什么是身份和访问管理 (IAM)？

根据最近的一项调查，74% 的违规行为涉及对特权帐户的访问，但许多组织仍然未能采取必要的措施来防止特权凭据的滥用。

确保特权帐户的安全需要身份和访问管理(IAM)——该术语用于描述管理数字身份和控制允许这些身份访问哪些资产的过程。

IAM 由三个核心要素组成； 身份验证、授权和用户行为分析 (UBA)。

1. 认证
身份验证通常使用单点登录解决方案 (SSO) 完成。单点登录解决方案将允许用户通过单一门户登录系统，该门户将自动对所有连接的系统和应用程序的用户进行身份验证。

至少，制定强有力的密码策略是个好主意。强密码应该是唯一的，长度至少为 8 个字符，并且应包含数字、符号、特殊字符等。

当然，用户必须避免使用易于猜测的密码。如今，最复杂的身份验证协议将使用多重身份验证，有时称为“双因素身份验证”或“双因素身份验证”，并包括以下两项或多项；

• （仅）您知道的信息，其中可能包括密码、口令或安全问题。
• （仅）您拥有的东西，通常是软件令牌、证书或硬件加密狗，例如 RSA SecurID 令牌。
• 你是谁，可能包括指纹、虹膜或视网膜图案、声音或面部特征，或一些其他类型的生物识别数据。

2.授权
授权是确定经过身份验证的用户是否有权访问给定资源的过程。该过程首先向用户或组（包括人类和非人类（服务帐户））分配访问控制，以确定他们可以和不能访问哪些资源。

访问控制是根据“托管策略”分配的，“托管策略”是一组用于确定哪些用户、组和角色有权访问哪些资源的规则。许多人坚持“最小权限原则”(PoLP)，该原则规定应授予用户充分履行其角色所需的最小权限。

PoLP 通过限制内部或外部威胁行为者可以执行的操作，可以显着降低严重数据泄露的风险。

3. 用户行为分析（UBA）
UBA 是检测异常更改的过程 - 通常与访问权限以及包含敏感数据的文件和文件夹有关。用户行为分析解决方案将监控人类行为模式，以尝试检测异常情况，或者换句话说，检测偏离“正常”行为的事件。

UBA 是 IAM 的重要组成部分，因为它使 IT 团队能够跟踪谁有权访问哪些数据以及何时访问。有许多解决方案可以帮助 UBA。这些解决方案将编译与每个用户相关的行为规范的信息，并检测、警告和响应任何偏离这些规范的事件。

一些更复杂的解决方案能够检测并响应与预定义阈值条件匹配的事件。在身份和访问管理的上下文中，这可能包括识别和响应多次失败的登录尝试。

例如，如果在预定义的时间范围内检测到 X 次失败登录，则可以执行自定义脚本，该脚本可能会停止特定进程、更改防火墙设置、禁用用户帐户，甚至关闭整个系统。服务器。

为什么身份和访问管理 (IAM) 很重要？

虽然准确确定什么构成“内部威胁”并不容易，但人们普遍认为，内部威胁在某种程度上是数据泄露的主要原因。

根据《全球数据泄露报告》，69% 的组织表示，他们因内部威胁而遭到泄露。

内部威胁可能是由疏忽引起的，也可能是出于更恶意的原因，其中可能包括窃取敏感信息以谋取个人利益，或者在某些情况下可能是间谍行为。

身份和访问管理是我们抵御内部威胁的主要防御措施。 IAM 确保我们确切地知道谁有权并且应该有权访问我们的敏感数据。许多组织要么没有花费足够的时间，要么没有分配足够的资源来确保其 IAM 协议稳健，并且能够充分保护其敏感数据。

IAM 策略的实施和管理确实是一项耗时且昂贵的操作，而且不太可能产生任何明显的好处——至少在短期内是这样。然而，许多组织未能理解的是，这不是数据泄露是否会发生的问题，而是何时发生的问题。一个未能充分保护其特权帐户的组织很可能会后悔不已。

强大的身份和访问管理 (IAM) 策略的另一个好处

强大的 IAM 策略的另一个重要好处是，它使员工能够安全地在远程位置工作。此外，单点登录可实现更高的可扩展性，因为员工无需为引入的每个新服务或应用程序创建新帐户。

强大的 IAM 策略甚至可以为您的公司带来竞争优势，因为客户会对他们的数据安全更有信心。当然，如果您的公司遭遇数据泄露（可能是由于 IAM 状况不佳），这将损害您公司的声誉，从而可能导致业务损失。

了解从哪里开始实施您的身份和访问管理 (IAM) 策略

如今，组织使用更加多样化的应用程序和环境。除了传统的本地 IT 环境之外，越来越多的组织正在转向混合模型，该模型将基于云的服务和基础设施集成到现有设置中。

不仅如此，还有越来越多的不同设备从许多不同的地理位置连接到我们的网络。上述因素造成了额外的复杂性，可能令人难以承受，并且很难知道从哪里开始实施有效的 IAM 协议。

制定强大的 IAM 策略的第一步是建立一个专门的团队并让整个组织的所有相关利益相关者参与进来。您需要花一些时间研究可用的不同工具，其中包括联系不同的供应商以了解他们提供哪些软件包以及收费多少。

下一步涉及创建一个清单，详细说明您的组织所依赖的所有不同用户、设备、应用程序、服务器和平台。您需要确定如何在您的网络上识别用户。他们会通过姓名、员工编号或其他标识符来识别吗？许多组织会将这些用户分组为角色，并根据这些角色分配访问权限，这种做法称为基于角色的访问控制 (RBAC)。

角色可以分为类别，类别又分为子类别。例如，数据通常被分类为公共、私有或受限数据。在这种情况下，我们需要确定用户是最终用户、管理员还是专家用户。

然后，我们可以设置其他角色，其中可能包括工作能力、经验、地点、部门等。例如，我们可以轻松确定是否允许具有一定经验、在特定位置进行操作的特定类型的用户访问、移动、修改或删除以某种方式分类的数据。 RBAC 不提供与基于属性的访问控制 (ABAC) 相同级别的粒度，但是，RBAC 通常是首选，因为它更容易实现和维护。

数据发现和分类

大多数组织存储大量非结构化数据，其中大部分是机密数据。然而，许多公司 (62%) 不知道他们最敏感的数据位于哪里，而且其中很多数据没有正确分类。

如果我们不知道敏感数据驻留在哪里，如何保护它？答案是，我们不能！因此，为了建立有效的 IAM 策略，我们需要一个能够自动发现和分类各种数据类型的解决方案，例如 PII、PHI、PCI 以及适用的数据保护法规所涵盖的任何数据到我们的行业。

管理“幽灵”用户帐户

身份和访问管理中经常被忽视的一个领域是非活动或“幽灵”用户帐户。根据 SC Media 2017 年发表的一篇文章，四分之一的用户帐户处于非活动状态。

黑客通常会寻找不活动的用户或服务帐户，因为它们可以轻松访问敏感数据。例如，黑客可以在 LinkedIn 上执行搜索，查看最近离开公司的人员，并使用此信息来定位特定帐户。

访问过时的用户帐户可能允许攻击者在不触发任何警报的情况下进行探测。许多 UBA 解决方案提供内置工具，可以自动检测和管理不活动的用户帐户。

身份和访问管理 (IAM) 及合规性

虽然过去可能实施不合标准的 IAM 协议，但这样的日子很快就会结束。近年来，我们看到备受瞩目的数据泄露事件不断增加，成为头条新闻，全球各国政府终于认识到数据保护的重要性，因此出台了许多新的和改进的数据保护法规。

2018 年 5 月推出的通用数据保护条例 (GDPR) 可以说是我们迄今为止见过的最重要的数据隐私法。不遵守 GDPR 可能会导致高达 2000 万欧元的罚款。

GDPR 的出现导致了许多遵循类似主题的其他数据隐私法的出台。在美国，我们已经看到《加州消费者隐私法》(CCPA)、《内华达州参议院法案 220 在线隐私法》以及最近的《纽约盾法案》已经生效。在英国，我们看到了旨在补充 GDPR 的《2018 年数据保护法》，以及全球各地涌现的各种其他新数据隐私法。

强大的 IAM 策略对于遵守这些类型的法规以及大多数其他数据隐私相关法规（例如 HIPAA、SOX、PCI-DSS 和 ISO 27001）至关重要。例如，根据 GDPR，数据主体拥有许多更高的权利，其中包括；

• 知情权
• 访问权
• 整改权
• 删除权
• 限制处理的权利
• 数据可移植性的权利
• 反对权
• 与自动决策和分析相关的权利

保护这些权利需要深入了解用户数据的访问方式。如果没有精心设计的 IAM 协议，获得对谁有权访问个人数据以及何时访问的可见性和控制将变得更加困难，因此满足合规性要求的机会将大大降低。

此外，最复杂的数据安全平台可以使用用户行为分析 (UBA) 生成各种预定义的报告，这些报告经过定制以帮助遵守各种数据保护法规。

身份和访问管理 - 总结

• 首先建立一个专门的团队，负责 IAM 策略的实施和管理。
• 实施单点登录解决方案以提高对用户访问的可见性和控制。
• 确保您拥有强大的密码策略，如果可能，请使用多重身份验证来提高安全性。
• 引入一组规则来确定谁应该有权访问哪些资源。确保这些规则遵守“最小特权原则”。
• 使用数据发现和分类解决方案确保您准确了解非结构化敏感数据所在的位置。
• 根据预定义的角色（例如工作类型、经验和位置）分配访问控制。
• 实施用户行为分析 (UBA) 解决方案（有时称为 DCAP（以数据为中心的审核和保护）），以便能够检测特权帐户及其有权访问的资源的异常更改。
• 使用自动化系统来管理不活动的用户帐户。
• 定期审查访问权限，以确保它们仍然相关，并在必要时进行修改。