标识和访问管理
访问管理从安全标识开始。 使用零信任方法,这意味着通过向授权用户分配最少的权限来应用最低权限访问权限。 因此,保护标识和管理访问权限统一到一个标识和访问管理系统中。
标识和访问管理的工作原理是什么?
标识和访问管理系统是一个重要的安全层。 保护关键数据和信息、应用程序和软件、设备、位置业务位置、数据中心和数据传输等区域免受未经授权的访问或使用,这一点至关重要。 标识和访问管理通常涉及以下操作:
- 密码管理工具。
- 员工数据库系统。
- 本地和云应用程序。
符合性标识
标识和访问管理和合规性与有效的安全策略相结合,可帮助防止黑客攻击或其他安全漏洞。
组织可以通过特定技术采取一些措施来改善其整体安全外围。 下面是许多组织用来监视对资源的访问的一些标识方法:
- 标识卡:使用 ID 卡是最古老且最常用的标识方法之一。 显示员工清晰图片的 ID 卡可确保进入本地的人员是经过授权的个人。 如果存在伪造 ID,可以安装扫描程序来检查是否存在盗版。
- 个人标识号:使用 PIN 是安全访问的另一种最佳做法。 PIN 是在访问建筑物之前使用键盘在门上输入的代码。 为每个员工分配一个定期更新的唯一访问 PIN。
- 智能卡:智能卡正逐渐被用作控制物理访问的安全方式。 它们可用于对个人标识进行身份验证,并确定正确的访问级别。 可以对智能卡进行编程,以允许特定员工访问受限区域。
- 生物识别:生物识别是验证需要访问组织中的资产和资源的用户身份的最安全方法之一。 生物识别读取器通常会在提供安全访问权限之前扫描物理特征,例如指纹或手纹、人脸、语音或眼睛。
用于确定标识的典型访问权限的方法
基于显式验证的零信任策略需要实施各种方法来确认用户或设备的身份。 一些更常见的标识方法包括:
- 单一登录:单一登录 (SSO) 意味着仅使用单个用户帐户登录一次,即可访问执行该作业所需的多个应用程序和资源。 单一登录消除了用户在各种应用中持有其凭据副本的风险。
-
多重身份验证:多重身份验证 (MFA) 需要多种形式的安全和验证过程。 此安全机制基于三个因素:
- 你知道的内容 - 一个密码。
- 你有的某物 - 令牌或验证器应用。
- 你存在的某种形式 - 像指纹一样的物理特征。
MFA 通过组合不同的身份验证技术(如密码、移动推送通知和生物识别)来添加多个安全层,以提供更好的保护。
- 条件访问或基于角色的访问: 对用户或设备进行身份验证后,条件性的或基于角色的访问将接管。 这是一组策略,用于控制提供给用户或设备的访问级别。 此过程称为授权,并指示设备或用户可以前往的人员、内容和位置。
标识的最小权限访问权限
顾名思义,最小权限访问的目标是授予用户或设备对关键和基本资源的足够访问权限。 有许多工具支持此功能。 特权访问管理 (PAM) 专门处理具有提升权限的用户帐户,例如管理员。 特权标识管理 (PIM) 监督和监视用户和设备对敏感数据和资源的访问权限。 最后,标识访问管理控制哪些用户组可以访问组织内的资源。
可通过以下方法实现最低权限访问:
- 管理帐户
- 紧急帐户
- 服务帐户
- 业务用户帐户
我们目前的工作方式正在不断发展。 越来越多的用户和设备通过云进行连接,物联网 (IoT) 设备相互通信,并且正在自动化更多的业务流程。 这大大增加了与访问相关的网络犯罪攻击的数量。
有效的最低权限访问管理解决方案可确保:
- 正确的访问级别。 用户只有适当的访问权限才能完成其工作。 它还允许识别链接到特权滥用的活动。
- 安全终结点。 每个终结点—从 IoT 设备到智能手机,将自己的设备 (BYOD) 引入合作伙伴管理的设备,将本地工作负荷引入云托管服务器—默认包含权限。 如果攻击者持有管理员帐户,他们可以轻松地从一个终结点转到另一个终结点,从而造成更多损害。 当最小权限访问管理到位时,它使 IT 团队能够删除本地管理权限以降低风险。
- 有效符合性。 如果不监视和管理特权访问,组织将仍然易受攻击。 成功的特权访问管理解决方案使组织能够跟踪和记录与关键数据和 IT 资产相关的所有活动,并确保合规性。