身分識別與存取管理
存取管理從安全身分識別開始。 使用「零信任」方法,這表示您會藉由將最少的權限指派給授權的使用者,以套用最低權限存取權。 因此,保護身分識別和管理存取權會整合成一個身分識別和存取管理系統。
身分識別和存取權管理如何運作?
身分識別和存取權管理系統是重要的安全性層級。 請務必保護重要資料和資訊、應用程式和軟體、裝置、位置 (商務位置和資料中心),以及資料傳輸等區域,避免未經授權的存取或使用。 身分識別和存取權管理通常牽涉到使用:
- 密碼管理工具。
- 員工資料庫系統。
- 內部部署和雲端應用程式。
符合規範的識別
身分識別和存取權管理與合規性,結合有效的安全性原則,有助於防止駭客攻擊或其他安全性缺口。
組織可以採用特定技術,以改善其整體安全界限。 以下是許多組織用來監視資源存取的一些識別方法:
- 識別卡:使用識別卡是最舊且最普遍的識別方法之一。 顯示員工清楚圖片的識別卡,可確保進入內部部署的人員是授權的個人。 可以安裝掃描器來檢查合法性,辨別是否有偽造識別碼。
- 個人識別碼:使用 PIN 是安全存取的另一個最佳做法。 PIN 是在進入建築物之前,在門邊使用鍵盤輸入的代碼。 每位員工都會獲指派定期更新的唯一存取 PIN。
- 智慧卡:智慧卡正逐漸成為控制實體存取的安全方式。 智慧卡可用來驗證個人的身分識別,並判斷正確的存取層級。 智慧卡可以設計成允許特定員工進入受限制的區域。
- 生物特徵辨識:生物特徵辨識是驗證需要存取組織中資產和資源之使用者身分識別的其中一個最安全的方法。 生物特徵辨識讀取器通常會先掃描實體特徵,例如指紋或手印、臉部、語音或眼睛,再提供安全的存取權。
判斷身分識別一般存取的方法
以明確驗證為基礎的「零信任」策略需要實作各種方法來確認使用者或裝置的身分識別。 一些較常見的識別方法如下:
- 單一登入:單一登入 (SSO) 表示您只需使用單一使用者帳戶登入一次,即可存取執行作業所需的多個應用程式和資源。 單一登入可消除使用者在各種應用程式中保存其認證複本的風險。
-
多重要素驗證:多重要素驗證 (MFA) 需要多種形式的安全性和驗證程序。 此安全性機制是以三個因素為基礎:
- 您知道的要素 - 密碼。
- 您擁有的要素 - 權杖或驗證器應用程式。
- 您本身的要素 - 例如指紋的物理特徵。
MFA 藉由結合不同的驗證技術,例如密碼、行動推播通知和生物特徵辨識,來增加多層安全性,以提供更好的保護。
- 條件式或角色型存取:當使用者或裝置經過驗證時,條件式或角色型存取會接管。 這是一組原則,可控管提供給使用者或裝置的存取層級。 此程序稱為授權,並指定人員、事項以及裝置或使用者可以前往的位置。
身分識別的最低權限存取權
如名稱所示,最低權限存取權的目的是授與使用者或裝置對於重要和基本資源剛好足夠的存取權。 有許多工具可支援此功能。 Privileged Access Management (PAM) 特別針對具有提高權限的使用者帳戶,例如系統管理員。 Privileged Identity Management (PIM) 會監督及監視使用者和裝置對敏感性資料和資源的存取權限。 最後,身分識別存取管理會管理哪些使用者群組可以存取組織內的資源。
最低權限存取權可以透過下列方式來執行:
- 管理帳戶
- 緊急帳戶
- 服務帳戶
- 商務使用者帳戶
我們目前的工作方式是持續演進。 更多使用者和裝置透過雲端連線、物聯網 (IoT) 裝置彼此通訊,且會自動化更多商務程序。 這已大幅增加與存取權相關的網路犯罪攻擊數量。
有效的最低權限存取權管理解決方案可確保:
- 正確的存取層級。 使用者只能有執行其作業的適當存取層級。 也可以識別連結到權限誤用的活動。
- 保護端點。 每個單一端點 (從 IoT 裝置到智慧型手機,攜帶您自己的金鑰 (BYOD) 到合作夥伴管理的裝置,並將內部部署工作負載帶到雲端裝載的伺服器) 預設會包含權限。 如果攻擊者取得系統管理員帳戶,他們可以輕鬆地從一個端點移至另一個端點,造成更大的損害。 當最低權限存取權管理就位時,可讓 IT 小組移除本機系統管理權限,以降低風險。
- 有效合規性。 如果特殊權限存取不受監視和管理,組織仍然易受攻擊。 成功的權限存取權管理解決方案可讓組織追蹤和記錄與重要資料和 IT 資產相關的所有活動,並確保法規合規性。