随着内部人员和最终用户安全威胁的持续增长,企业现在必须确保IT团队拥有可靠的身份和访问管理安全基线。IT领导和管理员应该了解可用于帮助简化企业中的身份验证、访问和权限的身份和访问管理工具及相关技术。身份和访问管理(IAM)是实施用户身份管理的业务策略和技术框架。IAM平台结合了身份管理和访问控制。IT专业人员可以使用IAM框架功能来控制用户对公司网络的访问。企业使用IAM产品来确保授权用户在适当的情况下访问预期的资源。组织利用IAM的功能来部署和阐明与整个企业的用户配置、访问权限、身份验证和合规性相关的流程。查看此身份和访问管理安全术语和技术列表,了解当前IAM市场趋势的背景。特权身份管理(PIM)。在企业中监控超级用户帐户的过程称为特权身份管理。高级用户包括首席信息官、首席执行官和数据库管理员。如果没有PIM来监督这些权限,超级用户帐户将有权访问企业中一些最敏感的信息,这无疑会暴露许多系统漏洞。这是一个重要的身份和访问管理安全问题。部署PIM涉及创建策略,这些策略指定超级用户帐户的管理方式以及这些超级用户在其访问范围内可以做什么和不能做什么。还必须确定责任方以确保PIM政策的执行。在PIM中,定期审计或组织特权帐户目录也很重要。身份治理。用户身份管理和访问控制的集中式、基于策略的管理称为身份治理。身份治理产品通常包括PIM、身份智能和分析工具。身份治理有助于保持合规性并支持IT安全。这些产品可帮助组织协调和审计IAM策略,并通过审计用户访问权限将IAM功能与合规性规则相关联。单点登录(SSO)。单点登录服务允许最终用户输入一组登录信息以访问多个应用程序。单点登录服务从SSO策略服务器检索用户的身份验证凭据,并根据用户存储库对用户进行身份验证。这种简化的服务在用户有权访问的所有应用程序中对用户进行身份验证,从而消除了用户在给定会话期间为每个应用程序输入密码的需要。SSO最大限度地减少了用户必须记住各种应用程序密码的负担,但它与密码同步不同,密码同步将所有密码设置为同一个词。用户最初通过SSO服务器进行身份验证后,当后续应用程序向该用户请求凭据时,SSO服务器将代表用户完成身份验证。用户配置。组织通常会尝试减少帐户管理带来的管理障碍,并且用户帐户配置以一致的方式管理对IT系统资源的访问。这里的“配置”指的是提供文件或网络等资源。与集成新用户相关的物理资源的用户帐户协调、授权和分配在用户配置期间得到简化。用户配置过程是身份管理操作的一部分。基于角色的访问控制(RBAC)。基于角色的访问控制是指管理员根据用户角色来控制用户访问。管理员根据他们完成工作所需的访问权限和服务将用户分组。这种指向RBAC用户权限的用户到资源数据的分析称为角色挖掘。RBAC防止用户访问与其工作职能无关的信息、服务或资源。它还限制了对各种访问策略的需求。当用户获得对无关资源的访问权限时,这为意外或蓄意的内部威胁留下了空间。在身份和访问管理安全方面,应安排定期审计以检查和说明用户在系统中角色的变化。管理员还应避免将太多用户归入一个组,这可能允许用户访问不需要的资源或权限蔓延。特权蔓延。权限蠕变是超出单个功能范围的访问权限的逐渐积累。当用户在企业内被提升或横向移动到另一个角色时,可能会发生权限蔓延。他们以前的访问权限很少被撤销,即使他们不再需要访问他们过去需要的资源。结果,他们的访问权限被扩展,可能导致漏洞利用。特权蠕变的利用可以通过两种方式发生:用户可以滥用自己的多余特权,或者攻击者可以利用用户帐户来这样做。任何一种方式都有可能导致数据丢失、损坏或被盗。企业需要定期审查或审计访问权限以降低风险。这个验证用户及其适当权限的过程可以检测权限蔓延。IT团队经常执行最小权限原则,只允许访问执行其职责所需的最少资源。
