NetIQ調查之如何保障微軟AD安全
活動目錄即AD的管理與安全對于企業組織來說至關重要,下面是一份調查結果的演示、分析以及討論。
本文展示了NetIQ主辦的活動目錄管理與安全的調查結果。活動目錄(以下簡稱AD)管理與安全的調查,于2009年7月執行。這份研究提供了AD的管理與實施所面臨的安全挑戰方面的見解,檢查企業IT組織中的AD的權屬部門,表明企業安全組織對AD日益增長的影響。
調查概覽
2009 NetIQ AD管理與安全調查由一個總的統計學問題和九個多項選擇題目組成:六個問題允許單項答案,三個問題允許多項答案。這些問題是由NetIQ在微軟AD方面的領先專家的幫助和監督下選定的。 調查的受訪者包括277位唯一參與者,代表不同行業,包括但不限于教育、健康、金融和銀行、政府以及制造業。
主要內容
本文分為兩個主要部分:一份關于調研結果的演示和分析;一份關于為何企業必須有能力成功并安全地管理、實施AD環境的討論。
這一調查結果和報告,分節闡明了對這些調研問題的應答。結果分為如下幾個部分:
管理與實施AD: 檢查分配給AD管理者的資源;這些團隊達到業務需求的能力;用于實施、管理和保證AD安全的工具。
AD的挑戰:企業深刻地體驗到AD的實施、管理和安全方面的困擾與痛處,對此十分關注。
AD中的權限及影響: 判定并檢查組織中在AD管理、實施和安全職責方面的委派。
文章的末尾對組織如何更有效地管理AD環境的實施和安全性提出了建議。此外,這個部分闡述了NetIQ怎樣幫助企業的IT組織更好地交付符合業務目標的安全的AD服務。
調查參與者人員組成情況
AD已日益成為各種規模的組織中事實上的標準目錄服務。為了保證我們的調查的答案與企業相關,因此只篩選出企業組織中的答題者。這樣,調查結果有277份有效的答卷 - 圖1顯示出答題者所處的組織的規模構成情況。
調查結果和報告:
AD的管理與實施
AD從IT組織中的一種支持技術已經發展成為一種核心服務,它驅動著一個實體中的人和他們的設備的關鍵的信息。此章關注于企業如何分配資源幫助保證AD的成功管理、實施和安全。
為了確定組織中管理AD可用資源的基線,調查參與者被問到他們的組織中被分配的AD實施、管理和安全方面的人員數量。如圖2所示,70%的受訪者回答他們有10人或者更少的人員專門負責AD系統的維護和實施的安全。這與行業的總體的標準是一致的;而且,由于當前多數企業面臨的經濟壓力,想要在近期改變這樣的現狀似乎不大可能:縮減的開支不可避免地會導致IT組織中更少的可用資源。AD看來也不例外。
當被問及用什么工具來利用這些有限的資源來保證AD生產環境的實施、管理和安全時(見圖3),幾乎所有的受訪者(96%)說他們信賴微軟自身的工具。已有很好的證明,用自身工具管理AD是比較困難的,特別是擴展全面的域管理員特權的需求,不出意料的,幾乎半數以上的受訪者也相信第三方商業工具可以提升AD的管理和安全。接近四分之一的受訪者同樣相信自己開發的或開源的/免費的工具軟件。
在此次調查中,稍后將能夠看到,AD團隊變更的壓力,特別是AD成為大的身份與訪問管理(IAM)程序的一部分時,將會要求更為嚴格的安全控制和更好的性能以降低內部攻擊的風險。這將因此不可避免地意味著對第三方商業工具的依賴日益增長,因為較之微軟自身的及自己開發的解決方案,這些第三方的商業工具能夠提供更為全面的安全和管理功能。
由于組織分配給AD實施、管理和安全方面的有限的資源,用自帶的管理工具與生俱來的諸多問題,因此有40%的受訪者指出他們非常努力地試圖追趕業務需求的腳步(圖4)。
AD 的權屬及影響
下面這套問題檢查過去三年內AD的歸屬部門、影響和責任方面的發展。
日常AD管理的歸屬歷史性地落到了信息技術部門;受訪者證實了這一點(見圖8)。但是過去的3年已經發生了一些變化,因為企業的IT組織已經非常成熟,規則已經從數量和范圍上都有了增長。
接近一半的IT組織越來越受到信息安全組織的影響。難怪他們最關心的基本上是基礎的安全問題---推行策略、通過盡可能減少特權用戶及訪問來減少風險。由于更多的企業組織發現他們自己由于安全缺陷而被作為新聞報導,傳統的AD管理者正被賦予任務,通過安全團隊和他們開發的安全策略,同時改進關鍵業務數據在AD中的存儲。
倘若有預算緊縮和增加業務的要求,企業的IT組織便會有興趣最大化他們現有投資的功能。擴展AD的能力、實現AD標準化、以AD為中心是所有企業組織可以實現讓AD成為關鍵業務信息的首要存儲褲。難怪76%的訪者表明,AD通過信息安全組織的日益提高的影響的引導,在他們的組織中成為信息與逐步形成的IAM策略中起著重要乃至關鍵的作用(參閱圖10)。
安全對AD有著關鍵的影響
當活躍的目錄仍然被主要由IT 組織承認時,安全對活躍的目錄的管理和行政的影響已經猛烈改變。 這變化影響s IAM 策略的積極的人名錄在任何安全策略和企業的最關鍵的元素之一方面上演'的作用。
當AD仍然主要由IT組織掌管時,安全對AD實行和管理的影響發生著劇烈的改變。這一變化影響著AD在企業的安全策略和IAM策略中成為最關鍵要素之一。
由于被委以保護最有價值的業務資源的任務,安全組織認識到AD的強大能力。他們也看到了AD中如果缺少控制而與生俱來的風險。由于多數企業組織運用AD作為他們的IAM策略的關鍵組件之一,指導AD實施的策略將繼續進一步確定并受到安全組織的影響。
行業最佳實踐要求AD成為更廣泛的安全策略中的中心要素,特別是它適合管理特權用戶以降低防范內部攻擊和數據破壞的風險。安全組織應該,也因此持續地努力著,去縮小(如果無法去除)AD作為一個脆弱的單點應用與其作為更強大的保證業務安全的方案:IAM中一個安全的核心組件這兩者之間的距離。
有效的AD管理與安全的需求
對任何企業的IT組織來說,由于肩負著支持業務不斷發展的要求的任務,安全、有效、高效的AD實施都是非常重要的。它一直是企業IT架構中最關鍵的要素之一---由于有限的自帶的控制given the limited nature of native controls ---它也是最為脆弱的環節之一。當業務運營成本降低、效率要求急迫,他們不再是對日常AD管理負責的企業IT組織唯一的驅動力。
這個調查結果清晰地展示了當AD團隊仍然堅定地作為大的IT運營團隊中的一部分運營時,他們現在已漸漸被視為推行安全與法規遵從的一線部門。
這顯示出一個危險的趨勢。由于團隊在檢測基礎的安全與合規要素存在的潛在重要變更方面表現出很少的信心,破壞,特別是由內部引起的破壞的風險,將持續增長。更糟糕的是,這種基本的安全的缺乏,將在組織基于現在的AD架構開始實施更廣泛的IAM方案時更為嚴重。
保護數據、使系統可用性最大化,并且保證和證明合規是各個IT組織都很關鍵的驅動力。保證最有價值的業務資產的安全必須達到一個領先的水平,企業的IT組織現在必須要識別、最小化、定位出弱點與威脅。
#p#
結論和建議
擔負著安全有效地支持發展的業務要求的任務,企業的IT組織應該采取前瞻性的方法來應用AD。要保持組織級和行業級的合規,這是唯一的方法,能夠幫助保證關鍵和敏感的業務信息以一種支持業務的方式存儲—以便減輕在一個不確定的商業環境中的風險。
要前瞻性地、安全地實施AD,NetIQ建議:企業IT組織采用能夠改進AD安全的第三方的解決方案。這些管理AD的先進的手段幫助企業IT組織通過推行策略、最小化特權用戶、控制未經許可的變更(無論是蓄意的還是無意的),來滿足增長的安全及行業的要求。
為了幫助組織更有效地實現AD的安全,同時控制保證合規的成本并最終達到更大的業務目標的要求,NetIQ具有如下的關鍵功能和好處:
檢測及審計AD變更---NetIQ的AD管理解決方案提供對AD做出的變更的實時檢測和確認,允許企業決定變更是否可以被批準。通過個性化的設置,報警可以被升級,操作可以被記錄下來并報告出來,以前瞻性地定位到無意的變更。
特權的安全委派--- NetIQ解決方案提供基于規則的和基于視圖的兩種方式的特權委派,使得管理員管理訪問權限非常容易。這幫助用戶實現一套受限制的任務,以他們的許可權限為基礎,實現用戶自助服務,這樣減少了幫助臺和其他人力管理的工作量。
報告授權情況及安全配置---利用NetIQ AD管理解決方案,企業能夠做出詳細的報告,說明哪些雇員可以做出影響業務的變更,有效地減少不必要的由管理員用超級用戶特權做的工作。
自動化AD中的IT流程 運用NetIQ Aegis中強大的自動化能力以及NetIQ DRA軟件,企業能夠自動化執行AD中常規的操作任務。這幫助組織最小化管理員錯誤的機會,大大提升了數據完整性,并使數據污染的可能減至最低。運用這一前瞻性方法實現AD安全實施的企業IT組織將有能力持續地、有效節省成本地達到不斷發展的業務的要求。這些特性也將幫助企業IT組織保證行業及業務合規所要求的安全的AD環境。
資源的限制和業務需求帶來挑戰
當來自經濟方面的挑戰要求技術能夠支持動態的業務環境時,最突出的不滿來自于對業務需求的無能為力。當組織運用微軟自帶的工具來保護企業中最具價值的業務信息庫:AD的時候,他們唯一無法忍受的是依賴微軟自帶工具時所帶來的額外的風險。
上述反饋很顯然地告訴我們,相較于更廣泛的IT基礎設施的管理組織的規模而言,AD團隊還停留在很小的規模,特別是企業中的組織。這些小團隊艱苦地努力,以便保持與業務的不斷變化相一致的腳步,因此可能被迫陷入日益被動的境地。這樣最終將會投入更多在更具戰略性的程序上,這些程序能保證更好的AD的全面安全性,并會將這一至關重要的技術更好地定位,以達到業務不斷變更的要求-----這我們將在下一章看到。
AD面臨的挑戰
下一組調查問題試圖解答這樣的疑問,那就是這些與微軟自帶工具相關的資源的限制和約束在哪里影響著AD的安全管理和實施。調查受訪者被問及管理和實施安全的AD環境的策略及業務上的挑戰。
企業IT組織及其在AD方面的人員在努力地追趕業務需求的腳步,理所當然地,IT組織也在為保持一個安全的包含用戶身份和業務資產等企業關鍵業務信息的存儲環境而努力。如圖5所示,超過一半的答題者舉例說明他們在管理安全的AD環境時的巨大挑戰,來自于以可控的方法管理組策略以及維護合適的用戶許可方面。簡言之,調查受訪者最擔憂的是那些本不該有權訪問關鍵業務和敏感信息的用戶所做出的未經許可的變更的威脅。
限制用戶訪問,控制變更,是來自業務需求的重要反響。當被問及AD與業務相關的安全問題方面他們最擔憂的是什么時,52%的答題者舉出推行時的策略,42%的答題者舉出不能達到合規的要求(圖6)。
企業的組織現在強烈地意識到了風險的存在,并且在驅動著IT遵從政策,保證合規;他們最終將如何保證他們的關鍵資產在多變的業務環境下的安全。
AD的變更以及管理變更是企業的組織首要關注的;然而,相當多的受訪者指出他們對于他們能否快速檢測到未經許可的變更并不是很自信。如圖7所示,少于四分之一的受訪者指出他們能夠快速發現未經許可的特權升級、組策略更改,或者組成員變化。未經許可的變更---恰恰是讓受訪者擔憂的---也是他們對于自己的檢測能力缺乏自信的原因。如果未經許可的變更不能被發現,那么這些變更---蓄意的或偶然的---將會有可能導致嚴重的風險和業務信息的暴露,這是企業絕對難以承受的。
策略與變更管理是關鍵
在此文章我們看到,AD管理團隊中最主要關注點在維護策略與合規方面。控制用戶許可和訪問權限被特別突出地予以關注,因為一個有很高權限的用戶可以執行那些能導致業務暴露于嚴重風險之下的變更。
由于主要的防范內部攻擊的手段是有效的管理部署在組策略中的許可,所以保證這些控制一直都在并與企業的風險管理和安全策略相一致是最起碼的要求。
然而,說到要能夠迅速地發現對這些安全指標的任何變更,就不那么有信心了。
如果業務不能即時地檢測到組策略和用戶許可的變更,那么嚴重的破壞(特別是蓄意的、有訓練并了解內情的人發起的破壞)的風險將會極端嚴重。
理想的組策略管理方案既要保證簡易的、順暢的管理,也要將變更檢測與其他安全事件管理方案相集成,例如安全信息與事件管理(SIEM)技術。沒有這樣的能力的話,對組策略的變更便會一直處于無法被檢測到的狀態,并會始終在用戶操作和訪問安全方面有關鍵的潛在危險。
簡言之,在AD團隊的安全目標與推行這些目標的能力之間,是存在著潛在的危險斷層的。
NetIQ調查之如何保障微軟AD安全的內容的詳述希望能夠對讀者有所幫助。
【編輯推薦】
