시중에 나와 있는 다양한 ID 거버넌스 도구는 완전한 기능을 갖춘 ID 거버넌스 및 관리 (IGA) 아키텍처와 비교하여 어떤 기능을 제공하는지 평가하기가 쉽지 않습니다. 보안 지침에 따라 사용자 자격을 관리하거나 조직의 업무 분리 요건을 충족하기 위해 편협한 접근 방식을 취하는 팀이 너무 많습니다.

IGA는 특정 시점에 스냅샷으로 찍는 자격의 가시성을 뛰어넘습니다. 대신 전체적이고 통합적인 관리 접근 방식을 취합니다. 강력한 ID 수명 주기 관리 인프라를 기반으로 구축된 IGA는 조직의 ID 및 액세스 관리 인프라의 중요한 구성 요소를 통합하여 적절한 사람만 중요한 정보에 액세스할 수 있도록 합니다.

ID 거버넌스 및 관리

완벽한 ID 거버넌스 및 관리 솔루션의 정의는 무엇인가요?

강력한 IGA 솔루션은 다음과 같은 이점을 제공함으로써 차별화됩니다:

계정 및 리소스에 대한 포괄적인 뷰 제공 - IGA는 관리 중인 각 리소스의 신원, 권한, 위험 정보뿐만 아니라 액세스하는 사람의 신원 및 역할에 대한 정보를 보유해야 합니다.
고무 도장 승인 방지 - 권한 요청에 대한 검증되지 않은 승인을 방지하는 데 중점을 둔 효과적인 IGA 솔루션에는 IT 관리자가 아닌 정보 및 비즈니스 소유자에게 정보를 제공하도록 특별히 설계된 워크플로우가 포함되어 있습니다. 요청에 대한 검사 수준을 높이려면 요청자에 대한 모든 관련 정보와 효과적인 생산성 및 위험 지표로 빠르게 읽을 수 있도록 설계된 리소스를 제공해야 합니다.
강력한 증명 - 스냅샷을 제때 보고하는 것이 아니라 지속적인 규정 준수를 확인할 수 있는 정확한 보고서를 제공합니다. 필요한 경우, 잘 설계된 IGA 인프라는 특정 사용자 그룹의 실제 액세스를 확인할 수 있는 분석을 제공할 수 있습니다. 보고서의 디자인은 빠르게 검토할 수 있고 증명 보고서를 생성하고 포함하기 쉬워야 합니다. 이 수준의 증명은 보안 팀에 자신감을 주지만, 액세스 거버넌스가 포괄적인 IGA 환경의 ID 수명 주기 및 액세스 관리 구성 요소와 긴밀하게 통합되어 있어야 합니다.

완전한 IGA 환경은 다른 솔루션에 비해 어떤 특별한 가치가 있나요?

ID 거버넌스 및 관리는 자격을 관리하고 보안 감사자에게 강력한 증명을 제공하지만, 조직의 ID 및 액세스 관리 인프라의기본 구성 요소가 될 수 있는 잠재력을 가지고 있습니다:

권한 관리는 모든 조직의 최소 권한 전략의 기본 요소입니다. 최소 권한 보안은 내부 위협으로부터 보호할 뿐만 아니라 누군가의 자격 증명이 유출되어 악용되었을 때 피해를 제한하는 데 도움이 됩니다. 올바르게 수행하면 ID 수명 주기 작업과 독립적으로 작동하는 것이 아니라 이를 안내하고 호출하는 데 사용할 수 있습니다.
거버넌스 플랫폼에서 리소스를 온보딩하는 단계 중 하나는 리소스의 위험 및 위험 기준을 정의하는 것입니다. 민감한 리소스에 대한 적절한 위험 정의는 승인자와 검토자에게 정확한 정보를 제공합니다. 또한 위험 서비스에서 적응형 액세스 관리 작업을 지시하는 데 사용할 수도 있습니다. 잠재적인 인증 및 권한 부여 작업을 위한 세션 기반 액세스 제어에 사용되는 기준이 사용자의 컨텍스트(지리적 위치, IP 범위, 디바이스 ID 등)로 제한되는 경우가 너무 많습니다. 리소스 자체의 위험성을 고려하면 사용자 경험을 최적화하면서 보안을 강화할 수 있는 적응형 액세스에 대한 보다 세분화되고 효과적인 접근 방식을 제공합니다. 다단계 인증을 위해 사용자가 중단되는 횟수를 제한하여 마찰을 줄이고 사용자 경험을 최적화합니다.

오픈텍스트 아이덴티티 및 액세스 관리가 IGA 솔루션을 만들기 위해 하는 일

위에서 설명한 것처럼 견고한 IGA 기반을 구축하는 것이 가장 중요하지만, OpenText ID 및 액세스 관리는 정보 소유자가 데이터를 보호할 수 있도록 거버넌스 자동화를 더욱 포괄적이고 효과적으로 만들기 위해 지속적으로 한계를 뛰어넘고 있습니다. ID 및 액세스 관리 인프라 내에서 단기적인 ID 거버넌스 및 관리 개발 방향은 다음과 같습니다:

차세대 IGA는 승인자와 검토자가 빠르게 이해할 수 있는 형식으로 최상의 정보를 제공하는 것 외에도 최소 권한 모범 사례와 조직 정책을 통합하여 자격 분석을 자동화합니다. 민감한 정보와 해당 정보에 액세스하는 사용자의 위험 점수가 자동으로 상승하여 검토 및 잠재적인 보안 조치에 대한 우려 사항을 강조합니다.
이전 글에서 설명한 인텔리전스 기반 자동화 시나리오는 실제 사용량에 대한 행동 분석으로 보강하는 것이 가장 좋습니다. 이러한 유형의 분석을 통해 특정 ID와 리소스에 집중하여 조직에 가하는 위험을 재평가할 수 있습니다.
전통적으로 IGA에는 시스템에 대한 루트 액세스에 대한 거버넌스가 포함되지 않았지만, 서버 호스팅 데이터 및 실행 파일에 대한 액세스를 보호하기 위한 보다 공식적인 접근 방식이 필요합니다. 시스템 관리자가 다양한 보안 메커니즘을 우회할 수 있다는 점에서 루트 권한 보안의 중요성은 분명합니다. 이러한 수퍼유저는 다양한 수준의 관리 권한을 위임하고 관리할 수 있을 뿐만 아니라, 시스템 관련 작업에 대한 고급 모니터링을 통해 잠재적으로 중요한 포렌식 정보를 제공할 정도로 많은 액세스 권한을 가지고 있습니다.

잘 구축된 IGA 환경은 구현하기 쉽지 않습니다. 경영진과 다양한 비즈니스 소유자의 동의를 얻는 것은 길고 고르지 않은 과정이 될 수 있습니다. 정보 소유자가 리소스를 적절하게 온보딩하도록 유도하려면 투자가 필요하며, 업데이트가 필요한 환경 변화에 대해 지속적으로 연락을 취하는 것도 마찬가지입니다. 하지만 이러한 유형의 보안 투자의 가치는 엄청난 수익을 가져다줍니다. 이를 통해 조직은 디지털 비즈니스 운영의 민첩성을 높이는 동시에 위험을 낮출 수 있습니다.

ID 거버넌스 및 관리에 투자해야 하는 이유는 무엇인가요?

IGA의 포괄적인 특성을 이해하고 나면 자연스럽게 이 정도의 투자가 우리 환경에 필요한지 질문하게 됩니다. 조직마다 고유한 요구 사항이 있을 수 있지만, 다음은 관리의 깊이와 폭을 결정하는 데 도움이 될 수 있는 몇 가지 일반적인 고려 사항입니다:

거의 모든 조직은 재무 및 인사 정보를 보호해야 하지만, 거버넌스가 필요한 다른 유형의 민감한 데이터도 보유하고 있을 수도 있고 그렇지 않을 수도 있습니다:

고객 정보 - 이러한 유형의 정보는 매우 다양합니다. 조직은 콘텐츠를 개인화하기 위해 쿠키 정보 또는 소셜 ID를 수집하는 경우에도 다양한 주 또는 연방 규정의 적용을 받을 수 있습니다. 일반 데이터 보호 규정(GDPR)과 같은 다른 전 세계적인 의무 규정도 있습니다. 개인 프로필이나 금융 정보를 보유하게 되면 최소 권한 보안이 필요할 가능성이 높기 때문에 GDPR 요건은 IGA 수준의 보호가 필요합니다. 또한 소매업체와 해당 서비스 제공업체(PSP) 및 업계 파트너 간의 조정이 이루어져야 합니다. 이러한 운영이 소규모가 아닌 이상, 성숙한 ID 거버넌스 솔루션 없이 개인정보 보호 의무를 충족하는 것은 상상하기 어렵습니다.
지적 재산은 특허 정보, 기술 또는 비즈니스 핵심 역량, 기타 영업 비밀 등 그 형태가 무엇이든 간에 이를 침해하면 조직에 심각한 위험을 초래할 수 있습니다. 조직에서 권한 프로세스를 자동화하는지 여부와 관계없이 거버넌스 전략을 개발하기 전에 중요한 비밀에 대한 신중한 검토가 필요할 수 있습니다.
환자 정보 -의료 산업의 디지털 혁신으로 인해 의료 서비스 제공자는 자격 관리와 규제 대상 정보의 증명을 자동화해야 했습니다. 전자 의료 기록(EHR) 및 기타 보호 대상 건강 정보(ePHI)로의 전환으로 인해 정부는 엄격하고 구체적이며 징벌적인 개인정보 보호 조치를 취하고 있습니다. 다른 어떤 산업보다 보안 침해 사고가 가장 많이 발생하는 산업입니다. 금전적 손실 외에도 의료 기록 유출은 환자의 가장 민감한 정보를 포함하기 때문에 환자의 신뢰에 해롭습니다. 건강 정보와 금융 정보를 모두 아우르는 정보는 사기에 사용될 수 있습니다.
금융 서비스 -규제가 엄격한 또 다른 산업인 금융 서비스는 악의적인 담합과 개인정보 침해를 방지하기 위해 고안된 일련의 규제를 적용받습니다. 개인정보는 사기나 기타 유형의 도용으로부터 보호하기 위해 필요합니다. 모든 금융 기관에 자동화된 거버넌스가 필요하며, 데이터 소유자가 직접 참여하는 솔루션이 큰 도움이 될 것이라는 것은 안전한 주장입니다.

ID 거버넌스 및 관리 FAQ

ID 거버넌스와 ID 관리의 차이점은 무엇인가요?
ID 관리는 액세스를 프로비저닝하는 반면, ID 거버넌스는 ID 수명 주기 전반에 걸쳐 정책, 인증 및 감사 제어를 사용하여 액세스가 적절하고 정당하며 지속적으로 시행되도록 보장합니다.

ID 거버넌스는 규정 준수 및 감사에 어떻게 도움이 되나요?
IGA는 최소 권한 액세스를 시행하고, 완전한 감사 추적을 유지하며, 지속적인 인증을 지원하므로 조직은 감사 기간뿐만 아니라 언제든지 규정 준수를 입증할 수 있습니다.

많은 ID 거버넌스 프로젝트가 지연되거나 실패하는 이유는 무엇인가요?
IGA 프로젝트는 느린 애플리케이션 온보딩, 경직된 데이터 모델, 수동 검토 프로세스로 인해 어려움을 겪는 경우가 많습니다. 성공적인 프로그램은 자동화, 유연성, ID 및 자격 전반에 걸친 실시간 가시성에 중점을 둡니다.

ID 거버넌스가 액세스 변경에 실시간으로 대응할 수 있나요?
예. 최신 IGA는 액세스 변경이 발생하면 이를 감지하여 자동으로 수정하거나 대상 재인증을 트리거하여 검토 주기 사이의 위험을 줄일 수 있습니다.

조직은 ID 거버넌스 솔루션에서 무엇을 찾아야 할까요?
하이브리드 환경 전반에서 확장 가능하고, 복잡한 시스템과 통합되며, 지속적인 거버넌스를 지원하고, IT 및 비즈니스 사용자의 수작업을 줄여주는 IGA 플랫폼을 찾아보세요.

OpenText가 ID 거버넌스 및 관리를 제공하는 방법

OpenText는 복잡한 하이브리드 기업을 위해 설계된 종합적인 IAM 플랫폼의 일부로 ID 거버넌스 및 관리(IGA)를 제공합니다. 거버넌스를 독립적인 계층으로 취급하는 대신 OpenText는 수명 주기 관리, 액세스 거버넌스 및 이벤트 중심 제어를 통합하여 환경 변화에 따라 액세스가 규정을 준수하도록 보장합니다.

통합 ID 수명 주기 및 거버넌스
OpenText는 ID 수명 주기 관리와 액세스 거버넌스를 결합하여 사용자가 가입, 역할 변경 또는 퇴사할 때 적절한 액세스를 받고 시간이 지나도 적절한 액세스가 유지되도록 보장합니다.

이벤트 중심의 지속적인 거버넌스
특정 시점 리뷰와 달리 OpenText는 이벤트 중심 거버넌스를 지원합니다. 승인된 프로세스를 벗어난 액세스가 변경되면 시스템이 자동으로 문제를 해결하거나 타겟 마이크로 인증을 트리거하여 검토 주기 사이의 위험을 줄일 수 있습니다.

유연한 커넥터로 애플리케이션 온보딩 속도 향상
OpenText는 실제 데이터 형식에 맞게 조정되는 로우코드/노코드 커넥터로 IGA 배포를 가속화합니다. 이를 통해 조직은 불안정한 통합이나 지속적인 재작업 없이 더 많은 애플리케이션을 관리할 수 있습니다.

하이브리드 및 엔터프라이즈 규모 환경에 맞게 구축됨
OpenText는 온프레미스, 클라우드 및 하이브리드 배포를 지원하므로 레거시 시스템, 규제 환경 또는 복잡한 ID 인프라를 보유한 조직에 이상적입니다.

감사를 대비한 설계로 규정 준수 지원
지속적인 정책 시행, 완전한 감사 추적 및 비즈니스 친화적인 인증을 통해 OpenText는 조직이 감사에 지장을 주지 않고 언제든지 규정 준수를 입증할 수 있도록 지원합니다.

오픈텍스트 아이덴티티 거버넌스 또는 오픈텍스트 코어 아이덴티티 재단 SaaS 플랫폼에 대해 자세히 알아보세요.

Resources

Why you should upgrade to the latest OpenText Identity Manager