身份和访问管理的ABC

根据 2021 年 Verizon数据泄露报告，61% 的受访网络攻击涉及特权凭证；70% 的滥用凭证攻击是由特权滥用引起的。此外，人为因素仍然是网络安全中最薄弱的环节之一，因为 82% 的入侵涉及人为因素，包括社交攻击、错误和滥用。网络钓鱼攻击是恶意攻击者使用的主要策略。

身份和访问管理 (IAM) 是指管理和控制数字身份的机制和程序。IAM 处理如何识别用户及其角色，包括定义、分配和更新用户访问级别。例如，用户可以看到哪些内容以及他们可以采取哪些操作：创建、删除、编辑、转移等。   

本文将讨论 IAM 的重要性、其主要组件、功能、特性和优势，以及如何在企业中开始实施它。 

为什么 IAM 如此重要？

IAM 是一个框架，可帮助公司管理用户与任何组织最关键资产之间的联系。识别用户并管理其访问权限对于任何安全程序都至关重要。它有助于预防和缓解一些最常见的弱点和威胁，例如泄露用户凭据、破解弱密码以及网络犯罪分子使用的其他典型切入点。 

随着网络攻击的数量和复杂程度不断增加，强制性法规也随之发展，IAM 及其自动化变得极为重要。此外，随着越来越多先进复杂的工具、实践和技术进入该领域，使用手动且容易出错的机制和程序已不再是一种选择。使用先进的自动化 IAM 解决方案可增强您的网络安全，提高合规性，同时优化资源支出，从而节省时间和金钱。 

IAM 的常见组件有哪些？ 

典型的 IAM 组件包括：

• 用户： IAM 用户是具有相关凭证和访问权限的身份。用户可以是实际的人，也可以是作为用户的应用程序。
• 组：这是具有相同访问类型的 IAM 用户的集合。
• 策略： IAM 策略设置权限并控制访问权限。典型的策略将包含以下信息：

1. 谁有访问权限？
2. 用户可以采取什么行动？
3. 他们何时可以使用访问权限和权限？

• 角色：一组权限，定义实体允许和拒绝哪些操作。

IAM 的常见功能/特性有哪些？

管理用户身份数据库、配置/取消配置用户：

IAM 系统的基本功能之一是通过作为唯一目录或与一个或多个其他目录集成和同步来创建、修改和删除用户。

创建身份、定义其访问权限以及将其添加到 ID 存储库或从 ID 存储库中删除的过程称为配置/取消配置。身份管理系统通常通过基于角色的访问控制(RBAC) 的策略来启用配置。换句话说，配置是指定向用户（例如编辑者、查看者或管理员）授予哪些工具和访问级别的过程。

通过多因素身份验证 (MFA) 和基于风险的身份验证 (RBA) 进行用户身份验证 

通过确认用户的身份来验证用户身份。安全身份验证目前通过多因素身份验证 (MFA) 完成。这意味着使用多个因素，例如用户名和密码，然后至少需要一步。例如，接收通过短信发送到智能手机的代码、插入智能卡/USB 设备、进行生物特征身份验证等。 

基于风险的身份验证，也称为自适应身份验证，根据用户的当前情况调整身份验证要求。最常见的示例之一是当用户尝试从新的未知位置/ IP 地址进行连接时。在这种情况下，用户可能需要执行额外的身份验证步骤。

访问管理-授权用户：

 访问管理是指管理和监控网络访问的流程和工具。它通过身份验证和授权、信任和安全审计等元素完成。它确保根据IAM 策略为用户提供与其角色相应的访问级别和类型。

单点登录 (SSO)：

具有单点登录 (SSO) 的 IAM 解决方案允许用户通过一个门户而不是许多不同的资源来验证其身份。这将使他们能够使用单个用户名和密码访问系统，而无需使用不同的凭据。一旦通过身份验证，IAM 系统将充当用户有权访问的其他系统/应用程序的身份真实来源，从而允许用户在它们之间无缝移动。

审计和报告系统：

此功能是指IMA 解决方案工具系统在平台上采取大多数操作后生成报告，例如登录时间、访问的系统、身份验证类型等。生成报告是为了确保合规性并帮助分析和评估安全风险。

IAM 有哪些好处？

使用 IAM 工具有很多好处：

加强网络安全：

正确管理身份和访问权限可以更有效地控制用户对所有系统、数据和流程的访问。通过改善用户访问权限，企业可以大幅降低组织遭受外部和内部数据泄露的风险，从而提高网络安全的稳健性。 

提高效率和生产力：

自动化 IAM 系统可节省时间和金钱并提高员工注意力，从而提高组织的运营效率。

通过报告、标准化和执行政策来提高合规性：

自动 IAM 系统最重要的功能之一是报告和审计。结合实施安全标准和程序以及遵守安全策略的能力，这些功能可以提高组织对法规和外部审计的安全合规性，因为可以根据需要提供所需的数据。

增强用户体验：

由于IAM采用单点登录（SSO）方式，用户只需进行一次身份认证，无需记住多个复杂的用户名和密码即可访问多个系统，用户只需在第一阶段提供用户名和密码，即可在系统和应用之间自由无缝切换。 

如何在企业中实施 IAM：

了解了 IAM 的重要性、其组件、功能、特性和优势之后，就该讨论实施过程了。 

1. 明确职责，让所有利益相关者参与进来，并记录一切：

IAM 系统及其实施将影响您业务活动中的每个人，从您的员工开始，到各个级别的每个部门、您的承包商、供应商、合作伙伴，最终到客户。 

因此，必须选择一个个人或一个实体/团队来领导整个过程，从头到尾，并确保他们参与、协作并与组织内外的所有相关利益相关者同步该过程。确保每个人都了解他们的职责是什么以及对他们的期望是什么。

成功实施 IAM 的另一个必要条件是所有相关利益相关者对流程的每一步进行持续、清晰、透明、细致和详细的记录。

2. 准备和计划：绘制并研究您当前的情况和需求：

 开始实施 IAM 之前的第一步是仔细研究和规划：

• 对企业的当前状况进行彻底调查——现有的数据安全协议有哪些。
• 映射并编译需要 IAM 协议的所有网络、软件、应用程序和其他系统及其组件的列表。
• 确保您了解这些组件之间的环境有何不同。例如，云系统与本地系统之间的区别是什么。
• 优先考虑您的所有需求。  

3. 创建访问策略并选择数字身份验证方法

• 创建最适合您需求的访问策略。
• 选择一种或多种数字身份验证方法，例如：
  • 密码
  • 单点登录 (SSO)
  • 多重身份验证 (MFA)
  • 行为认证（使用人工智能分析用户的典型击键、鼠标移动等）
  • 生物识别

4.评估并选择IAM工具：

研究并评估在您自己的本地安装或基于身份即服务(IDaaS) 云的解决方案上运行的可用身份和访问管理工具、产品和服务的优缺点。选择最适合您需求的方案。 

5. 在培训和教育员工的同时，逐步开始实施 IAM 政策：

实施 IAM 是一个复杂的过程，涉及所有利益相关者，并为数百/数千或更多的用户、设备和系统制定政策。因此，建议根据已知漏洞、本地合规法规、重要服务门户等参数，从优先级最高的领域开始 逐步启动该过程。

在启动和逐步实施 IAM 时，确保您永远不会忽视最重要的网络安全资产——您的员工。

通过网络意识培训投射你的数据

在本文中，您了解了 IAM 的基础知识，例如其重要性、功能和优势、意识的重要性以及在组织中最佳实施它的方法。重要的是要记住，身份和访问管理是一种手段。最终目标是增强您的合规性并加强您的网络安全。高级网络意识培训工具对于充分实施 IAM和增强组织的网络安全稳健性 至关重要。

文章来源：The ABCs of Identity & Access Management