身份治理和管理(IGA)部署在云中、本地或混合环境中,是一个数字用户管理框架,用于管理和监控整个组织网络中的用户访问。作为身份和访问管理(IAM)不可或缺的功能之一,身份治理和管理(IGA) 确保用户根据其角色和职责及时获得必要的权限,为多种用户类型(员工、合作伙伴和机器)提供跨多个系统的数字身份和访问权限的管理控制。
一、身份治理和管理(IGA)组件和功能
顾名思义,身份治理和管理(IGA)是两个功能的组合部署:
身份治理:其中包括分析和报告、权利管理、访问认证和职责分离。
身份管理:包括身份生命周期管理、工作流编排、访问请求支持、集成器和自动化连接器等功能。
二、身份治理
身份治理定义为概述和实施管理组织内用户权限所需的策略的过程。
分析和报告
组织可以通过获取有关其 IT 环境的上下文知识来构建有意义的对策和预防控制。分析和报告通过记录组织 IT 环境中发生的用户活动并以报告和其他分析的形式对其进行解析,促进上下文信息的无缝流动。身份治理和管理(IGA) 执行分析和报告的常见方法之一是利用用户和实体行为和分析 (UEBA),这是一种持续监控工具,利用 AI 和 ML 编码的算法来跟踪、捕获和解析用户活动。
UEBA 的工作原理:UEBA 解决方案将特定时间段定义为基线或学习期,在该时间段内,该解决方案应用 ML 功能来识别用户、端点设备、服务器和机器人的基线行为。在学习期过后,解决方案会识别与用户或计算机的基线行为相悖的异常事件,然后继续通知安全团队。
权利管理
根据 Gartner 的说法,权利管理被定义为“授予、解决、执行、撤销和管理细粒度访问权利(也称为’授权’、‘特权’、‘访问权限’、‘权限’和/或’规则’)的技术”。授权管理可确保构成访问生命周期的主要功能(如访问权限的审查、交付、修改和到期)的自动化。
访问认证
访问管理必须在受监督的环境中实施,访问认证可确保当用户获得访问权限时,移交在组织阶梯之上的更高官员(例如经理)的授权下进行。
职责分工
职责分离 (SoD) 是指策略和控制的集合,使领导层能够委派体现流程的任务。例如,用户可以在属于不同部门的技术人员之间委派相邻的子流程,例如创建身份配置文件(包括设置用户名、电子邮件帐户和凭据)、为用户分配组以及提供与生俱来的访问权限。使用 SoD,组织可以在员工队伍中的多个员工之间分配批量任务,从而改善协作并减少流程中的人为错误。
三、身份管理
身份管理与便于用户管理的 IGA 功能有关,身份管理的一些功能包括:
标识生命周期管理
与权利管理类似,身份生命周期管理可自动执行有助于数字身份生命周期的端到端流程,例如:
用户创建: 包括创建用户配置文件(用户名、密码、组)和提供访问权限的过程。
用户修改: 指用户在跨组织阶梯移动时修改其访问权限和组的过程,用户修改对应于为加快访问请求而提供所需的支持。
用户删除: 指在组织内终止用户配置文件后取消预配或卸载用户访问权限的过程。
工作流编排
工作流编排是对身份生命周期管理的补充,其中属于身份生命周期每个部门的一系列流程使用预定义的工作流实现自动化。例如,用户创建的自动化包括编排一系列步骤,其中包括:
批量创建用户配置文件
组的分配
自动配置必要的访问权限
通过工作流编排,组织可以全面填补其身份和生命周期管理流程中的自动化空白。
支持访问请求
身份治理和管理(IGA)解决方案必须确保将基于请求和批准的框架应用于访问交付。他们还必须确保仪表板保持在适当的位置,以便用户也可以临时请求访问特定应用程序和资源。通过简化访问请求,身份治理和管理(IGA)为用户提供最佳的数字体验。
集成和自动化连接器
身份治理和管理(IGA)提供与用户管理平台(如目录、身份提供商)和自动化工具(如 RPA 解决方案)的开箱即用集成,以确保无缝的跨平台知识和功能。
四、组织如何实施身份治理和管理(IGA)
作为一门网络安全学科,组织可以通过应用内部策略、流程和商业身份治理和管理(IGA)解决方案的组合来开发其 IGA 框架。一些建议的步骤包括:
定义策略
政策为任何框架奠定了基础,组织必须建立细粒度的策略和流程,包括访问管理协议、涉及的利益干系人、框架的范围以及访问请求和审批工作流。
强制执行最小特权原则(PoLP)
开始身份治理和管理(IGA)的组织必须强制执行 PoLP,确保严格为用户提供其指定所需的一组功能权限,通过实施 PoLP,IT 组织可以标准化基于上下文的访问交付实践,这是任何 IGA 策略不可或缺的一部分。
建立跨职能能力
由于集成是身份治理和管理(IGA)的关键组成部分,因此在 IT 环境中启用跨职能工作环境和技术为组织内不同部门之间的无缝协作铺平了道路。例如,为了加快用户生命周期管理,必须在 HR 团队和 IT 团队之间建立协作关系,因为前者具有有关用户属性的上下文信息,而后者可以在网络内实现基于属性的更改。
利用身份自动化
身份治理和管理(IGA)可自动执行用户生命周期管理,IT 生态系统必须部署能够以受控方式编排批量管理任务的解决方案,即自动化工作流在实施之前必须得到监管机构的批准。
集中 IT 可视性
与身份治理和管理(IGA)的跨职能功能类似,组织必须确保其 IT 和安全团队能够在一个统一的控制台中对跨不同环境的用户活动获得端到端的可见性。
培训员工
员工、利益相关者和管理人员必须接受身份治理和管理(IGA)流程的教育,以便将该框架融入组织的日常运营和文化设置中。
五、身份治理和管理(IGA)如何保护组织
从表面上看,IGA 似乎是一种运营策略,只会提高 IT 员工的生产力和效率,但 IGA 的功能可以通过多种方式增强组织的安全态势:
减少人为错误: 通过注入“免提”方法来自动化和委派基本但必不可少的任务,IGA 加强了 IT 运营,使其免受基于技能的人为错误和操作压力的影响,这些对手可能会扩大安全漏洞。
定期 IT 清理:非活动用户可能会对 IT 环境构成严重风险,尤其是当他们属于特权帐户并且长时间处于 IT 管理员的监视之下时。过时的帐户容易受到内部人员和外部威胁参与者的利用。通过自动化用户生命周期管理,IGA 确保在不超过规定时间段的情况下及时取消配置和删除休眠帐户。
防止权限升级和内部威胁:通过协调访问权限的委派和删除,IGA 减少了访问管理差距,从而降低了过度、过度提升访问权限的风险。此外,IGA 的身份分析功能使组织能够全面了解用户活动,从而更容易挑选出表明内部攻击的异常事件。
简化的合规管理:IGA 功能是对组织合规管理策略的补充,IGA 拥有广泛的报告和身份安全,有助于有组织且无差错的合规性审计。
AD360 身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助您简化IT环境中的IAM。
