IAM旨在统一构建平台的权限管理标准,通过定义并管理单个网络用户的身份,确保合适的身份在合适的时间获得合适的授权访问。
本篇主要探讨零信任的身份安全。
关键词:IAM 零信任 管理流程
浅谈IAM——零信任之身份安全
01
概述
IAM旨在统一构建平台的权限管理标准,通过定义并管理单个网络用户的身份,确保合适的身份在合适的时间获得合适的授权访问。
当使用者需要为他人或者应用赋予自己资源的访问权限时,可以按需配置任意粒度的权限和身份载体,通过在生命周期内对实体身份的全方位统一管控,极大降低访问密钥被泄露的风险,提高平台客户信息的安全性。
02
核心功能
MFA(多因子身份认证)
提供多样的身份认证管理,业务系统基于不同用于用户提供统一的认证接口,根据用户的权限级别来确保对应业务安全级别的准确性。使用MFA(多因子身份认证)对用户凭据进行额外的安全保护,可以抵御各种网络威胁。
SSO
保障用户的安全接入,一次登录实现各业务系统的统一访问,无需再次登录鉴权。解决组织多应用,多账号管理繁琐的问题。
动态访问控制
基于可信的终端、应用、身份、流量、上下文信息,进行细粒度的风险度量和授权,实现动态访问控制。
风险识别
基于用户行为的风险识别,支持根据用户所在地点、终端、访问习惯等场景信息,制定差异化的认证策略,并根据用户登录场景的变化,动态调整认证策略,触发基于不同场景下的安全认证策略。
用户行为审计
从用户请求网络连接开始,到访问服务返回结果结束,所有的操作、管理和运行更加可视、可控、可管理、可跟踪。实现重点数据的全过程审计,识别并记录异常数据操作行为,实时告警,保证数据使用时的透明可审计。
03如何实现?
01
规范的身份管理流程
用户统一账号命名规则、应用账号命名规则
用户统一账号、应用账号密码策略
定义用户注册、变更、离职等业务场景的流程规范
定义各应用新建、变更、停用等业务场景的流程规范
系统和数据的备份、监控方法
02
多身份凭证管理
口令(静态密码、OTP、短信口令)
社交认证(微信、钉钉、企业微信)
生物特征(人脸特征、指纹特征、虹膜特征、耳廓特征、掌纹特征、静脉特征)
行为特征(声纹特征、签名特征、按键特征)
其他(证书)
03
特权账号管理
将网络设备、操作系统等特权账户在一个平台内进行全面接管
定期账号发现与扫描
账号密码自动轮换策略
内嵌密码管理能力
账号背后的数据脱敏
支持的凭证与密码种类丰富
人与机器对特权凭证的使用均能被审计记录
04
身份的全生命周期管理
身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。
05
完善的认证方案
提供统一的认证策略,确保Internet和局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护,而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统(包括密码、令牌、X.509证书、智能卡、定制表单和生物识别)、多认证源汇聚统一帐户管理与多种认证方法组合提供访问管理支持。
06
细粒度的权限控制
以用户身份包括属性、角色、组和动态组作为对授权策略的依据,并按位置和时间确定访问权限。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。
07
UEBA
UEBA(用户和实体行为分析),用于分析网络空间中的用户和实体(服务器、路由器等)的行为(可以分析包括用户、IT设备、和IP地址等在内的行为),并应用高级分析技术来检测异常恶意行为,并达到异常行为响应的目的。
审计机制:
用户行为审计:操作习惯、访问习惯
访问环境审计:网络环境(互联网、VPN、内网)、地理环境(境外、异地、公司、家中)
访问时间审计:短时间频繁登录、短时间异地登录、非工作时间登录
威胁情报审计:风险IP、密码撞库、密码泄露
设备访问审计:设备指纹异常、非常用设备、非授权设备
异常行为审计:敏感应用操作异常、连续多次登录失败、同一IP多次不同账号登录
事件安全响应:
访问时间:时间限制、时间策略、异常策略
访问账户:黑名单、账户类型、生物特征
访问行为:操作异常、行为突变、路径异常
访问关系:权限关系、账户关系、应用关系
访问习惯:认证习惯、信任设备、操作习惯
访问位置:异常位置、常用位置、地理限制
来源:freebuf.com 2021-05-26 14:44:33 by: Enlink
请登录后发表评论
注册