随着内部和最终用户安全威胁的不断增加,现在的重点是确保IT团队拥有可靠的身份和访问管理安全基准。 IT领导者和管理员应了解可用的身份和访问管理工具及相关技术,以帮助简化企业中的身份验证,访问和权限。
身份和访问管理(IAM)是执行用户身份管理的业务策略和技术的框架。 IAM平台结合了身份管理和访问控制。 IT专业人员可以使用IAM框架来控制用户对公司网络的访问。
企业使用IAM产品来确保授权用户在适当时访问预期的资源。企业利用IAM的强大功能来部署和阐明与整个企业中的用户配置,访问权限,身份验证和合规性相关的流程。
有关当前IAM市场趋势的背景信息,请参阅此身份和访问管理安全术语和技术列表。
特权身份管理(PIM)。监视企业中的超级用户帐户的过程称为特权身份管理。超级用户包括CIO,CEO和数据库管理员。如果PIM不管理这些权限,则超级用户帐户可以访问企业中最敏感的信息,这无疑会暴露许多系统漏洞。这是一个重要的身份和访问管理安全问题。
PIM的部署涉及创建策略,阐明如何管理超级用户帐户以及这些超级用户可以做什么和不能做什么。还必须确定责任方以确保实施PIM策略。在PIM中,定期审核或组织特权帐户目录也很重要。
身份治理。用户身份管理和访问控制基于策略的管理的集中管理称为身份管理。身份治理产品通常包括PIM,身份智能和分析工具。身份治理有助于维护法规遵从性并支持IT安全性。这些产品通过审核用户访问权限,帮助组织协调和审核IAM策略,并将IAM功能与合规性规则相关联。
单点登录(SSO)。单点登录服务允许最终用户通过输入一组登录信息来访问多个应用程序。单点登录服务从SSO策略服务器检索用户的身份验证凭据,并根据用户存储库对用户进行身份验证。此简化服务对用户有权访问的所有应用程序中的用户进行身份验证,因此用户无需在给定会话期间为每个应用程序输入密码。SSO最大限度地减少了用户记住各种应用程序密码的负担,但它与密码同步不同,密码同步将所有密码设置为相同的单词。在用户最初由SSO服务器进行身份验证之后,当后续应用程序要求用户提供凭据时,SSO服务器代表用户完成验证。
用户配置。企业通常会尝试减少帐户管理的管理障碍,而用户帐户配置则以一致的方式管理对IT系统资源的访问。这里使用的术语“配置”指的是提供诸如文件或网络之类的资源。在用户配置过程中,简化了与新用户的集成相关的用户帐户协调,授权和物理资源分配。用户配置过程是身份管理操作的一部分。
基于角色的访问控制(RBAC)。基于角色的访问控制意味着管理员基于用户角色控制用户访问。管理员根据用户完成工作所需的访问权限和服务将多个用户分类到一个组中。对指向RBAC用户权限的用户到资源数据的这种分析称为角色挖掘。 RBAC阻止用户访问与其工作职能无关的信息,服务或资源。它还限制了对各种访问策略的需求。
当用户获得不相关的资源时,这为意外或故意的内部威胁留下了空间。在身份和访问管理安全性方面,应定期安排审计,以检查和考虑用户在系统中的角色变化。管理员还应避免将太多用户分类到一个组中,这可能导致用户有权访问不需要的资源或特权小工具。
特权传播。特权蠕变是指访问权的逐渐积累超出了各个职能范围。当用户的职位被提升或横向移动到企业内的另一个角色时,可能会出现特权松鼠。他们以前的访问权限很少被撤销,即使他们不再需要访问他们曾经使用的资源。结果,他们的访问权限被扩展并可能导致漏洞利用。
特权蠕变攻击有两种可能的方法:用户可能滥用他们自己的超额权限,或者攻击者可以使用用户帐户执行此操作。无论哪种方式,它都可能导致数据丢失,损坏或被盗。企业需要定期审查或审核访问以降低风险。确认用户及其适当权限的此过程可以检测权限蠕变。 IT团队通常会执行最小权限原则,以便只允许访问执行其职责所需的最少量资源。