Du og jeg og IAM

2018-11-02

IAM står for Identity and Access Management. Eller identitet- og tilgangskontroll på norsk. Enkelt? Egentlig ikke.

Jeg heter Sander Micaelsen og er nyansatt IAM-rådgiver i Atea. Jeg har 20 års erfaring fra IT-bransjen. Hovedsakelig har jeg jobbet med design, implementasjon og drift av virksomhetskritiske løsninger for flere kunder i Norge, primært innenfor telekom, olje og finans. Fokuset gjennom hele karrieren har vært sikkerhet, plattform og nettverk. Stabil og sikker drift har vært ledestjernen.

Jeg har alltid jobbet med store (i norsk målestokk) nettverks- og plattformsløsninger og har erfaring med Alteon lastbalanserere fra tidlig på 2000-tallet. I 2001 tok jeg min første Check Point-sertifisering. Jeg har fokusert på sikkerhet og høy tilgjengelighet i hele min karriere. Sertifisert noen ganger på Sun Solaris (System V Unix), og har drevet med Linux siden midten på 90-tallet. Automatisering var jeg i gang med allerede i 2004 i form av provisjonering av applikasjoner og konfigurasjon. De siste årene har jeg hatt teknisk ansvar for svært kritiske nettverkskomponenter som understøtter 24/7-løsninger for en av Norges viktigste finansinstitusjoner. Disse løsningene har vært pålitelige.

Når jeg nå fikk muligheten til å lære meg et nytt fagområde jeg ikke kan noe om, måtte jeg slå til. Hvor vanskelig kan det være å lære seg IAM? Jobbtilbudet ble akseptert uten egentlig å forstå omfanget av faget. Og jeg som alltid har hatt stålkontroll på det jeg har drevet med …

Frem til nå, viste det seg. Nå rykker jeg tilbake til start. Og det fordi sikkerhet ikke er brannmur lenger. Det er identitet. Brannmuren må selvsagt være der. Alle andre sikkerhetsmekanismer også. Men nå er det du som er målet, ikke brannmuren eller webserveren din. Du er den eneste veien inn gjennom alle «Next Generation»-remedier som står i veien. Får noen tak i identiteten din, hjelper det ikke hva du har av fancy dilldall bak internett-ruteren din, eller om antivirusproduktet ditt kverker supermuterte megavirus uten at du merker noe. Identiteten er rene sesam sesam i denne sammenhengen. Dessverre.

Jeg trodde jeg hadde en forståelse av IAM før jeg begynte i jobben. Identity Manager-programvare og noen agenter ute på serverne? En webserver og noen script? Roller i et eller annet grensesnitt man kunne legge til og fjerne per bruker? Dette fikser jeg.

Nå har jeg fokusert utelukkende på IAM i to måneder, og jeg har ikke sett toppen av isfjellet engang. Det ene er mengden produkter som adresserer en eller annen funksjon i IAM-sammenheng, det andre er hvor kolossalt omfattende hvert enkelt produkt er. Alt er kryptert, gjerne flere ganger, og det er en haug med nettverksprotokoller til hver enkelt funksjon, og trør man feil, risikerer man å rive hele greia ned. Alle system kan integreres med hverandre, og de har overlappende funksjoner som sørger for at «kaoset» blir komplett.

Hvis du googler IAM, er det motstridende informasjon å finne. De forskjellige produsentene har sine egne begreper på funksjoner og mekanismer – noe som ikke gjør ting enklere for en integrator (les Atea) som tilbyr produkter fra mange produsenter.

Dette blir mer spennende enn jeg hadde forestilt meg. Og det er jeg glad for. Dette føles som riktig vei å gå. Nå handler det om å zoome inn på et emne og spise elefanten bit for bit.

Den som greier å gjøre dette forståelig og gjennomførbart, vil kunne utgjøre en forskjell på samfunnsnivå. Det har jeg som ambisjon å få til. Sammen med mine nye og dedikerte kolleger i Atea.

God breddekompetanse på IAM er sjeldent. Og jeg er privilegert som kan komme med tom IAM-ryggsekk inn i dette miljøet, og få jobbe med, og lære av mennesker med mange års erfaring i faget, både design, implementasjon og drift. Det er folk i Atea som har jobbet med dette siden IAM startet på slutten av 90-tallet. Det er imponerende.

Så IAM dreier seg prinsipielt om håndtering av identitet, og det å definere roller som igjen betyr tilgang til ressurser. Så har vi PAM «Privileged Access Management» og AM «Access Management» og sånn kunne jeg fortsatt noen sider til, men ikke i dag.

Neste blogg skal handle om kontroll av data og tilganger: Hvordan kan man ha oversikt over hva hver enkelt bruker driver med inni systemene, og hvordan vi kan finne ut om en bruker har litt mer tilganger enn det som er nødvendig? Er det en risiko forbundet med det?

Om du med hånden på hjertet forteller at du har full kontroll, så sier statistikken at du mest sannsynlig juger. 

Over og ut

- Sander