身份和访问管理解决方案:混合型IAM

对于依赖于本地 IT 基础结构和传统安全模型的组织,可以更轻松地验证和授权企业网络内的所有内容,包括设备、用户、应用程序和服务器。尝试从公司网络外部获取访问权限的用户使用虚拟专用网络 (VPN) 和网络访问控制 (NAC) 进行身份验证。随着云和远程工作的日益普及,新的企业架构正在重新定义边界。数据还存储在公司墙外,用户可以通过公司网络外部位置的各种类型的设备访问位于云上的企业应用程序以及公司网络内部。

随着网络的传统边界(具有已知的入口和出口点)转变为边界线较软的东西,标识被视为新的网络边界。随着混合云的采用和访问方式的日益增加,身份管理将变得更加重要。

NIST将混合云定义为“由本地基础架构、私有云服务和公共云组成的混合计算、存储和服务环境,并在各种平台之间进行编排。它的主要好处是敏捷性。云基础架构由云服务提供商 (CSP) 拥有、管理和监控,云服务提供商对其云托管基础架构中的数据安全功能和服务拥有相当大的控制权。一些服务提供商并不总是对其业务决策保持透明,这可能会对其客户的运营产生不利影响。

通过混合云优化工作负载和数据放置

随着公司开始进行应用程序和数据现代化,他们应该考虑使用混合云,因为它可以平衡两个平台的应用程序和数据工作负载。

混合部署包括云和本地的优势。它们将云的创新、速度、存储和可扩展性以及本地的法规遵从性、性能和数据引力整合到一个盘片中。使用分布在多个数据中心和云中的工作负载运营的组织需要跟上数字化转型和 IT 安全方面的新兴趋势。混合云部署可能是有益的,因为它可以有效地提高性能、灵活性和安全性。

随着远程工作的日益普及,组织正在努力有效地管理 IT 服务。企业必须战略性地利用其资源,以便所有基础架构、应用程序、数据、云和本地部署都是安全的,并针对业务连续性进行优化。在这些情况下,全球企业通常更喜欢混合应用程序来优化数据放置。部署混合云模型时要记住的关键因素是:

  • 组织应从构建混合云战略的路线图开始,这包括选择将哪些应用程序和工作负载放置在云中,哪些应用程序和工作负载保留在本地,以获得可伸缩性、更好的性能和可用性。
  • 在制定路线图时,应考虑现有的IT基础设施布局,这可确保在云迁移不成功的情况下提供业务关键功能。
  • 从云运营模型中提取实时数据,并使用基于机器学习的解决方案进行分析,可以让组织完全控制其数据、应用程序和工作负载,它可以帮助提高业务敏捷性,同时确保数据安全。
  • 大多数情况下,云部署不会成功,因为缺乏训练有素的专业人员,他们具有能够执行技术操作的正确技能和专业知识,组织应引入训练有素的技术和服务提供商,他们可以帮助组织成功实施混合部署,同时确保业务连续性。

缩小云中的安全漏洞

根据Cybersecurity Insiders进行的研究,滥用员工凭据和不当访问控制占未经授权的网络访问的42%。未经授权的访问被认为是云安全的最大漏洞,这就是为什么部署专为混合云安全设计的全面安全管理工具至关重要的原因。使用正确的工具,可以从单个控制台管理和监控所有云应用程序和网关。

只需使用 Microsoft 的轻量级目录访问协议 (LDAP) 和 Active Directory (AD) 即可在本地基础架构中管理身份、身份验证和访问。但是,在云中,IT部门很难监控哪些用户正在访问哪些应用程序和服务。因此,大多数组织采取实用的方法并采用更多的软件即服务 (SaaS) 应用程序。许多组织将其现有应用程序升级到云版本,并在可能的情况下停用过时的本地和旧版本。

由于部分工作负载位于本地数据中心之外,混合企业应专注于确保对每个用户、应用程序和设备的安全访问,无论其位置如何。此访问应与上下文相关,这允许 IT 管理员根据位置、IP 地址、设备等为用户创建访问策略。换句话说,在云之旅中取得成功的唯一方法是部署正确的身份和访问管理 (IAM) 解决方案。

IAM 提供商可分为三类:

  • 旧版本地 IAM:致力于本地 IAM 的组织通常不会将其传统技术迁移到云平台,因为这会带来许多挑战。相反,其中许多组织通过混合选项启动向云的迁移。
  • 旧版本地和云 IAM 的混合:从本地解决方案开始的 IAM 供应商现在正在尝试提供混合身份解决方案。混合云身份和访问管理解决方案包括本地和基于云的系统,并使用通用的授权方法。虽然这些供应商拥有专为纯本地工作负载构建的高级解决方案,但其等效的混合云 IAM 功能(如多重身份验证 (MFA)、单点登录 (SSO) 和社交登录)已与其现有的本地 IAM 解决方案集成。为了解决数据管理和安全性等问题,大中型企业更愿意选择这种方法。
  • IDaaS:随着用户数量的迅速增加,以身份即服务 (IDaaS) 为中心的供应商有助于利用云身份效率,以及管理云的网络效应。计划过渡到云并保持最小的本地占用空间的组织必须在其安全体系结构中启用基于云的身份验证。某些遗留应用程序无法按照现代标准重新设计。在这种情况下,组织应该能够将 IDaaS 优势集成到其旧版应用程序中。这种方法称为云优先混合,可以减轻组织在初始部署之前执行工作负载大小调整的负担。

在这里插入图片描述

对于各种云部署模型,组织需要实施适当的访问策略以确保数据安全。在不断发展的混合环境中,传统的 IAM 策略是不够的。为了应对这一挑战,组织必须以混合身份管理为中心构建统一的安全策略。混合IAM应侧重于三个主要目标:

  • 验证尝试跨私有云、公有云或本地数据中心访问组织资源的每个用户并提供安全访问权限。
  • 实施与最低特权访问控制集成的实时配置,并限制对业务关键型资产的访问,这种精细的访问控制对于防止攻击者横向移动至关重要。
  • 检查网络流量是否存在恶意活动或异常,以防止攻击,连接到网络的所有用户和设备都应进行实时监视,并根据上下文访问策略,在检测到异常时应撤销访问权限。

随着组织迁移到云,组织的大量数据会迁移到公司边界之外。若要构建能够承受云基础结构动态挑战的安全框架,采用零信任安全模型非常重要。

采用零信任方法的混合 IAM

基于“从不信任,始终验证”的概念,零信任原则解决了与远程工作、云采用和自带设备 (BYOD) 相关的安全问题。组织需要监视网络并验证尝试访问公司资源的每个用户。零信任通过实时上下文身份验证增加了额外的安全性,其中持续监视用户或实体以根据基准(风险评分)评估风险。如果出现异常或恶意行为,它可以根据需要触发重新身份验证。

当敏感应用程序和关键数据跨系统(本地和云中)放置时,将数据分段为微边界或微段非常重要。这减少了攻击面,并保护组织数据免受恶意软件和漏洞的风险。

云采用可促进开始现代化计划的组织的数字化转型。决定哪些工作负载移动到云以及哪些工作负载保留在本地至关重要。为了确保安全的数据访问管理,组织必须通过评估他们希望迁移到云的工作负载的关键性来执行适当的数据评估。如果组织在数据泄露期间未能保护包含敏感数据的工作负载,则利用这些工作负载可能会造成严重破坏。

实现零信任安全模型有多个阶段。一个好的起点是为所有应用程序和设备启用 MFA 以及强密码策略。SSO 通过要求用户使用多个应用程序的单个 ID 和密码登录来确保无缝的身份验证体验,从而减少攻击面。最佳做法是,应实施启用 MFA 的 VPN 来访问公司网络。

平衡可访问性和安全性

  • 定义安全边界:由于数据和工作负载分布在本地和云之间,因此资源丰富的威胁参与者可以轻松访问关键信息。这种未定义的安全边界增加了入口点和攻击面,使黑客能够轻松访问组织的网络。应进行用户和设备标识,以实现适当的安全和访问控制。
  • 使用强身份验证方法:各种密码攻击方法用于未经授权访问用户帐户。这就是为什么根据NIST等机构的建议实施强密码策略以防止不良行为者滥用用户信息和应用程序至关重要的原因。更好的选择是实施 MFA 策略,如果第一道防线受到威胁,该策略将充当第二道防线。
  • 利用集中式身份和访问管理系统:在混合部署中,建议从单个控制台管理所有用户帐户和设备。这有助于 IT 管理员监控其网络并轻松检测异常。
  • 强制实施最小特权原则:最小特权原则强制实施最低级别的用户权限,以确保任何应用程序或用户都没有对业务关键型资源具有未经授权的权限。
  • 使用 SIEM 监视和保护混合环境:若要全面监视混合环境,组织必须实施持续记录和分析数据的系统信息和事件监视 (SIEM) 解决方案,并识别与之相关的风险。

如何帮助构建混合身份管理程序

  • 简化的用户生命周期管理:从单个控制台跨 AD、Exchange 服务器、Office 365 服务和 G Suite 轻松同时为多个用户配置、修改和取消配置帐户和邮箱。使用可自定义的用户创建模板并从 CSV 导入数据以批量预配用户帐户。
  • 面向企业的 SSO 和自助密码管理:AD360的SSO功能使最终用户无需记住多个密码,这使他们不必多次登录不同的应用程序。AD360 使用户能够从单个仪表板安全地访问其所有企业应用程序,并提供 MFA SSO 以提供额外的安全层。
  • 安全地审核 AD、Office 365 和文件服务器:深入了解 AD、Office 365、Windows 服务器和 Exchange 服务器中发生的所有更改。实时监控用户登录活动、对 AD 对象的更改等。使用预打包的报告遵守 IT 合规性法规,如 SOX、HIPAA、PCI DSS 和 GLBA。
  • 智能威胁警报:使用 AD360,IT 管理员可以配置警报配置文件,以便在 Office 365 设置中发生特定操作时向管理员发送自定义消息。这些警报可以包括有关触发警报的操作的严重性、执行操作的人员、操作发生时间等的信息。这样可以轻松确定警报的优先级并对其执行操作。凭借其用户行为分析(UBA)功能,AD360使用机器学习来创建特定于每个用户的典型操作基线,以准确检测异常行为和威胁。

如何满足 IAM 需求

  • 使用 UBA 进行身份保护:使用基于机器学习的 UBA 检测、调查和缓解恶意登录、横向移动、恶意软件攻击和权限滥用等威胁、自动响应威胁。
  • 身份自动化:消除冗余和人为错误,并通过自动执行用户预配、陈旧帐户清理和其他与身份相关的任务来改进业务流程。
  • 身份生命周期管理:在用户的整个生命周期(从配置到角色更改和取消配置)中简化身份管理。
  • 多重身份验证:使用生物识别、身份验证器应用和其他高级身份验证方法提升对标识的信任并缓解模拟攻击。
  • 身份分析:使用多个预配置报告来监控对关键数据的访问并满足合规性要求。

AD360 允许用户快速访问所需资源,同时建立严格的访问控制,确保从集中式控制台跨本地 Active Directory、Exchange 服务器和云应用程序的安全性,从而帮助您简化 IT 环境中的 IAM。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/136558.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【教程】微信小程序导入外部字体详细流程

前言 在微信小程序中,我们在wxss文件中通过font-family这一CSS属性来设置文本的字体,并且微信小程序有自身支持的内置字体,可以通过代码提示查看微信小程序支持字体: 这些字体具体是什么样式可以参考: 微信小程序--字…

从零学习开发一个RISC-V操作系统(一)丨计算机组成原理相关知识与RISC-V指令集简介

本篇文章的内容 一、计算机组成原理的相关知识1.1 计算机的硬件组成1.2 程序的存储与执行1.3 程序语言的设计和进化1.4 存储设备的层次结构1.5 操作系统 二、RISC-V的指令集ISA简介2.1 什么是ISA2.2 复杂指令集(CISC)和精简指令集(RISC&#…

探讨基于IEC61499 的分布式 ISA Batch 控制系统

ISA SP88 是批次过程控制的标准,对应的IEC标准是IEC 61512。该标准中一个重要的部分是配方管理(Recipe Management)。 所谓配方,是根据批量产品的要求,材料设定加工工艺,加工流程和参数。类似于传统制造业的…

2023年以就业为目的学习Java还有必要吗?(文末送书)

目录 一、活力四射的 Java二、从零开始学会 Java三、准备工作四、基础知识五、进阶知识六、高级知识七、结语参与方式 大家好,我是哪吒。 文末送5本《Java编程动手学》 今天来探讨一个问题,现在学 Java 找工作还有优势吗? 在某乎上可以看到…

Cesium 测量距离

Cesium 测量距离 需求分析第一种方式:使用测距 Measure第二中方式:使用 distance,自己封装第三种方式:自己封装(样式不太好) 需求 实际开发中我们经常需要用到量测工具,而Cesium没有直接提供量…

MySQL使用C语言链接

MySQL使用C语言链接 MySQL connect接口介绍mysql_initmysql_real_connectmysql_querymysql_store_result\mysql_use_result()mysql_num_rowsmysql_num_fieldsmysql_fetch_fieldsmysql_fetch_rowmysql_close MySQL connect 使用C语言来连接数据库,本质上就是利用一些…

电脑桌面的复选框如何取消

电脑桌面图标的复选框如何取消 1. 概述2. 去掉图标的复选框方法结束语 1. 概述 当你拿到新的电脑开机后,发现桌面上软件应用的图标左上角有个小框,每次点击图标都会显示,并且点击图标时,小框还会打上√; 这个小框的…

成功解决Selenium 中116版本的chromedriver找不到问题

Selenium 中的Google(谷歌浏览器)最新版本chromedriver 文章目录 Selenium 中的Google(谷歌浏览器)最新版本chromedriver1.当前作者的谷歌浏览器版本2.当前驱动官网的最新版本3.当不想降低浏览器版本继续使用谷歌浏览器的办法 1.当…

《计算机视觉中的多视图几何》笔记(5)

5 Algorithm Evaluation and Error Analysis 本章主要讲述对算法的验证和误差分析。 概述了两种计算这种不确定性(协方差)的方法。第一个基于线性近似值,涉及串联各种雅各布表达式,第二个是更容易实施蒙特卡洛方法。 文章目录 …

Linux——IO

✅<1>主页&#xff1a;&#xff1a;我的代码爱吃辣 &#x1f4c3;<2>知识讲解&#xff1a;Linux——文件系统 ☂️<3>开发环境&#xff1a;Centos7 &#x1f4ac;<4>前言&#xff1a;是不是只有C/C有文件操作呢&#xff1f;python&#xff0c;java&…

Ubuntu安装中文拼音输入法

ubuntu安装中文拼音输入法 ubuntu版本为23.04 1、安装中文语言包 首先安装中文输入法必须要让系统支持中文语言&#xff0c;可以在 Language Support 中安装中文语言包。 添加或删除语音选项&#xff0c;添加中文简体&#xff0c;然后会有Applying changes的对话框&#x…

源码编译Qt 5.15.9+msvc2019

官方文档里给出了详细步骤&#xff1a; Building Qt Sources Building Qt 5 from Git (Wiki) 注&#xff1a;本文基于windows11vs2019x64qt5.15.9&#xff0c;不编译Qt WebEngine 归纳总结如下&#xff1a; 准备阶段 Qt for Windows - Requirements 安装python&#xff0c;…

逼自己看完,Redis的事务你就掌握了!!!

目录 1、对于事务的理解 1.1、回顾MySQL的事务 1.2、Redis的事务 2、事务命令使用 3、watch的实现原理 3.1、watch用来干什么的&#xff1f; 3.2、watch的实现原理 1、对于事务的理解 1.1、回顾MySQL的事务 在MySQL中&#xff0c;事务有4个特性&#xff1a; 原子性&a…

MyBatis中当实体类中的属性名和表中的字段名不一样,怎么办

方法1&#xff1a; 在mybatis核心配置文件中指定&#xff0c;springboot加载mybatis核心配置文件 springboot项目的一个特点就是0配置&#xff0c;本来就省掉了mybatis的核心配置文件&#xff0c;现在又加回去算什么事&#xff0c;总之这种方式可行但没人这样用 具体操作&…

详细介绍如何微调 YOLOv8 姿势模型以进行动物姿势估计--附完整源码

动物姿势估计是计算机视觉的一个研究领域,是人工智能的一个子领域,专注于自动检测和分析图像或视频片段中动物的姿势和位置。目标是确定一只或多只动物身体部位的空间排列,例如头部、四肢和尾巴。这项技术具有广泛的应用,从研究动物行为和生物力学到野生动物保护和监测。 …

【LeetCode-中等题】107. 二叉树的层序遍历 II

文章目录 题目方法一&#xff1a;队列层序迭代 题目 方法一&#xff1a;队列层序迭代 解题详情&#xff1a;【LeetCode-中等题】102. 二叉树的层序遍历 res.add(0,zres); //效果是将 zres 列表作为 res 的第一个子列表&#xff0c;并将其它原本在第一位置及之后的子列表向后移…

Python项目开发:Flask基于Python的天气数据可视化平台

目录 步骤一&#xff1a;数据获取 步骤二&#xff1a;设置Flask应用程序 步骤三&#xff1a;处理用户输入和数据可视化 步骤四&#xff1a;渲染HTML模板 总结 在这个数字化时代&#xff0c;数据可视化已经成为我们理解和解释信息的重要手段。在这个项目中&#xff0c;我们…

JavaScript速成课—事件处理

目录 一.事件类型 1.窗口事件 2.表单元素事件 3.图像事件 4.键盘事件 5.鼠标事件 二.JavaScript事件处理的基本机制 三.绑定事件的方法 1.DOM元素绑定 2.JavaScript代码绑定事件 3.监听事件函数绑定 四.JavaScript事件的event对象 1.获取event对象 2.鼠标坐标获取…

下载HTMLTestRunner并修改

目录 一. 下载HTMLTestRunner 二. 修改HTMLTestRunner 1. 修改内容 2. 修改原因 一. 下载HTMLTestRunner 下载报告模板地址:http://tungwaiyip.info/software/HTMLTestRunner.html 下载模块&#xff1a; 二. 修改HTMLTestRunner 将修改后的模块放到python安装目录下的..…

Harmony 开始支持 Flutter ,聊聊 Harmony 和 Flutter 之间的因果

相信大家都已经听说过&#xff0c;明年的 Harmony Next 版本将正式剥离 AOSP 支持 &#xff0c;基于这个话题我已经做过一期问题汇总 &#xff0c;当时在现有 App 如何兼容 Harmony Next 问题上提到过&#xff1a; 华为内部也主导适配目前的主流跨平台方案&#xff0c;主动提供…