Seansid, seadmed ja turbeaudit ettevõtteplatvormil
Ettevõtte süsteemi kasutatakse harva ainult ühest arvutist. Töötaja logib sisse tööarvutist, avab töökeskkonna telefonis, ühendub harukontorist või jätkab tööd pärast lähetust. Ettevõtte jaoks on see tavapärane olukord, kuid see tõstatab juhtimisküsimuse: millised seansid on praegu aktiivsed, kellele need kuuluvad ja kui kiiresti saab ligipääsu peatada, kui seade kaob, töötaja roll muutub või ilmnevad kompromiteerimise tunnused.
Sapphire ei lahenda seda küsimust eraldiseisvate seadete kogumiga, vaid ühtse Helixi identiteediraamistiku ja HelixID kasutajakeskusega. Kasutajad saavad arusaadavad vahendid oma konto haldamiseks, volitatud administraatorid aga keskse ülevaate sündmustest ja aktiivsetest ühendustest. Igapäevatöö ei muutu seejuures pidevaks võitluseks turvapiirangutega.
Mitu seadet ilma kontrolli kaotamata
Platvorm toetab samaaegset tööd mitmest seadmest. Iga sisselogimist käsitletakse eraldi seansina, millel on oma elutsükkel. Seansi kaardil saab näidata selget seadme nimetust, loomise ja viimase tegevuse aega, ühenduse tüüpi ning kontrolliks kasulikku lisateavet. Nii saab eristada tavapärast tööarvutit vanast telefonist või ootamatust brauserist.
Aktiivsete seansside arvu määrab organisatsiooni poliitika. Limiidi täitumisel rakendab süsteem etteaimatavat reeglit ja vabastab koha, lõpetades vanima aktiivse ühenduse. Ettevõttele on see mõistlikum kui üldine keeld: töötajad saavad tavapäraselt kasutada mitut kanalit, samal ajal kui IT-meeskond säilitab kontrollitud ülempiiri.
Võrgu vahetus üksi ei tohiks muuta õiguspärast kasutajat kahtlusaluseks. Seetõttu kasutatakse ühenduse aadressi ja klienditarkvara omadusi analüüsi- ja auditiandmetena, mitte ainsa identiteeditõendina. Selline lähenemine arvestab mobiilse interneti, ettevõtte VPN-i, kodukontori ja büroovõrkude vahel liikumisega ning säilitab uurimiseks vajaliku ajaloo.
Töötaja iseteenindus
HelixID-s saab töötaja vaadata aktiivseid seansse ja lõpetada konkreetse seansi, mida enam vaja ei ole. Näiteks telefoni kaotamisel ei pea ootama tugipäringu käsitsi menetlemist: kahtlase ühenduse saab tühistada ilma põhiarvutis tööd katkestamata. Kui olukord puudutab kogu kontot, saab lõpetada kõik aktiivsed seansid.
Kriitilised muudatused on seotud ühtse ligipääsu elutsükliga. Parooli muutmine või taastamine, sunnitud üldine väljalogimine ja kinnitatud kontorisk tühistavad varem antud ligipääsu. See sulgeb levinud korraldusliku lünga, kus parool on juba muudetud, kuid unustatud seanss teises seadmes jääb aktiivseks.
Töösuhte lõppemisel, ametikoha vahetumisel või kiire rollimuudatuse korral võimaldab sama ühtne raamistik lõpetada aktiivsed ühendused koos töötaja õiguste ülevaatamisega.
Ligipääsu taastamine on korraldatud nii, et kõrvaline isik ei saaks teada, kas sisestatud konto on olemas. Taastamislink kehtib piiratud aja ja seda saab kasutada ühe korra. Pärast edukat taastamist lõpetatakse vanad ühendused ning töötaja jätkab tööd uues usaldusväärses olekus. Tugimeeskonnale annab see käsitsi erandite asemel ühe selge ja põhjendatava protsessi.
Kaks auditi taset
Kõik turbesündmused ei pea olema nähtavad samale sihtrühmale. Sapphire eraldab kasutajalogi volitatud administraatorite teenistuslikust logist. Esimeses näeb töötaja oma kontoga seotud toiminguid: sisselogimisi, väljalogimisi, turvaseadete muudatusi ja enda ligipääsuvahendite tühistamist. See vähendab toe koormust ja aitab kasutajal ebatavalist tegevust ise märgata.
Administratiivne tase on mõeldud laiemaks järelevalveks. See hõlmab sündmuste otsingut ja lehekülgede kaupa vaatamist, kontodeülest seansiülevaadet ning vastavate õiguste korral eksporti ja säilitustoiminguid. Nende võimaluste ligipääs jagatakse volituste järgi: logi vaatamine, seansihaldus, eksport ja kustutamine ei pea kuuluma samale rollile.
Tundlike haldustoimingute puhul kinnitatakse isik vahetult enne operatsiooni uuesti. See lubab konkreetse toimingu, mitte ei loo uut pikaajalist kõrgendatud õigustega seanssi. Logisse jääb ka eksport ise või säilitustähtaja muutmine. Nii hõlmab audit peale tavakasutajate tegevuse ka auditikirjete endiga tehtavat tööd.
Praktiline väärtus ettevõttele
- Töötajad kontrollivad ise oma seadmeid ja reageerivad seadme kadumisele kiiremini.
- IT-meeskond saab ühtse aktiivsete ühenduste loendi ja saab tühistada ühe ligipääsu kogu tööd blokeerimata.
- Turvameeskond näeb eri rakenduste seosetute logide asemel sündmuste jada.
- Ülesannete lahusus aitab kooskõlastada ligipääsu sisekorra ja auditinõuetega.
- Seadistatavad säilitustähtajad võimaldavad viia logimise vastavusse ettevõtte poliitika ja kohaldatavate nõuetega.
Oluline on, et see raamistik kuulub Sapphire'i ühisesse ligipääsumudelisse. Platvormi moodulid saavad juba kontrollitud kasutajaidentiteedi ja kehtivad õigused ega loo oma ühildumatuid sisselogimismehhanisme. Seansi tühistamine või konto oleku muutmine rakendub seetõttu ettevõtte töökeskkondades järjepidevalt.
Juhi jaoks ei väljendu tulemus turvatehnoloogiate arvus, vaid kontrollitud protsessis: töötaja näeb oma tegevust, administraator tegutseb rolli piires, kriitilised toimingud kinnitatakse ja uurimine tugineb terviklikule ajaloole. Selline jälgitavus muudab turvalisuse praktiliseks äritööriistaks, mitte formaalseks seadeks sisselogimislehel.