什么是身份治理和管理(IGA)

简介: 身份治理和管理(IGA)是身份和访问管理(IAM)的关键组件,部署于云、本地或混合环境。它通过自动化和策略确保用户根据角色获得适当权限,涵盖身份治理(分析、报告、权限管理等)和身份管理(生命周期管理、工作流编排等)。IGA减少人为错误、防止权限滥用,并简化合规性,提升组织安全性和运营效率。

身份治理和管理(IGA)部署在云中、本地或混合环境中,是一个数字用户管理框架,用于管理和监控整个组织网络中的用户访问。作为身份和访问管理(IAM)不可或缺的功能之一,身份治理和管理(IGA) 确保用户根据其角色和职责及时获得必要的权限,为多种用户类型(员工、合作伙伴和机器)提供跨多个系统的数字身份和访问权限的管理控制。

一、身份治理和管理(IGA)组件和功能

顾名思义,身份治理和管理(IGA)是两个功能的组合部署:

身份治理:其中包括分析和报告、权利管理、访问认证和职责分离。

身份管理:包括身份生命周期管理、工作流编排、访问请求支持、集成器和自动化连接器等功能。

二、身份治理

身份治理定义为概述和实施管理组织内用户权限所需的策略的过程。

分析和报告

组织可以通过获取有关其 IT 环境的上下文知识来构建有意义的对策和预防控制。分析和报告通过记录组织 IT 环境中发生的用户活动并以报告和其他分析的形式对其进行解析,促进上下文信息的无缝流动。身份治理和管理(IGA) 执行分析和报告的常见方法之一是利用用户和实体行为和分析 (UEBA),这是一种持续监控工具,利用 AI 和 ML 编码的算法来跟踪、捕获和解析用户活动。

UEBA 的工作原理:UEBA 解决方案将特定时间段定义为基线或学习期,在该时间段内,该解决方案应用 ML 功能来识别用户、端点设备、服务器和机器人的基线行为。在学习期过后,解决方案会识别与用户或计算机的基线行为相悖的异常事件,然后继续通知安全团队。

权利管理

根据 Gartner 的说法,权利管理被定义为“授予、解决、执行、撤销和管理细粒度访问权利(也称为’授权’、‘特权’、‘访问权限’、‘权限’和/或’规则’)的技术”。授权管理可确保构成访问生命周期的主要功能(如访问权限的审查、交付、修改和到期)的自动化。

访问认证

访问管理必须在受监督的环境中实施,访问认证可确保当用户获得访问权限时,移交在组织阶梯之上的更高官员(例如经理)的授权下进行。

职责分工

职责分离 (SoD) 是指策略和控制的集合,使领导层能够委派体现流程的任务。例如,用户可以在属于不同部门的技术人员之间委派相邻的子流程,例如创建身份配置文件(包括设置用户名、电子邮件帐户和凭据)、为用户分配组以及提供与生俱来的访问权限。使用 SoD,组织可以在员工队伍中的多个员工之间分配批量任务,从而改善协作并减少流程中的人为错误。

三、身份管理

身份管理与便于用户管理的 IGA 功能有关,身份管理的一些功能包括:

标识生命周期管理

与权利管理类似,身份生命周期管理可自动执行有助于数字身份生命周期的端到端流程,例如:

用户创建: 包括创建用户配置文件(用户名、密码、组)和提供访问权限的过程。

用户修改: 指用户在跨组织阶梯移动时修改其访问权限和组的过程,用户修改对应于为加快访问请求而提供所需的支持。

用户删除: 指在组织内终止用户配置文件后取消预配或卸载用户访问权限的过程。

工作流编排

工作流编排是对身份生命周期管理的补充,其中属于身份生命周期每个部门的一系列流程使用预定义的工作流实现自动化。例如,用户创建的自动化包括编排一系列步骤,其中包括:

批量创建用户配置文件

组的分配

自动配置必要的访问权限

通过工作流编排,组织可以全面填补其身份和生命周期管理流程中的自动化空白。

支持访问请求

身份治理和管理(IGA)解决方案必须确保将基于请求和批准的框架应用于访问交付。他们还必须确保仪表板保持在适当的位置,以便用户也可以临时请求访问特定应用程序和资源。通过简化访问请求,身份治理和管理(IGA)为用户提供最佳的数字体验。

集成和自动化连接器

身份治理和管理(IGA)提供与用户管理平台(如目录、身份提供商)和自动化工具(如 RPA 解决方案)的开箱即用集成,以确保无缝的跨平台知识和功能。

四、组织如何实施身份治理和管理(IGA)

作为一门网络安全学科,组织可以通过应用内部策略、流程和商业身份治理和管理(IGA)解决方案的组合来开发其 IGA 框架。一些建议的步骤包括:

定义策略

政策为任何框架奠定了基础,组织必须建立细粒度的策略和流程,包括访问管理协议、涉及的利益干系人、框架的范围以及访问请求和审批工作流。

强制执行最小特权原则(PoLP)

开始身份治理和管理(IGA)的组织必须强制执行 PoLP,确保严格为用户提供其指定所需的一组功能权限,通过实施 PoLP,IT 组织可以标准化基于上下文的访问交付实践,这是任何 IGA 策略不可或缺的一部分。

建立跨职能能力

由于集成是身份治理和管理(IGA)的关键组成部分,因此在 IT 环境中启用跨职能工作环境和技术为组织内不同部门之间的无缝协作铺平了道路。例如,为了加快用户生命周期管理,必须在 HR 团队和 IT 团队之间建立协作关系,因为前者具有有关用户属性的上下文信息,而后者可以在网络内实现基于属性的更改。

利用身份自动化

身份治理和管理(IGA)可自动执行用户生命周期管理,IT 生态系统必须部署能够以受控方式编排批量管理任务的解决方案,即自动化工作流在实施之前必须得到监管机构的批准。

集中 IT 可视性

与身份治理和管理(IGA)的跨职能功能类似,组织必须确保其 IT 和安全团队能够在一个统一的控制台中对跨不同环境的用户活动获得端到端的可见性。

培训员工

员工、利益相关者和管理人员必须接受身份治理和管理(IGA)流程的教育,以便将该框架融入组织的日常运营和文化设置中。

五、身份治理和管理(IGA)如何保护组织

从表面上看,IGA 似乎是一种运营策略,只会提高 IT 员工的生产力和效率,但 IGA 的功能可以通过多种方式增强组织的安全态势:

减少人为错误: 通过注入“免提”方法来自动化和委派基本但必不可少的任务,IGA 加强了 IT 运营,使其免受基于技能的人为错误和操作压力的影响,这些对手可能会扩大安全漏洞。

定期 IT 清理:非活动用户可能会对 IT 环境构成严重风险,尤其是当他们属于特权帐户并且长时间处于 IT 管理员的监视之下时。过时的帐户容易受到内部人员和外部威胁参与者的利用。通过自动化用户生命周期管理,IGA 确保在不超过规定时间段的情况下及时取消配置和删除休眠帐户。

防止权限升级和内部威胁:通过协调访问权限的委派和删除,IGA 减少了访问管理差距,从而降低了过度、过度提升访问权限的风险。此外,IGA 的身份分析功能使组织能够全面了解用户活动,从而更容易挑选出表明内部攻击的异常事件。

简化的合规管理:IGA 功能是对组织合规管理策略的补充,IGA 拥有广泛的报告和身份安全,有助于有组织且无差错的合规性审计。

AD360 身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助您简化IT环境中的IAM。

相关文章
|
1月前
|
运维 安全 专有云
阿里云身份安全与密评合规实践分享
本次分享由阿里云智能集团高级安全产品专家易鑫和九州云腾安全产品专家杨念念主讲,聚焦云上密码服务助力企业密评合规及阿里ADAS在企业上云过程中的身份安全管理。
|
1月前
|
运维 监控 安全
身份是安全的基石:深入理解阿里云身份体系
企业云上身份管理面临诸多挑战,如账号泄露、权限未及时回收等,导致数据泄露和内部系统被篡改。阿里云提供了一套完善的身份管理体系,包括单账号和多账号场景下的解决方案。对于单账号,通过主账号保护、RAM用户和角色实现分权与审计;对于多账号,使用云SSO统一管理和配置跨账号权限,确保安全合规。该体系支持浏览器、API访问,并集成企业IDP,实现无密钥登录和自动化管理,有效降低风险并提高管理效率。
|
9月前
|
运维 安全 数据处理
第1讲:数据可信流通,从运维信任到技术信任
从数据二十条——数据可信流通体系展开,数据可信分为内循环和外循环,内循环整体可控,但外循环模式下,数据风险较大。随着数据可信逐渐从主体身份可信扩展到应用身份可信,这就将数据的全链路审计和跨域管控摆在了极为重要的位置。
86 0
|
9月前
|
运维 数据安全/隐私保护
运维人员新身份——背锅侠!
IT环境中,由于人员身份来源不明、越权操作、密码泄露、数据被窃、违规操作等因素,都可能会使运行的业务系统面临严重威胁。一旦发生事故,如果不能快速定位事故原因,运维人员往往就会背黑锅。因此运维人员得名:背锅大侠。
98 0
运维人员新身份——背锅侠!
|
9月前
|
存储 安全 数据安全/隐私保护
全方位的安全账号管理
如今,特权账户范围广、数量大且极不稳定是当前各行业面临黑客等攻击行为的最大安全隐患。而且,由于特权账户的权限极大,一旦其被攻击者破解,就能完全掌控组织的IT基础设施,从而引发防护控制失效、机密数据泄露、商业诈骗和扰乱企业正常运作的严重后果。
94 0
全方位的安全账号管理
|
运维 安全 大数据
构建多账号云环境的解决方案|多账号身份权限集中管理
企业客户在阿里云采用多账号的资源结构,如果需要在每个账号内配置身份和权限,管理成本和安全风险都会大大增加。阿里云开放平台云SSO产品专家 夜来为您介绍如何使用云SSO进行多账号身份权限统一管理,包括与企业自有身份系统集成、统一的身份管理和多账号的权限配置。
1235 5
|
安全 区块链 数据安全/隐私保护
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
带你读《自主管理身份:分布式数字身份和可验证凭证》——第2章 自主管理身份的基本组成部分
|
运维 监控 API
谈身份管理之进阶篇 - 快速了解从管理到治理的最佳方案
云上身份安全是当今企业管理者和云上运维团队所面临的挑战之一,针对云上身份管理不全面所产生的风险究竟又哪些?又应当如何应对?本文将结合案例和最佳实践与您分享。
谈身份管理之进阶篇 - 快速了解从管理到治理的最佳方案
|
存储 安全 数据库
【企业安全】企业安全系列第 2 部分 — 身份和访问管理
【企业安全】企业安全系列第 2 部分 — 身份和访问管理

热门文章

最新文章