关于身份与访问安全你了解多少？什么是身份和访问管理安全？

　　随着内部人员和最终用户安全威胁的不断增加，对于公司而言，现在的重点是确保IT团队拥有可靠的身份和访问管理安全基准。IT领导者和管理员应该了解可用的身份和访问管理工具及相关技术，以帮助简化企业中的身份验证、访问和权限。

　　身份和访问管理(IAM)是执行用户身份管理的业务战略和技术框架。IAM平台结合了身份管理和访问控制。IT专业人员可以使用IAM框架功能来控制用户对公司网络的访问。公司使用IAM产品来确保授权用户在适当的情况下访问预期的资源。企业利用IAM的功能，在整个企业范围内部署和阐明与用户配置、访问权限、认证和合规相关的流程。

关于身份与访问安全你了解多少？什么是身份和访问管理安全？

　　1.特权身份管理(PIM)

　　监控企业中超级用户帐户的过程被称为特权身份管理。超级用户包括首席信息官、首席执行官和数据库管理员。如果没有PIM监管这些特权，超级用户帐户可访问企业中最敏感的信息，这无疑将会暴露很多系统漏洞。这是一个重要的身份和访问管理安全问题。

　　PIM的部署包括创建策略，明确如何管理超级用户帐户以及这些超级用户可以和不可以对其访问范围做什么。还必须明确责任方，以确保执行PIM策略。在PIM中，定期审计或整理特权帐户目录也很重要。

　　2.身份治理

　　对用户身份管理和访问控制基于策略的集中管理被称为身份治理。身份治理产品通常包括PIM、身份智能和分析工具。身份治理有助于维护法规合规性并支持IT安全性。这些产品可帮助企业协调和审核IAM策略，并通过审核用户访问权限将IAM功能与合规性规则相关联。

　　3.单点登录(SSO)

　　单点登录服务允许最终用户输入一组登录信息便可访问多个应用程序。单点登录服务从SSO策略服务器检索用户的身份验证凭据，并基于用户存储库对用户进行身份验证。此简化服务会在用户具有访问权限的所有应用程序中对用户进行身份验证，从而在给定会话期间用户无需为每个应用程序输入密码。

　　SSO最大限度地减少了用户必须记住各种应用程序密码的负担，但它与密码同步不同，密码同步是将所有密码设置为相同的单词。在用户最初通过SSO服务器进行身份验证后，当后续应用程序要求该用户提供凭据时，SSO服务器会代表用户完成验证。

　　4.用户配置

　　企业通常会试图减少帐户管理带来的管理障碍，并且，用户帐户配置以一致的方式管理对IT系统资源的访问。这里的术语“配置”是指提供诸如文件或网络之类的资源。在用户配置过程中，用户账号协调、对整合新用户相关物理资源授权和分配都得以简化。用户配置过程是身份管理操作的一部分。

　　5.基于角色的访问控制(RBAC)

　　基于角色的访问控制是指管理员根据用户角色控制用户访问。管理员根据用户完成工作所需的访问权限以及服务，将多个用户被归类到一组。这种对用户到资源数据指向RBAC用户权限的分析称为角色挖掘。RBAC可避免用户访问与其工作职能无关的信息、服务或资源。它还限制了对各种访问策略的需求。

　　当用户获得无关资源时，这为意外或故意的内部威胁留下空间。在身份和访问管理安全性方面，应定期安排审核，以检查和考虑用户在系统中的角色变化。管理员还应避免将太多用户分类到一个组中，这可能会导致用户可访问不需要的资源或特权蠕变。

　　6.特权蔓延

　　特权蠕变是指访问权限的逐步积累超出个体职能范围。当用户职位提升或在企业内水平移动到另一个角色时，可能会发生特权蠕动。他们以前的访问权限很少会被撤销，即使他们不再需要访问过去所需的资源。因此，他们的访问权限扩展，可能导致漏洞利用。

　　特权蠕变的漏洞利用可能有两种方式：用户可能滥用他们自己的超额特权，或者攻击者利用用户帐户这样做。任何一种方式都有可能导致数据丢失、损坏或被盗。企业需要定期审核或审计访问权限以缓解风险。这种确认用户及其适当权限的过程可以检测特权蠕变。IT团队通常强制执行最小特权原则，以仅允许访问执行其职责所需的最少量资源。