现代身份和访问管理 IAM 如何降低风险

您的公司是否仍在使用 1998 年时的身份管理系统?仅凭用户名和密码就能登录本地网络并访问几乎所有资源吗?

虽然大多数企业已经转向现代身份和访问管理(IAM) 平台,但成千上万的企业和其他组织仍然依赖过时的用户名/密码系统。

如果你看一下传统的 IAM 系统,你会发现它们非常注重管理身份、管理访问权限,他们的全部眼光都是降低运营成本。

但是,在管理云系统、SaaS 应用程序和混合工作环境中的访问时,这些传统系统完全不够用。它们价格低廉且易于维护,但从长远来看,它们可能会让您付出代价,因为它们更有可能让攻击者和不法之徒进入您的网络,从而窃取数据或使用勒索软件感染您的网络。

所有组织,无论其规模大小,都应迁移到现代 IAM 系统,以保护其数据、降低其运营风险、提高其法规合规性并保护其员工、客户和合作伙伴。

您真正需要考虑的是:您如何看待身份安全作为最小化、降低甚至消除网络风险的一种方式,并将其作为您希望通过新的身份安全解决方案实现的基础业务成果之一?

答案是现代化的、最好是基于云的 IAM 平台,它可以部署在任何地方并作为 SaaS 服务进行管理。

随着组织接受远程工作并将其资产转移到云端,身份本身也正在成为网络防御的前线。您需要一个能够胜任这项任务的身份解决方案。

身份是未来新的攻击面,它是一切的核心。

传统 IAM 的不足之处

我们都知道密码很糟糕,应该逐步淘汰。我们花了近 30 年的时间强迫用户创建强大而独特的密码,但平均而言,密码并没有变得更好。

然而,即使所有密码都是强密码且独一无二的,也无法阻止网络钓鱼攻击和凭证盗窃。因此,我们将多因素身份验证(MFA) 和单点登录(SSO) 方案移植到传统身份管理系统上。但这些只是暂时的解决方案。

例如,MFA 在大多数常见迭代中都非常薄弱。加密货币窃贼可以通过“交换 SIM 卡”手机号码来截取一次性验证码,而骗子可以通过克隆热门网络服务的登录页面来钓鱼。

网络钓鱼也适用于应用生成的一次性代码。至于是/否推送通知,攻击者可以用这些通知轰炸用户,直到用户点击“是”才能停止。

MFA 的概念非常扎实。但从目前的实施方式来看,它的作用越来越弱了。

单点登录在技术上更为可靠。它通过让用户登录中间账户,然后中间账户将加密令牌发送给其他“联合”账户以授予访问权限,从而降低了密码被盗和重复使用的风险。然而,即使是最好的 SSO 方案也必须排除不兼容的应用程序和在线服务,因此其覆盖范围只是部分。

单点登录对于我们如今的业务来说是必不可少的,它可以提高安全性和用户访问配置应用程序的效率。但是,从客户那里看到,并非所有应用程序都是联合访问的。

特权蔓延

传统身份管理的另一个长期问题是特权或权限蔓延。即个人用户积累的系统权限超出其角色或职位所需的权限。

有时,用户在转到新角色后会保留旧权限。有时,管理员会授予临时提升的权限,但永远不会撤销,例如当远程用户需要执行软件更新时。有时,个别用户会获得他们甚至不知道的组权限。

在所有情况下,权限蔓延都会增加组织的风险。被盗的高权限帐户比低权限帐户危险得多。高权限攻击者有更大的自由度在网络中移动、更改设置并安装恶意软件。

更危险的是,外部供应商或承包商被授予访问组织系统的权限。组织可能无法审查第三方的安全状况,正如 Target Stores 在 2013 年所发现的那样,当时攻击者入侵了授予外部供暖和制冷供应商的账户。

我们看到越来越多的组织正在利用第三方承包商,这种扩大的劳动力访问产生了大量我们所谓的第三方风险。

随着云、SaaS 和混合系统的发展,权限逐渐演变为特权升级。传统身份系统通常无法正确处理云实例和 Web 应用程序的复杂权限结构。权限配置错误很常见,个人用户在更多领域获得了比表面上更多的特权。

如果只考虑三家(主要的)云提供商,那么这三家云提供商之间就有超过 45,000 个权限。

例如,在测试环境中工作的软件开发人员在将软件移植到云时可能无法撤销自己的权限。数据库管理员可能无法在云实例上实施 MFA,从而使其容易受到暴力攻击。

由于云环境具有自助服务性质和复杂的权限,特权蔓延在云环境中尤其危险。配置错误或过于宽松的默认权限可能会无意中授予标准用户访问敏感资源的权限。

现代 IAM 来拯救你

传统和现代 IAM 系统都存在一个共同的问题,即从 Web 浏览器窃取会话 cookie,从而绕过密码甚至 MFA。会话 cookie 会在一定时间内(有时几乎无限期)保持授权。窃取 cookie 只需要一个恶意浏览器插件、系统上安装的恶意软件或跨站点脚本攻击。

传统身份管理系统可以通过强制每日从内部 Web 应用程序注销来尝试应对 Cookie 盗窃。现代 IAM 系统有更多对策,包括强制使用安全浏览器来阻止未经授权的插件或不将会话 Cookie 写入可能被盗的磁盘。

IT 管理员还可以加密会话 cookie 并限制其持续时间或“生存时间”。这些措施可能超出了 IAM 系统的范畴,但却是现代 IAM 所伴随的整体安全文化的一部分。

类似的还有会话隔离,其中浏览器或其他云访问界面被放入沙盒中,或者其流量通过代理服务器传输,这样任何损害都仅限于用户的系统。

现代 IAM 系统的一些最有效功能借鉴了特权访问管理(PAM) 系统,后者长期以来一直用于控制系统管理员等特权用户的访问权限。随着身份在组织安全中变得越来越重要,PAM 和 IAM 系统开始融合。

您的 IAM 不再应该与特权控制隔绝。您的 IAM 系统也需要同样的特权控制。

例如,PAM 系统经常强制特权用户重新进行身份验证,有时一天不止一次。它们还持续监控和记录用户行为。

将这些功能移植到 IAM 并将其应用于所有用户可以使组织更加安全,尤其是当“每个身份在特定情况下都可以享有特权”时。

用最少的资源做最多的事

近年来,IAM 和 PAM 系统中最重要的发展就是实施最小权限访问原则。其理念是,任何用户(无论是实习生、系统管理员还是 CEO)都不应拥有超出其工作所需权限的系统权限。

一个必然的原则是基于角色的访问控制,其中工作本身决定了用户可以拥有哪些权限 - 以及哪些权限应该被剥夺。

这两点听起来可能很明显,但在实践中,可能很难说服从一个部门转到另一个部门的经理放弃对系统的一些权力。

一旦他们获得了凭证或权限,就很难从已经拥有这些凭证或权限 5 至 10 年的人手中夺走。

在这种情况下,执行规则的管理员需要得到上级的支持,并且需要将最小特权和基于角色的访问原则明确为管理员在必要时可以参考的政策。

最小特权也是零信任安全的基石之一,在零信任安全中,没有经过严格身份验证和授权的用户将无法获得访问权限。

如果你不实施最小权限,那么它就像是黑客的自助餐桌。如果你没有基于角色的访问权限,[最小权限] 就更难了。

现代 IAM 的其他发展包括基于动态风险的 MFA,这是一个自动化系统,其中 IAM 平台整理有关尝试登录的用户的“信号”。传统身份平台很少具有实施基于风险的 MFA 所需的那种自动化功能。

信号可以包括用户的位置、用户的计算机以及用户上次登录的时间。新的用户计算机会触发 MFA 挑战,但同一台计算机看起来与当天早些时候所在的位置相距半个地球。

现代 IAM 系统还可以适应防网络钓鱼的身份验证形式,例如Yubikeys等硬件令牌或基于软件的令牌,如现在较新的 iPhone、Android 手机和笔记本电脑中提供的密钥。

正值未来

现代 IAM 的前沿涉及即时访问和零权限等新方法,这两种方法都源于最小特权和基于角色的访问原则。

即时 (JIT) 访问是指在需要时才授予任何人提升的权限,例如当管理员需要重新配置数据库时。这在原理上类似于授予最终用户笔记本电脑的临时管理员权限,只不过这涉及整个组织网络。

与授予最终用户的管理员权限一样,JIT 权限不会持续很长时间。现代 IAM 系统通常会在几个小时后或用户完成手头任务所需的时间后“终止”它们。

零常设权限意味着没有用户,甚至管理员,被授予永久提升的权限。那些需要这些权限的人可以在适当的时候暂时获得它们。

随着时间的推移,我们有越来越多的想法和能力深入控制层面,我们已经能够取消这些特权,因此用户只是在限定的时间内及时获得这些特权,并且不会拥有超出他们可能需要的特权。

IAM 和 PAM 原则的结合为现代、零信任、身份优先的安全架构奠定了基础,为组织迎接无边界、人工智能辅助、基于云的未来做好了准备。

会话隔离、会话监控、保护会话 cookie 等身份验证后数据 —— 这些都是我们从特权(访问管理)领域获得的想法,现在可以应用到(标准)劳动力领域。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/442442.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微知-如何临时设置Linux系统时间?(date -s “2024-10-08 22:55:00“, time, hwclock, timedatectl)

背景 在tar解压包的时候经常出现时间不对,可以临时用date命令修改一下,也可以其他,本文主要介绍临时修改的方法 date命令修改 sudo date -s "2024-10-08 22:55:00"其他查看和修改的命令 本文只记录查看方式,修改的暂…

分享几个国外SSL证书提供商网站

国外SSL证书提供商 众所周知兼容性高的SSL证书肯定是在国外申请的,主要确保SSL证书的安全性的同时,对于安全标准在国外相比而言更成熟,保护程度也比较高。 另方面对需要申请的域名没有限制,可选性SSL证书类型种类比较多&#xf…

【C++打怪之路Lv7】-- 模板初阶

🌈 个人主页:白子寰 🔥 分类专栏:C打怪之路,python从入门到精通,数据结构,C语言,C语言题集👈 希望得到您的订阅和支持~ 💡 坚持创作博文(平均质量分82)&#…

【图论】迪杰特斯拉算法

文章目录 迪杰特斯拉算法主要特点基本思想算法步骤示例 实现迪杰斯特拉算法基本步骤算法思路 总结 迪杰特斯拉算法 迪杰特斯拉算法是由荷兰计算机科学家艾兹赫尔迪杰特斯拉(Edsger W. Dijkstra)在1956年提出的,用于解决单源最短路径问题的经…

web开发(1)-基础

这是对b站课程的总结,后续可能会继续更 01 前后端分离介绍_哔哩哔哩_bilibili01 前后端分离介绍是Web应用开发-后端基础-基于Springboot框架的第1集视频,该合集共计29集,视频收藏或关注UP主,及时了解更多相关视频内容。https://w…

信息安全工程师(39)防火墙防御体系结构类型

前言 防火墙防御体系结构类型多样化,每种类型都针对不同的安全需求和应用场景,提供不同层次的保护。 一、传统防火墙系统 包过滤防火墙 原理:通过检查进出网络数据包的头信息(如源IP地址、目的IP地址、源端口、目的端口和协议等&a…

用langchain+streamlit应用RAG实现个人知识库助手搭建

RAG原理概述 RAG(Retrieval-Augmented Generation) 是一种结合了信息检索和生成式人工智能技术的模型架构,旨在让模型生成更有根据和更准确的回答。通俗来讲,它让模型不只是凭借自己的“记忆”(预训练数据&#xff09…

Python | Leetcode Python题解之第456题132模式

题目: 题解: class Solution:def find132pattern(self, nums: List[int]) -> bool:candidate_i, candidate_j [-nums[0]], [-nums[0]]for v in nums[1:]:idx_i bisect.bisect_right(candidate_i, -v)idx_j bisect.bisect_left(candidate_j, -v)if…

如何实现 C/C++ 与 Python 的通信?

在现代编程中,C/C与Python的通信已经成为一种趋势,尤其是在需要高性能和灵活性的场景中。本文将深入探讨如何实现这两者之间的互通,包括基础和高级方法,帮助大家在混合编程中游刃有余。 C/C 调用 Python(基础篇&#…

APP自动化搭建与应用

APP自动化环境搭建 用于做APP端UI自动化,adb连接手机设备。 需要的工具java编辑器:jdk、Android-sdk软件开发工具组、appium的python客户端、nodes.js、夜神模拟器、apk包、uiautomatorviewer 第一步:安装sdk,里面包含建立工具bu…

QD1-P6 HTML常用标签:列表

本节视频 https://www.bilibili.com/video/BV1n64y1U7oj?p6 ‍ 本节学习HTML列表标签。HTML 列表有多种形式&#xff0c;最重要的有两种&#xff1a; 有序列表无序列表 一、有序列表 1.1 写法 <ol><li>首先</li><li>其次</li><li>最…

Shell入门基础学习笔记

目录 第1章 Shell概述 第2章 Shell解析器 第3章 Shell脚本入门 第4章 Shell中的变量 4.1 系统变量 4.2 自定义变量 4.3 特殊变量&#xff1a;$n 4.4 特殊变量&#xff1a;$# 4.5 特殊变量&#xff1a;$*、$ 4.6 特殊变量&#xff1a;$&#xff1f; 第5章 运算符 …

数据结构-4.5.KMP算法(旧版上)-朴素模式匹配算法的优化

朴素模式匹配算法最坏的情况&#xff1a; 一.实例&#xff1a; 第一轮匹配失败&#xff0c;开始下一轮的匹配&#xff1a; 不断的操作&#xff0c;最终匹配成功&#xff1a; 如上述图片所述&#xff0c;朴素模式匹配算法会导致时间开销增加&#xff0c; 优化思路&#xff1a;主…

Prometheus之Pushgateway使用

Pushgateway属于整个架构图的这一部分 The Pushgateway is an intermediary service which allows you to push metrics from jobs which cannot be scraped. The Prometheus Pushgateway exists to allow ephemeral and batch jobs to expose their metrics to Prometheus. S…

手撕数据结构 —— 顺序表(C语言讲解)

目录 1.顺序表简介 什么是顺序表 顺序表的分类 2.顺序表的实现 SeqList.h中接口总览 具体实现 顺序表的定义 顺序表的初始化 顺序表的销毁 打印顺序表 ​编辑 检查顺序表的容量 尾插 尾删 ​编辑 头插 头删 查找 在pos位置插入元素 删除pos位置的值 ​…

【JavaEE】【多线程】Thread类讲解

目录 Thread构造方法Thread 的常见属性创建一个线程获取当前线程引用终止一个线程使用标志位使用自带的标志位 等待一个线程线程休眠线程状态线程安全线程不安全原因总结解决由先前线程不安全问题例子 Thread构造方法 方法说明Thread()创建线程对象Thread(Runnable target)使用…

初始Redis

Mysql最大的问题在于,访问速度比较慢 而Redis是内存中存储数据的中间件,可以作为数据库使用,比较快,和Mysql相比,存储空间有限 Redis是在分布式系统中,才能发挥威力的,在单机程序,直接通过变量存储数据的方式,是比使用redis更优的选择 那么要求更大更快,就可以把redis和mysq…

修改银河麒麟操作系统V10(SP1)网卡名称为ethx

修改银河麒麟桌面操作系统V10&#xff08;SP1&#xff09;网卡名称为ethx 步骤一&#xff1a;查看当前网卡信息步骤二&#xff1a;修改GRUB配置文件步骤三&#xff1a;更新GRUB配置步骤四&#xff1a;编辑网络接口文件步骤五&#xff1a;重启机器 &#x1f496;The Begin&#…

【Kubernetes】常见面试题汇总(五十五)

目录 121. POD 创建失败&#xff1f; 122. POD 的 ready 状态未进入&#xff1f; 特别说明&#xff1a; 题目 1-68 属于【Kubernetes】的常规概念题&#xff0c;即 “ 汇总&#xff08;一&#xff09;~&#xff08;二十二&#xff09;” 。 题目 69-113 属于【Kube…

数据结构-排序1

1.排序的概念 排序&#xff1a;所谓排序&#xff0c;就是使一串记录&#xff0c;按照其中的某个或某些关键字的大小&#xff0c;递增或递减的排列起来的操作。 稳定性&#xff1a;假定在待排序的记录序列中&#xff0c;存在多个具有相同的关键字的记录&#xff0c;若经过排序…