什么是身份管理? IAM定义,用途和解决方案 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

什么是身份管理? IAM定义,用途和解决方案

浏览次数:860日期:2019-06-10小编:沐鸣


欢迎访问沐鸣平台网址,IAM定义

  企业IT中的身份和访问管理(IAM)是关于定义和管理各个网络用户的角色和访问权限以及用户被授予(或拒绝)这些权限的情况。这些用户可能是客户(客户身份管理)或员工(员工身份管理.IAM系统的核心目标是每个人一个数字身份。一旦建立了数字身份,就必须在每个用户的整个过程中对其进行维护,修改和监控。访问生命周期。“


  因此,身份管理的首要目标是“在适当的环境中向正确的用户授予对正确的企业资产的访问权限,从用户的系统入门到权限授权,再到及时根据需要离开该用户”,致企业身份和访问管理提供商Okta的高级副总裁兼首席安全官Yassir Abousselham。


  IAM系统为管理员提供了用于更改用户角色,跟踪用户活动,创建有关这些活动的报告以及持续实施策略的工具和技术。这些系统旨在提供一种管理整个企业用户访问的方法,并确保遵守公司政策和政府法规。



IAM工具

  身份和管理技术包括(但不限于)密码管理工具,供应软件,安全策略实施应用程序,报告和监控应用程序和身份存储库。身份管理系统可用于本地系统(如Microsoft SharePoint)以及基于云的系统(如Microsoft Office 365)。


  在2017年第四季度的技术潮流:身份和访问管理中,Forrester Research发现六种IAM技术成熟度低,但当前业务价值很高:


  API安全性使IAM可用于B2B商务,与云集成以及基于微服务的IAM架构。 Forrester认为API安全解决方案用于移动应用程序或用户管理访问之间的单点登录(SSO)。这将允许安全团队管理物联网设备授权和个人身份识别数据。


  根据该报告,客户身份和访问管理(CIAM)允许“对用户进行全面管理和认证;自助服务和配置文件管理;以及与CRM,ERP和其他客户管理系统和数据库的集成”。


  身份分析(IA)将允许安全团队使用规则,机器学习和其他统计算法来检测和阻止风险身份行为。


  身份即服务(IDaaS)包括“软件即服务(SaaS)解决方案”

  提供从门户到Web应用程序和本地移动应用程序的SSO,以及某种级别的用户帐户配置和访问请求管理,“根据报告


  身份管理和治理(IMG)提供自动化和可重复的方式来管理身份生命周期。在遵守身份和隐私法规时,这一点很重要。


  基于风险的身份验证(RBA)解决方案“在用户会话和身份验证的上下文中形成风险评分。然后,公司可以提示2FA的高风险用户,并允许低风险用户使用单一因素进行身份验证(例如,用户名加密码)凭据,“根据报告。 (有关身份验证的更多信息,请参阅“准备进行更安全的身份验证?尝试使用这些密码备选方案和增强功能。


   IAM系统必须足够灵活和健壮,以适应当今计算环境的复杂性。其中一个原因是:企业的计算环境过去主要是内部部署,身份管理系统在内部工作时对用户进行身份验证和跟踪,身份和访问管理提供商One Identity产品管理副总裁Jackson Shaw表示。 “房屋周围曾经有过安全围栏,”肖说。 “今天,那个围栏不再存在了。”


  因此,今天的身份管理系统应该使管理员能够轻松管理各种用户的访问权限,包括国内现场员工和国际非现场承包商;混合计算环境,包括内部部署计算,软件即服务(SaaS)应用程序以及影子IT和BYOD用户;和计算架构,包括UNIX,Windows,Macintosh,iOS,Android甚至物联网(IoT)设备。


   最终,身份和访问管理系统应该能够“在整个企业内以一致和可扩展的方式集中管理用户”,Abousselham说。


  近年来,身份即服务(IDaaS)已发展为在订阅的基础上通过云提供的第三方托管服务,为客户的内部部署和基于云的系统提供身份管理。



我为什么需要IAM?

  身份和访问管理是任何企业安全计划的关键部分,因为它与当今数字化经济中的组织的安全性和生产力密不可分。


  受损的用户凭证通常充当组织网络及其信息资产的入口点。企业使用身份管理来保护其信息资产免受勒索软件,犯罪黑客攻击,网络钓鱼和其他恶意软件攻击的威胁。 Cybersecurity Ventures预测,今年全球勒索软件损失成本预计将超过50亿美元,比2016年增长15%。


  在许多组织中,用户有时拥有比必要更多的访问权限。强大的IAM系统可以通过确保在整个组织中一致地应用用户访问规则和策略来添加重要的保护层。


  身份和访问管理系统可以提高业务生产力。系统的集中管理功能可以降低保护用户凭据和访问的复杂性和成本。同时,身份管理系统使工作人员能够在各种环境中提高工作效率(同时保持安全),无论他们是在家中,办公室还是在路上工作。


IAM对合规性管理意味着什么

  许多政府要求企业关注身份管理。 Sarbanes-Oxley,Gramm-Leach-Bliley和HIPAA等法规要求组织负责控制对客户和员工信息的访问。身份管理系统可以帮助组织遵守这些法规。


  通用数据保护法规(GDPR)是一项更新的法规,需要强大的安全性和用户访问控制。 GDPR要求组织保护欧盟公民的个人数据和隐私。自2018年5月起,GDPR影响在欧盟国家开展业务和/或以欧洲公民为客户的每家公司。


  2017年3月1日,纽约州金融服务部(NYDFS)新的网络安全法规生效。该法规规定了在纽约运营的金融服务公司的安全运营的许多要求,包括监控授权用户的活动和维护审计日志的需要 - 这是身份管理系统通常所做的事情。


  通过自动化为企业网络和数据提供安全用户访问的许多方面,身份管理系统可以减轻IT中普通但重要的任务,并帮助他们遵守政府法规。这些都是至关重要的好处,因为今天,每个IT职位都是安全职位;这是一个持续的,全球性的网络安全劳动力短缺;不遵守相关法规的处罚可能使组织损失数百万甚至数十亿美元。


IAM系统有哪些好处

  实施身份和访问管理以及相关的最佳实践可以通过多种方式为您提供显着的竞争优势。如今,大多数企业需要为组织外部的用户提供对内部系统的访问权限。向客户,合作伙伴,供应商,承包商以及员工开放网络可以提高效率并降低运营成本。


  身份管理系统可以允许公司在不影响安全性的情况下,跨多种本地应用程序,移动应用程序和SaaS工具扩展对其信息系统的访问。通过提供对外部人员的更多访问,您可以在整个组织中推动协作,提高生产力,员工满意度,研究和开发,并最终提高收入。


  身份管理可以减少IT支持团队关于密码重置的帮助台呼叫次数。身份管理系统允许管理员自动执行这些以及其他耗时且昂贵的任务。


  身份管理系统可以是安全网络的基石,因为管理用户身份是访问控制图片的基本部分。身份管理系统几乎都要求公司定义其访问策略,特别是概述谁可以访问哪些数据资源以及他们可以访问哪些条件。


  因此,管理良好的身份意味着更好地控制用户访问,从而降低内部和外部漏洞的风险。这很重要,因为随着外部威胁的威胁不断增加,内部攻击都非常频繁。根据IBM 2016年网络安全情报指数,大约60%的数据泄露是由组织自己的员工造成的。其中,75%是恶意的; 25%是偶然的。


  如前所述,IAM系统可以通过提供实施全面的安全,审计和访问策略的工具来加强法规遵从性。现在,许多系统都提供旨在确保组织符合要求的功能。


IAM如何运作

  在过去的几年中,典型的身份管理系统包括四个基本要素:系统用于定义个人用户的个人数据目录(将其视为身份存储库);一组用于添加,修改和删除数据的工具(与访问生命周期管理相关);一个管理用户访问的系统(执行安全策略和访问权限);和审计和报告系统(以验证您的系统上发生了什么)。


  调节用户访问传统上涉及许多用于验证用户身份的验证方法,包括密码,数字证书,令牌和智能卡。硬件令牌和信用卡大小的智能卡作为双因素身份验证中的一个组件,它将您知道的内容(您的密码)与您拥有的内容(令牌或卡)结合起来以验证您的身份。智能卡带有嵌入式集成电路芯片,可以是安全的微控制器,也可以是具有内部存储器或单独存储芯片的等效智能。软件令牌可以存在于具有存储功能的任何设备上,从USB驱动器到手机,于2005年出现。


  在当今复杂的计算环境中,随着安全威胁的加剧,强大的用户名和密码不会再削减它。如今,身份管理系统通常包含生物识别,机器学习和人工智能以及基于风险的身份验证等元素。


  在用户级别,最近的用户身份验证方法有助于更好地保护身份。例如,支持Touch ID的iPhone的普及使许多人熟悉使用他们的指纹作为身份验证方法。较新的Windows 10计算机提供指纹传感器或虹膜扫描以进行生物识别用户身份验证。下一部iPhone将于今年晚些时候推出,传闻其中包括虹膜扫描或面部识别功能,可以对用户进行身份验证,而不是指纹扫描。


转向多因素身份验证

  Abousselham说,有些组织正在从双因素身份转变为三因素身份验证,结合了你所知道的东西(你的密码),你拥有的东西(智能手机),以及你所拥有的东西(面部识别,虹膜扫描或指纹传感器)。 “当你从两个因素变为三个时,你可以更加确信你正在与正确的用户打交道,”他说。


  在管理层,由于上下文感知网络访问控制和基于风险的身份验证(RBA)等技术,今天的身份管理系统提供了更高级的用户审计和报告。


  上下文感知网络访问控制是基于策略的。 Okta的产品总监Joe Diamond表示,它预先确定了一个基于各种属性的事件及其结果。例如,如果IP地址未列入白名单,则可能会被阻止。或者,如果没有表明设备受管理的证书,则上下文感知网络访问控制可能会升级身份验证过程。


  相比之下,RBA更具动态性,通常由某种程度的AI启用。随着RBA,“你开始开放风险评分和机器学习到认证事件,”Diamond说。


  基于风险的身份验证根据当前风险配置文件动态地将各种严格级别应用于身份验证过程。风险越高,认证过程对用户的限制越严格。在用户可以访问公司的信息资源之前,用户的地理位置或IP地址的更改可能会触发其他身份验证要求。


什么是联合身份管理?

  联合身份管理允许您与可信赖的合作伙伴共享数字身份证。它是一种身份验证共享机制,允许用户使用相同的用户名,密码或其他ID来访问多个网络


  单点登录(SSO)是联合ID管理的重要组成部分。单点登录标准允许在一个网络,网站或应用程序上验证其身份的人员在移动到另一个网络,网站或应用程序时进行身份验证。该模型仅适用于合作组织 - 称为可信赖合作伙伴 - 基本上为彼此的用户担保。


IAM平台是否基于开放标准?

  通常使用安全声明标记语言(SAML)发送可信合作伙伴之间的授权消息。该开放规范定义了用于在安全机构之间交换安全断言的XML框架。 SAML实现了提供身份验证和授权服务的不同供应商平台之间的互操作性。


  但是,SAML不是唯一的开放标准身份协议。其他包括OpenID,WS-Trust(Web服务信任的简称)和WS-Federation(由Microsoft和IBM提供企业支持)和OAuth(发音为“Oh-Auth”),它允许用户的帐户信息被第三方使用Facebook等方面的服务,不会泄露密码。


实施IAM有哪些挑战或风险?

  Dimensional Research根据对1,000多名IT安全专业人员的调查,于2018年10月发布了一份报告“身份和访问管理评估”。该报告由IAM解决方案提供商One Identity赞助,向专业人士询问了他们最大的IAM挑战。


  毫不奇怪,59%的人表示数据保护是他们使用IAM的组织最大的担忧。只有15%的人表示他们完全相信他们的组织不会因为他们的访问控制系统而被黑客入侵。


  IAM系统是公司最有价值资产和关键系统的关键,因此IAM系统失败的后果非常好。特别关注的问题包括心怀不满的员工共享敏感数据(27%),CIO在电视上接受采访,原因是由于IAM错误导致数据泄露,以及他们的用户名/密码列表被发布到黑暗网络上。


  “将所有鸡蛋放在一个篮子里的概念是可怕的,”One Identity's Shaw说,“但如果你不统一IAM的基本原则,你将永远不会降低风险。所以正确的道路是采用单一方法(不一定是单一的解决方案,它提供了所有范围,安全性和监督(并且可能很难与旧项目相关),涵盖所有用户类型和所有访问方案。“


  安全专业人员还担心将IAM与遗留系统(50%),迁移到云(44%)以及使用未经批准的技术(43%)的员工进行集成。


  Shaw认为,大部分关注不是来自当前的IAM技术本身,而是因为他们的组织能够很好地实施它。 “人们一直在做IAM(即认证,授权和管理)。只是现在他们开始意识到,做那些不好的事情会让他们面临更高的风险,并让糟糕的演员们做坏事,“他说。


  “最大的挑战是,为保护遗留系统而采取的旧做法根本不适用于较新的技术和实践,”Shaw补充说,“因此,人们不得不重新发明轮子并创建重复的工作负载和冗余任务。如果遗留的做法做得不好,试图在新的范例上重新发明它也会很糟糕。“


  随着公司获得管理解决方案的经验,Shaw看到对IAM的信心和信任增长,但这取决于管理执行的程度。 “组织越来越了解他们实际上可以统一管理方法,简化操作,从IT中移除大部分工作量并将其置于业务线的手中,并将自己置于审计准备之中立场而不是被动的立场,“他说。


  成功实施身份和访问管理需要跨部门进行预先考虑和协作。在项目开始之前建立一致的身份管理战略 - 明确目标,利益相关者支持,定义业务流程的公司 - 可能是最成功的。 Shaw说,身份管理最有效“当你拥有人力资源,IT,安全和其他部门时”。


  通常,身份信息可能来自多个存储库,例如Microsoft Active Directory(AD)或人力资源应用程序。身份管理系统必须能够在所有这些系统中同步用户身份信息,从而提供单一的事实来源。


  鉴于当今IT人员短缺,身份和访问管理系统必须使组织能够自动且实时地管理不同情况和计算环境中的各种用户。手动调整数百或数千用户的访问权限和控制是不可行的。


  例如,为离职员工取消配置访问权限可能会陷入困境,尤其是在手动完成时,这种情况经常发生。报告员工离开公司,然后自动取消对他或她使用的所有应用程序,服务和硬件的访问权限,需要一个自动化,全面的身份管理解决方案。


  Abousselham说,身份验证对于用户来说也必须易于执行,IT必须易于部署,最重要的是它必须是安全的。这解释了为什么移动设备“成为用户身份验证的中心”,他补充说,“因为智能手机可以提供用户当前的地理位置,IP地址和其他可用于身份验证的信息。”


  值得记住的一个风险是:集中操作为黑客和黑客提供了诱人的目标。通过在所有公司的身份管理活动上放置仪表板,这些系统比管理员更能降低复杂性。一旦受到攻击,他们就可以允许入侵者创建具有广泛权限的ID并访问许多资源。


我应该知道哪些IAM条款?

流行语来去匆匆,但身份管理领域的一些关键术语值得了解:

1、访问管理:访问管理是指用于控制和监视网络访问的过程和技术。访问管理功能(例如身份验证,授权,信任和安全审核)是本地和基于云的系统的顶级ID管理系统的重要组成部分。

2、Active Directory(AD):Microsoft将AD开发为Windows域网络的用户身份目录服务。虽然是专有的,但AD包含在Windows Server操作系统中,因此得到了广泛部署。

3、生物识别身份验证:用于验证依赖于用户独特特征的用户的安全流程。生物认证技术包括指纹传感器,虹膜和视网膜扫描以及面部识别。

4、上下文感知网络访问控制:上下文感知网络访问控制是基于策略的方法,其根据寻求访问的用户的当前上下文来准许对网络资源的访问。例如,尝试从5未列入白名单的IP地址进行身份验证的用户将被阻止。

5、凭据:用户用于访问网络的标识符,例如用户密码,公钥基础结构(PKI)证书或生物识别信息(指纹,虹膜扫描)。

6、取消配置:从ID存储库中删除标识并终止访问权限的过程。

7、数字身份:身份证本身,包括用户描述和他/她/访问权限。 (“它的”因为端点,例如笔记本电脑或智能手机,可以拥有自己的数字身份。)

8、权利:指定经过身份验证的安全主体的访问权限和特权的属性集。

9、身份即服务(IDaaS):基于云的IDaaS为驻留在本地和/或云中的组织系统提供身份和访问管理功能。

10、身份生命周期管理:与访问生命周期管理类似,该术语指的是用于维护和更新数字身份的整套流程和技术。身份生命周期管理包括身份同步,供应,取消供应以及用户属性,凭据和权利的持续管理。

11、身份同步:确保多个身份存储(例如,获取的结果)包含给定数字ID的一致数据的过程。

12、轻量级目录访问协议(LDAP):LDAP是基于开放标准的协议,用于管理和访问分布式目录服务,例如Microsoft的AD

13、多重身份验证(MFA):MFA是指对网络或系统进行身份验证时不仅需要单个因素(如用户名和密码)。还需要至少一个附加步骤,例如接收通过SMS发送到智能电话的代码,插入智能卡或USB棒,或满足生物认证要求,例如指纹扫描。

14、密码重置:在此上下文中,它是ID管理系统的一项功能,允许用户重新建立自己的密码,减轻作业管理员的负担并减少支持呼叫。用户通常通过浏览器访问重置应用程序。应用程序要求提供一个秘密字或一组问题来验证用户的身份。

15、特权帐户管理:此术语是指根据用户的权限管理和审核帐户和数据访问。一般而言,由于其工作或职能,特权用户已被授予对系统的管理访问权限。例如,特权用户可以设置和删除用户帐户和角色。提供:创建身份,定义访问权限并将其添加到ID存储库的过程。

16、基于风险的身份验证(RBA):基于风险的身份验证根据用户在尝试身份验证时的情况动态调整身份验证要求。例如,当用户尝试从之前未与之关联的地理位置或IP地址进行身份验证时,这些用户可能会面临其他身份验证要求。

17、安全主体:具有一个或多个凭据的数字身份,可以通过身份验证和授权与网络进行交互。

18、单点登录(SSO):一种用于多个相关但独立系统的访问控制。使用单个用户名和密码,用户可以在不使用不同凭据的情况下访问一个或多个系统。

19、用户行为分析(UBA):UBA技术检查用户行为模式,并自动应用算法和分析来检测可能表明潜在安全威胁的重要异常。 UBA与其他安全技术不同,后者专注于跟踪设备或安全事件。 UBA有时也与实体行为分析组合在一起,称为UEBA。

IAM供应商

身份和访问管理供应商格局非常拥挤,包括Okta和OneLogin等纯粹的提供商以及IBM,Microsoft和Oracle等大型供应商。以下是基于Gartner 2017年6月发布的全球访问管理魔力象限的领先企业名单。


1、Atos (Evidan)

2、CA Technologies

3、Centrify

4、Covisint

5、ForgeRock

6、IBM Security Identity and Access Assurance

7、I-Spring Innovations

8、Micro Focus

9、Microsoft Azure Active Directory

10、Okta

11、OneLogin

12、Optimal idM

13、Oracle Identity Cloud Service

14、Ping

15、SecureAuth

关注沐鸣官网,获取更多最新行业资讯。




如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有