Presque toutes les organisations ont des exigences en matière de sécurité et de conformité concernant l'accès aux données. équipes d'exploitation informatique doit respecter un processus standardisé pour déployer correctement les outils et les ressources auprès de tous les utilisateurs en ce qui concerne l'intégration, la configuration, autorisations , et sécurité — surtout à mesure que les organisations se développent. Il est indispensable de mettre en place un modèle d'autorisations garantissant que les utilisateurs n'aient accès qu'aux données nécessaires à l'exercice de leurs fonctions respectives.
Le contrôle strict de l'accès des utilisateurs aux différentes ressources de l'entreprise est fondamental pour garantir le respect des normes de sécurité et assurer une allocation des ressources organisée et pertinente. C'est pourquoi l'application des privilèges utilisateurs via des permissions constitue depuis longtemps une bonne pratique de gouvernance informatique, garantissant ainsi que les niveaux d'accès aux données appropriés sont accordés en fonction de ces privilèges. rôles d'utilisateur .
Les modèles d'autorisation suivent généralement les principe du moindre privilège Il s'agit d'un principe fondamental des pratiques de sécurité qui exige que chaque module (utilisateur, processus, etc.) ne dispose que des privilèges minimaux nécessaires à l'exécution de sa fonction. L'abstraction des données, qui permet aux utilisateurs de masquer les détails non essentiels à leur rôle, améliore également la productivité, car ils peuvent se concentrer sur les informations pertinentes. Les organisations renforcent également cette approche par… concept de séparation des tâches Ce système répartit les responsabilités critiques entre plusieurs personnes ou services afin de gérer les risques, les erreurs et la fraude. La plupart des modèles d'autorisations reposent sur une liste de contrôle d'accès prédéfinie, un ensemble de données qui définit les droits d'accès de chaque utilisateur à des objets système spécifiques. Lorsqu'une requête est reçue, l'outil vérifie la liste de contrôle d'accès pour son attribut de sécurité associé afin de s'assurer que le demandeur dispose des autorisations requises pour accéder à la ressource.
Lors de tout investissement dans des outils informatiques, les organisations recherchent des solutions permettant aux équipes d'utiliser les mêmes outils de manière uniforme. Lorsque les équipes commencent à utiliser leurs propres solutions (informatique parallèle), il devient très difficile de contrôler les accès et d'imposer des comportements conformes aux exigences de l'organisation, ce qui peut rapidement compliquer des aspects tels que la facturation. Dans l'idéal, un administrateur central peut contrôler le niveau d'accès des utilisateurs via une instance unique de l'outil, lequel doit respecter les politiques et directives de l'organisation en matière de sécurité de l'information et de protection des données. Les administrateurs peuvent ainsi suivre l'activité de toutes les équipes, tandis que ces dernières ne gèrent que les ressources auxquelles elles ont besoin d'accéder.
Lors du choix d'une solution respectant les normes d'autorisation, les avantages recherchés par les responsables d'outils et de processus incluent :
- La solution doit convenir à différents types d'équipes
- La solution doit être conforme aux politiques de sécurité existantes.
- La solution doit s'intégrer à l'infrastructure existante et aux référentiels d'utilisateurs définis dans leur solution de gestion des identités (par exemple, AD/LDAP). Elle gère les accès aux applications en respectant la hiérarchie et la structure organisationnelles, la définition des groupes d'utilisateurs et la distribution des privilèges d'accès.
- La solution devrait associer les résultats, l'utilisation et d'autres indicateurs à des utilisateurs et des équipes spécifiques afin de mettre en évidence les améliorations et les optimisations apportées à l'activité.
Pourquoi les permissions des utilisateurs sont-elles importantes dans la gestion des incidents ?
Comme pour tout investissement dans des outils, la gestion des permissions utilisateurs est primordiale dans toute solution de gestion des incidents. Elle est essentielle à la protection des données, notamment lorsqu'un incident implique des informations sensibles accessibles uniquement à une personne ou une équipe spécifique. Elle permet aux équipes de respecter les exigences de conformité en matière d'accès aux données et améliore la productivité des utilisateurs et des équipes lors de la résolution des problèmes, car chacun peut ainsi éviter de perdre du temps à analyser une quantité importante d'informations non pertinentes.
En matière de gestion des autorisations d'entreprise, le modèle doit être hautement évolutif. Ainsi, les administrateurs peuvent Accès cartographique aux groupes d'utilisateurs , au lieu de devoir configurer manuellement l'accès pour chaque utilisateur.
Voici les principales raisons pour lesquelles il est important de s'assurer que les rôles et les autorisations de gestion des incidents sont alignés sur les exigences de votre organisation :
- Renforcer la sécurité de tous les objets Seuls les administrateurs et les propriétaires de compte devraient disposer de la capacité centralisée de restreindre et de sécuriser l'accès en lecture/écriture à des objets spécifiques au sein de la solution de gestion des incidents (par exemple, les planifications, les politiques d'escalade, les incidents liés à des services informatiques spécifiques, etc.). Cela garantit que les utilisateurs ne peuvent consulter et effectuer des actions que sur les objets auxquels ils sont autorisés.
- Augmenter la productivité des utilisateurs Les équipes gagnent en productivité car chaque utilisateur accède uniquement aux ressources spécifiques à son rôle. N'ayant plus besoin de parcourir chaque élément pour trouver ceux qui leur sont utiles, les utilisateurs peuvent se concentrer sur les données réellement importantes pour leur fonction.
- Protéger les données et respecter les exigences de conformité Les organisations de toutes tailles sont mieux placées pour satisfaire aux exigences de conformité lorsque les administrateurs ou les propriétaires de comptes désignés peuvent appliquer les principes de sécurité.
- Définir l'accès de manière granulaire Les administrateurs doivent gérer l'accès aux différents objets de la solution de gestion des incidents pour l'ensemble des équipes indépendantes. Cela se fait par la création de rôles d'utilisateur personnalisés Si une solution plus évolutive est nécessaire, il convient de définir des autorisations d'accès pour les groupes d'utilisateurs ayant besoin des mêmes fonctionnalités. L'accès à des objets spécifiques peut être superposé à un rôle de base afin d'optimiser la granularité, permettant ainsi aux administrateurs de gérer et de sécuriser les ressources sans sur- ou sous-attribuer les privilèges des utilisateurs.
- Imposer l'accès à l'API De nombreuses solutions de gestion des incidents exploitent les données de surveillance tierces et peuvent étendre leurs fonctionnalités via une API. La possibilité de personnaliser le flux de travail de réponse aux incidents pour répondre à des besoins spécifiques et gagner du temps lors des interventions est un atout majeur pour la plupart des prestataires de services informatiques. Il est donc essentiel d'utiliser une solution de gestion des incidents où l'accès à l'API est automatiquement appliqué sur l'ensemble de la plateforme, y compris l'API elle-même. Les clés API récupérées via la plateforme doivent être autorisées à n'accorder à un utilisateur que le niveau d'accès aux objets de l'API défini dans son rôle.
Qui doit se pencher sur les autorisations ?
La gestion des permissions doit être une priorité pour les entreprises de toutes tailles. Votre organisation peut être une grande entreprise dotée d'une équipe opérationnelle centrale et d'équipes cloisonnées indépendantes, ou une PME dont l'infrastructure se complexifie et où les responsabilités opérationnelles sont réparties. Quelle que soit sa taille et son mode de fonctionnement, la gestion des permissions est essentielle pour toute personne responsable des investissements dans les outils et de la gestion centralisée des déploiements.
Elles doivent également être prises en compte par les personnes qui sont à la fois administrateurs et utilisateurs des outils, comme par exemple : NOC , Opérations centrales Les responsables DevOps doivent gérer la visibilité et l'accès aux ressources au sein d'équipes indépendantes et cloisonnées, et ce, avec agilité. Ainsi, leurs équipes interagissent uniquement avec les ressources nécessaires et n'ont pas à soumettre systématiquement des tickets au support technique pour accéder à différents objets.
Quelles sont les autorisations incluses dans PagerDuty ?
PagerDuty Autorisations personnalisées PagerDuty offre des fonctionnalités avancées de sécurité et de contrôle d'accès. Deux modèles distincts optimisent la flexibilité de la gestion des permissions. Premièrement, les administrateurs et les propriétaires de comptes peuvent créer des rôles personnalisés pour chaque utilisateur, garantissant ainsi que ce dernier ne dispose que des permissions nécessaires. Deuxièmement, ils peuvent appliquer des contrôles de permissions et de visibilité au niveau de l'équipe, améliorant ainsi l'efficacité et l'évolutivité lors de la gestion de grands groupes d'utilisateurs. Les organisations peuvent ainsi répondre aux exigences de conformité les plus strictes et exercer un contrôle total sur l'accès des utilisateurs et leur niveau d'interaction avec les ressources.
Il y en a trois rôles fixes dans PagerDuty , aucun accès supplémentaire ne peut leur être accordé en plus de leurs privilèges existants :
- Propriétaire du compte — Accès complet pour créer, mettre à jour et supprimer des objets, y compris les autorisations des utilisateurs. Cet accès ne peut être restreint. Accès également à la page de facturation.
- Administrateur global — Accès complet pour créer, mettre à jour et supprimer des objets, y compris les autorisations d'un utilisateur. Cet accès ne peut être restreint.
- Partie prenante — Peut consulter les objets, mais ne peut les modifier. Ne peut recevoir d'autorisations supplémentaires.
Tout utilisateur qui est pas un propriétaire de compte, un administrateur global ou Partie prenante se voit attribuer l'un des quatre suivants rôles de base (flexibles) En plus de cela, ils bénéficient du niveau d'accès nécessaire à des objets spécifiques. Un même utilisateur peut avoir plusieurs rôles afin de définir son niveau d'accès aux différents objets de PagerDuty. Par exemple, un utilisateur peut avoir un accès Gestionnaire aux objets requis pour l'équipe qu'il gère, mais un accès Intervenant ou Observateur à d'autres services, politiques d'escalade, etc.
- Accès restreint — Les utilisateurs ne peuvent rien voir dans le compte tant qu'ils ne sont pas ajoutés à une équipe et qu'un rôle au sein de cette équipe ne leur est pas attribué.
- Directeur — Accès complet pour créer, mettre à jour et supprimer des objets et toute leur configuration.
- Répondant — Peut intervenir en cas d'incidents et créer des dérogations.
- Équipe d'intervention — Pour les objets appartenant à leurs équipes, capables d'intervenir sur les incidents, de créer des dérogations et de définir des fenêtres de maintenance.
- Observateur — Peut visualiser les objets, mais ne peut les modifier.
» Pour en savoir plus sur les autorisations dans PagerDuty , consultez notre base de connaissances. ici .
Apprenez-en davantage sur les contrôles d'accès basés sur les équipes et les utilisateurs dans la gestion des incidents
PagerDuty permet aux équipes de simplifier la gestion des autorisations dans le cadre de la gestion des incidents grâce à des autorisations d'équipe évolutives et un contrôle de la visibilité, des autorisations utilisateur très précises, une association simple des utilisateurs entre PagerDuty et d'autres outils tels que ChatOps, et bien plus encore. Essayez-le dès maintenant ! essai gratuit de 14 jours .
Nous espérons que ces ressources vous permettront d'optimiser les autorisations dans la gestion des incidents afin que les utilisateurs et les équipes puissent administrer les problèmes de manière indépendante tout en les résolvant efficacement.