企业使用访问管理解决方案来验证、授权和审核对应用程序和 IT 系统的访问。 它们经常作为身份和访问管理 (IAM) 解决方案的组件提供,通过密切管理对本地和基于云的应用程序、服务和 IT 基础架构的访问来帮助提高安全性和降低风险。 它们还有助于确保适当的用户可以在适当的时间出于适当的原因访问适当的资源。 这篇博文将详细解释访问管理,包括特权访问管理的定价。
什么是访问管理?
访问管理是识别、跟踪、调节和管理允许或指定用户对系统、应用程序或任何 IT 实例的访问的过程。
它是一个综合概念,包括用于保护 IT 环境中访问权限安全的所有规则、方法、方法和技术。
访问管理本质上是一种信息安全、IT 和数据治理程序,允许有效用户访问,同时禁止无效用户访问。 AM 通常与身份访问管理 (IAM) 结合使用。 AM 保证遵守这些角色和策略,而身份管理开发、提供和规范各种用户、角色、组和策略。 基于 AM 的应用程序/系统保存各种用户角色和配置文件,然后根据数据/配置文件/角色处理用户访问请求。
身份和访问管理
身份和访问管理 (IAM) 是一门网络安全学科,专注于管理用户身份和网络访问权限。 虽然 IAM 策略、流程和技术因公司而异,但任何 IAM 计划的目标都是确保正确的用户和设备能够在正确的时间以正确的理由访问正确的资源。
IAM 可以帮助简化复杂的多云设置中的访问控制。 公司网络现在链接到本地、远程和基于云的 (SaaS) 软件和数据源。 出于各种原因,人类用户(工人、客户、承包商)和非人类用户(机器人、物联网设备、自动化工作负载、API)需要访问这些资源。
IAM 系统使企业能够向每个用户颁发单一数字身份并确定每个用户的访问权限。 因此,只有授权用户才能访问公司资源,并且他们只能以组织允许的方式使用这些资源。
IAM 如何运作
从本质上讲,IAM 努力将黑客拒之门外,同时允许授权用户在不超出其权限的情况下简单地执行他们需要做的一切。
每个公司的网络都是独一无二的,用于开发身份和访问管理系统的策略、流程和工具也是如此。 话虽如此,大多数(如果不是全部)IAM 实施涵盖四个关键功能:
#1。 身份生命周期管理
为网络上的每个人或非人类实体开发和维护数字身份的过程称为身份生命周期管理。
数字身份通知网络每个实体是谁或什么,以及他们被允许在网络上进行什么。 标识通常包含基本的用户帐户信息——姓名、ID 号、登录凭据等——以及有关实体的组织职能、职责和访问权限的信息。
新实体的入职流程、随着时间的推移升级其帐户和权限以及不再需要访问权限的用户离职或取消配置的流程都是身份生命周期管理的一部分。
#2。 访问控制
如前所述,每个数字身份根据公司的访问限制对网络资源具有不同级别的访问权限。 消费者可能只能访问他们在云平台上的个人账户和数据。 员工可以访问客户数据库以及人力资源门户等内部工具。 系统管理员可以访问和更改网络上的所有内容,包括客户和员工帐户、内部和外部服务以及交换机和路由器等网络设备。
为了创建和执行访问规则,许多 IAM 系统采用基于角色的访问控制 (RBAC)。 RBAC 中每个用户的权限由他们的工作职能或职位决定。 假设一家公司正在配置网络防火墙访问权限。 销售代表不太可能访问,因为他们的职业不需要访问。 初级安全分析师可能能够查看但不能更改防火墙配置。 CISO 将拥有所有管理权限。 将公司的 SIEM 连接到防火墙的 API 可能能够读取防火墙的活动日志,但看不到任何其他内容。
#3。 认证授权
IAM 系统不仅仅是生成身份和颁发权限; 它们还通过身份验证和授权帮助执行这些权限。
身份验证是用户证明他们是他们所说的人的过程。 当用户寻求访问资源时,IAM 系统会将他们的凭据与存储在目录中的凭据进行比较。 如果它们匹配,则授予访问权限。
虽然用户名/密码组合提供基本级别的身份验证,但当今大多数身份和访问管理框架都采用额外的身份验证层来提供额外的安全性以抵御网络威胁。
多因素身份验证。
用户在使用多重身份验证 (MFA) 时必须提交两个或更多身份验证因素来证明其身份。 提供给用户手机的安全代码、物理安全密钥或指纹扫描等生物识别技术都是常见因素。
SSO(单点登录)
SSO 允许用户使用一组登录凭据访问大量应用程序和服务。 SSO 门户验证用户身份并生成证书或令牌作为其他资源的安全密钥。 许多 SSO 系统使用安全断言标记语言 (SAML) 等开放协议来允许服务提供商自由共享密钥。
自适应识别
当风险发生变化时,自适应身份验证(也称为“基于风险的身份验证”)会实时更改身份验证要求。 用户在从他们的普通设备签到时可能只需要提交用户名和密码。 如果同一用户从不受信任的设备登录或试图查看敏感信息,则可能需要额外的身份验证因素。
IAM 系统在用户通过身份验证后检查目录以了解用户的访问权限。 IAM 系统然后授权用户只能访问和完成其权限允许的任务。
#4。 身份管理
跟踪人们对其资源访问所做的操作的过程称为身份管理。 IAM 系统密切关注用户以确保他们没有滥用他们的特权,并抓住任何进入网络的黑客。
身份管理对于合规性也是必不可少的。 公司可以利用活动数据来确保其访问控制符合数据安全标准,例如通用数据保护条例 (GDPR) 或支付卡行业数据安全标准 (PCI-DSS)。
特权访问管理 (PAM)
特权访问管理 (PAM) 是一种信息安全 (infosec) 方法,它使用高于普通用户的独特访问权限或功能来保护身份。 与所有其他信息安全解决方案一样,PAM 安全性依赖于人员、流程和技术的结合。
由于特权帐户对技术环境构成的风险,我们对它们采取了额外的预防措施。 例如,如果管理员或服务帐户的凭据遭到泄露,组织的系统和机密数据可能会受到危害。
当威胁行为者破坏特权访问帐户时,就会发生数据泄露。 因为这些帐户包含在技术环境中打开每扇门的钥匙,所以我们必须增加额外的安全层。 特权访问管理系统提供了额外的安全性。
什么是特权访问?
在技术背景下,特权访问是指比普通用户具有更大能力的帐户。 例如在Linux环境下,root用户可以添加、编辑、删除用户; 安装和卸载软件; 以及访问普通用户无法访问的操作系统的受限部分。 Windows 环境具有类似的安全模型,但根用户被称为管理员。
特权访问管理的流程是什么?
如前所述,特权访问管理是人员、流程和技术的结合。 因此,确定哪些帐户具有特权访问权限是安装 PAM 解决方案的第一步。 之后,公司必须决定将哪些政策应用于这些账户。
例如,他们可能会规定服务帐户必须在每次用户访问其保存的凭据时刷新其密码。 对所有系统管理员实施多重身份验证 (MFA) 是另一个示例。 公司可能选择应用的另一项规定是保留所有特权会话的完整日志。 理想情况下,每个流程都应与特定风险保持一致。 例如,要求更改服务帐户的密码可以降低内部攻击的可能性。 同样,保留所有特权会话的日志允许安全管理员识别任何异常情况,并且强制执行 MFA 是防止密码相关攻击的可靠解决方案。
在完成查找特权帐户的发现步骤并最终确定其 PAM 策略后,企业可以安装一个技术平台来监控和执行其特权访问管理。 此 PAM 解决方案使组织的规则自动化,并为安全管理员提供了一个平台来管理和监控特权帐户。
PAM的意义何在?
特权帐户给公司带来巨大风险,因此特权访问管理在任何组织中都至关重要。 例如,如果威胁行为者破坏了普通用户帐户,他们将只能访问该特定用户的信息。 如果他们设法破坏特权用户,他们将拥有更多的访问权限,并且根据帐户的不同,甚至可能会破坏系统。
由于他们的级别和个人资料,欺诈者以特权帐户为目标,以攻击整个公司而不是单个个人。 Forrester 预测特权帐户涉及 80% 的安全漏洞,因此保护和监控这些基本的组织身份至关重要。 例如,PAM 解决方案可以解决安全漏洞,例如许多人访问并知道特定服务的相同管理密码。 它还降低了管理员因害怕造成不可预见的中断而拒绝更改长期存在的静态密码的危险。
PAM 管理安全访问的重要组件,并简化管理员用户帐户的创建、提升的访问功能和云应用程序配置。 PAM 减少了组织在 IT 安全方面跨网络、服务器和身份的攻击面。 它还降低了由内部和外部网络安全威胁引起的数据泄露的可能性。
特权访问管理定价
特权访问管理 (PAM) 系统的成本不仅仅是许可费。 虽然仅关注前期成本可能很诱人,但评估特权访问管理定价需要考虑其他因素以确定该解决方案是否会提供真正的投资回报 (ROI) 或导致的问题多于它解决的问题。
这就是为什么除了考虑特权访问管理成本外,企业还必须确定在选择 PAM 系统时他们将获得什么样的投资回报率。 ROI 计算器可以帮助他们确定对 DevOps/工程团队、安全团队和公司可行的回报类型。
PAM 解决方案的成本是多少?
特权访问管理 (PAM) 解决方案的费用为每位用户每月 70 美元。 这包括所有数据库、服务器、集群、Web 应用程序和云的审计和集成。 也没有计量、数据限制或专业服务成本。
访问管理的作用是什么?
访问管理保证一个人获得对他们有权使用的工具的准确级别和类型的访问。
访问管理需要哪些技能?
- 对应用程序安全性有很好的理解和了解。
- 对基于角色的访问控制系统有一些了解和/或专业知识。
- 出色的口头和书面沟通、人际关系、组织和时间管理能力。
- 向他人传达和解释复杂的技术问题、问题和替代解决方案的强大能力。
- 具有在高等教育机构或政府机构中使用 ERP 系统的良好知识或经验。
- 需要具有复杂技术问题和任务的分析和故障排除技能。
- 具有在处理 ERP 系统的软件开发环境中担任身份管理员的知识或经验者优先。
- 对州和联邦身份管理法规有丰富的知识或经验。
- 了解何时可以使用基于角色的访问控制措施来提供访问。
- 能够确定何时向供应商的技术支持中心提交案例和/或何时升级现有问题。
- 能够决定是否升级或应用特定级别的风险缓解。
相关文章
参考资料
