Identity 和 Access Management (IAM)

为什么IAM很重要?

很明显, 防止未经授权访问公司的技术基础设施, including 应用程序 和数据, 仍然是至关重要的. This is especially the case in a modern technology world, where 网络攻击 和数据 privacy breaches are in the news on a regular basis.

电子商务的发展加剧了网络犯罪的问题 ransomware continues to impact private 和 public organizations worldwide.

基本而言, 任何遭受客户数据泄露的公司都会对其声誉造成重大打击. In a competitive business world, 这意味着消费者将把他们的业务转移到其他地方.

然而, organizations in some business sectors, 像银行, 金融, 和保险, 当他们的技术基础设施遭到黑客攻击时，还必须处理法规和遵从性问题吗. In this environment, robust 云安全  是至关重要的. 那么，什么是IAM?

我是如何工作的? 

简单地说, IAM旨在让正确的人(您的员工)进入，并将错误的人(威胁参与者)拒之门外。. 云中的每个服务和资产都有自己的身份，这些身份带有多层权限, IAM通过围绕以下方面构建的自动监控和修复来保护身份边界:  

• 访问管理 
• 角色管理
• 身份认证 
• 合规审计

Least privileged access (LPA) is a key component of the IAM cloud lifecycle approach. 它设置了人或机器完成工作所需的最小访问量. 利用LPA的解决方案通常会根据用户的角色使用自动化来收紧或放松权限. 

IAM的组成

任何健壮的IAM平台都提供了一套技术和工具，旨在管理对公司技术资产的访问. This basic functionality includes: 

• 密码管理
• Security policy enforcement
• Access monitoring, reporting, 和 alerting
• Identity management 和 repositories 
• 配置服务

These functionalities may seem like “the basics,但是管理它们的实现和维护方式很快就会变得复杂. 包含上述内容的解决方案可确保通过基于身份的策略进行正确访问, 资源政策, 允许的界限, service-control policies, 以及会话策略.

随着时间的推移, governance of these functionalities will change, as IAM boundaries evolve 和 security becomes ever tighter. 最后，IAM是任何组织战略SecOps方法的重要组成部分. 

Major Capabilities of an IAM Solution

Depending on the needs of the company, 一些供应商为本地环境和基于云的环境提供单独的IAM解决方案. 此外，还存在其他IAM技术来满足某些身份管理场景.

例如, API的安全 为访问技术基础设施的移动和物联网设备提供单点登录功能. 这种方法对于B2B用例以及云和微服务集成都是有意义的.

如前所述, CIAM支持访问公司ERP的客户的身份管理, CRM, 和 other similar systems. 已经采用基于云的基础设施的公司需要考虑身份即服务(IDaaS)来满足他们的IAM需求.

最后, Identity Management 和 Governance (IMG) supports companies with significant regulatory 和 compliance needs. 该技术利用自动化方法来识别生命周期治理. 另外, 基于风险的身份验证(RBA)分析用户的身份和上下文以确定风险评分. 然后，系统需要高风险的请求使用双因素身份验证来获得访问权限.

IAM的好处

成功ful businesses don’t thrive in a vacuum. 而不是, they rely on fostering relationships with customers, 客户, 供应商, 以及他们自己的员工. Doing so requires providing access to internal technical systems, 不是本地, 在云端, 或者两者兼而有之. IAM makes this access possible in a secure fashion.

As organizations continue to embrace mobile 和 IoT, driven by the growth in 5G networking, a robust IAM solution is necessary to support this extended access. 无论用户身在何处，身份访问管理都可确保安全性和合规性, or whether that user is a person, 设备, 或microservice.

最终，实现IAM平台可以帮助公司的技术团队更有效地工作. 

IAM的挑战

自然, 对许多企业来说，实现身份管理平台仍然是一个具有挑战性的过程, as its presence affects a company’s entire security stack. 正因为如此, 在采用新的IAM解决方案时，网络管理员需要意识到各种风险.

其中一个挑战是新员工、承包商、应用程序或服务的入职. 重要的是，负责任的经理或人力资源人员有权提供这种初始访问权限. 当出于任何原因需要修改访问时，也适用类似的概念. Properly delegating this authority 是至关重要的.

Note that newer IAM products leverage automation for this purpose, which also helps immeasurably when reducing or removing access rights. It’s an important regulatory compliance issue as well. 休眠帐户 网络访问 are critical security holes that must be patched as soon as possible.

在授予访问权之后监控信任关系是实现IAM平台时的另一个重要挑战. Analyzing baseline user behavior helps in this regard; it makes it easier to detect when usage anomalies happen.

任何IAM解决方案还必须与组织使用的单点登录(SSO)方法紧密集成. SSO平台必须方便地提供对公司整个应用程序套件的安全访问, including those hosted on-premises or with a cloud provider.  

最后, 所选择的身份管理流程必须与多个云提供商无缝协调. 多云基础架构为身份和访问管理带来了最大的挑战, as each cloud provider likely brings their own security approach. 成功集成支持多云环境的IAM解决方案有助于防止任何重大安全风险.

Read More About Identity 和 Access Management (IAM)

2022云错误配置报告:最新的云安全漏洞和攻击趋势

Learn about Rapid7's InsightCloudSec product

Identity 和 Access Management (IAM): Latest 新闻 from the 博客