中軟國際哈爾濱ETC：身份和訪問管理安全相關術語

隨著內部人員和最終用戶安全威脅持續增長，對於企業來說，現在的重點是，確保IT團隊擁有可靠的身份和訪問管理安全基準。IT領導和管理員應該了解可用的身份和訪問管理工具和相關技術，以幫助精簡企業中的身份驗證、訪問和許可權。

身份和訪問管理(IAM)是業務策略和技術的框架，執行用戶身份管理。IAM平台結合了身份管理和訪問控制。IT專業人員可以使用IAM框架功能控制用戶對企業網路的訪問。

企業使用IAM產品來確保授權用戶在適當的情況下訪問預期的資源。企業利用IAM的功能來部署和明確整個企業中的用戶配置、訪問許可權、身份驗證和合規性相關的過程。

請參閱此身份和訪問管理安全術語和技術列表，以了解當前IAM市場趨勢的背景知識。

特權身份管理(PIM)。監控企業中超級用戶帳戶的過程被稱為特權身份管理。超級用戶包括首席信息官、首席執行官和資料庫管理員。如果沒有PIM監管這些特權，超級用戶帳戶可訪問企業中最敏感的信息，這無疑將會暴露很多系統漏洞。這是一個重要的身份和訪問管理安全問題。

PIM的部署包括創建策略，明確如何管理超級用戶帳戶以及這些超級用戶可以和不可以對其訪問範圍做什麼。還必須明確責任方，以確保執行PIM策略。在PIM中，定期審計或整理特權帳戶目錄也很重要。

身份治理。對用戶身份管理和訪問控制基於策略的集中管理被稱為身份治理。身份治理產品通常包括PIM、身份智能和分析工具。身份治理有助於維護法規合規性並支持IT安全性。這些產品可幫助企業協調和審核IAM策略，並通過審核用戶訪問許可權將IAM功能與合規性規則相關聯。

單點登錄(SSO)。單點登錄服務允許最終用戶輸入一組登錄信息便可訪問多個應用程序。單點登錄服務從SSO策略伺服器檢索用戶的身份驗證憑據，並基於用戶存儲庫對用戶進行身份驗證。此簡化服務會在用戶具有訪問許可權的所有應用程序中對用戶進行身份驗證，從而在給定會話期間用戶無需為每個應用程序輸入密碼。

SSO最大限度地減少了用戶必須記住各種應用程序密碼的負擔，但它與密碼同步不同，密碼同步是將所有密碼設置為相同的單詞。在用戶最初通過SSO伺服器進行身份驗證後，當後續應用程序要求該用戶提供憑據時，SSO伺服器會代表用戶完成驗證。

用戶配置。企業通常會試圖減少帳戶管理帶來的管理障礙，並且，用戶帳戶配置以一致的方式管理對IT系統資源的訪問。這裡的術語「配置」是指提供諸如文件或網路之類的資源。在用戶配置過程中，用戶賬號協調、對整合新用戶相關物理資源授權和分配都得以簡化。用戶配置過程是身份管理操作的一部分。

基於角色的訪問控制(RBAC)。基於角色的訪問控制是指管理員根據用戶角色控制用戶訪問。管理員根據用戶完成工作所需的訪問許可權以及服務，將多個用戶被歸類到一組。這種對用戶到資源數據指向RBAC用戶許可權的分析稱為角色挖掘。RBAC可避免用戶訪問與其工作職能無關的信息、服務或資源。它還限制了對各種訪問策略的需求。

當用戶獲得無關資源時，這為意外或故意的內部威脅留下空間。在身份和訪問管理安全性方面，應定期安排審核，以檢查和考慮用戶在系統中的角色變化。管理員還應避免將太多用戶分類到一個組中，這可能會導致用戶可訪問不需要的資源或特權蠕變。

特權蔓延。特權蠕變是指訪問許可權的逐步積累超出個體職能範圍。當用戶職位提升或在企業內水平移動到另一個角色時，可能會發生特權蠕動。他們以前的訪問許可權很少會被撤銷，即使他們不再需要訪問過去所需的資源。因此，他們的訪問許可權擴展，可能導致漏洞利用。

特權蠕變的漏洞利用可能有兩種方式：用戶可能濫用他們自己的超額特權，或者攻擊者利用用戶帳戶這樣做。任何一種方式都有可能導致數據丟失、損壞或被盜。企業需要定期審核或審計訪問許可權以緩解風險。這種確認用戶及其適當許可權的過程可以檢測特權蠕變。IT團隊通常強制執行最小特權原則，以僅允許訪問執行其職責所需的最少量資源。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！