浅谈IAM——零信任之身份安全 – 作者:Enlink

IAM旨在统一构建平台的权限管理标准,通过定义并管理单个网络用户的身份,确保合适的身份在合适的时间获得合适的授权访问

本篇主要探讨零信任的身份安全。

关键词:IAM  零信任  管理流程

浅谈IAM——零信任之身份安全 

01

概述

图片[1]-浅谈IAM——零信任之身份安全 – 作者:Enlink-安全小百科

IAM旨在统一构建平台的权限管理标准,通过定义并管理单个网络用户的身份,确保合适的身份在合适的时间获得合适的授权访问

图片[2]-浅谈IAM——零信任之身份安全 – 作者:Enlink-安全小百科

当使用者需要为他人或者应用赋予自己资源的访问权限时,可以按需配置任意粒度的权限和身份载体,通过在生命周期内对实体身份的全方位统一管控,极大降低访问密钥被泄露的风险,提高平台客户信息的安全性。

02

核心功能

MFA(多因子身份认证)

提供多样的身份认证管理,业务系统基于不同用于用户提供统一的认证接口,根据用户的权限级别来确保对应业务安全级别的准确性。使用MFA(多因子身份认证)对用户凭据进行额外的安全保护,可以抵御各种网络威胁。

SSO

保障用户的安全接入,一次登录实现各业务系统的统一访问,无需再次登录鉴权。解决组织多应用,多账号管理繁琐的问题。

动态访问控制

基于可信的终端、应用、身份、流量、上下文信息,进行细粒度的风险度量和授权,实现动态访问控制。

风险识别

基于用户行为的风险识别,支持根据用户所在地点、终端、访问习惯等场景信息,制定差异化的认证策略,并根据用户登录场景的变化,动态调整认证策略,触发基于不同场景下的安全认证策略。

用户行为审计

从用户请求网络连接开始,到访问服务返回结果结束,所有的操作、管理和运行更加可视、可控、可管理、可跟踪。实现重点数据的全过程审计,识别并记录异常数据操作行为,实时告警,保证数据使用时的透明可审计。

03如何实现?

01

规范的身份管理流程

用户统一账号命名规则、应用账号命名规则

用户统一账号、应用账号密码策略

定义用户注册、变更、离职等业务场景的流程规范

定义各应用新建、变更、停用等业务场景的流程规范

系统和数据的备份、监控方法

02

多身份凭证管理

口令(静态密码、OTP、短信口令)

社交认证(微信、钉钉、企业微信)

生物特征(人脸特征、指纹特征、虹膜特征、耳廓特征、掌纹特征、静脉特征)

行为特征(声纹特征、签名特征、按键特征)

其他(证书)

03

特权账号管理

将网络设备、操作系统等特权账户在一个平台内进行全面接管

定期账号发现与扫描

账号密码自动轮换策略

内嵌密码管理能力

账号背后的数据脱敏

支持的凭证与密码种类丰富

人与机器对特权凭证的使用均能被审计记录

04

身份的全生命周期管理

身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。图片[3]-浅谈IAM——零信任之身份安全 – 作者:Enlink-安全小百科

05

完善的认证方案

提供统一的认证策略,确保Internet和局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护,而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统(包括密码、令牌、X.509证书、智能卡、定制表单和生物识别)、多认证源汇聚统一帐户管理与多种认证方法组合提供访问管理支持。

06

细粒度的权限控制

以用户身份包括属性、角色、组和动态组作为对授权策略的依据,并按位置和时间确定访问权限。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。

07

UEBA

UEBA(用户和实体行为分析),用于分析网络空间中的用户和实体(服务器、路由器等)的行为(可以分析包括用户、IT设备、和IP地址等在内的行为),并应用高级分析技术来检测异常恶意行为,并达到异常行为响应的目的。

审计机制:

用户行为审计:操作习惯、访问习惯

访问环境审计:网络环境(互联网、VPN、内网)、地理环境(境外、异地、公司、家中)

访问时间审计:短时间频繁登录、短时间异地登录、非工作时间登录

威胁情报审计:风险IP、密码撞库、密码泄露

设备访问审计:设备指纹异常、非常用设备、非授权设备

异常行为审计:敏感应用操作异常、连续多次登录失败、同一IP多次不同账号登录

事件安全响应:

访问时间:时间限制、时间策略、异常策略

访问账户:黑名单、账户类型、生物特征

访问行为:操作异常、行为突变、路径异常

访问关系:权限关系、账户关系、应用关系

访问习惯:认证习惯、信任设备、操作习惯

访问位置:异常位置、常用位置、地理限制

来源:freebuf.com 2021-05-26 14:44:33 by: Enlink

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论