什么是身份和访问管理(IAM)安全策略?

最新推荐文章于 2024-04-14 04:15:23 发布
最新推荐文章于 2024-04-14 04:15:23 发布
阅读量5.3k 收藏
点赞数
分类专栏: 宁盾国产化身份域管(微软AD替代) 文章标签: 安全 网络安全 azure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzijiang11111/article/details/123579384
版权

您企业内的用户身份真的安全吗?

归根结底,这一问题的答案取决于企业身份和访问管理(IAM)策略的严谨程度。IAM 的概念比较宽泛,指企业如何管理用户对设备、文件、网络和应用的访问权限,而 IAM 安全策略的着眼点更具体,主要指企业为降低身份相关的风险而制定的策略体系。

随着远程办公不断普及,设置严谨的 IAM 安全策略既能为员工提供办公所需的访问权限,又能保护企业的资产安全,对企业来说至关重要。制定 IAM 安全策略时,首先要了解其含义、实施方法以及实施原因。

什么是 IAM 安全策略?

IAM 安全策略包含了用于保护企业用户身份、防止恶意攻击或无意泄露的所有流程、系统和应用。IAM 基本都和管理员有关,管理员需要保护用户安全、帮助用户流畅地访问企业 IT 资源,IAM 安全策略就是要用尽可能低风险的方式实现这一流程。

IAM 安全策略就像是企业与来往用户之间的一道护城河。在用户已经经过适当的筛选、许可和预配的情况下,设置这道护城河只是为了有备无患。而在其他防护手段漏洞百出且网络入侵者试图袭击企业网络的情况下,IAM 安全策略将是最后一道防线。这道额外的安全层能保护企业核心资产避免落入不法分子手中。

IAM 安全策略的优势    

简单来说,实施 IAM 安全策略的确具有几大优势,但不实施这一策略产生的后果却是企业承担不起的。IBM 2021年发布的一份报告显示,数据泄露事件对企业造成的平均损失高达424万美元,其中最常见的诱因是凭证窃取。IT 部门作为企业用户身份的管理者要预防网络攻击就必须制定严格的 IAM 安全策略。

1)快速升级防护  

现代 IAM 安全解决方案为企业提供了安全防护的黄金准则,自动化的流程也让运维更便捷。

企业可以通过单向的加盐哈希密码、多因素认证、密码复杂度设置和 SSH 密钥管理减少身份泄露,显著提升企业的安全状况。

2)提高 IT 部门效率

对管理员来说,今天的 IAM 安全方案比传统的本地方案更容易管理。企业在制定安全策略时,应考虑 IT 人员的可用性和工作量。许多现代 IAM 平台都提供自动化的远程管理系统,让 IT 部门能腾出时间完成更复杂的任务。

IAM 安全策略范例

虽然 IAM 安全策略还没有通用的实现方式,企业还是可以参考以下提示将安全性提升到最高,同时尽可能为 IT 部门减负。秘诀就是找到合适的远程软件,实施零信任安全策略,并要求用户在设备上启用多因素认证

1)远程化

远程化是 IAM 安全策略的必要部分,如果企业现有的 IAM 安全策略不是基于云的,那么远程化就是企业布局 IAM 安全策略的第一步。远程访问不仅对在家办公的员工连接企业网络时至关重要,而且能让 IT 部门随时随地进行故障排除和安全策略的管理。 

当 IAM 安全系统驻留在本地时,远程终端用户必须断开 VPN 才能办公,这就给管理员的系统维护工作增加了负担,牺牲了其他任务时间。解决密码更改等大量支持请求时如果还需要 VPN 访问,情况就变得更复杂,这时 IT 支持人员只能采取其他方法,而终端用户只能焦急等待。

IAM 安全流程的远程化帮助企业员工轻松访问内网的同时还为管理员持续提供无缝监控,一举两得。

2)实施零信任策略

随着现场办公逐渐向混合办公转变,用户可以从家庭 WiFi、公共咖啡馆等任何地方登录,对身份验证安全的需求由此产生。为此,企业可以采用零信任安全策略。

零信任策略并不是一种自动身份验证,而是规定在用户或设备只有通过信任模型的身份验证后才能访问系统、应用或网络。仅仅因为用户持有正确的凭证并不代表该用户就是被授权使用该凭证的人。

要在企业中实施零信任策略,需要抓住一切机会在访问业务中增加身份核验步骤。


管理员仍应设置严格、复杂的密码要求,不过在此基础上使用条件访问策略或在身份验证过程中使用多因素认证对于防止恶意用户利用窃取凭据很有帮助。其中,条件访问策略指仅批准受信任网络或私有网络上的管理设备进行访问,而多因素认证将在下节详细展开。

3)启用多因素认证MFA

MFA 是创建 IAM 安全策略最简单也最有效的一种方法,它要求使用多个凭证进行验证,自动加强对用户身份的保护。MFA 中的凭证通常涉及静态密码或 PIN 码,以及一个或多个附加验证因素,如安全问题、发送到另一台设备的验证码、确认来自身份验证APP的推送通知,甚至提供指纹或视网膜等生物识别信号。

由于静态密码任何人都能获取,MFA 的其他验证因素通常设计为用户的持有物、生物特征或行为特征。虽然密码很容易在数据泄露中被窃取,但攻击者即便知道了密码,也很难访问手机获取验证码或猜出随机的六位 TOTP 口令。

宁盾双因素认证(2FA)就是一种最常见的 MFA 方式,只需要在密码以外再采用一个验证因素,通常为OTP(动态密码)。除此之外,宁盾双因素认证还研发创新了适合国内社交环境的企微、飞书、钉钉H5令牌,无需下载任何APP,通过员工手机端/电脑端的企微、飞书、钉钉工作台中的小程序令牌即可获知动态密码;还有企微、飞书、钉钉的扫码认证,更加便捷。

由于 2FA 可以平衡企业的安全性和用户体验的便利性,很多公司更愿意使用 2FA,如果企业想进一步提升安全性,可以根据需要设置尽可能多的验证步骤。

为您的企业选择合适的 IAM 安全解决方案

在当今不断发展的混合办公场景下,如何平衡隐私和安全成为企业的一大难题。IT 部门需要在不影响 IAM 安全策略的情况下提高远程访问的效率,使其更易于管理。

针对这一问题,宁盾的解决方案是一体化身份认证平台(IAM系统),同时将于今年推出基于云的 IAM 管理解决方案(IDaaS平台),让管理员可以统一对整体 IAM 安全策略进行无缝管理。

宁盾Nington
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
身份访问安全
TiAmo_xixi的博客
08-22 948
身份认证过程中,需要将主体的账号与凭证这两类身份信息与保存的初始设定的进行比对,以此判定主体身份的真实性。是证实实体对象的数字身份与物理身份是否一致的过程。身份可以用来唯一确定一个实体。身份认证技术能够有效防止信息资源被非授权使用,保障信息资源的安全。(3)用户本身的特征,如指纹、声音等。(1)用户所知道的;(2)用户所拥有的;
3.5 策略管理访问控制
测试
10-15 477
在Hyperledger Fabric 1.0中,较多的地方都使用策略进行管理,它是一种权限管理的方法,包括交易背书策略、链码的实例化策略、通道管理策略等。3.5.1 策略定义及其类型策略定义了一些规则,验证签名数据是否符合定义的条件,结果为TRUE或者FALSE。策略的定义如下:type Policy struct { Type int32 // 策略的类型 Value []...
【信息安全案例】——身份访问安全(学习笔记)
HinsCoder的博客
04-26 1443
一位用户对计算机信息资源的访问活动中,首先必须拥有身份标识,通过该标识鉴别该用户的身份,进一步地,用户还应当具有执行所请求动作的必要权限,系统会验证并控制其能否执行对资源试图完成的操作,还有,用户在整个访问过程中的活动还应当被记录以确保可审查。为了确保敏感信息资源的机密性、完整性等安全属性,可以采取的加密、数字签名等安全措施。接下来将围绕数据资源访问过程中的身份认证和访问控制两个关键安全环节展开介绍。
信息安全技术之04身份访问安全测试卷
小啊呜的博客
09-17 1755
信息安全技术之04身份访问安全测试卷 叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
安全系列2:访问安全身份管理
wolaisongfendi的博客
10-31 495
云环境带来了新的变化,尤其是多云环境的复杂性使得管理好使用者身份并且实现安全访问成为一项挑战。安全身份团队在考虑云上安全的时候,首先就需要解决这方面的难题。进行身份验证与访问管理是一个重要内容,对保障云上安全尤为重要。
IAM升级身份访问管理(MVC)
08-21
IAM,全称Identity and Access Management,是身份访问管理的缩写,是IT领域中一个重要的安全框架。这个框架主要用于管理数字环境中的用户身份、权限和访问控制,确保只有授权的用户可以访问特定的资源和服务。IAM...
企业云安全战略:身份访问管理.pdf
07-10
企业云安全战略的核心之一是身份访问管理IAM),它在现代企业的数字化转型中扮演着至关重要的角色。随着云计算的广泛应用,数据和应用程序分布广泛,传统的安全边界变得模糊,IAM成为了保护企业敏感信息的关键...
基于零信任的身份管理安全连接架构探讨.pdf
08-08
技术视角下,零信任身份安全管理的成熟曲线表明,随着更大的连通性,IAM必须适应不断变化的环境,提供更为精细和动态的安全策略。 多云环境下的身份安全与连接面临着新的挑战。随着企业采用多个云服务提供商,如AWS...
《识别影子访问:新兴的IAM安全挑战》
01-25
影子访问,一种新兴的身份访问管理IAM安全挑战,是指在云计算环境中,资源、应用和数据被非预期或非授权的访问。这种现象随着云计算、DevOps实践、云原生架构以及数据共享的普及而加剧。它不仅涉及数据泄露的...
terraform-aws-iam-role:一个Terraform模块,用于在Amazon Web Services(AWS)上创建身份访问管理IAM)角色
04-13
总结来说,`terraform-aws-iam-role`模块是AWS IAC实践中的一个重要组件,帮助自动化和简化IAM角色的创建和管理,确保安全性和合规性。通过利用Terraform的强大功能,开发者可以更高效、更安全管理他们的AWS环境。
IM协议安全的相关论文
04-04
0 引言 2006年中国互联网信息中心CNN IC调查显示,我国即时 通信( InstantMessaging, IM)活跃用户占网民总数的59. 8% , IM在人们的日常联系中发挥着越来越大的作用。但IM系统 同时存在极大的安全隐患,其面临的主要威胁有:窃听、账号 假冒与口令破解、蠕虫病毒传播等[ 1 ] 。主要IM服务提供商 在系统设计时多以实用性为目的,较少考虑安全性问题。为 了有效保护用户的敏感信息,需要对IM进行安全性设计。 目前,针对主流IM安全问题的解决方案主要是通过SSL 方式实现客户端到服务器的认证和加密通信[ 2 ] ,尚未有效地 解决客户端之间的身份认证、消息加密与消息认证问题。本 文在不影响IM功能的前提下,设计附加在IM客户端的安全 模块以实现上述功能。 选择基于微软的MSN (Windows L ive Messenger)客户端 进行安全性设计,主要基于以下原因: 1)MSN与Windows紧密结合,是全球最大的即时通信网 络; 2)MSN网络的服务器不仅支持微软发布的客户端,还支 持遵循MSN消息传输协议MSNP开发的第三方开源客户端, 如比较流行的TjMSN、DotMSN等,在开源客户端进行安全性 设计具有良好的可扩展性; 3)微软针对其发布的客户端MSN 8. 0开放了可供第三 方开发插件的接口,利用此接口可以实现MSN的加密通信。 1 安全模块设计思路 实时性是IM系统的最大特点,安全模块的使用不应使 用户感到明显的时延。同时IM限制每则即时消息的长度, 加密后的文本长度要在允许范围内。因此,综合考虑IM系 统的特点和安全需求,本文提出以下安全模块的设计目标: 1)与IM协议兼容; 2)保证端到端的身份认证、消息加密与消息认证; 3)尽量减少安全模块的开销。 图1 MSN通信结构 MSN系统采用基本的客户端/服务器结构进行即时通 信,用户之间的文本消息需要经过MSN服务器中转。MSN消 息传输遵循MSNP协议。根据MSNP8协议标准,输出消息被 封装为以下格式:消息命令字MSG +事务ID +希望确认类 型+有效载荷长度+有效载荷。有效载荷是用户明文消息及 其格式的规定,由消息头和消息体组成,其中消息头用来标识 消息体的文字格式,消息体是明文信息。在消息传输过程中,
3种加强身份访问管理的方法
vagerdwely的博客
03-24 271
当我们谈论身份访问管理IAM)时,我们的谈话往往归结为客户体验和风险之间的基本权衡。顾客在放弃之前做了多少努力?你愿意在欺诈中损失多少钱来换取你的数字渠道采用率的提高? 如果我们不再将客户体验和风险视为截然相反的东西,而是开始将它们视为合作伙伴关系,会怎么样?事实证明,专注于改善客户体验实际上可以提高安全性,从而为混合多云世界的IAM计划提供动力。以下三种策略可帮助您构建无摩擦,以用户为中心的体验,同时降低风险。 通过自适应访问使身份验证更智能 身份验证应该更智能。您的数字身份不仅仅是一个用户名和...
什么是身份安全
qq_45455361的博客
12-03 3283
什么是身份安全? 本文我们重点探讨认证、授权和访问控制。 它是企业数字化的基石。 如果一个传统企业想上云,那第一件事是什么?是搭建一个Sass平台?Iaas平台?Pass平台?弄一个很酷的网格服务? NONONO!都不是,而是需要先把一些人员信息同步到云上,同步到云上一些用户认证信息,然后大家都可以有不同的授权,就可以各司其职、各干其事,然后进而才能开展数字化的转型以及系统的搬迁,开始搭建那些云平台的服务,开始把应用真正搬迁上云,所以不管是数字化转型的第一步,还是上云或者下云,所有那些动作的第一件事情,就是
访问控制策略
weixin_34174422的博客
09-08 831
在企业的信息安全策略中,访问控制策略起着非常重要的作用。信息安全中的访问控制是一种保证信息资源不被非授权使用的管理方法,而访问控制策略中定义了如何对访问信息的行为进行验证、授权和记录。在这篇文章中介绍了访问控制策略所包含的主要内容,并就如何制订访问控制策略给出了一些基本方法。 认证 对于具有价值的信息资源的访问都应该通过认证,这可以有效的保证信息访问管理的质量。用户在进行访问之前,通常会被要求...
【信息安全案例】——身份访问安全(学习笔记,四面楚歌的网络安全工程师该何去何从
最新发布
2401_83739434的博客
04-14 1125
外链图片转存中…(img-XT1p01Ir-1713039305940)][外链图片转存中…(img-7u55uQHk-1713039305941)][外链图片转存中…(img-bKHNr9wH-1713039305941)][外链图片转存中…(img-zLjArQem-1713039305941)][外链图片转存中…(img-6wg1e9nH-1713039305942)][外链图片转存中…(img-vgOmkLOj-1713039305942)]
即时通讯IM的安全性比较
attilax的专栏
03-28 4193
即时通讯IM的安全性比较 一、QQ, MSN, GTalk, Skype,哪个最安全,哪个最不安全? 答:因为众所周知的原因,最不靠谱的当然是 QQ,所以如果你有秘密信息,千万不要通过 QQ 传递。 MSN 的通讯是明文未加密的,也不是很靠谱,不过好像有插件可以提供加密,但要求聊天双方都安装。 Skype 的情况稍微复杂点,简单来说,就是不要使用从 skype.tom.com 下载的简体中文版 Skype。而是 下载 Skype 官方英文客户端。 ) GTalk 其实比较好,谷歌自家的客户端就提供加密功能
IM 是什么
teresa502的专栏
03-20 5537
即时消息传递,通常称为IM,是一种类似电子邮件的联机通信方式。顾名思义,主要区别是IM具有即时性。IM需要特殊的软件程序(如MSN、AOL Instant Messenger、Yahoo Messenger等)。使用这些程序,您可以在对话框中输入要说的话,您的朋友几乎可立即看到您输入的内容。您也可以立即看到朋友输入的内容。使用IM程序进行通信具有一些与使用电子邮件相同的安全和隐私风险,但值得一提的
移动端IM/推送系统的协议选型:UDP还是TCP?
u013712343的博客
07-08 1701
1、前言 对于有过网络编程经验的开发者来说,使用何种数据传输层协议来实现数据的通信,是个非常基础的问题,它涉及到你的第一行代码该如何编写。从PC时代的IM开始,IM开发者就在为数据传输协议的选型争论不休(比如:《为什么QQ用的是UDP协议而不是TCP协议?》这样的问题,隔一段时间就能在社区里看到)。到了移动互联网时代,鉴于移动网络的不可靠性等特点,再加上手机的省电策略、流量压缩等,为这个问题的回答增了更多的不确定因素。对于有选择困难证的人来说,基于以上因素,加上UDP和TCP协议的本质差异,这样的选择确实
IAM 策略文档学习笔记
逍遥绝情的博客
07-07 4136
策略文档 IAM 许可策略 附加到确定角色可执行哪些任务的角色。将许可限定为仅角色需要进行的操作,以及仅为进行这些操作角色需要的资源。您可以使用 AWS 管理的或客户创建的 IAM 许可策略 操作:您将允许哪些操作。每个 AWS 服务都有自己的一组操作。例如,您可能允许用户使用 Amazon S3 ListBucket 操作,它将返回有关存储段中项目的信息。任何您没有显式允许的操作都将被拒绝。 资
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值