企业从哪里开始构建弹性 IT 基础架构

news/2024/11/19 23:22:09/

在这里插入图片描述

混合工作模式扩大了工作范围,增加了 IT 团队的负担,因为他们需要在面对增加的攻击面时保持弹性。入侵企业的 IT 基础架构只需要一个受损的身份。

什么是企业标识?

这些是用户名、密码、网络、端点、应用程序等,充当业务敏感信息的网关。保护企业身份需要明确定义的身份和访问管理 (IAM) 策略。

什么是 IAM 策略?

IAM 策略的工作原理是通过对正确的人员进行身份验证和授权来为其提供正确的访问权限。事实上,设计理想而全面的IAM策略对于企业阻止攻击和维护弹性基础设施至关重要。

对IAM的需求

通过适当的 IAM 策略高效管理身份可确保在组织中建立安全的用户访问工作流。IAM 为最终用户提供无缝体验,并减轻 IT 团队的负担。它还可以作为根本原因分析的基础,以防由于凭据泄露而发生的数据泄露,并允许更快的缓解过程。

IAM 如何运作?

在数据访问方面,IAM 采用双管齐下的方法:身份验证和授权。
身份验证是验证用户身份的过程。准确地说,它是借助凭据进入数据池的模式。有多种方法可以对用户进行身份验证:

  • 通过其主凭据(用户名和密码)进行身份验证
  • 多个用户帐户的单点登录 (SSO)
  • 通过 OTP、生物识别等进行多因素身份验证 (MFA)

授权是验证和管理用户访问的过程。这通常通过身份治理和管理 (IGA) 和特权访问管理 (PAM) 来完成,它们充当集成访问管理单元。

验证授权
任何用户访问资源的入口点确定谁有权访问哪些内容的验证过程
访问企业终结点(如服务器、应用程序、数据库等)的预备步骤根据用户角色,权限的预配可能会有所不同

在这里插入图片描述

例如,在线购买期间,用户对支付网关的访问是通过验证 16 位卡号和卡验证值 (CVV) 进行身份验证的。处理完这些详细信息后,将检查卡的有效性和资金的可用性,并授予授权访问权限以完成付款。

在这些流程之间取得适当的平衡可以保持数据的机密性,从而遏制恶意内部人员对用户凭据的外部干预或滥用。

介绍 IGA 和 PAM

IAM 通常由一组预先确定的策略、最佳实践和工作流组成,用于规范整个组织中的用户访问活动。IAM的核心由两个模块组成:IGA和PAM。

  • IGA:IGA 是 IAM 的一个学科,它为企业身份管理提供了一个集中式框架。IGA 通常涉及创建用户帐户、配置、调节和审核其访问权限。IGA 确保 IAM 的有效实施,并满足审计和合规的必要条件。
  • PAM:PAM 是 IAM 的一项规则,可实现特权身份的安全管理。由于无法向每个用户提供升级的访问权限,因此 PAM 解决方案通过完全基于优点为其用户提供最低特权和零信任管理访问权限来发挥作用。

在这里插入图片描述

例如,员工的入职流程属于 IGA 框架的范围。这包括分配员工 ID、映射终结点、建立用户帐户和凭据以及授予对公司资源的访问权限。

但是,如果员工的角色需要独占访问关键 IT 端点,例如服务器、数据库、数据中心和网络设备等,则 PAM 就会发挥作用。PAM 可满足具有关键访问要求的用户,并包括精细的访问控制机制,以确保只有管理用户才能访问业务敏感信息。

简而言之,IGA 处理整个企业组织的整体访问预配和治理,而 PAM 处理保护和管理对特权标识的管理访问。

深入研究 PAM

PAM 是一种网络安全策略,旨在授予对特权身份的安全和升级用户访问权限。

特权身份被吹捧为一种新的货币;也就是说,它们是找到企业无限关键信息的最简单模式。服务帐户、密码、身份验证令牌和 SSH 密钥是此类标识的一些示例。

特权用户可以是人类用户,也可以是非人类用户,他们可以安全访问数据库、网络、云应用程序等终结点。随着企业转向更敏感的数据,为了维护安全的环境,限制可访问性至关重要。

如何授予特权用户访问此类关键数据的权限?一组数字实体(如用户名、密码和其他凭据)成为以安全方式访问企业资源的网关。

使用 PAM 管理特权标识

处理特权身份的传统方法围绕着密码保管库。但是,随着混合终结点和基于云的应用程序的增加,企业组织必须采用最小特权原则,该原则通过授予对公司资源的基于角色的有限访问权限来缩小关键数据的攻击面。

随着特权访问的范围扩展到 IT 团队之外,轻松管理身份需要超越传统凭据保管库的策略。

PAM 如何发挥作用?

  • PAM 通过提供多级访问来保护企业组织的资产,使关键系统仅对特权用户可用。
  • 正确实施 PAM 可以通过管理和审核整个企业的特权访问来控制敏感帐户并防止内部威胁的发生。
  • 精心规划的 PAM 计划包括在用户特权活动之前、期间和之后的审核流程,从而确保安全的企业环境。

对 PAM 的需求:业务用例

要了解 PAM 在 IT 环境中的范围,让我们考虑以下用例:

  • 场景 1:开发人员在专业论坛上共享其代码片段,同时忽略潜伏在这些脚本中的敏感信息,例如身份验证令牌、私钥等。这可能会将关键数据暴露给有恶意的人。
  • 解决方案:部署 PAM 解决方案的 IT 团队启动自动密码重置过程,该过程会生成新密码并保护关键信息不被公开访问。因此,任何有意或无意地透露凭据的尝试都是徒劳的,因为它们不再有效。公司终结点保持不变。
  • 场景 2:当员工离开企业组织时,IT 团队需要确保其访问权限被撤销或转移。长期特权“始终在线”且在没有活动用户的情况下持续可用,可能会增加网络威胁的风险。这些对于攻击者来说是唾手可得的果实,它们的无限可用性可能会暴露关键的企业数据。
  • 解决方案:PAM 工具允许 IT 团队确保撤销现有权限并将其转移到另一个特权用户。这可以防止内部人员恶意利用前员工的用户凭据。

理想的 PAM 程序的必要条件

理想的 PAM 程序必须考虑特权标识的生命周期,并经历以下阶段:

  • 发现:PAM 的第一步是识别或发现整个企业组织中的所有特权标识。这有助于进一步推进访问权限并将其分发给适当的用户和用户组。
  • 存储:将识别的身份存储在加密的数字保管库中,以便重复访问和高效管理。在发生数据泄露的情况下,正确存储的数据可以加快恢复过程。
  • 管理:企业标识池需要通过定期维护完整性检查并随时了解规范来进行适当的管理。这有助于建立信任并实现有效的决策。
  • 治理:必须根据请求者和请求的优点来规范和执行对每个特权数据的访问。
  • 审核:PAM 允许企业组织重新访问所有用户活动,深入了解特权访问的内容、人员、时间和方式,从而轻松遵守合规性标准。

PAM 解决方案的基本要素

PAM的基本原则是领先于网络威胁,而不是减轻已经对企业组织声誉造成损害的入侵。理想的PAM解决方案必须:

  • 通过提供对远程资源的单击式安全访问来支持混合工作。
  • 通过提供对特权访问活动的深入见解来识别安全盲点。
  • 确保定期轮换并保护对特权凭据的访问。
  • 促进对审计和合规性要求的遵守。
  • 将特权访问安全性扩展到整个企业组织的所有业务功能。
  • 为内部框架、持续集成和持续部署 (CI/CD) 管道、流程自动化等提供特权访问安全性。
  • 提供符合行业法规和合规性标准的控制措施。

特权身份滥用可能会给企业带来重大后果,包括收入和声誉损失。投资 PAM 解决方案使 IT 团队能够管理和自动化其特权访问例程,从而补充其 PAM 策略。此外,PAM 解决方案还提供对特权访问活动的实时、可操作的见解,以帮助有效管理和预防安全事件。


http://www.ppmy.cn/news/5529.html

相关文章

基于SPN的专线业务承载方案

【摘 要】5G时代,垂直行业专线业务是一片尚待开发的蓝海,是未来运营商利润来源的新引擎,但现网PTN只能提供业务间的软隔离,无法满足uRLLC场景的业务承载需求。首先描述了现有承载技术难以满足低时延、高可靠业务需求的现状,然后分别对普通分组、确定性分组,以及Sub-5G三…

力扣(LeetCode)173. 二叉搜索树迭代器(C++)

设计 根据二叉树的中序遍历的迭代解法,稍改代码,就是本题的解法。 初始化 : 传入了根结点,根据迭代思路,将结点的左链依次入栈。 nextnextnext : 栈顶结点就是所求。根据迭代思路,当前结点要变成栈顶结点的右儿子。由…

网络技术展开型介绍(超详细)二

♥️作者:小刘在这里 ♥️每天分享云计算网络运维课堂笔记,疫情之下,你我素未谋面,但你一定要平平安安,一 起努力,共赴美好人生! ♥️夕阳下,是最美的,绽放,…

模拟电子技术(七)波形的发生和信号的转换

(七)波形的发生和信号的转换正弦波振荡电路RC正弦波振荡电路LC正弦波振荡电路电压比较器电压比较器的分析方法单限比较器过零比较器一般单限比较器滞回比较器窗口比较器非正弦波发生电路矩形波发生电路三角波发生电路锯齿波发生电路信号转换电路正弦波振…

类与对象(中)

类与对象类的6个默认成员函数构造函数概念特性析构函数概念特性拷贝构造函数概念特性赋值运算符重载运算符重载赋值运算符重载前置 后置 重载const成员函数取地址及const取地址操作符重载类的6个默认成员函数 当类中没有任何成员时,称作空类 但是呢,编译…

第2章 关系模型

第2章 关系模型 考试范围: 2.1 -2.6 考试题型: 计算题 考试内容: 关系模型的基本概念 笛卡尔积 关系 关系模式 关系实例 属性 元组 关系数据库模式 关系数据库实例 Superkey Candidate Key Primary Key 关系模型的基本概念 Th…

(十九)Vue之组件和模块概念

文章目录传统编程组件化编程模块模块化组件化Vue学习目录 上一篇:(十八)Vue之生命周期 传统编程 一个html引入大量的CSS、JS文件,使得结构混乱、代码复用率低 传统方式编写应用存在的问题: 1.依赖关系混乱、不好维护…

世界上最伟大最邪恶的软件发明

有这么一个伟大而“邪恶”的软件发明,它被安装在超过10亿台电脑中,每天被使用超过3000万次。世界上几乎每个组织都在使用它,不仅有大大小小的公司,还有企业家、艺术家、非营利组织、学校、政府和宗教领袖,它已经成了公…