隨著內(nèi)部人員和最終用戶安全威脅持續(xù)增長(zhǎng)，對(duì)于企業(yè)來(lái)說(shuō)，現(xiàn)在的重點(diǎn)是，確保IT團(tuán)隊(duì)擁有可靠的身份和訪問管理安全基準(zhǔn)。IT領(lǐng)導(dǎo)和管理員應(yīng)該了解可用的身份和訪問管理工具和相關(guān)技術(shù)，以幫助精簡(jiǎn)企業(yè)中的身份驗(yàn)證、訪問和權(quán)限。

[[269312]]

身份和訪問管理(IAM)是業(yè)務(wù)策略和技術(shù)的框架，執(zhí)行用戶身份管理。IAM平臺(tái)結(jié)合了身份管理和訪問控制。IT專業(yè)人員可以使用IAM框架功能控制用戶對(duì)企業(yè)網(wǎng)絡(luò)的訪問。

企業(yè)使用IAM產(chǎn)品來(lái)確保授權(quán)用戶在適當(dāng)?shù)那闆r下訪問預(yù)期的資源。企業(yè)利用IAM的功能來(lái)部署和明確整個(gè)企業(yè)中的用戶配置、訪問權(quán)限、身份驗(yàn)證和合規(guī)性相關(guān)的過程。

請(qǐng)參閱此身份和訪問管理安全術(shù)語(yǔ)和技術(shù)列表，以了解當(dāng)前IAM市場(chǎng)趨勢(shì)的背景知識(shí)。

特權(quán)身份管理(PIM)。監(jiān)控企業(yè)中超級(jí)用戶帳戶的過程被稱為特權(quán)身份管理。超級(jí)用戶包括首席信息官、首席執(zhí)行官和數(shù)據(jù)庫(kù)管理員。如果沒有PIM監(jiān)管這些特權(quán)，超級(jí)用戶帳戶可訪問企業(yè)中最敏感的信息，這無(wú)疑將會(huì)暴露很多系統(tǒng)漏洞。這是一個(gè)重要的身份和訪問管理安全問題。

PIM的部署包括創(chuàng)建策略，明確如何管理超級(jí)用戶帳戶以及這些超級(jí)用戶可以和不可以對(duì)其訪問范圍做什么。還必須明確責(zé)任方，以確保執(zhí)行PIM策略。在PIM中，定期審計(jì)或整理特權(quán)帳戶目錄也很重要。

身份治理。對(duì)用戶身份管理和訪問控制基于策略的集中管理被稱為身份治理。身份治理產(chǎn)品通常包括PIM、身份智能和分析工具。身份治理有助于維護(hù)法規(guī)合規(guī)性并支持IT安全性。這些產(chǎn)品可幫助企業(yè)協(xié)調(diào)和審核IAM策略，并通過審核用戶訪問權(quán)限將IAM功能與合規(guī)性規(guī)則相關(guān)聯(lián)。

單點(diǎn)登錄(SSO)。單點(diǎn)登錄服務(wù)允許最終用戶輸入一組登錄信息便可訪問多個(gè)應(yīng)用程序。單點(diǎn)登錄服務(wù)從SSO策略服務(wù)器檢索用戶的身份驗(yàn)證憑據(jù)，并基于用戶存儲(chǔ)庫(kù)對(duì)用戶進(jìn)行身份驗(yàn)證。此簡(jiǎn)化服務(wù)會(huì)在用戶具有訪問權(quán)限的所有應(yīng)用程序中對(duì)用戶進(jìn)行身份驗(yàn)證，從而在給定會(huì)話期間用戶無(wú)需為每個(gè)應(yīng)用程序輸入密碼。

SSO最大限度地減少了用戶必須記住各種應(yīng)用程序密碼的負(fù)擔(dān)，但它與密碼同步不同，密碼同步是將所有密碼設(shè)置為相同的單詞。在用戶最初通過SSO服務(wù)器進(jìn)行身份驗(yàn)證后，當(dāng)后續(xù)應(yīng)用程序要求該用戶提供憑據(jù)時(shí)，SSO服務(wù)器會(huì)代表用戶完成驗(yàn)證。

用戶配置。企業(yè)通常會(huì)試圖減少帳戶管理帶來(lái)的管理障礙，并且，用戶帳戶配置以一致的方式管理對(duì)IT系統(tǒng)資源的訪問。這里的術(shù)語(yǔ)“配置”是指提供諸如文件或網(wǎng)絡(luò)之類的資源。在用戶配置過程中，用戶賬號(hào)協(xié)調(diào)、對(duì)整合新用戶相關(guān)物理資源授權(quán)和分配都得以簡(jiǎn)化。用戶配置過程是身份管理操作的一部分。

基于角色的訪問控制(RBAC)。基于角色的訪問控制是指管理員根據(jù)用戶角色控制用戶訪問。管理員根據(jù)用戶完成工作所需的訪問權(quán)限以及服務(wù)，將多個(gè)用戶被歸類到一組。這種對(duì)用戶到資源數(shù)據(jù)指向RBAC用戶權(quán)限的分析稱為角色挖掘。RBAC可避免用戶訪問與其工作職能無(wú)關(guān)的信息、服務(wù)或資源。它還限制了對(duì)各種訪問策略的需求。

當(dāng)用戶獲得無(wú)關(guān)資源時(shí)，這為意外或故意的內(nèi)部威脅留下空間。在身份和訪問管理安全性方面，應(yīng)定期安排審核，以檢查和考慮用戶在系統(tǒng)中的角色變化。管理員還應(yīng)避免將太多用戶分類到一個(gè)組中，這可能會(huì)導(dǎo)致用戶可訪問不需要的資源或特權(quán)蠕變。

特權(quán)蔓延。特權(quán)蠕變是指訪問權(quán)限的逐步積累超出個(gè)體職能范圍。當(dāng)用戶職位提升或在企業(yè)內(nèi)水平移動(dòng)到另一個(gè)角色時(shí)，可能會(huì)發(fā)生特權(quán)蠕動(dòng)。他們以前的訪問權(quán)限很少會(huì)被撤銷，即使他們不再需要訪問過去所需的資源。因此，他們的訪問權(quán)限擴(kuò)展，可能導(dǎo)致漏洞利用。

特權(quán)蠕變的漏洞利用可能有兩種方式：用戶可能濫用他們自己的超額特權(quán)，或者攻擊者利用用戶帳戶這樣做。任何一種方式都有可能導(dǎo)致數(shù)據(jù)丟失、損壞或被盜。企業(yè)需要定期審核或?qū)徲?jì)訪問權(quán)限以緩解風(fēng)險(xiǎn)。這種確認(rèn)用戶及其適當(dāng)權(quán)限的過程可以檢測(cè)特權(quán)蠕變。IT團(tuán)隊(duì)通常強(qiáng)制執(zhí)行最小特權(quán)原則，以僅允許訪問執(zhí)行其職責(zé)所需的最少量資源。