如何自动离职以确保公司安全

在“大辞职”期间，员工（或承包商）离开一个组织所造成的损害可能是当今IT团队面临的最大风险之一。现实情况是，在繁忙的企业计算环境中，用户的入职和离职是日常生活中的一个事实。

当员工统计范围达到五位数时—；而且还必须考虑整个承包商网络—；人们很容易忘记谁来了，谁去了。通常，有一些“下车”的步骤被遗忘了—；仅从Active Directory或IAM中禁用或删除该用户是不够的，因为该用户可能在某些SaaS平台或其他敏感系统上拥有本地凭据。

从技术上讲，有一些方法可以使用诸如SCIM和JIT映射等协议来自动化离岸；然而，它需要在it环境中保持高度的成熟度，并需要员工来实施。

对于未实施SCIM或JIT的组织，非董事会员工可能仍然在他们经常使用的一些SaaS平台或其他敏感系统上拥有本地凭证。保留这些用户的访问权限会使组织面临未经授权的数据访问。

当涉及到让老用户脱离系统时——取消配置——有一些最佳实践应该牢记并遵循。

取消配置的最佳实践

盘点—It团队必须随时保持对所有能够访问公司系统的用户的最新记录。应建立与人力资源部门的沟通渠道，以便及时了解影响用户库存的事件，如员工离职。从安全的角度来看，这些系统需要能够检查内部和外部用户，才能有效。供应商环境可能会不断变化。

时刻保持警惕— 除了跟踪预期的系统用户外，IT团队还需要具备用户发现能力，能够全面了解他们可能访问的系统——既包括传统环境（如内部部署系统）中的系统，也包括迅速发展的云环境中的系统。

严格的访问控制— It团队必须制定入职和离职协议，以充分考虑员工的计算权限。如果一名员工可以访问3个内部系统和30个云托管系统，那么明确限制对内部系统的访问将留下一个巨大的信息漏洞，他们将保留访问权限。

如何自动化取消供应流程

这一过程需要安全团队进行细致的测绘和安全工作。SaaS安全态势管理解决方案，如Adaptive Shield，可以简化这一过程；Adaptive Shield用户资源清册中的一个简单查询可以揭示整个SaaS堆栈中未配置用户帐户的用户状态。

当涉及到取消这些帐户的配置时，协调工具为安全团队提供了一种简单的方法，可以将Adaptive Shield的功能集成到自动化的取消配置工作流中。这大大简化了流程，减少了完全取消用户权限所需的时间，并确保没有帐户处于活动状态。

Torq提供的截图

在上图中，您可以看到一个潜在的工作流，其中：

• 初始IAM取消配置可用作钩子，以通知Adaptive Shield已发生取消配置事件。
• Adaptive Shield可以探测组织的集成SaaS环境，以获取该用户的记录，
• 当Adaptive Shield检测到一个活动帐户时，它会在自动工具中触发一个工作流来识别该帐户，并将其停用。
• 如果无法直接停用该帐户，它会通过Slack向管理员发送消息，要求他们确认停用。
• 然后，自动化工具在Adaptive Shield中重新运行安全检查，以验证帐户停用。

这个工作流只是Adaptive Shield与编排工具集成的一个例子，它通过自动化简化了取消配置流程；不仅可以减轻手动审核和停用帐户的负担，还可以提供持续的可视性和控制，从而提高组织的SaaS安全态势。