Identiteettien parempaa hallintaa Møller Mobility Groupille

Järjestelmänvalvojatilit ovat usein houkutteleva kohde kyberhyökkäyksille laajennettujen oikeuksiensa vuoksi, ja vaativat siksi vahvaa valvontaa ja hallintaa. Autokonserni Møller Mobility Group päätti siksi tehdä yhteistyötä Cloudworksin kanssa toteuttaakseen tehokkaan ja turvallisen Identity Governance and Administration (IGA) -ratkaisun organisaation olemassa olevaan Microsoft Entra ID -ympäristöön.

Johtava autokonserni Norjassa ja Baltiassa

Møller Mobility Group, jolla on yli 4 000 työntekijää ja puolitoista miljoonaa myytyä autoa, on johtava autokonserni Norjassa ja Baltiassa. Nykyään yli 750 000 asiakasta palvelee yhteensä 70 jälleenmyyjää viidessä maassa. Yrityksen perusti vuonna 1936 Harald Aars Møller ja se on edelleen Møller-perheen omistuksessa.

Tarve järjestelmänvalvonnan hyvälle hallinnalle

Kuten monet suuret organisaatiot, Møller Mobility Group hallinnoi monimutkaista tilien ja käyttäjien verkostoa, jonka kaikissa sovelluksissa on eri tasoisia käyttöoikeuksia. Näiden joukossa ovat järjestelmänvalvojatilit laajennettuine oikeuksineen, jotka mahdollistavat tärkeiden, koko organisaatioon vaikuttavien muutosten tekemisen.

Järjestelmänvalvojatilit ovat usein houkutteleva kohde kyberhyökkäyksille laajojen oikeuksiensa vuoksi, ja vaativat siksi hyvää valvontaa ja hallintaa.

Manuaaliset ja hitaat prosessit

Møller Mobility Group on aina pitänyt huolta järjestelmänvalvojan oikeuksien erottamisesta tavallisista käyttäjätileistä parhaiden käytäntöjen mukaisesti. Tämä on kuitenkin on perustunut manuaalisiin prosesseihin, jotka ovat sekä aikaa vieviä että tehottomia. Siksi tarvetta on selkeästi ollut turvalliselle ja tehokkaammalle ratkaisulle. Tilit on suljettava asianmukaisesti, jotta työntekijöiden lähtiessä organisaatiosta minimoidaan riski hylättyjen järjestelmänvalvojatilien jäämisestä toimintaan.

Ratkaistakseen haasteen Møller Mobility Group päätti tehdä yhteistyötä Cloudworksin kanssa monipuolisen Identity Governance and Administration (IGA) -ratkaisun toteuttamiseksi olemassa olevaan Microsoft Entra ID -ympäristöönsä.

Järjestälmänvalvojatilien tehokas hallinta

Automaattinen elinkaaren hallinta

Microsoft Entra ID Governancen avulla Cloudworks on toteuttanut automaattisen järjestelmänvalvojan tilien elinkaaren hallinnan. Uusi järjestelmä antaa käyttäjille mahdollisuuden pyytää järjestelmänvalvojan oikeuksia, jolloin käyttäjän tiedot liitetään automaattisesti uuteen tiliin. Tällä tavoin organisaatio varmistaa, ettei ole olemassa järjestelmänvalvojatilejä ilman liitettyä käyttäjää.

Järjestelmä tarkistaa myös jatkuvasti hylättyjä järjestelmänvalvojatilejä, jotka on liitetty epäaktiivisiin käyttäjätileihin.

Automaattinen elinkaaren hallinta varmistaa, ettei järjestelmänvalvojan tilejä unohdeta ja jätetä aktiivisiksi, mikä voisi tehdä niistä haavoittuvia hyökkäyksille.

Räätälöidyt laajennukset

Cloudworks kehitti räätälöityjä laajennuksia organisaatiolle. Ne antavat käyttäjille mahdollisuuden luoda erikoistuneita järjestelmänvalvojan tilejä tiettyjä tehtäviä varten, kaikki yhdistettyinä ensisijaiseen käyttäjätiliin. Tämä tarkoittaa, että käyttäjällä voi esimerkiksi olla neljän tyyppisiä järjestelmänvalvojan tilejä liitettynä. Kun ensisijainen tili deaktivoidaan, kaikki liitetyt järjestelmänvalvojan tilit deaktivoidaan myös automaattisesti.

Käyttöoikeuspaketit määrätyillä pääsyoikeuksilla

Käyttöoikeuspaketit antavat järjestelmänvalvojan tileille mahdollisuuden pyytää erityisiä käyttöoikeuksia hyväksymisprosessin kautta. Pyyntö lähetetään automaattisesti eteenpäin osastopäälliköille tai järjestelmän omistajille, joiden on hyväksyttävä se ennen oikeuksien myöntämistä. Tämä varmistaa, että järjestelmänvalvojan tilillä on vain tarvittavat oikeudet – ei enempää eikä vähempää.

Järjestelmänvalvojatilien käyttöoikeuksien valvonta ja tarkastus

Microsoft Entra ID:n Privileged Identity Management (PIM) lisää ratkaisuun ylimääräisen turvallisuuskerroksen. PIM:n käyttöönotto mahdollistaa kaikkien järjestelmänvalvojan tilien käyttöoikeuksien valvonnan ja tarkastuksen. Tämä varmistaa, että oikeudet ovat aktivoituna ja myönnettynä vain silloin, kun se on ehdottoman välttämätöntä.

Olemassa olevien tilien tarkistaminen ja turvalliset todennusprotokollat

IGA-projekti on toteutettu asteittain kahden vuoden aikana. Tämä varmistaa sujuvan siirtymän, minimoi häiriöt ja antaa kaikille aikaa tottua uuteen järjestelmään.

Projekti aloitettiin olemassa olevien tilien perusteellisella tarkistuksella, ja epäaktiiviset ja tarpeettomat oikeudet siivottiin pois. Ensimmäisen vuoden aikana luotiin perusta projektille ottamalla käyttöön PIM ja turvallisemmat todennusprotokollat. Tähän sisältyi monitvaiheisen todennuksen (MFA) käyttöönotto ja Windows Hello for Businessin integrointi, mikä johti tehokkaampaan ja käyttäjäystävällisempään kirjautumisprosessiin biometriikan avulla.

Teamwork

Tiivistä yhteistyötä

Microsoft Entra ID Governancen käyttöönoton myötä seuraavana vuonna aloitettiin tilien elinkaaren hallinnan automatisointi. Räätälöidyt laajennukset automatisoivat järjestelmänvalvojan tilien käsittelyn ja deaktivoinnin.

Møller Mobility Groupin eri osastojen kanssa tehtiin tiivistä yhteistyötä käyttöoikeuspakettien räätälöimiseksi tiettyihin rooleihin.

Sujuva siirtymä asteittaisella käyttöönotolla

Tärkeä vaihe prosessissa oli eri tiimien asteittainen käyttöönotto. Kohdennetulla koulutuksella kaikki tulivat sinuiksi oikeuksien pyytämisprosessin kanssa. Useimmat käyttäjät eivät kokeneet sitä suurena muutoksena, sillä heidän järjestelmänvalvojan tilinsä yhdistettiin tavalliseen käyttäjätiliin alusta alkaen. Oli tärkeää, että siirtymä uuteen ratkaisuun sujui mahdollisimman kitkattomasti.

Viimeiset kuukaudet omistettiin ratkaisun käyttöönotolle, ja uudet IGA-prosessit integroitiin olemassa oleviin järjestelmiin tiiviissä yhteistyössä organisaation eri tiimien kanssa.

Teamwork

Turvattu tulevaisuus

Kaksivuotisen projektin merkittävä tulos on, että ratkaisu on joustava ja helposti mukautettavissa, joten sitä voidaan skaalata ja kehittää muuttuvien tarpeiden mukaan. Tämä antaa Møller Mobility Groupille vahvemman ja joustavamman IAM-ympäristön, joka voi kasvaa organisaation mukana.