许多组织以错误的方式看待合规性。他们认为,如果技术工具到位、流程审查和风险评估得到实施,就可以满足合规要求。但合规性并不是要提供更安全的流程和技术,而是要确保这些流程和技术确实提供更安全的环境。提交新的文字合规流程并不意味着人们会遵循它们。同样,部署IAM工具并不意味着它将改善组织的合规性状态。在本文中,我们解决了可能影响合规性的IAM问题,以及如何确保IAM技术和流程有效地支持您的组织的合规性。身份管理有两种保护措施,被认为是许多法规和行业安全计划的支柱。它们是:1.LeastPrivilege:这个概念是只允许用户的账户完成用户必要的工作。2.职责分离(SoD):这是要求多人完成一项任务的概念。这些概念在合规性方面非常重要,构成最高风险的活动是某人进行的更改会损害受保护数据集的安全性,并且没有任何审计或监督可以检测和防止此类事件的发生。组织一直在努力解决这些类型的问题,他们已经转向身份管理系统寻求答案。更准确地看身份管理与合规性之间的关系,IAM系统可以分为两个领域:预先确定的和实时的访问控制。预定的访问控制预先决定用户应该有什么访问权限,用户应该访问什么系统,以及用户将如何与这些系统上的数据进行交互。实时访问控制是管理用户何时拥有帐户并可以发出访问请求的机制。理想情况下,当用户提出访问请求时,这些技术应该确定用户在哪里,他们使用什么设备,在请求的时间段内是否可以访问数据,允许哪些请求,并确保正确的数据是回。预先确定的访问策略主要通过配置服务提供。在合规性方面,不仅要能够证明用户有账号,还要知道提供给用户的账号是从哪里来的。是自助服务请求吗?如果是这样,应用什么逻辑条件来确保用户有权发出请求并且确实应用了SoD规则?或者访问请求是由其他人(例如他们的主管)代表该用户提出的?如果是这样的话,组织怎么知道这个人被授权来判断一个用户的访问是合适的呢?对于合规性,仅记录用户有权访问是不够的。如何确定访问权限是否合适,谁有权批准此类访问权限,以及如何验证请求以确定适当的访问权限,这些都是需要跟踪和保存的重要信息。通过存储此信息,第三方可以检查这些授权的逻辑以验证企业合规性。实时访问控制由IAM系统控制。这些工具串联存在于发出访问请求的用户和系统/数据之间。无论它们是基于Web、基于门户还是基于API,这些服务都会询问用户的请求以确保凭据正确并且发出请求的系统位于足够安全的位置以允许用户获取他想要的数据访问。实时访问控制通过记录用户信息、访问命令和请求返回的数据来满足合规性要求。这些日志绝对存储在日志管理系统中,可以存储合规规则,第三方可以在交易发生时对其进行审查,以确保它们符合公司的访问规则。假设这些活动正常运作,认证是合规性必须维护的另一个概念。换句话说,所采用的访问方法是用户唯一可用的方法。组织通常会在新的IAM系统上投入时间和金钱,而无需关闭遗留的人工访问方法。保持这些“后门”敞开并允许在控制手段之外访问数据不仅无法提供合规访问,而且还有数据丢失或泄漏的风险。仅仅创建新的“数据访问高速公路”是不够的;“杂草丛生的铁路”需要退役和关闭。对于大型的、地理位置分散的组织来说,这可能并不容易,而且它仍然是许多合规组织努力解决的主要问题之一。安装新的IAM应用程序并不能保证合规性。所有IAM都必须提供预期的交付服务。此外,需要分配资源来记录系统的配置方式,并且必须指导操作人员捕获和维护每天生成的日志。在产品部署结束时,必须执行记录审查以确保旧的访问和操作系统被关闭,或***退役,以确保无法再使用未经批准的方法访问敏感信息。
