您当前的位置:   首页 > 新闻中心
IAM合规性:为您的组织成功做好准备
发布时间:2022-03-09 09:22:31   阅读次数:

当谈到今天成功保护您的组织时,最重要的三个词可能是什么如何。谁可以访问您的网络,他们可以访问哪些公司资产,以及如何使用访问权限?


身份访问管理 (IAM) 或监控和规范网络网络访问的对象、内容和方式的做法,已成为现代安全界的热门话题,而且是有充分理由的。如今,在尝试访问时,几乎三分之二 (61%) 的违规行为都涉及凭据,或者更确切地说是缺少正确的凭据。正确识别、验证和授权所有可以访问贵公司网络的人员是当今安全和合规性的关键组成部分。未能创建和维护有效的身份访问管理策略和做法可能会危及您最敏感的数据,并使您的组织面临违规风险。  


本文将探讨 IAM,为什么它很重要,以及为什么它需要成为您的安全和合规计划的核心组件。我们还将讨论云的具体要求以及您的组织如何准备向审计员展示 IAM 合规性证明。 


什么是 IAM?


image.png


身份访问管理是管理用户身份和控制用户对组织网络系统的访问的实践——包括所有组织工具、流程和策略。用户可以是员工、合作伙伴、供应商或应用程序。访问是指允许的联系或操作的类型以及该联系的程度或级别。


IAM 框架提供了一个关键的把关安全功能,监管对企业内最敏感和最有价值资产的所有访问。IAM 框架通常包括一个用户身份存储库和众多用于用户身份配置的工具。他们还维护具有访问历史记录、密码帐户管理和审计功能的登录和身份验证系统。


IAM 政策和程序是每个组织的安全和合规政策的重要组成部分。它们旨在确保只有经过批准的实体才能通过三个基本步骤访问 IT 资源:识别、身份验证和授权。 


识别是识别系统中存在的用户的能力,通常通过标题或用户名。身份验证是通过知识(密码)、财产(智能卡、令牌)或固有特征(指纹、眼睛扫描)来证明真实身份的能力。授权是在识别和验证用户后授予权限,它通常基于一个人在组织中的角色。

 

大多数 IAM 计划仅根据工作角色和职位所需的职责部署具有预定访问权限的强大访问控制。多因素身份验证需要两种身份验证方式,自适应身份验证会根据风险概况通过多个登录步骤向系统用户提出挑战。以前经过身份验证和授权的用户可以享受单点登录功能的便利,允许通过一次启动访问多个应用程序。


为什么 IAM 很重要?


IAM 合规性:为您的组织成功做好准备


谁可以访问您的网络以及他们在内部可以做什么具有巨大的安全性和合规性影响。保护敏感数据、遵守隐私法规甚至您的企业的未来可能取决于您的团队如何管理网络访问。


建立有效的 IAM 策略作为安全策略的核心组成部分的重要性怎么强调都不过分。IAM 策略为建立访问控制系统、跟踪所有网络活动、最大限度地减少违规和降低风险奠定了基础。强大的 IAM 计划对于维护合规性也至关重要,因为几乎所有安全合规框架(从SOC 2到NIST网络安全框架到 CIS 安全控制再到PCI DSS)都有关于 IAM 的要求和指南。 


有效的 IAM 减轻了 IT 工作量(例如,通过更少的与访问相关的密码重置票证),同时减少了监控网络访问所需的时间和资源。它还简化了生产力,允许合作伙伴和供应商更快地访问,而不会减慢工作流程。随着智能卡和生物识别技术取代传统密码,员工将享受到更快、更方便的用户体验。


云中的 IAM 

随着许多组织转向在 Amazon Web Services ( AWS ) 或Azure Cloud等云环境中存储数据,在云中使用 IAM 时使用细粒度的访问控制非常重要。细粒度的访问权限允许精确的访问指南,指定确切的个人授予权限、访问的资源以及授予访问权限的特定条件。


对于需要严格访问规定的外部云环境,安全隐患非常重要。默认情况下会自动拒绝访问,并且仅由特定权限授予,通常适用于具有 AWS SSO 的员工或具有 IAM 角色的工作负载。细粒度的访问控制对于帮助实施保护云环境所需的最低权限访问策略非常有效。这些具体、详细的指南有助于提供更严格的安全控制并优化云安全状况。 


基于属性的访问控制 (ABAC) 允许自动扩展细粒度的权限。这些授权控制基于工作级别、职位和团队隶属关系等属性,有助于减少细粒度控制框架所需的个人权限数量。 


了解 IAM 合规性


矢量图象征性地显示了一名技术人员与自动机器人交谈。


保护客户数据隐私是当今立法者的首要任务,而管理访问权限在此等式中起着重要作用。如今,许多数据隐私法规(如PCI DSS、HIPAA、SOC 2和NIST SP 8008-53)都要求严格的 IAM 政策来限制用户访问、实施访问控制、进行审核以验证流程,以及执行需要记录访问治理证明的审计。PCI DSS 提供了一个简单的例子——为了遵守信用卡品牌强制要求的这一标准,供应商必须提供现有 IAM 政策和流程的证据,这些政策和流程限制了对任何持卡人数据所在环境的访问。


维护 IAM 合规性是一个由授予或删除个人访问权限开始的四步过程。IAM 策略必须定义用户身份、建立身份验证和授权方法,并概述与资源位置的访问权限对应的活动类型。在许可阶段之后,必须在所有 SaaS 应用程序(包括本地和云中)强制实施 IAM 控制。定期审查和系统认证支持政策和程序的执行——这一步需要建立访问治理和法规遵从性证明的指导方针。最后,您的团队将需要收集证据来记录 IAM 计划的成功运行并为审计做准备。


记录您的 IAM 计划在满足合规性法规方面的成功比以往任何时候都更具挑战性。随着公司为了业务便利而添加更多 SaaS 应用程序,降低可见性通常是代价。随着移动接入点的爆炸式增长,识别和监管网络入口的战斗几乎变得不可能,尤其是在云和混合基础设施难以与传统 IAM 工具融合的情况下。 


幸运的是,无需费力寻找解决方案。自动化通过加快 IAM 识别、身份验证和授权流程,同时简化合规性验证所需的步骤和活动,显着平衡了竞争环境。以下是自动化可以为 IAM 带来的一些好处:

  • 创建单一、全面的身份存储库,允许使用标准化身份模型
  • 使用基于风险的规则指南和开发基于属性的访问控制来简化访问审查流程
  • 简化所有必要的配置,以使您的身份访问模型保持最新和敏捷
  • 与分析(例如触发警报和快速处理访问请求升级)结合使用时,加强控制执行
  • 简化证据收集以证明审计合规性并扩展所有 IAM 活动以满足现代组织不断增长的需求


准备 IAM 审计

您的团队是否准备好收集所需的证据来记录所需的访问审查并证明您的 IAM 计划的有效性和合规性? 


合规性审计为检查您的 IAM 计划和整体安全状况提供了机会。这些定期评估可以证明是有益的,允许删除所有旧用户、组、合作伙伴、策略和实践。审计可确保您的网络用户对其访问程度具有适当的标识和授权,并且您的 IAM 计划满足当前的安全性、合规性和业务需求。


IAM 团队应定期(至少每季度)进行身份访问审查,检查所有用户是否具有与角色相适应的权限,同时禁用和删除所有不必要的帐户,保持系统最新并以最佳效率运行。请记住,外部审计师会要求提供证明定期访问审查的证据,因此请务必记录所有证据并使其在审计时易于访问。


以下列出了您的团队应在内部遵循的八项审核准备提示,以确保您的 IAM 系统的有效性并帮助您准备下一次审核:

  1. 创建和维护 IAM 政策:确保明确定义和理解所有 IAM 框架政策。请记住,您的 IAM 策略应该是整体安全策略的核心组成部分。
  2. 建立和概述 IAM 程序:清楚地概述维护 IAM 政策所需的所有程序和实践,包括确定所有利益相关者、角色和责任。
  3. 严格权限管理:根据工作需要,坚持最小权限访问控制。限制某人拥有特权帐户的时间并密切监视这些帐户。 
  4. 实践职责分离:这种有效的风险规避实践分解了所有职责和任务,保持角色和流程分开,因此没有一个个人或部门有太多的访问或控制权。
  5. 进行定期访问审查:员工离职、角色和职责发生变化、工作被淘汰,因此请务必安排定期系统访问审查,以便及时了解您的 IAM 系统的所有标识、身份验证和授权更改。此外,请务必记录这些访问审查,作为合规审计的证据。 
  6. 让所有账户保持最新状态:优先维护所有账户,让您的 IAM 系统保持清洁和最新。不要让未使用的帐户或访问权限保持打开状态,并确保尽快删除所有不必要的用户、组、功能或进程。
  7. 监控通用账户:通用账户可能会被忽视,因此请定期监控它们。避免分配管理员权限或使用通用密码,并在这些帐户空闲时立即删除它们。
  8. 保持完美记录:保持所有 IAM 系统政策、流程和活动的完美记录。该文档将提供证明合规性治理的证据,并有助于提高您的 IAM 计划的有效性。


利用身份和访问管理软件 

IAM 软件解决方案可以简化当今组织的身份访问管理。IAM 团队需要快速、集中和可扩展的软件工具,允许授权用户实时方便地访问数据。IAM 软件可以显着加快三个关键功能:通过快速交叉引用数据库凭证来确认用户身份、授予或拒绝授权,以及调节每个用户的必要访问级别。 


选择 IAM 软件工具时,请寻找一个:

  • 帮助回答谁(获得访问权)、什么(他们可以访问的资产和学位)以及如何(使用访问权)这三个基本问题
  • 提供跨应用程序和跨网络身份验证
  • 与所有系统无缝集成,包括旧系统
  • 降低 IT 成本和工作量
  • 协助保持合规性并简化文档流程
  • 简化并加快所有 IAM 政策的执行


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609