什么是身份和访问管理(IAM)安全策略?
作者: 日期:2022年03月14日 阅:2,795

您企业内的用户身份真的安全吗?

归根结底,这一问题的答案取决于企业身份和访问管理(IAM)策略的严谨程度。IAM 的概念比较宽泛,指企业如何管理用户对设备、文件、网络和应用的访问权限,而 IAM 安全策略的着眼点更具体,主要指企业为降低身份相关的风险而制定的策略体系。

随着远程办公不断普及,设置严谨的 IAM 安全策略既能为员工提供办公所需的访问权限,又能保护企业的资产安全,对企业来说至关重要。制定 IAM 安全策略时,首先要了解其含义、实施方法以及实施原因。

什么是 IAM 安全策略?

IAM 安全策略包含了用于保护企业用户身份、防止恶意攻击或无意泄露的所有流程、系统和应用。IAM 基本都和管理员有关,管理员需要保护用户安全、帮助用户流畅地访问企业 IT 资源,IAM 安全策略就是要用尽可能低风险的方式实现这一流程。

IAM 安全策略就像是企业与来往用户之间的一道护城河。在用户已经经过适当的筛选、许可和预配的情况下,设置这道护城河只是为了有备无患。而在其他防护手段漏洞百出且网络入侵者试图袭击企业网络的情况下,IAM 安全策略将是最后一道防线。这道额外的安全层能保护企业核心资产避免落入不法分子手中。

IAM 安全策略的优势

简单来说,实施 IAM 安全策略的确具有几大优势,但不实施这一策略产生的后果却是企业承担不起的。IBM 2021年发布的一份报告显示,数据泄露事件对企业造成的平均损失高达424万美元,其中最常见的诱因是凭证窃取。IT 部门作为企业用户身份的管理者要预防网络攻击就必须制定严格的 IAM 安全策略。

1)快速升级防护

现代 IAM 安全解决方案为企业提供了安全防护的黄金准则,自动化的流程也让运维更便捷。

企业可以通过单向的加盐哈希密码、多因素认证、密码复杂度设置和 SSH 密钥管理减少身份泄露,显著提升企业的安全状况。

2)提高 IT 部门效率

对管理员来说,今天的 IAM 安全方案比传统的本地方案更容易管理。企业在制定安全策略时,应考虑 IT 人员的可用性和工作量。许多现代 IAM 平台都提供自动化的远程管理系统,让 IT 部门能腾出时间完成更复杂的任务。

IAM 安全策略范例

虽然 IAM 安全策略还没有通用的实现方式,企业还是可以参考以下提示将安全性提升到最高,同时尽可能为 IT 部门减负。秘诀就是找到合适的远程软件,实施零信任安全策略,并要求用户在设备上启用多因素认证。

1)远程化

远程化是 IAM 安全策略的必要部分,如果企业现有的 IAM 安全策略不是基于云的,那么远程化就是企业布局 IAM 安全策略的第一步。远程访问不仅对在家办公的员工连接企业网络时至关重要,而且能让 IT 部门随时随地进行故障排除和安全策略的管理。

当 IAM 安全系统驻留在本地时,远程终端用户必须断开 VPN 才能办公,这就给管理员的系统维护工作增加了负担,牺牲了其他任务时间。解决密码更改等大量支持请求时如果还需要 VPN 访问,情况就变得更复杂,这时 IT 支持人员只能采取其他方法,而终端用户只能焦急等待。

IAM 安全流程的远程化帮助企业员工轻松访问内网的同时还为管理员持续提供无缝监控,一举两得。

2)实施零信任策略

随着现场办公逐渐向混合办公转变,用户可以从家庭 WiFi、公共咖啡馆等任何地方登录,对身份验证安全的需求由此产生。为此,企业可以采用零信任安全策略。

零信任策略并不是一种自动身份验证,而是规定在用户或设备只有通过信任模型的身份验证后才能访问系统、应用或网络。仅仅因为用户持有正确的凭证并不代表该用户就是被授权使用该凭证的人。

要在企业中实施零信任策略,需要抓住一切机会在访问业务中增加身份核验步骤。
管理员仍应设置严格、复杂的密码要求,不过在此基础上使用条件访问策略或在身份验证过程中使用多因素认证对于防止恶意用户利用窃取凭据很有帮助。其中,条件访问策略指仅批准受信任网络或私有网络上的管理设备进行访问,而多因素认证将在下节详细展开。

3)启用多因素认证(MFA)

MFA 是创建 IAM 安全策略最简单也最有效的一种方法,它要求使用多个凭证进行验证,自动加强对用户身份的保护。MFA 中的凭证通常涉及静态密码或 PIN 码,以及一个或多个附加验证因素,如安全问题、发送到另一台设备的验证码、确认来自身份验证APP的推送通知,甚至提供指纹或视网膜等生物识别信号。

由于静态密码任何人都能获取,MFA 的其他验证因素通常设计为用户的持有物、生物特征或行为特征。虽然密码很容易在数据泄露中被窃取,但攻击者即便知道了密码,也很难访问手机获取验证码或猜出随机的六位 TOTP 口令。

宁盾双因素认证(2FA)就是一种最常见的 MFA 方式,只需要在密码以外再采用一个验证因素,通常为OTP(动态密码)。除此之外,宁盾双因素认证还研发创新了适合国内社交环境的企微、飞书、钉钉H5令牌,无需下载任何APP,通过员工手机端/电脑端的企微、飞书、钉钉工作台中的小程序令牌即可获知动态密码;还有企微、飞书、钉钉的扫码认证,更加便捷。

由于 2FA 可以平衡企业的安全性和用户体验的便利性,很多公司更愿意使用 2FA,如果企业想进一步提升安全性,可以根据需要设置尽可能多的验证步骤。

为您的企业选择合适的 IAM 安全解决方案

在当今不断发展的混合办公场景下,如何平衡隐私和安全成为企业的一大难题。IT 部门需要在不影响 IAM 安全策略的情况下提高远程访问的效率,使其更易于管理。

针对这一问题,宁盾的解决方案是一体化身份认证平台(IAM系统),同时将于今年推出基于云的 IAM 管理解决方案(IDaaS平台),让管理员可以统一对整体 IAM 安全策略进行无缝管理。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章