身份和訪(fǎng)問(wèn)管理安全相關(guān)術(shù)語(yǔ)
隨著內(nèi)部人員和最終用戶(hù)安全威脅持續(xù)增長(zhǎng),對(duì)于企業(yè)來(lái)說(shuō),現(xiàn)在的重點(diǎn)是,確保IT團(tuán)隊(duì)擁有可靠的身份和訪(fǎng)問(wèn)管理安全基準(zhǔn)。IT領(lǐng)導(dǎo)和管理員應(yīng)該了解可用的身份和訪(fǎng)問(wèn)管理工具和相關(guān)技術(shù),以幫助精簡(jiǎn)企業(yè)中的身份驗(yàn)證、訪(fǎng)問(wèn)和權(quán)限。
身份和訪(fǎng)問(wèn)管理(IAM)是業(yè)務(wù)策略和技術(shù)的框架,執(zhí)行用戶(hù)身份管理。IAM平臺(tái)結(jié)合了身份管理和訪(fǎng)問(wèn)控制。IT專(zhuān)業(yè)人員可以使用IAM框架功能控制用戶(hù)對(duì)企業(yè)網(wǎng)絡(luò)的訪(fǎng)問(wèn)。
企業(yè)使用IAM產(chǎn)品來(lái)確保授權(quán)用戶(hù)在適當(dāng)?shù)那闆r下訪(fǎng)問(wèn)預(yù)期的資源。企業(yè)利用IAM的功能來(lái)部署和明確整個(gè)企業(yè)中的用戶(hù)配置、訪(fǎng)問(wèn)權(quán)限、身份驗(yàn)證和合規(guī)性相關(guān)的過(guò)程。
請(qǐng)參閱此身份和訪(fǎng)問(wèn)管理安全術(shù)語(yǔ)和技術(shù)列表,以了解當(dāng)前IAM市場(chǎng)趨勢(shì)的背景知識(shí)。
特權(quán)身份管理(PIM)。監(jiān)控企業(yè)中超級(jí)用戶(hù)帳戶(hù)的過(guò)程被稱(chēng)為特權(quán)身份管理。超級(jí)用戶(hù)包括首席信息官、首席執(zhí)行官和數(shù)據(jù)庫(kù)管理員。如果沒(méi)有PIM監(jiān)管這些特權(quán),超級(jí)用戶(hù)帳戶(hù)可訪(fǎng)問(wèn)企業(yè)中最敏感的信息,這無(wú)疑將會(huì)暴露很多系統(tǒng)漏洞。這是一個(gè)重要的身份和訪(fǎng)問(wèn)管理安全問(wèn)題。
PIM的部署包括創(chuàng)建策略,明確如何管理超級(jí)用戶(hù)帳戶(hù)以及這些超級(jí)用戶(hù)可以和不可以對(duì)其訪(fǎng)問(wèn)范圍做什么。還必須明確責(zé)任方,以確保執(zhí)行PIM策略。在PIM中,定期審計(jì)或整理特權(quán)帳戶(hù)目錄也很重要。
身份治理。對(duì)用戶(hù)身份管理和訪(fǎng)問(wèn)控制基于策略的集中管理被稱(chēng)為身份治理。身份治理產(chǎn)品通常包括PIM、身份智能和分析工具。身份治理有助于維護(hù)法規(guī)合規(guī)性并支持IT安全性。這些產(chǎn)品可幫助企業(yè)協(xié)調(diào)和審核IAM策略,并通過(guò)審核用戶(hù)訪(fǎng)問(wèn)權(quán)限將IAM功能與合規(guī)性規(guī)則相關(guān)聯(lián)。
單點(diǎn)登錄(SSO)。單點(diǎn)登錄服務(wù)允許最終用戶(hù)輸入一組登錄信息便可訪(fǎng)問(wèn)多個(gè)應(yīng)用程序。單點(diǎn)登錄服務(wù)從SSO策略服務(wù)器檢索用戶(hù)的身份驗(yàn)證憑據(jù),并基于用戶(hù)存儲(chǔ)庫(kù)對(duì)用戶(hù)進(jìn)行身份驗(yàn)證。此簡(jiǎn)化服務(wù)會(huì)在用戶(hù)具有訪(fǎng)問(wèn)權(quán)限的所有應(yīng)用程序中對(duì)用戶(hù)進(jìn)行身份驗(yàn)證,從而在給定會(huì)話(huà)期間用戶(hù)無(wú)需為每個(gè)應(yīng)用程序輸入密碼。
SSO最大限度地減少了用戶(hù)必須記住各種應(yīng)用程序密碼的負(fù)擔(dān),但它與密碼同步不同,密碼同步是將所有密碼設(shè)置為相同的單詞。在用戶(hù)最初通過(guò)SSO服務(wù)器進(jìn)行身份驗(yàn)證后,當(dāng)后續(xù)應(yīng)用程序要求該用戶(hù)提供憑據(jù)時(shí),SSO服務(wù)器會(huì)代表用戶(hù)完成驗(yàn)證。
用戶(hù)配置。企業(yè)通常會(huì)試圖減少帳戶(hù)管理帶來(lái)的管理障礙,并且,用戶(hù)帳戶(hù)配置以一致的方式管理對(duì)IT系統(tǒng)資源的訪(fǎng)問(wèn)。這里的術(shù)語(yǔ)“配置”是指提供諸如文件或網(wǎng)絡(luò)之類(lèi)的資源。在用戶(hù)配置過(guò)程中,用戶(hù)賬號(hào)協(xié)調(diào)、對(duì)整合新用戶(hù)相關(guān)物理資源授權(quán)和分配都得以簡(jiǎn)化。用戶(hù)配置過(guò)程是身份管理操作的一部分。
基于角色的訪(fǎng)問(wèn)控制(RBAC)。基于角色的訪(fǎng)問(wèn)控制是指管理員根據(jù)用戶(hù)角色控制用戶(hù)訪(fǎng)問(wèn)。管理員根據(jù)用戶(hù)完成工作所需的訪(fǎng)問(wèn)權(quán)限以及服務(wù),將多個(gè)用戶(hù)被歸類(lèi)到一組。這種對(duì)用戶(hù)到資源數(shù)據(jù)指向RBAC用戶(hù)權(quán)限的分析稱(chēng)為角色挖掘。RBAC可避免用戶(hù)訪(fǎng)問(wèn)與其工作職能無(wú)關(guān)的信息、服務(wù)或資源。它還限制了對(duì)各種訪(fǎng)問(wèn)策略的需求。
當(dāng)用戶(hù)獲得無(wú)關(guān)資源時(shí),這為意外或故意的內(nèi)部威脅留下空間。在身份和訪(fǎng)問(wèn)管理安全性方面,應(yīng)定期安排審核,以檢查和考慮用戶(hù)在系統(tǒng)中的角色變化。管理員還應(yīng)避免將太多用戶(hù)分類(lèi)到一個(gè)組中,這可能會(huì)導(dǎo)致用戶(hù)可訪(fǎng)問(wèn)不需要的資源或特權(quán)蠕變。
特權(quán)蔓延。特權(quán)蠕變是指訪(fǎng)問(wèn)權(quán)限的逐步積累超出個(gè)體職能范圍。當(dāng)用戶(hù)職位提升或在企業(yè)內(nèi)水平移動(dòng)到另一個(gè)角色時(shí),可能會(huì)發(fā)生特權(quán)蠕動(dòng)。他們以前的訪(fǎng)問(wèn)權(quán)限很少會(huì)被撤銷(xiāo),即使他們不再需要訪(fǎng)問(wèn)過(guò)去所需的資源。因此,他們的訪(fǎng)問(wèn)權(quán)限擴(kuò)展,可能導(dǎo)致漏洞利用。
特權(quán)蠕變的漏洞利用可能有兩種方式:用戶(hù)可能濫用他們自己的超額特權(quán),或者攻擊者利用用戶(hù)帳戶(hù)這樣做。任何一種方式都有可能導(dǎo)致數(shù)據(jù)丟失、損壞或被盜。企業(yè)需要定期審核或?qū)徲?jì)訪(fǎng)問(wèn)權(quán)限以緩解風(fēng)險(xiǎn)。這種確認(rèn)用戶(hù)及其適當(dāng)權(quán)限的過(guò)程可以檢測(cè)特權(quán)蠕變。IT團(tuán)隊(duì)通常強(qiáng)制執(zhí)行最小特權(quán)原則,以?xún)H允許訪(fǎng)問(wèn)執(zhí)行其職責(zé)所需的最少量資源。
