随着内部人员和最终用户安全威胁的不断增长,对于企业来说,现在的重点是确保信息技术团队拥有可靠的身份和访问管理安全基准。信息技术领导者和管理员应该了解可用的身份和访问管理工具以及相关技术,以帮助简化企业中的身份验证、访问和权限。
身份和访问管理(IAM)是业务策略和技术的框架,执行用户身份管理。IAM平台结合了身份管理和访问控制。信息技术专业人员可以使用IAM框架功能来控制用户对企业网络的访问。
企业使用IAM产品来确保授权用户在适当的情况下能够访问预期的资源。企业使用IAM在整个企业中部署和阐明用户配置、访问权限、身份验证和法规遵从性相关流程。
有关当前IAM市场趋势的背景知识,请参考身份和访问管理安全条款和技术列表。
特权身份管理(PIM)。监控企业中超级用户帐户的过程称为特权身份管理。超级用户包括首席信息官、首席执行官和数据库管理员。如果没有PIM来监督这些权限,超级用户帐户可以访问企业中最敏感的信息,这无疑会暴露许多系统漏洞。这是一个重要的身份和访问管理安全问题。
PIM的部署包括创建策略,这些策略指定如何管理超级用户帐户,以及这些超级用户可以和不能对其访问范围做什么。还必须确定负责方,以确保PIM政策得到实施。在个人信息管理中,定期审计或组织特权账户目录也很重要。
身份治理。用户身份管理和访问控制的集中式基于策略的管理称为身份治理。身份治理产品通常包括个人信息管理、身份智能和分析工具。身份治理有助于维护法规遵从性并支持信息技术安全性。这些产品可以帮助企业协调和审查IAM策略,并通过审查用户访问权限将IAM功能与合规性规则相关联。
单点登录(SSO)。单点登录服务允许终端用户通过输入一组登录信息来访问多个应用程序。单点登录服务从单点登录策略服务器检索用户的身份验证凭据,并根据用户存储库对用户进行身份验证。这种简化的服务在用户有权访问的所有应用程序中对用户进行身份验证,因此用户在给定会话期间不需要为每个应用程序输入密码。
SSO最大限度地减轻了用户记住各种应用程序密码的负担,但它不同于将所有密码设置为同一单词的密码同步。用户最初通过单点登录服务器进行身份验证后,当后续应用程序要求用户提供凭据时,单点登录服务器将代表用户完成身份验证。
用户配置。企业通常尝试减少帐户管理带来的管理障碍,用户帐户配置以一致的方式管理对信息技术系统资源的访问。这里的术语“配置”指的是提供资源,例如文件或网络。在用户配置过程中,简化了与新用户集成相关的用户账户协调、授权和物理资源分配。用户配置过程是身份管理操作的一部分。
基于角色的访问控制(RBAC)。基于角色的访问控制是指管理员根据用户角色控制用户访问。管理员根据用户完成工作所需的访问权限和服务将多个用户分组。这种指向RBAC用户权限的用户对资源数据的分析称为角色挖掘。RBAC可以阻止用户访问与其工作职能无关的信息、服务或资源。它还限制了对各种访问策略的需求。
当用户获得不相关的资源时,这为意外或故意的内部威胁留下了空间。就身份和访问管理安全性而言,应该定期安排审计来检查和考虑用户在系统中角色的变化。管理员还应该避免将太多的用户分组到一个组中,这可能会导致用户对不必要的资源或权限的访问逐渐增加。
特权蔓延。特权蔓延指的是访问权限逐渐累积,超出了单个功能的范围。当用户被提升或水平移动到企业中的另一个角色时,可能会发生权限蔓延。他们以前的访问权限是ra
有两种方法可以利用特权蔓延漏洞:用户可能滥用自己多余的特权,或者攻击者可能使用用户帐户来这样做。无论哪种方式,数据都可能丢失、损坏或被盗。企业需要定期审查或审计访问权限以降低风险。这种确认用户及其适当权限的过程可以检测特权蔓延。信息技术团队通常实施最低特权原则,只允许访问履行职责所需的最少量资源。
极牛网精选文章《身份和访问管理安全相关术语》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/5102.html