di contrassegnare le identità come utenti forza lavoro o consumer. È importante comprendere il significato di questa terminologia in Access Governance.

• Identità attive: identità contrassegnate come attive all'interno del servizio Oracle Access Governance, che abilita le funzioni principali, incluse le revisioni degli accessi e il controllo degli accessi.
• Identità inattive: identità contrassegnate come inattive all'interno del servizio Oracle Access Governance non regolate da Active Governance e non considerate per la fatturazione.
• Utenti forza lavoro: utenti che in genere sono dipendenti che richiedono l'accesso a Access Governance e le cui identità sono gestite attivamente. Questi utenti possono eseguire attivamente attività di revisione o gestione in AG.
• Utenti consumer: gli utenti che non dispongono dell'accesso al servizio Access Governance e i relativi privilegi di accesso devono essere assegnati o gestiti da altri utenti.

Uno dei primi passi nella configurazione della governance attiva consiste nel contrassegnare le identità in modo appropriato come utenti forza lavoro o consumatori e attivarle all'interno del sistema di governance attiva.

Controllo dell'accesso

Il controllo dell'accesso offre un modo centralizzato per gestire l'accesso alle risorse. Utilizza una vasta gamma di tecniche, tra cui il controllo dell'accesso basato sui ruoli (RBAC), il controllo dell'accesso basato sugli attributi (ABAC) e il controllo dell'accesso basato su criteri (PBAC, Policy-based Access Control) per garantire che gli utenti abbiano accesso solo alle risorse di cui hanno bisogno per svolgere il proprio lavoro. Le organizzazioni utilizzano il controllo dell'accesso per migliorare le impostazioni di sicurezza. Il controllo degli accessi include:

• Richieste di accesso
• Workflow approvazione
• Raccolte di identità
• Bundle accessi
• Ruoli (RBAC)
• Criteri (PBAC)

Richieste di accesso

Gli utenti di Oracle Access Governance possono richiedere l'accesso a risorse e ruoli. Le richieste possono essere fatte per se stessi o per gli altri. Questo processo crea una richiesta di accesso concessa senza ulteriori azioni o soggetta a un flusso di lavoro di approvazione.

• Il processo utilizza un approccio self-service con un catalogo di accesso semplificato.
• Access Governance offre un'esperienza utente modernizzata per generare e tenere traccia delle richieste di accesso e delle approvazioni.
• Il flusso di lavoro di approvazione è personalizzabile in base alle esigenze dell'organizzazione.
• Access Governance migliora la produttività automatizzando l'evasione per i privilegi di accesso approvati.

Workflow di approvazione

Ogni autorizzazione o ruolo che deve essere assegnato a un utente deve essere elaborato tramite un flusso di lavoro di approvazione. L'amministratore delle risorse deve progettare il flusso di lavoro specificando il livello di approvazione richiesto e il numero di approvatori. È possibile utilizzare questi flussi di lavoro per ottenere le approvazioni prima di assegnare o revocare i privilegi utente.

Ad esempio, quando un utente richiede l'accesso a un bundle accessi tramite Access Governance, il workflow di approvazione associato a tale accesso o autorizzazione attiva una notifica tramite e-mail agli approvatori, che rivedono la richiesta e la approvano, la rifiutano o possono richiedere ulteriori informazioni. Il risultato del processo di approvazione viene aggiornato nel sistema di gestione delle autorizzazioni.

I flussi di lavoro predefiniti forniti con Oracle Access Governance includono le funzioni riportate di seguito.

• Ai revisori viene inviata una notifica relativa alle revisioni degli accessi assegnate e in sospeso.
• Oracle Access Governance supporta flussi di lavoro di revisione dell'accesso di un livello, due livelli e tre livelli.
• È possibile accettare o revocare le revisioni degli accessi.

I flussi di lavoro in Oracle Access Governance consentono di:

• Creazione del flusso di lavoro completamente configurabile senza codifica.
• Flussi di lavoro che supportano le approvazioni in più fasi in cui è possibile configurare gli approvatori.
• Possibilità di configurare se tutti o uno degli approvatori deve approvare la richiesta
• Suggerimenti per il flusso di lavoro intelligente in base ai criteri selezionati.
• Supporto per gli approvatori dell'escalation nei casi in cui gli approvatori non hanno eseguito alcuna azione.

Raccolte di identità

Il controllo dell'accesso basato su attributi (ABAC, Attribute-based Access Control) è un metodo di controllo dell'accesso alle risorse in base agli attributi dell'utente e della risorsa. Gli attributi possono includere la funzione mansione, il reparto, l'ubicazione e l'ora del giorno dell'utente. Access Governance utilizza le raccolte di identità per ABAC.

Le raccolte di identità sono gruppi di identità basati su attributi condivisi o identità denominate. Queste identità vengono inserite nei sistemi connessi mediante l'orchestrazione delle identità.

Raccolte di identità semplificano i task consentendo di configurare le funzioni per una raccolta di identità, anziché per ogni identità. È possibile utilizzare le raccolte di identità per:

• Associare le identità a bundle o ruoli di accesso appropriati utilizzando i criteri.
• Delega i task di revisione dell'accesso a una raccolta di identità.
• Assegna come approvatori nei flussi di lavoro di approvazione.

Bundle accessi

Le aziende dispongono di più applicazioni e servizi ai quali è necessario controllare l'accesso. Ciascuna di queste applicazioni potrebbe definire più autorizzazioni da concedere in base al ruolo dell'utente. A volte queste autorizzazioni sono a grana grossa e a volte sono a grana fine. Sebbene sia possibile concedere queste autorizzazioni singolarmente agli utenti, possono essere complesse e soggette a errori. In genere, in base al caso d'uso, gli utenti richiedono un set di autorizzazioni per eseguire i propri task. Concedere solo una parte di queste autorizzazioni causerebbe problemi e ritardi nello svolgimento dei loro compiti.

I bundle degli accessi si basano sull'utilizzo di un set di autorizzazioni sempre raggruppate per eseguire le responsabilità dell'utente.

Un bundle accessi è una raccolta di autorizzazioni che raggruppano l'accesso a risorse, funzioni dell'applicazione e funzionalità in un'unità richiedibile. Un bundle accessi specifico è associato a una singola destinazione. Gli utenti di una determinata risorsa non sono tenuti a richiedere ogni autorizzazione associata a tale risorsa. Richiedono invece il bundle accessi per tale risorsa. Ciò semplifica il processo di richiesta delle autorizzazioni delle risorse.

Ad esempio, è possibile creare un bundle accessi per gli sviluppatori utilizzando l'applicazione target Oracle Integration. È possibile chiamare questo bundle Integration Developer Access e selezionare le autorizzazioni di lettura, modifica e creazione necessarie per consentire a uno sviluppatore di integrazione di utilizzare l'applicazione. Quando uno sviluppatore dell'organizzazione deve richiedere l'accesso degli sviluppatori all'applicazione Oracle Integration, deve solo richiedere il bundle, non le singole autorizzazioni. I bundle accessi sono gestiti dai proprietari dell'applicazione e possono essere richiesti dal catalogo accessi.

Una volta definito, il bundle accessi può essere assegnato a ruoli o utilizzato nei criteri per concedere il set di autorizzazioni. I ruoli e i criteri sono in genere gestiti dagli amministratori, il che fornisce un modo per separare le mansioni.

Ruoli

Il controllo dell'accesso basato sui ruoli (RBAC, Role-Based Access Control) è un metodo di controllo dell'accesso alle risorse in base ai ruoli di cui dispongono gli utenti. I ruoli vengono assegnati agli utenti in base alla funzione mansione, al reparto o ad altri criteri.

In Access Governance, un ruolo è un gruppo di bundle accessi per una o più applicazioni e servizi. I bundle accessi contenuti in un ruolo possono estendersi su più destinazioni. Un esempio potrebbe essere un ruolo di amministratore del database che raggruppa l'amministratore del database per Oracle. Amministratore DB per DB2 e amministratore DB per i bundle di accesso MySQL. Ciò consente di creare ruoli che combinano i bundle accessi pertinenti per l'esecuzione di tale ruolo. Questi ruoli possono quindi essere associati alle identità mediante criteri. Un ruolo non fornisce l'accesso a una risorsa per impostazione predefinita. L'accesso viene concesso a un'identità quando un ruolo viene assegnato a tale identità mediante un criterio o una richiesta self-service. I ruoli sono gestiti dagli amministratori dei ruoli e possono essere richiesti dal catalogo di accesso.

Criteri

Il controllo dell'accesso basato su criteri (PBAC, Policy-based Access Control) è un metodo di controllo dell'accesso alle risorse basato su criteri. I criteri sono regole che definiscono chi può accedere a quali risorse e in quali condizioni.

I criteri associano risorse e autorizzazioni alle identità tramite ruoli e bundle accessi. Il diagramma riportato di seguito mostra come gestire i criteri all'interno del servizio Access Governance.

Le raccolte di identità sono un gruppo di identità utente definite in base agli attributi. Gli utenti devono accedere alle applicazioni e ai servizi e le autorizzazioni vengono inserite nei bundle degli accessi. I ruoli possono raggruppare i bundle di accesso in base ai casi d'uso. I criteri associano le raccolte di identità ai ruoli o ai bundle accessi. Il PBAC consente l'accesso con diritti di nascita e just-in-time e offre un modo per centralizzare la gestione dei criteri e le revisioni degli accessi che possono essere gestite da revisori interni e amministratori della conformità.

Gestione controllo e conformità

Access Governance aiuta a garantire governance e compliance fornendo una visione centralizzata di tutti i dati di identità e accesso, oltre a strumenti per la gestione delle policy di accesso, l'esecuzione di valutazioni dei rischi e l'audit della compliance.

Governance e compliance sono concetti strettamente correlati che sono importanti per un'organizzazione per proteggere i propri dati e asset.

• La governance si riferisce all'insieme di criteri, processi e procedure che un'organizzazione utilizza per gestire il proprio ambiente IT. Si concentra sul garantire che i sistemi IT dell'organizzazione siano allineati agli obiettivi e agli obiettivi aziendali.
• La conformità si riferisce all'atto delle seguenti regole, leggi e regolamenti. Si concentra sul garantire che i sistemi IT dell'organizzazione siano conformi alle normative pertinenti.

Governance e compliance sono concetti correlati. Una buona governance è essenziale per garantire la conformità e la conformità è essenziale per mantenere una buona governance. Di seguito sono riportate le funzionalità principali.

• campagne
• Revisioni accessi
• Recensioni dei criteri
• Revisioni basate su eventi
• Delega

campagne

Una campagna di revisione degli accessi è un processo sistematico per rivedere e aggiornare l'accesso degli utenti alle risorse. Le campagne di revisione degli accessi vengono in genere condotte su base regolare, ad esempio annualmente o trimestralmente, per garantire che gli utenti abbiano accesso solo alle risorse di cui hanno bisogno per svolgere il proprio lavoro.

Le campagne di revisione degli accessi in genere prevedono i passi riportati di seguito.

• Creare la campagna.
• Definire l'ambito della campagna scegliendo gli elementi da includere nella revisione.
• Configurare il workflow approvazione.
• Schedula la campagna come campagna una tantum o periodica, eliminando la necessità di tenere traccia manualmente di queste campagne.
• Eseguire la campagna.

La campagna viene completata al termine di tutti i task di revisione.

Le campagne di revisione degli accessi sono una parte importante del livello di sicurezza. Esaminando regolarmente l'accesso degli utenti, puoi contribuire a mitigare il rischio di accesso non autorizzato a dati e sistemi sensibili.

Le campagne di revisione degli accessi di Oracle Access Governance vengono utilizzate per rivedere i diritti di accesso. Access Governance supporta i seguenti tipi di campagne di revisione degli accessi:

• Campagne di revisione degli accessi degli utenti: comprende un gruppo di revisioni degli accessi per i membri della popolazione aziendale in cui viene controllato l'accesso individuale a un'origine specifica e viene certificato o corretto.
• Campagne di revisione dei criteri: comprende un gruppo di revisioni dei criteri che valuta il controllo dell'accesso dei criteri IAM (Identity and Access Management).
• Revisioni degli accessi basate sugli eventi: le revisioni degli accessi avviate automaticamente da Oracle Access Governance quando si verificano uno o più tipi di eventi predefiniti.
• Campagne di revisione della raccolta di identità: campagne di revisione degli accessi occasionali o periodiche per la revisione delle raccolte di identità definite in Access Governance o derivate da OCI.

Revisioni accessi

Una revisione dell'accesso è la revisione dell'accesso e delle autorizzazioni per un'entità, in genere un utente finale, che viene eseguita per confermare se l'accesso e le autorizzazioni assegnate a tale entità sono ancora validi.

Un amministratore della campagna può creare campagne di revisione accessi occasionali o periodiche nella console di Oracle Access Governance. È possibile definire criteri di selezione in base a utenti, applicazioni, autorizzazioni e ruoli. È inoltre possibile definire il flusso di lavoro di approvazione per selezionare il numero di livelli di revisione, la durata della revisione e i dettagli del revisore.

Il diagramma precedente mostra i criteri di selezione che definiscono l'ambito delle revisioni degli accessi. Le informazioni riportate di seguito descrivono i criteri.

• Chi ha accesso: criteri per filtrare gli utenti in base agli attributi standard (organizzazione, mansione, ubicazione) o personalizzati.
• A cosa accedono: criteri per filtrare gli utenti in base alle risorse a cui hanno accesso.
• Quali autorizzazioni: criteri per filtrare gli utenti in base alle singole autorizzazioni, ad esempio creare, aggiornare, terminare, approvare o accedere ai bundle.
• Quali raccolte di identità: consente di eseguire la revisione della raccolta di identità.

Revisioni polizze

Un amministratore della campagna può creare revisioni di criteri su richiesta per OCI definendo i criteri di selezione in base ai criteri associati agli utenti. Il flusso di lavoro di approvazione può essere creato selezionando il numero di livelli di revisione, la durata della revisione e i dettagli del revisore.

Il diagramma precedente mostra i criteri di selezione che definiscono gli ambiti delle revisioni dei criteri. Le informazioni riportate di seguito descrivono i criteri.

• Chi ha accesso: criteri per filtrare gli utenti in base agli attributi standard (organizzazione, mansione, ubicazione) o personalizzati.
• A cosa accedono: criteri per filtrare gli utenti in base alle risorse a cui hanno accesso.
• Quali tenancy: criteri per filtrare gli utenti in base alle tenancy da includere nell'ambito.
• Quali criteri: scegliere i criteri in base ai quali verrà eseguita la revisione.
• Quali ruoli: scegliere i ruoli per i quali vengono eseguite le revisioni dei criteri.

Revisioni basate su eventi

Le revisioni degli accessi basate su eventi sono revisioni degli accessi avviate automaticamente da Oracle Access Governance quando si verificano uno o più tipi di evento predefiniti. Il diagramma riportato di seguito mostra il funzionamento delle revisioni degli accessi basate sugli eventi.

Ogni volta che si verificano eventi quali la modifica del codice di job, la modifica della posizione e così via, vengono avviate le revisioni degli accessi basate sugli eventi. I revisori possono utilizzarli per controllare, certificare o correggere i ruoli utente o applicazione interessati, le autorizzazioni o le abilitazioni. Le revisioni degli accessi basate su eventi possono essere abilitate per gli attributi di base (ad esempio, codice mansione, organizzazione, ubicazione e così via) oltre agli attributi personalizzati (ad esempio, centro di costo, codice progetto e così via).

È possibile definire il flusso di lavoro per la revisione in termini di numero di livelli di revisione, durata e chi esegue la revisione. I più eventi si verificano quando Oracle Access Governance riceve modifiche per più tipi di evento associati a una singola identità. Un flusso di lavoro condiviso viene applicato quando vengono identificati più eventi. È possibile analizzare le informazioni sulle revisioni degli accessi basate sugli eventi generando report che utilizzano la funzionalità di report basata sugli eventi di Oracle Access Governance.

Delega

È possibile delegare approvazioni o accedere a revisioni ad altri utenti per i motivi riportati di seguito.

• Indisponibilità a causa di ferie, malattia o lavoro su altri task
• La persona più qualificata prende decisioni
• Sviluppare la capacità di qualcuno di gestire incarichi aggiuntivi

Il seguente diagramma mostra il concetto di delega.

In Oracle Access Governance è possibile impostare e gestire le preferenze. Gli utenti possono delegare task e attività utilizzando la console di Oracle Access Governance. È possibile utilizzare l'impostazione Preferenze personali per assegnare task e attività a un altro utente o raccolta di identità. È possibile scegliere quando avviare questo processo di delega e specificare anche la durata della delega.

In Oracle Access Governance è possibile delegare chi esegue le revisioni degli accessi e chi esegue le approvazioni per conto dell'utente. Un task può essere delegato a un individuo o a una raccolta di identità. La raccolta di identità può contenere uno o più membri. La durata della delega può essere impostata su un intervallo di tempo o a tempo indeterminato.

Intelligence identità

L'intelligence sulle identità fornisce alle organizzazioni informazioni sulla sicurezza e sui rischi raccogliendo dati da una vasta gamma di origini e quindi utilizzando il machine learning e l'intelligenza artificiale per analizzare i dati e identificare modelli e tendenze. Oracle Access Governance analizza ogni identità e i relativi privilegi, crea insight su potenziali violazioni delle assegnazioni e della sicurezza ad alto rischio e consiglia misure correttive. Ciò consente ai revisori dell'accesso di prendere rapidamente decisioni correttive. Questa funzionalità abilita:

• Assimilazione e analisi dei dati di identità e dei privilegi di accesso.
• Riconoscimento degli insight contestuali e identificazione dei punti ciechi di sicurezza.
• I suggerimenti sulle misure correttive consentono ai revisori dell'accesso di prendere rapidamente decisioni correttive.

Di seguito sono riportate le funzionalità principali.

• Analytics prescrittivi utilizzando l'intelligenza artificiale e il machine learning
• Insight sulle identità
• Risoluzione
• Correlazione

Analytics prescrittivi mediante AI, Machine Learning e insight sulle identità

L'analisi prescrittiva è un tipo di analisi dei dati che va oltre la descrizione o la previsione di ciò che è successo o cosa potrebbe accadere. Prende il passo successivo di suggerire la migliore linea d'azione da intraprendere in una determinata situazione.

L'analisi prescrittiva utilizza una varietà di tecniche, tra cui l'apprendimento automatico, l'ottimizzazione e la simulazione, per analizzare i dati e identificare la migliore linea d'azione possibile. Questo può essere utilizzato per migliorare il processo decisionale in una vasta gamma di settori, come le imprese, l'assistenza sanitaria e il governo.

Oracle Access Governance utilizza l'intelligenza artificiale e l'analisi prescrittiva basata sul machine learning per fornire insight intelligenti e la gestione del rischio. Analisi approfondite e suggerimenti ad alta fedeltà semplificano l'approvazione o la negazione dell'accesso da parte dei revisori.

Approfondimenti sulle identità

Oracle Access Governance utilizza l'intelligenza artificiale e il machine learning per fornire revisioni degli accessi basate su insight, analisi delle identità e funzionalità di intelligence per le aziende.

Di seguito sono riportati alcuni dei modi in cui Oracle Access Governance utilizza l'intelligenza artificiale e il machine learning.

• Analisi dei gruppi peer: Oracle Access Governance utilizza l'intelligenza artificiale per identificare gruppi di utenti peer con privilegi di accesso simili. Queste informazioni possono essere utilizzate per identificare gli utenti che potrebbero disporre di privilegi di accesso eccessivi.
• Rilevamento dei valori anomali: Oracle Access Governance utilizza il machine learning per identificare gli utenti che dispongono di pattern di accesso diversi dalla norma. Queste informazioni possono essere utilizzate per identificare gli utenti che potrebbero essere a rischio di abusare dei loro privilegi di accesso.
• Suggerimenti: Oracle Access Governance utilizza l'intelligenza artificiale per generare suggerimenti per le revisioni degli accessi e le azioni correttive. Queste informazioni possono aiutarti a migliorare la sicurezza dei loro dati.
• Flussi di lavoro automatizzati: Oracle Access Governance utilizza il machine learning per automatizzare attività come le revisioni degli accessi e le azioni di risoluzione. Ciò può aiutarti a migliorare l'efficienza dei loro processi di gestione degli accessi.

Access Governance, con l'intelligenza al centro, recupera le identità e ottiene i criteri da vari sistemi che lo rendono un sistema in grado di gestire applicazioni e altri sistemi di identità. Con le identità e le autorizzazioni raccolte, Access Governance mostra chi ha accesso a cosa. Con i criteri, può anche mostrare l'intelligence su come le identità hanno avuto accesso alle autorizzazioni. Grazie alle informazioni sull'uso delle applicazioni, può anche fornire informazioni dettagliate su ciò che accade con l'accesso di provisioning. Ciò consente di ridurre rischi e costi ottimizzando gli accessi alle persone, ai bot e ai servizi giusti.

Access Governance utilizza una vasta gamma di tecniche per fornire visibilità sulle autorizzazioni di accesso:

• Oracle Access Governance può essere utilizzato per eseguire revisioni periodiche o basate sugli eventi degli accessi. Ciò consente alle organizzazioni di garantire che gli utenti dispongano solo dell'accesso di cui hanno bisogno per svolgere il proprio lavoro.
• Oracle Access Governance può essere utilizzato per analizzare i dati di identità per identificare i potenziali rischi, ad esempio gli utenti con privilegi di accesso eccessivi o gli utenti che hanno lasciato l'organizzazione ma che hanno ancora accesso ai dati riservati.
• Oracle Access Governance può essere utilizzato per generare report e dashboard che forniscono approfondimenti sulle autorizzazioni di accesso. Queste informazioni possono essere utilizzate per migliorare la sicurezza dei dati dell'organizzazione.

Tre dashboard forniscono ulteriori informazioni su chi ha accesso a cosa, come mostrato nel diagramma seguente.

Di seguito sono riportati i dashboard.

• Accesso personale
  • Gli utenti possono visualizzare i dettagli dell'applicazione, delle risorse cloud, delle autorizzazioni e dei ruoli assegnati a se stessi.
• Accesso personale subordinati:
  • I manager possono visualizzare i dettagli delle applicazioni, delle risorse cloud, delle autorizzazioni e dei ruoli assegnati ai propri riporti diretti.
  • Questa funzione è disponibile in base al sistema connesso e non è disponibile con tutti i sistemi connessi supportati.
• Accesso a livello aziendale
  • Gli utenti con ruolo di amministratore possono ottenere una vista a 360 gradi di tutte le risorse e le autorizzazioni assegnate per tali risorse dalla console di Oracle Access Governance.
  • Nella pagina Accesso a livello aziendale è possibile visualizzare un elenco delle risorse e dei tipi di risorse dell'intera organizzazione in vari sistemi connessi a Oracle Access Governance e recuperare le identità attualmente assegnate a tale risorsa, il livello di autorizzazione e la modalità di assegnazione o concessione di tali autorizzazioni.

Risoluzione

La correzione della sicurezza è il processo di identificazione e risoluzione delle vulnerabilità della sicurezza. È una parte importante del livello di sicurezza di un'organizzazione perché aiuta a ridurre i rischi e migliorare la compliance. Access Governance fornisce le funzionalità correlate alle misure correttive riportate di seguito.

• Suggerimenti: in base all'analisi del machine learning, Access Governance consente di identificare e consigliare l'azione appropriata. L'azione di risoluzione potrebbe essere accettata o revocata come consigliato da Access Governance.
• Voce di giustificazione personalizzabile: quando un revisore intraprende un'azione sulla misura correttiva, ha la possibilità di fornire una giustificazione. È configurabile in Access Governance in base al tipo di suggerimento.
• Risoluzione automatica al completamento della campagna: al termine della campagna, Access Governance può eseguire automaticamente le misure correttive nella console di Access Governance.

Correlazione identità

Le identità di sistemi diversi vengono automaticamente correlate in Access Governance. La correlazione è una capacità che è la base per fornire una visione a 360 gradi degli utenti.

Access Governance esegue le seguenti attività di correlazione:

• Correlare le identità in base all'ID e-mail e/o ai nomi utente.
• Combina l'intelligenza in base all'identità unificata e fornisci insight basati su di essa.
• Rileva identità senza pari per i sistemi di destinazione e fornisci un report per la risoluzione dei problemi.

Best practice per la governance degli accessi

• Creare un'istanza di Access Governance nel proprio dominio di Identity e compartimento utilizzando l'amministratore del dominio di Identity. Ciò consente di isolare Access Governance dal resto delle applicazioni e offre la flessibilità di aggiungere o rimuovere qualsiasi utente di Access Governance in un dominio di Identity OCI specifico.
• Creare un utente per l'amministrazione dell'istanza di Access Governance, assegnare il ruolo di amministratore di Access Governance e fare in modo che l'utente esegua tutti i task correlati all'amministrazione di Access Governance. Non utilizzare l'amministratore della tenancy per questi task.
• A scopo di sviluppo o test, creare istanze separate del servizio Access Governance per isolare i dati. Ogni istanza del servizio è indipendente e gestisce i propri dati di configurazione e snapshot.
• Comprendere i vari ruoli di Access Governance e le responsabilità separate in base ai ruoli. Assicurarsi che gli utenti LOB possano eseguire le funzioni necessarie senza l'intervento dell'IT.
• Identificare i ruoli e le responsabilità degli utenti e configurarli come utenti della forza lavoro o utenti consumer in modo appropriato.
• Definisce e utilizza una convenzione di denominazione coerente per tutte le risorse di Access Governance, inclusi il nome dell'istanza, i nomi delle risorse di controllo dell'accesso, i nomi delle campagne e i sistemi connessi. Ad esempio:
  1. si_presidents_office_qa
  2. campaign_ocitenancy_policy_review_oct23
  3. target_ops_database_dbum
• Gestisci le tue identità OCI fin dall'inizio utilizzando Access Governance integrandoti con IAM OCI.