หน่วยงานต่างๆ กำลังปรับปรุงโครงสร้างพื้นฐานให้ทันสมัยอย่างรวดเร็วในช่วง 9 เดือนที่ผ่านมา และการจัดการตัวตนที่ชัดเจน โดยเฉพาะอย่างยิ่งผ่านบริการคลาวด์เป็นกุญแจสู่ความสำเร็จนั้นแต่เช่นเดียวกับสิ่งอื่นใด หน่วยงานต่างๆ ไม่สามารถวางใจได้ พวกเขาจะต้องมีนวัตกรรมและสร้างแบบจำลองที่มีตัวตนเป็นศูนย์กลางต่อไปSean Frazier หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของรัฐบาลกลางของ Okta กล่าวว่าในขณะที่หน่วยงานต่าง ๆ เข้าใจโปรไฟล์ความเสี่ยงทางไซเบอร์ของพวกเขาดีขึ้น พวกเขาจะต้องพึ่งพาเครื่องมือที่ปลอดภัยมากขึ้น รวมถึงเครื่องมือที่อาศัยอยู่ในระบบคลาวด์
Frazier กล่าวสำหรับกระทรวงกลาโหม โดยเฉพาะอย่างยิ่ง
นี่หมายถึงการใช้บริการการจัดการข้อมูลประจำตัวและการเข้าถึงที่เป็นไปตามระดับผลกระทบที่สี่ (IL4)
“นั่นหมายความว่าคุณมีการควบคุมความปลอดภัยจำนวนมากขึ้น ซึ่งเราในฐานะผู้ให้บริการระบบคลาวด์ต้องให้ความสนใจ พวกเราหลายคนในพื้นที่คลาวด์ เริ่มต้นด้วยปานกลางเพราะนั่นเป็นจุดเริ่มต้นที่ดี และมีการควบคุมมากกว่า 300 รายการที่เราต้องให้ความสนใจ จากนั้น IL4 จะเพิ่มการควบคุมจำนวนหนึ่งสำหรับองค์กรและหน่วยงานที่ให้ความสำคัญกับความปลอดภัยและใส่ใจในความปลอดภัยมากขึ้น” Frazier กล่าวในการอภิปราย การเร่งภารกิจ DOD ด้วย Identity and Access Managementซึ่งสนับสนุนโดย Okta “จากนั้น หากคุณดูที่ระดับผลกระทบของ FedRAMP พวกเขาจะเลื่อนขึ้นเป็น IL5 และ IL6 แต่ IL4 เป็นเนื้อและมันฝรั่งจริงๆ สำหรับชุมชน DoD เพื่อให้บริการแก่หน่วยบริการติดอาวุธ”
แต่ไม่ใช่แค่บริการทางทหารและหน่วยงานที่ต้องการความปลอดภัยระดับนี้ Frazier กล่าวว่าการย้ายไปทำงานทางไกลได้ขยายขอบเขตภัยคุกคามของหน่วยงานส่วนใหญ่
“ในขณะที่เราดูกรณีการใช้งานที่ขับเคลื่อนความทันสมัย เรากำลังดูการควบคุมระดับที่สูงขึ้นที่เราต้องให้ความสนใจ พวกเขากำลังมองหาคนอย่าง Okta เพื่อให้สามารถให้บริการและความสามารถของเราในระดับการควบคุมที่สูงขึ้นได้ แต่ทุกอย่างเป็นการตัดสินใจตามความเสี่ยง ดังนั้นจึงไม่มีสิ่งใดที่จะเป็นแบบฝังดินหรือฝังหินเพื่อส่งมอบความปลอดภัย หน่วยงานทุกแห่งต้องพิจารณาถึงความเสี่ยง จึงต้องพิจารณาบริการและแอปพลิเคชันที่พวกเขานำเสนอ และจำลองตามกิจกรรมที่อิงตามความเสี่ยงนั้น” เขากล่าว “จริง ๆ แล้ว มันสร้างขึ้นจากการพูดคุยกันเป็นชั้น ๆ
ที่เรามีมาเป็นเวลากว่าหนึ่งปี สิทธิ์น้อยที่สุด
การควบคุมการเข้าถึงตามบทบาท การควบคุมการเข้าถึงแบบปรับเปลี่ยนได้ เนื่องจากอาจมีตัวอย่างที่บางคนไม่จำเป็นต้องแก้ไขฐานข้อมูลนี้ เว้นแต่ว่าเขาจะอยู่ในช่วงเวลาหนึ่งที่เขาสามารถเข้าถึงตำแหน่งที่เขาต้องการเพิ่มอินพุตของเขา เราต้องสามารถนำบริบทมาปรับใช้และสามารถส่งมอบสิ่งนั้นในแบบอัตโนมัติได้ เราไม่สามารถให้ผู้อยู่เบื้องหลังพูดว่า ‘โอเค ตอนนี้ฉันให้สิทธิ์การเข้าถึงแก่คุณแล้ว และฉันกำลังนำสิทธิ์การเข้าถึงนั้นออกไป’ เพราะถ้าคุณลืมนำสิทธิ์การเข้าถึงนั้นออกไป จะมีคนแอบอ้างเป็นคุณ และจัดการฐานข้อมูลนั้นได้ในทันที เราต้องการให้เป็นไปโดยอัตโนมัติ เราต้องการให้จัดส่งด้วยวิธีที่มีสิทธิพิเศษน้อยที่สุด ด้วยวิธีนี้ หากมีช่วงหนึ่งที่คุณจำเป็นต้องแก้ไขข้อมูล เราจะส่งข้อมูลให้คุณเมื่อคุณต้องการเท่านั้น และเราจะนำข้อมูลนั้นออกไปเมื่อคุณไม่ต้องการ” และฉันจะเอาการเข้าถึงนั้นไป’ เพราะถ้าคุณลืมเอาการเข้าถึงนั้นออกไป จะมีคนแอบอ้างเป็นคุณ และทันใดนั้นก็สามารถจัดการฐานข้อมูลนั้นได้ เราต้องการให้เป็นไปโดยอัตโนมัติ เราต้องการให้จัดส่งด้วยวิธีที่มีสิทธิพิเศษน้อยที่สุด ด้วยวิธีนี้ หากมีช่วงหนึ่งที่คุณจำเป็นต้องแก้ไขข้อมูล เราจะส่งข้อมูลให้คุณเมื่อคุณต้องการเท่านั้น และเราจะนำข้อมูลนั้นออกไปเมื่อคุณไม่ต้องการ” และฉันจะเอาการเข้าถึงนั้นไป’ เพราะถ้าคุณลืมเอาการเข้าถึงนั้นออกไป จะมีคนแอบอ้างเป็นคุณ และทันใดนั้นก็สามารถจัดการฐานข้อมูลนั้นได้ เราต้องการให้เป็นไปโดยอัตโนมัติ เราต้องการให้จัดส่งด้วยวิธีที่มีสิทธิพิเศษน้อยที่สุด ด้วยวิธีนี้ หากมีช่วงหนึ่งที่คุณจำเป็นต้องแก้ไขข้อมูล เราจะส่งข้อมูลให้คุณเมื่อคุณต้องการเท่านั้น และเราจะนำข้อมูลนั้นออกไปเมื่อคุณไม่ต้องการ”
Frazier กล่าวว่านี่เป็นส่วนหนึ่งของวิธีที่หน่วยงานต่างๆ จำเป็นต้องเปลี่ยนจากวิธีการ “เชื่อถือแต่ตรวจสอบได้” ไปสู่วิธีการที่สร้างขึ้นโดยคำนึงถึง “ไม่เคยไว้วางใจตรวจสอบเสมอ” สำหรับบุคคล อุปกรณ์ และข้อมูล
ในขณะเดียวกัน หน่วยงานต้องสร้างสมดุลระหว่างการใช้งานกับแนวทางการรักษาความปลอดภัย