Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
访问管理是管理用户对数字资源访问权限的网络安全学科。访问管理工具和流程有助于确保只有授权用户才能访问其所需资源,同时阻止内部用户和恶意外部人员未经授权的访问。
访问管理和身份管理共同构成了更为广泛的网络安全学科的两大支柱—身份和访问管理 (IAM)。IAM 可配置并保护 IT 系统中的数字身份和用户权限。
身份管理涉及为系统中的所有用户创建和维护身份,包括人类用户(员工、客户或承包商)和非人类用户(AI 智能体、IoT和端点设备或自动化工作负载)。
访问管理涉及为这些用户提供对组织数据、内部资源以及基于云的应用程序和资产的安全访问。访问管理的核心功能包括管理用户访问策略、验证用户身份以及授权有效用户在系统中执行某些操作。
随着云计算、软件即服务 (SaaS) 解决方案、远程工作和生成式 AI 的兴起,访问管理已成为网络安全的核心组成部分。组织必须允许更多类型的用户访问更多地点的更多类型的资源,同时防止数据泄露并阻止未经授权的用户。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
按照美国国家标准与技术研究院 (NIST) 的意见,核心访问管理功能包括:
粒度访问策略在大部分访问管理系统中用于控制用户访问权限。组织可以采取多种不同的方法来设置其访问策略。
一种常见的访问控制框架是基于角色的访问控制 (RBAC),其用户的权限基于其工作职能设定。RBAC 有助于简化用户权限设置流程,并降低授予用户超出所需权限的风险。
例如,假设系统管理员正在为网络防火墙设置权限。
组织可以使用其他访问控制框架作为 RBAC 的替代方案或与其结合使用。这些框架包括:
大多数组织的访问控制框架都遵循最小特权原则。最小权限原则通常与零信任安全战略相关联,规定用户只能拥有完成任务所需的最低权限。任务完成后应撤销相关权限,以帮助防止未来的安全风险。
认证是验证用户真实身份的过程。
当用户登录系统或请求访问资源时,需提交凭证(称为“认证因素”)以证明身份。例如,人类用户可能输入密码或提供生物特征指纹扫描,而非人类用户则可能共享数字证书。
访问管理工具会将提交的因素与系统中存储的用户凭据进行比对。如果匹配,则向用户授予访问权限。
密码是最基础的认证形式,也是最薄弱的环节之一。如今,大多数访问管理工具都使用更高级的身份验证方法。这些方法包括:
访问管理解决方案可以大体分为两类:一种是用于控制内部用户(如员工)访问的工具,另一种是用于控制外部用户(如客户)访问的工具。
组织的内部用户(员工、经理、管理员)通常需要访问多个系统,包括业务应用程序、消息传递应用程序、公司数据库、人力资源系统等。
几乎所有企业的内部资源都被视为敏感资源,需要保护以免受恶意黑客的攻击。但并非每个内部用户都需要对每个内部资源拥有同等的访问权限。组织需要复杂的访问管理工具,使他们能够在粒度级别上控制用户访问权限。
常见的内部访问管理工具包括:
IAM 平台是将核心身份和访问管理功能集成到单个系统中的综合解决方案。IAM 平台的常见功能包括用户目录、身份验证工具、访问策略管理和身份威胁检测和响应 (ITDR) 能力。
特权访问管理 (PAM) 是访问管理的一个子集,用于管理和保护高特权用户帐户(如管理员帐户)和特权活动(如处理敏感数据)。
在许多 IT 系统中,高特权帐户受到特殊保护,因为它们是恶意行为者可用于造成严重损害的高价值目标。
PAM 工具通过使用凭据保险库和即时 (JIT) 访问协议将特权身份与其他身份隔离。JIT 可应请求在有限时间内授予授权用户对特定资源的特权访问权限,而不是授予用户永久提升的权限。
身份治理和管理 (IGA) 工具有助于确保组织的访问策略和访问控制措施满足安全要求和监管要求。
IGA 解决方案提供了用于在每个用户的整个生命周期中定义和实施合规访问策略的工具。一些 IGA 工具还可以帮助自动执行关键合规性工作流,例如用户入职和配置、访问审核、新访问请求和取消配置已离职用户。这些功能使组织能够更好地监督用户权限和活动,从而更易于发现并阻止权限滥用和误用。
ZTNA 解决方案是遵循“永不信任,永远验证”的零信任原则的远程访问工具。
传统的远程访问工具(例如,虚拟专用网络 (VPN))可将远程用户连接到整个公司网络。相比之下,ZTNA 仅会将用户连接到他们有权访问的特定应用程序和资源。
此外,在 ZTNA 模型中,用户永远不会被隐式信任。无论用户的身份或位置如何,每个资源的每个访问请求都必须经过验证和确认。
组织通常必须帮助外部用户安全访问资源。客户可能需要访问其在电子商务平台上的帐户。供应商可能需要访问开具发票系统。业务合作伙伴可能需要访问共享数据。外部访问管理工具专门为这些外部用户服务。
一些组织使用相同的工具进行内部和外部访问管理,但这种战略并不总是可行。内部和外部用户的需求可能有所不同。例如,外部用户通常优先考虑便利性而非安全性,而内部用户拥有更高的权限,需要更强的保护。
客户身份和访问管理 (CIAM) 工具负责管理组织外部的客户和其他用户的数字身份和访问安全。
与其他访问管理工具一样,CIAM 系统有助于验证用户身份,并促进对数字服务的安全访问。核心区别在于,CIAM 工具强调通过渐进式概要分析(允许用户一段时间内完成概要分析)、社交登录和其他用户友好型功能来提升用户体验。
访问管理工具可帮助组织为授权用户提供对敏感资源的安全访问,无论他们位于何处。
其结果是网络更加安全、更加高效。用户拥有完成工作所需的不间断访问权限,同时威胁参与者和未经授权的用户则被拒之门外。
随着组织采用混合与多云环境,集中式本地部署 IT 网络已成为过去。注重边界的安全解决方案和战略无法有效保护在遍布全球的设备、用户应用程序和数据库中穿梭的网络。
黑客越来越关注身份攻击面,窃取凭据以侵入网络。IBM® X-Force Threat Intelligence Index 报告显示,30% 的网络攻击涉及窃取并滥用有效帐户。
访问管理工具通过保护访问本身,将组织防御从外围转移到以个人用户、资源和敏感数据为焦点。身份验证工具有助于保护用户帐户免受劫持,而授权工具有助于确保用户仅出于合法原因使用其权限。
访问管理工具还可以帮助自动执行某些安全任务,例如进行定期访问审查以及在用户离开组织或更改角色时取消其权限配置。这些工具有助于打击“权限蔓延”,即用户随着时间的推移慢慢地、巧妙地获得超出他们需要的权限。
访问管理工具可以让用户在不牺牲安全性的情况下更轻松地访问所需资源。例如,单点登录 (SSO) 系统允许用户通过一次身份验证即可访问多个资源。生物识别认证技术允许用户通过指纹扫描等独特凭据进行登录,这些凭据比密码更难被破解,但输入起来更为便捷。
访问管理工具可以简化配置和取消配置用户的流程。例如,基于角色的访问控制框架可以根据预定义的策略自动向用户分配正确的权限。系统管理员需要做的日常工作更少,新员工可以立即开始工作,而不必等待手动访问批准。
数据隐私和安全标准和法规,例如支付卡行业数据安全标准 (PCI DSS) 和通用数据保护条例 (GDPR),要求组织对某些类型的敏感信息保持严格的访问控制。
违规可能要付出高昂的代价。例如,严重违反 GDPR 可能会导致高达 20,000,000 欧元或组织上一年全球收入 4% 的罚款。
访问管理解决方案可以通过强制执行集中定义的访问权限来帮助组织满足合规性要求,这有助于确保只有必要的用户才能访问数据,并且只能出于授权的原因。
一些访问管理工具还可以保留用户活动和访问请求的记录,创建审计跟踪,帮助组织证明合规性并查明违规行为。
访问管理工具可通过提升效率、加强安全性和确保合规性,帮助组织降低成本。
例如,强大的身份验证工具可以阻止许多基于身份的攻击,减少因安全威胁而导致的停机。当自动配置用户权限时,IT 团队可能会减少接听服务台电话的次数。当组织的访问策略合规时,他们不太可能面临罚款或法律费用。