身份和访问管理解决方案:混合型IAM

对于依赖于本地 IT 基础结构和传统安全模型的组织,可以更轻松地验证和授权企业网络内的所有内容,包括设备、用户、应用程序和服务器。尝试从公司网络外部获取访问权限的用户使用虚拟专用网络 (VPN) 和网络访问控制 (NAC) 进行身份验证。随着云和远程工作的日益普及,新的企业架构正在重新定义边界。数据还存储在公司墙外,用户可以通过公司网络外部位置的各种类型的设备访问位于云上的企业应用程序以及公司网络内部。

随着网络的传统边界(具有已知的入口和出口点)转变为边界线较软的东西,标识被视为新的网络边界。随着混合云的采用和访问方式的日益增加,身份管理将变得更加重要。

NIST将混合云定义为“由本地基础架构、私有云服务和公共云组成的混合计算、存储和服务环境,并在各种平台之间进行编排。它的主要好处是敏捷性。云基础架构由云服务提供商 (CSP) 拥有、管理和监控,云服务提供商对其云托管基础架构中的数据安全功能和服务拥有相当大的控制权。一些服务提供商并不总是对其业务决策保持透明,这可能会对其客户的运营产生不利影响。

通过混合云优化工作负载和数据放置

随着公司开始进行应用程序和数据现代化,他们应该考虑使用混合云,因为它可以平衡两个平台的应用程序和数据工作负载。

混合部署包括云和本地的优势。它们将云的创新、速度、存储和可扩展性以及本地的法规遵从性、性能和数据引力整合到一个盘片中。使用分布在多个数据中心和云中的工作负载运营的组织需要跟上数字化转型和 IT 安全方面的新兴趋势。混合云部署可能是有益的,因为它可以有效地提高性能、灵活性和安全性。

随着远程工作的日益普及,组织正在努力有效地管理 IT 服务。企业必须战略性地利用其资源,以便所有基础架构、应用程序、数据、云和本地部署都是安全的,并针对业务连续性进行优化。在这些情况下,全球企业通常更喜欢混合应用程序来优化数据放置。部署混合云模型时要记住的关键因素是:

  • 组织应从构建混合云战略的路线图开始,这包括选择将哪些应用程序和工作负载放置在云中,哪些应用程序和工作负载保留在本地,以获得可伸缩性、更好的性能和可用性。
  • 在制定路线图时,应考虑现有的IT基础设施布局,这可确保在云迁移不成功的情况下提供业务关键功能。
  • 从云运营模型中提取实时数据,并使用基于机器学习的解决方案进行分析,可以让组织完全控制其数据、应用程序和工作负载,它可以帮助提高业务敏捷性,同时确保数据安全。
  • 大多数情况下,云部署不会成功,因为缺乏训练有素的专业人员,他们具有能够执行技术操作的正确技能和专业知识,组织应引入训练有素的技术和服务提供商,他们可以帮助组织成功实施混合部署,同时确保业务连续性。

缩小云中的安全漏洞

根据Cybersecurity Insiders进行的研究,滥用员工凭据和不当访问控制占未经授权的网络访问的42%。未经授权的访问被认为是云安全的最大漏洞,这就是为什么部署专为混合云安全设计的全面安全管理工具至关重要的原因。使用正确的工具,可以从单个控制台管理和监控所有云应用程序和网关。

只需使用 Microsoft 的轻量级目录访问协议 (LDAP) 和 Active Directory (AD) 即可在本地基础架构中管理身份、身份验证和访问。但是,在云中,IT部门很难监控哪些用户正在访问哪些应用程序和服务。因此,大多数组织采取实用的方法并采用更多的软件即服务 (SaaS) 应用程序。许多组织将其现有应用程序升级到云版本,并在可能的情况下停用过时的本地和旧版本。

由于部分工作负载位于本地数据中心之外,混合企业应专注于确保对每个用户、应用程序和设备的安全访问,无论其位置如何。此访问应与上下文相关,这允许 IT 管理员根据位置、IP 地址、设备等为用户创建访问策略。换句话说,在云之旅中取得成功的唯一方法是部署正确的身份和访问管理 (IAM) 解决方案。

IAM 提供商可分为三类:

  • 旧版本地 IAM:致力于本地 IAM 的组织通常不会将其传统技术迁移到云平台,因为这会带来许多挑战。相反,其中许多组织通过混合选项启动向云的迁移。
  • 旧版本地和云 IAM 的混合:从本地解决方案开始的 IAM 供应商现在正在尝试提供混合身份解决方案。混合云身份和访问管理解决方案包括本地和基于云的系统,并使用通用的授权方法。虽然这些供应商拥有专为纯本地工作负载构建的高级解决方案,但其等效的混合云 IAM 功能(如多重身份验证 (MFA)、单点登录 (SSO) 和社交登录)已与其现有的本地 IAM 解决方案集成。为了解决数据管理和安全性等问题,大中型企业更愿意选择这种方法。
  • IDaaS:随着用户数量的迅速增加,以身份即服务 (IDaaS) 为中心的供应商有助于利用云身份效率,以及管理云的网络效应。计划过渡到云并保持最小的本地占用空间的组织必须在其安全体系结构中启用基于云的身份验证。某些遗留应用程序无法按照现代标准重新设计。在这种情况下,组织应该能够将 IDaaS 优势集成到其旧版应用程序中。这种方法称为云优先混合,可以减轻组织在初始部署之前执行工作负载大小调整的负担。

在这里插入图片描述

对于各种云部署模型,组织需要实施适当的访问策略以确保数据安全。在不断发展的混合环境中,传统的 IAM 策略是不够的。为了应对这一挑战,组织必须以混合身份管理为中心构建统一的安全策略。混合IAM应侧重于三个主要目标:

  • 验证尝试跨私有云、公有云或本地数据中心访问组织资源的每个用户并提供安全访问权限。
  • 实施与最低特权访问控制集成的实时配置,并限制对业务关键型资产的访问,这种精细的访问控制对于防止攻击者横向移动至关重要。
  • 检查网络流量是否存在恶意活动或异常,以防止攻击,连接到网络的所有用户和设备都应进行实时监视,并根据上下文访问策略,在检测到异常时应撤销访问权限。

随着组织迁移到云,组织的大量数据会迁移到公司边界之外。若要构建能够承受云基础结构动态挑战的安全框架,采用零信任安全模型非常重要。

采用零信任方法的混合 IAM

基于“从不信任,始终验证”的概念,零信任原则解决了与远程工作、云采用和自带设备 (BYOD) 相关的安全问题。组织需要监视网络并验证尝试访问公司资源的每个用户。零信任通过实时上下文身份验证增加了额外的安全性,其中持续监视用户或实体以根据基准(风险评分)评估风险。如果出现异常或恶意行为,它可以根据需要触发重新身份验证。

当敏感应用程序和关键数据跨系统(本地和云中)放置时,将数据分段为微边界或微段非常重要。这减少了攻击面,并保护组织数据免受恶意软件和漏洞的风险。

云采用可促进开始现代化计划的组织的数字化转型。决定哪些工作负载移动到云以及哪些工作负载保留在本地至关重要。为了确保安全的数据访问管理,组织必须通过评估他们希望迁移到云的工作负载的关键性来执行适当的数据评估。如果组织在数据泄露期间未能保护包含敏感数据的工作负载,则利用这些工作负载可能会造成严重破坏。

实现零信任安全模型有多个阶段。一个好的起点是为所有应用程序和设备启用 MFA 以及强密码策略。SSO 通过要求用户使用多个应用程序的单个 ID 和密码登录来确保无缝的身份验证体验,从而减少攻击面。最佳做法是,应实施启用 MFA 的 VPN 来访问公司网络。

平衡可访问性和安全性

  • 定义安全边界:由于数据和工作负载分布在本地和云之间,因此资源丰富的威胁参与者可以轻松访问关键信息。这种未定义的安全边界增加了入口点和攻击面,使黑客能够轻松访问组织的网络。应进行用户和设备标识,以实现适当的安全和访问控制。
  • 使用强身份验证方法:各种密码攻击方法用于未经授权访问用户帐户。这就是为什么根据NIST等机构的建议实施强密码策略以防止不良行为者滥用用户信息和应用程序至关重要的原因。更好的选择是实施 MFA 策略,如果第一道防线受到威胁,该策略将充当第二道防线。
  • 利用集中式身份和访问管理系统:在混合部署中,建议从单个控制台管理所有用户帐户和设备。这有助于 IT 管理员监控其网络并轻松检测异常。
  • 强制实施最小特权原则:最小特权原则强制实施最低级别的用户权限,以确保任何应用程序或用户都没有对业务关键型资源具有未经授权的权限。
  • 使用 SIEM 监视和保护混合环境:若要全面监视混合环境,组织必须实施持续记录和分析数据的系统信息和事件监视 (SIEM) 解决方案,并识别与之相关的风险。

如何帮助构建混合身份管理程序

  • 简化的用户生命周期管理:从单个控制台跨 AD、Exchange 服务器、Office 365 服务和 G Suite 轻松同时为多个用户配置、修改和取消配置帐户和邮箱。使用可自定义的用户创建模板并从 CSV 导入数据以批量预配用户帐户。
  • 面向企业的 SSO 和自助密码管理:AD360的SSO功能使最终用户无需记住多个密码,这使他们不必多次登录不同的应用程序。AD360 使用户能够从单个仪表板安全地访问其所有企业应用程序,并提供 MFA SSO 以提供额外的安全层。
  • 安全地审核 AD、Office 365 和文件服务器:深入了解 AD、Office 365、Windows 服务器和 Exchange 服务器中发生的所有更改。实时监控用户登录活动、对 AD 对象的更改等。使用预打包的报告遵守 IT 合规性法规,如 SOX、HIPAA、PCI DSS 和 GLBA。
  • 智能威胁警报:使用 AD360,IT 管理员可以配置警报配置文件,以便在 Office 365 设置中发生特定操作时向管理员发送自定义消息。这些警报可以包括有关触发警报的操作的严重性、执行操作的人员、操作发生时间等的信息。这样可以轻松确定警报的优先级并对其执行操作。凭借其用户行为分析(UBA)功能,AD360使用机器学习来创建特定于每个用户的典型操作基线,以准确检测异常行为和威胁。

如何满足 IAM 需求

  • 使用 UBA 进行身份保护:使用基于机器学习的 UBA 检测、调查和缓解恶意登录、横向移动、恶意软件攻击和权限滥用等威胁、自动响应威胁。
  • 身份自动化:消除冗余和人为错误,并通过自动执行用户预配、陈旧帐户清理和其他与身份相关的任务来改进业务流程。
  • 身份生命周期管理:在用户的整个生命周期(从配置到角色更改和取消配置)中简化身份管理。
  • 多重身份验证:使用生物识别、身份验证器应用和其他高级身份验证方法提升对标识的信任并缓解模拟攻击。
  • 身份分析:使用多个预配置报告来监控对关键数据的访问并满足合规性要求。

AD360 允许用户快速访问所需资源,同时建立严格的访问控制,确保从集中式控制台跨本地 Active Directory、Exchange 服务器和云应用程序的安全性,从而帮助您简化 IT 环境中的 IAM。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/80059.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Spring Boot系列】- Spring Boot侦听器Listener

【Spring Boot系列】- Spring Boot侦听器Listener 文章目录 【Spring Boot系列】- Spring Boot侦听器Listener一、概述二、监听器Listener分类2.1 监听ServletContext的事件监听器2.2 监听HttpSeesion的事件监听器2.3 监听ServletRequest的事件监听器 三、SpringMVC中的监听器3…

匿名管道-

因为父子进程是共享文件描述符的环形队列&#xff0c;只能读一次 会被后面覆盖 /*#include <unistd.h>int pipe(int pipefd[2]);功能&#xff1a;创建一个匿名管道&#xff0c;用于进程间通信参数&#xff1a;int 类型数组 &#xff0c;是传出参数pipefd[0]是管道读端 p…

Git多人开发解决冲突案例

准备工作&#xff1a; 1.创建一个gitee远程仓库https://gitee.com/xxxxxxx.git 2.初始化两个本地git仓库用户&#xff0c;目的是模拟多人协作开发时提交代码发生冲突的场景 3.解决冲突并提交。 进入正题&#xff1a; lisi 通过vim指令修改readme.md文件内容&#xff0c;推送到…

Centos8系统中安装docker-compose报错(已解决)

1.报错内容&#xff1a; ModuleNotFoundError: No module named setuptools_rust Command "python setup.py egg_info" failed with error code 1 in /tmp/pip-build-jrzp2ukw/bcrypt/2.报错原因&#xff1a; 在CentOS8中安装“加密”程序包时出现问题。当包所需的…

Windows关闭zookeeper、rocketmq日志输出以及修改rocketmq的JVM内存占用大小

JDK-1.8zookeeper-3.4.14rocketmq-3.2.6 zookeeper 进入到zookeeper的conf目录 清空配置文件&#xff0c;只保留下面这一行。zookeeper关闭日志输出相对简单。 log4j.rootLoggerOFFrocketmq 进入到rocketmq的conf目录 logback_broker.xml <?xml version"1.0&q…

SpringMVC中的JSR303与拦截器的使用

一&#xff0c;JSR303的概念 JSR303是Java中的一个标准&#xff0c;用于验证和校验JavaBean对象的属性的合法性。它提供了一组用于定义验证规则的注解&#xff0c;如NotNull、Min、Max等。在Spring MVC中&#xff0c;可以使用JSR303注解对请求参数进行校验。 1.2 为什么要使用J…

深度学习-卷积神经网络-纹理表示卷积神经网络-卷积神经网络-[北邮鲁鹏]

这里写目录标题 参考文章全连接神经网络全连接神经网络的瓶颈全连接神经网络应用场景 卷积神经网络卷积层(CONV)卷积核卷积操作卷积层设计卷积步长(stride)边界填充特征响应图组尺寸计算 激活层池化层(POOL)池化操作定义池化操作作用池化层超参数常见池化操作 全连接层(FC)样本…

【看好了】如何使用fiddler实现手机抓包,Filters过滤器!

一、Fiddler与其他抓包工具的区别  1、Firebug虽然可以抓包&#xff0c;但是对于分析http请求的详细信息&#xff0c;不够强大。模拟http请求的功能也不够&#xff0c;且firebug常常是需要“无刷新修改”&#xff0c;如果刷新了页面&#xff0c;所有的修改都不会保存&#xff…

文安县人社局 举办“情暖灾区 就业护航”直播带岗活动

关于防汛救灾工作重要指示精神&#xff0c;助力受灾企业尽快复工复产、受灾群众尽早实现就业。9月15日&#xff0c;文安县人力资源和社会保障局联合文安县总工会、国家税务总局文安县税务局共同举办文安县助力企业灾后重建“直播带岗”活动。 本次活动以“情暖灾区 就业护航”…

IDEA中DEBUG技巧

Debug 介绍 Debug 设置 如上图标注 1 所示&#xff0c;表示设置 Debug 连接方式&#xff0c;默认是 Socket。Shared memory 是 Windows 特有的一个属性&#xff0c;一般在 Windows 系统下建议使用此设置&#xff0c;相对于 Socket 会快点。 ## Debug 常用快捷键 Win 快捷键M…

分享一个Python 写的监控日志log txt文档 的代码

监控log文件的需求 某些特殊原因&#xff0c;想一直看到.log 的最后一行打印&#xff0c;所以写了一些代码监控log &#xff08;有个奇怪需求&#xff0c;就是log 因为重复启动原因&#xff0c;会一直加&#xff0c;不是同一个log&#xff09; 监控界面 涉及的Python代码&…

Unity SteamVR 开发教程:用摇杆/触摸板控制人物持续移动(2.x 以上版本)

文章目录 &#x1f4d5;教程说明&#x1f4d5;场景搭建&#x1f4d5;创建移动的动作&#x1f4d5;移动脚本⭐移动⭐实时调整 CharacterController 的高度 &#x1f4d5;取消手部和 CharacterController 的碰撞 持续移动是 VR 开发中的一个常用功能。一般是用户推动手柄摇杆&…

CNN(八):Inception V1算法实战与解析

&#x1f368; 本文为&#x1f517;365天深度学习训练营 中的学习记录博客 &#x1f356; 原作者&#xff1a;K同学啊|接辅导、项目定制 1 Inception V1 Inception v1论文 1.1 理论知识 GoogLeNet首次出现在2014年ILSVRC比赛中获得冠军。这次的版本通常称其为Inception V1。…

strncpy

strncpy&#xff1a; 函数介绍&#xff1a; 函数原型&#xff1a; char *strncpy(char *dest, const char *src, int n) 返回值&#xff1a;dest字符串起始地址 说明&#xff1a; 1、当src字符串长度小于n时&#xff0c;则拷贝完字符串后&#xff0c;剩余部分将用空字节填…

建站系列(八)--- 本地开发环境搭建(WNMP)

目录 相关系列文章前言一、准备工作二、Nginx安装三、MySQL安装四、PHP安装及Nginx配置五、总结 相关系列文章 建站系列&#xff08;一&#xff09;— 网站基本常识 建站系列&#xff08;二&#xff09;— 域名、IP地址、URL、端口详解 建站系列&#xff08;三&#xff09;— …

【设计模式】二、UML 类图概述

文章目录 常见含义含义依赖关系&#xff08;Dependence&#xff09;泛化关系&#xff08;Generalization&#xff09;实现关系&#xff08;Implementation&#xff09;关联关系&#xff08;Association&#xff09;聚合关系&#xff08;Aggregation&#xff09;组合关系&#x…

【JavaScript保姆级教程】输出函数和初识变量

文章目录 前言一、输出内容1.1 document.write()函数1.2 console.log()函数查看终端输出信息 1.3 alert()函数 二、变量的使用1.1 变量的声明1.3变量的赋值1.4 变量的声明和赋值 三、输入提示框的使用总结 前言 JavaScript是一种强大的脚本语言&#xff0c;广泛应用于网页开发…

文件批量重命名:自定义命名与扩展名更改

你是否曾经需要批量更改文件名称和类型&#xff1f;如果你有大量文件需要重命名和更改类型&#xff0c;那么今天我们将向你介绍一种简单的方法来轻松批量更改文件名称和类型。无论你是需要将一个文件夹中的所有图片改为另一种格式&#xff0c;还是需要将一个文件夹中的所有文档…

【基于多输出方向的同步异步日志系统】

本项目涉及的到所有源码见以下链接&#xff1a; https://gitee.com/ace-zhe/wz_log 一、项目简介 1.日志的概念&#xff08;白话版&#xff09; 日志类似于日记&#xff0c;通常是指对完成某件事情的过程中状态等的记录&#xff0c;而计算机中的日志是指日志数据&#xff0c…

轻松学习 Spring 事务

文章目录 一. Spring事务简介二. Spring事务使用1. 编程式事务2. 声明式事务 三. Transactional的使用1. 参数作用2. 事务失效的场景3. Transactional工作原理 四. Spring 事务的隔离级别五. Spring事务传播机制 一. Spring事务简介 在之前的博客已经介绍了在 Spring 环境中整…