什么是标识和访问管理以及它有哪些作用
员工无论在何处工作,都需要访问其组织的资源,如应用、文件和数据。传统的办公方式要求绝大多数工人到现场工作,因为公司资源保存在防火墙后。员工到达现场并登录后,就可以访问所需的资源。
但现在,混合工作比以往任何时候都更加普遍,员工无论在现场工作还是远程工作,都需要安全地访问公司资源。这时就需要用到标识和访问管理 (IAM)。组织的 IT 部门需要一种方法来控制用户可以访问和不能访问的内容,以便敏感数据和功能仅提供给需要使用它们的人员和设备。
标识和访问管理可为经过验证的实体提供对公司资源(如电子邮件、数据库、数据和应用程序)的安全访问权限,在理想情况下可将阻碍降至最低。目标是通过管理访问权限,让适当的人员可以完成工作,并拒绝黑客等不适当的人员进入。
不仅仅使用公司计算机工作的员工需要安全访问。承包商、供应商、业务合作伙伴和使用个人设备的人员也需要。标识和访问管理确保每个应该有访问权限的人在合适的时间在合适的计算机上拥有合适的访问权限级别。因为这个原因以及它在组织的网络安全中的作用,标识和访问管理成为现代 IT 的重要组成部分。
借助标识和访问管理系统,组织可以快速准确地验证一个人的身份,并查证他们在每次尝试访问期间是否有权使用所请求的资源。
标识和访问管理如何运作
授予对组织资源的安全访问权限包含两个部分:身份管理和访问管理。
身份管理根据身份管理数据库检查登录尝试,该数据库持续记录了应该有访问权限的每个人。随着员工加入或离开组织、他们的角色和项目发生变化以及组织范围在发展,这些信息必须不断更新。
身份管理数据库中存储的信息类型示例包括员工姓名、职位、经理、直接下属、手机号码和个人电子邮件地址。比对某人的登录信息(例如用户名和密码)与他们在数据库中的身份称为身份验证。
为了提高安全性,许多组织要求用户使用多重身份验证 (MFA) 来验证其身份。MFA 也称为双向验证或双重身份验证 (2FA),比仅使用用户名和密码更安全。它在登录过程中增加了一个步骤,用户必须使用备选验证方法验证其身份。这些验证方法可以包括手机号码和个人电子邮件地址。标识和访问管理系统通常会向备选验证方法发送一次性代码,用户必须在设定的时间段内将其输入登录门户。
标识和访问管理的另一半是访问管理。标识和访问管理系统验证了试图访问资源的人员或设备与其身份相符之后,访问管理就会跟踪这个人员或设备有权访问哪些资源。大多数组织授予的对资源和数据的访问权限级别各不相同,这些级别由职称、任期、安全许可和项目等因素决定。
在用户身份通过身份验证后授予正确的访问权限级别称为授权。标识和访问管理系统的目标是确保在每次访问尝试时都正确安全地进行身份验证和授权。
组织标识和访问管理的重要性
标识和访问管理是网络安全的一个重要组成部分,一个原因是它可以帮助组织的 IT 部门在阻止大多数人访问重要数据和资源与允许部分人访问之间达到适当的平衡。标识和访问管理可以设置控制,向员工和设备授予安全访问权限,同时让外来者难以或无法访问。
标识和访问管理很重要的另一个原因是,网络犯罪分子每天都在升级他们的方法。像网络钓鱼电子邮件之类的复杂攻击是造成黑客攻击和数据泄露的最常见手段之一,其目标是具有现有访问权限的用户。如果没有标识和访问管理,就很难管理有权访问组织系统的人员和设备。泄漏和攻击可能会猖獗,因为不仅很难看到谁有访问权限,也很难撤销被入侵用户的访问权限。
不幸的是,完美的保护并不存在,但标识和访问管理解决方案是阻止和最大限度减少攻击影响的绝佳方式。许多标识和访问管理系统不是在发生泄漏时限制每个人的访问,而是由 AI 支持,能够在攻击变成更大的问题之前检测和阻止攻击。
标识和访问管理系统的优势
正确的标识和访问管理系统可为组织带来多种优势。
为合适的人员赋予合适的访问权限
标识和访问管理系统能够创建和执行集中规则和访问权限,因此可以更轻松地确保用户有权访问他们需要的资源,而不会让他们访问他们不需要的敏感信息。这称为基于角色的访问控制 (RBAC)。RBAC 是一种可扩展的方式,可将访问权限仅限于需要该访问权限才能执行其角色的人员。可以根据一组固定的权限或自定义设置来分配角色。
高效工作畅通无阻
高效工作和用户体验与安全性一样重要。尽管实现复杂的安全系统来防止泄漏可能很诱人,但对高效工作设置重重障碍(如多个登录名和密码)是令人沮丧的用户体验。单一登录 (SSO) 和统一用户配置文件等标识和访问管理工具可以跨多个渠道(如本地资源、云数据和第三方应用程序)向员工授予安全访问权限,而无需多个登录名。
防止数据泄漏
虽然没有任何一个安全系统是毫无漏洞的,但使用标识和访问管理技术可以大大降低数据泄露的风险。借助 MFA、无密码身份验证和 SSO 这样的标识和访问管理工具,用户能够不仅仅使用用户名和密码来验证他们的身份,这些用户名和密码可能会被遗忘、分享或泄漏。通过标识和访问管理解决方案扩大用户登录选项,为登录过程增加了一层额外的安全保护,使其不容易泄漏或分享,从而降低了这种风险。
数据加密
标识和访问管理在提升组织安全性方面如此有效的原因之一是许多标识和访问管理系统提供了加密工具。当敏感信息传入或传出组织时,这些加密工具可以保护敏感信息,并且 IT 管理员利用条件访问等功能可以将设备、位置或实时风险信息等条件设置为访问条件。这意味着即使发生泄露,数据也是安全的,因为只有在经过验证的条件下才能解密数据。
减少 IT 部门的手动工作
通过自动化 IT 部门的任务(例如帮助人们重置密码、解锁帐户以及监视访问日志以识别异常),标识和访问管理系统可以节省 IT 部门的时间和精力。这可以让 IT 部门腾出时间专注于其他重要任务,例如在整个组织的其他部门实施零信任策略。标识和访问管理对零信任至关重要,零信任是一个建立在明确验证、使用最低权限访问和假设泄漏原则上的安全框架。
改善协作和提高效率
员工、供应商、承包商和供货商之间的无缝协作对于跟上现代工作的步伐至关重要。标识和访问管理通过确保协作不仅是安全的,而且是快速和容易的来实现这种协作。IT 管理员还可以建立基于角色的自动化工作流,以加快角色转换和新员工的权限流程,从而节省入职时间。
标识和访问管理和合规法规
如果没有标识和访问管理系统,组织必须手动跟踪每一个可以访问其系统的实体,以及他们使用该访问权限的方式和时间。这使得人工审核成为一个耗时、繁重的过程。标识和访问管理系统将此过程自动化,使审核和报告更快、更容易。标识和访问管理系统使组织能够在审核期间证明,对敏感数据的访问进行了适当的治理,许多合同和法律也有此要求。
审核只是满足某些监管要求的一部分。许多法规、法律和合同都要求数据访问治理和隐私管理,而这正是标识和访问管理的设计用途。
标识和访问管理解决方案可以验证和管理身份、检测可疑活动和报告事件,所有这些都是满足合规性要求的必要条件,这些要求包括了解客户、可疑活动报告的事务监视和红旗规则。还有一些数据保护标准,如欧洲的《一般数据保护条例》(GDPR) 以及美国的《美国医治保险携带和责任法案》(HIPAA) 和《萨班斯-奥克斯利法案》,都要求严格的安全标准。配备适当的标识和访问管理系统可以更容易满足这些要求。
标识和访问管理技术和工具
标识和访问管理解决方案与各种技术和工具集成,有助于在企业范围内实现安全身份验证和授权:
- 安全断言标记语言 (SAML) – SAML 造就了 SSO。用户成功通过身份验证后,SAML 会通知其他应用程序该用户是经过验证的实体。SAML 之所以重要,是因为它可以跨不同的操作系统和计算机工作,因此可以在各种环境中授予安全访问权限。
- OpenID Connect (OIDC) – OIDC 为授权框架 0Auth 2.0 添加了身份特性。它在身份提供者和服务提供者之间发送包含用户相关信息的令牌。这些令牌可以加密并包含用户相关信息,例如他们的姓名、电子邮件地址、生日或照片。这些令牌易于服务和应用程序使用,这使得 OIDC 有助于验证手机游戏、社交媒体和应用程序用户。
- 跨域身份管理系统 (SCIM) – SCIM 帮助组织以标准化方式管理用户身份,这些方式在多个应用程序和解决方案(提供者)中均有效。
各提供者对用户身份信息有不同的要求,SCIM 可以在标识和访问管理工具中创建与提供者集成的用户身份,这样用户无需创建单独的帐户即可拥有访问权限。
实现标识和访问管理
标识和访问管理系统影响每个部门和每个用户。正因如此,实现前的全面规划对于成功部署标识和访问管理解决方案至关重要。建议首先计算需要访问权限的用户数量并编写一份清单,其中列出了组织使用的解决方案、设备、应用程序和服务。这些清单有助于比较标识和访问管理解决方案,以确保它们与组织现有的 IT 设置兼容。
其次,必须标出标识和访问管理系统需要适应的不同角色和情况。这个框架将成为标识和访问管理系统的体系结构,并构成标识和访问管理文档的基础。
实现标识和访问管理要考虑的另一个方面是解决方案的长期路线图。随着组织的增长和拓展,组织对标识和访问管理系统的需求将发生变化。提前为这种增长做好规划将确保标识和访问管理解决方案与业务目标保持一致,并为长期成功做好准备。
标识和访问管理解决方案
随着跨平台和设备安全访问资源需求日益增长,标识和访问管理的重要性变得更加清晰和必要。组织需要一种有效的方式在企业范围内管理身份和权限,以促进合作并提高工作效率。
实现适合现有 IT 生态系统并使用 AI 等技术帮助 IT 管理员监视和管理整个组织的访问权限的标识和访问管理解决方案,是强化组织安全状况的最佳方式之一。要了解 Microsoft 如何帮助保护对任何应用程序或资源的访问,确保和验证每个身份,只提供必要的访问权限和简化登录流程,请探索 Microsoft Entra 和其他 Microsoft 安全解决方案。
详细了解 Microsoft 安全
常见问题解答
-
身份管理涉及到管理有助于验证用户身份的属性。这些属性储存在身份管理数据库中。例如,这些属性包括姓名、职称、分配的工作地点、经理、直接下级,以及系统可用来验证他们符合所述身份的验证方法。这些验证方法可以包括手机号码和个人电子邮件地址。
访问管理控制用户在其身份被核实后有权访问的内容。这些 访问控制 可基于角色、安全许可、教育水平或自定义设置。
-
身份和访问管理用于确保只有合适的人才能访问组织的数据和资源。该网络安全做法使 IT 管理员能够限制对组织资源的访问,确保只有需要访问的人才能拥有访问权限。
-
身份管理系统是一个数据库,它储存了需要访问组织数据和资源的人员和设备的识别信息。该数据库存储各种属性,例如用户名、电子邮件地址、电话号码、经理、直接下属、分配的工作场所、教育水平和安全许可级别。这些属性用于帮助验证某个用户是否符合其所述身份。身份管理系统必须随人员加入和离开公司、改变角色、开始或结束项目而不断更新。
-
身份和访问管理软件提供工具帮助组织验证试图登录的人员和设备的身份,并确保通过验证的用户有权访问合适的资源。这是一种验证身份、管理访问权限和标记安全漏洞的集中方式。
-
IAM 是云计算的重要组件,因为用户名和密码不再足以保护组织防范漏洞。密码可能被泄漏、共享或忘记,并且许多组织规模较大,不可能手动管理和监视访问尝试。标识和访问管理系统可以更轻松地保持最新的身份属性,按角色授予和限制访问权限,以及标记异常和安全漏洞。
关注 Microsoft