רוב הזהויות שמחזיקות הרשאות – הן בכלל לא בני אדם.
הן לא מקבלות הדרכה, לא מכירות את נהלי הארגון, לא מחליפות סיסמאות, ולא עוזבות את מקום העבודה.
ובכל זאת הן מפעילות תהליכים, ניגשות למידע רגיש, ולעיתים מחזיקות בהרשאות רחבות יותר משל כל עובד אנושי.
גם ארגונים שהטמיעו פתרונות ייעודיים לניהול זהויות לא אנושיות (NHI) מגלים שהמערכות הללו פועלות בבידוד ממערכות ניהול הזהויות הארגוניות (IGA) .
התוצאה: קיימת נראות טכנית, אבל חסר הקשר ארגוני – מי אחראי? מה הבעלות? ולמה בכלל קיימת הזהות הזו?
מכאן נוצר הערך שבחיבור בין עולמות ה-NHI וה- IGA: מערכת אחת מגלה, השנייה מוסיפה משמעות ומסגרת בקרה.
במאמר הפתיחה בנושא, דובר על הערך שבאינטגרציה בין מערכות ניהול זהויות לרכיבי אבטחה אחרים בארגון.
זהו המאמר השני בסדרה, והוא עוסק באינטגרציה שיכולה לייצר שליטה טובה יותר על אחת מנקודות הסיכון הפחות מנוהלות בארגון.
🤖מה הן בכלל זהויות לא אנושיות (NHI) ?
אלו זהויות שאינן משויכות לעובד ספציפי – חשבונות שירות, מפתחות API, מזהי אימות (Secrets) וכל ישות אחרת שמשמשת מערכות, סקריפטים או אפליקציות בתקשורת ביניהן
התחום לא חדש, אבל בשנתיים האחרונות הוא מקבל תאוצה אדירה עם המעבר המאסיבי המואץ לענן, אוטומציה ו- DevOps.
ברוב הארגונים כבר יש יותר זהויות לא אנושיות מאשר זהויות אנושיות, אך מעט מאוד מתוכן מנוהלות או מבוקרות באמת.
🧩הערך באינטגרציה עם IGA
המטרה אינה להחליף את פתרונות ה- NHI, אלא להשתמש במערכת ה-IGA כמסגרת ממשל משלימה, כזו שמחברת את הזהויות הלא אנושיות אל תוך תהליכי הבקרה, הבעלות והאחריות של הארגון.
דוגמאות לערך מעשי:
- העשרת קטלוג הזהויות במידע ממערכות גלוי NHI (סוג זהות, מערכת מארחת, רמת רגישות, קשר לכספת)
- שיוך בעלות עסקית או טכנית לכל זהות כדי לדעת מי אחראי עליה בפועל
- הכנסת זהויות לא אנושיות לתהליכי תיקוף וביקורת מחזוריים
- הפעלת בקרות הפרדת סמכויות גם על ישויות טכניות
כך נוצרת שכבת שליטה חדשה: לא רק מי מחובר, אלא למה קיימת הזהות ומה תפקידה.
מצב התחום:
שוק פתרונות ה- NHI נמצא בתנופה, אך עדיין מתגבש.
מוצרים חדשים נכנסים ומתמקצעים מאד בגילוי, מיפוי וניהול מסוים. יחד עם זאת, אין עדיין מתודולוגיות ממשל אחידות או סטנדרט למחזור חיים מלא.
בינתיים, האחריות בפועל מפוזרת בין צוותי DevOps, אפליקציה ואבטחה, וזו בדיוק הנקודה שבה IGA יכול לסייע במעטפת בקרה סדורה.
לא חייבים לחכות "לפתרון קסם" שינהל את הכל בהכל.
אפשר להתחיל לייצר ערך מיידי. מיפוי, הבנת הבעלות, והכנסת סדר ראשוני ב"מערב הפרוע" של הזהויות הלא-אנושיות הם צעד אפשרי בדרך לניהול מלא של כלל הזהויות בארגון, אנושיות ולא-אנושיות.
קישור למאמרים בסדרה:
