企業(yè)向更遠(yuǎn)程、更互聯(lián)的隨地計算轉(zhuǎn)型�,這對部署訪問管理平臺提出了更高的要求。訪問管理平臺須變得越來越先進��,以區(qū)別正當(dāng)用戶和惡意訪問者或騙子���,又不妨礙正當(dāng)用戶����。
此外���,企業(yè)需要為用戶和設(shè)備訪問支持多種選項�����,支持幾代數(shù)字資產(chǎn)�,并將這種支持功能融入到靈活的現(xiàn)代身份基礎(chǔ)設(shè)施(身份結(jié)構(gòu))中�。為降低風(fēng)險,應(yīng)實施多因子身份驗證(MFA)����、零常設(shè)權(quán)限和零信任架構(gòu)等最佳實踐。
要求對所有特權(quán)訪問實行MFA��,并確保MFA供應(yīng)商支持所有需要的使用場景,例如語音�、生物特征識別、手機充當(dāng)令牌以及智能卡��。此外�,應(yīng)利用自適應(yīng)訪問控制作為零信任架構(gòu)的關(guān)鍵要素�����,這種可感知上下文的訪問控制可以兼顧信任與訪問風(fēng)險����。
隨著數(shù)字交互越來越多�、越來越重要,提供出色的整體用戶體驗方面的標(biāo)準(zhǔn)在不斷提高��。Gartner估計���,到2024年���,用戶體驗出色的企業(yè)在客戶體驗和員工體驗的滿意度指標(biāo)上將比競爭對手高出25%。
企業(yè)應(yīng)為所有外部用戶(消費者�、業(yè)務(wù)客戶和合作伙伴)制定統(tǒng)一連貫的策略。例如,確保IAM優(yōu)先事項與業(yè)務(wù)優(yōu)先事項和IT優(yōu)先事項都相一致�,提供全方位渠道體驗,并統(tǒng)一客戶畫像資料���。
同時����,對企業(yè)的數(shù)字供應(yīng)鏈采用零信任方法����,例如,為客戶數(shù)據(jù)及其他數(shù)字生態(tài)系統(tǒng)資源提供端到端的安全和隱私保護����。此外,在不犧牲安全的情況下授權(quán)特權(quán)用戶�����,為遠(yuǎn)程特權(quán)用戶創(chuàng)建身份�,每當(dāng)他們打算執(zhí)行管理任務(wù)或特權(quán)操作時,都驗證其身份����。然后使用由特權(quán)訪問管理(PAM)工具控制的共享帳戶����。
企業(yè)計算設(shè)備數(shù)量正在不斷增長,并在復(fù)雜多云環(huán)境中大量應(yīng)用�����,這要求企業(yè)必須調(diào)整其IAM應(yīng)用策略��,包括提升機密�����、密鑰��、證書等一系列應(yīng)用標(biāo)準(zhǔn)���。企業(yè)可以考慮建立一個混合團隊,該團隊用于收集需求�、執(zhí)行領(lǐng)導(dǎo)、明確歸屬權(quán)����、制定指導(dǎo)方針以及設(shè)定合理的期望��。
安全人員需要對企業(yè)中所有計算設(shè)備的身份進行梳理����,并將它們分類:實體設(shè)備和虛擬設(shè)備����。然后為企業(yè)的IAM實施團隊找到更有效的管理策略和技術(shù)實現(xiàn)方法,并幫助他們集成不同類型的管理工具�。
另外,隨著機器人流程自動化(RPA)的快速增長��,管理軟件機器人并控制其進度很重要���。首先要為RPA工具定義好行為樣例和構(gòu)建原則��,然后將RPA軟件機器人設(shè)定為需要進行身份驗證的任務(wù)對象����,并最終將RPA工具集成到身份認(rèn)證體系中����。
企業(yè)還要確保來自所有來源的新應(yīng)用程序被安全地開發(fā)��、采購和引入。為此需要實施API訪問控制(API的驗證和授權(quán))��,這是API安全的重要組成部分��,結(jié)合API發(fā)現(xiàn)和API威脅保護機制�����。
企業(yè)應(yīng)定義策略���,并成立一個跨職能部門團隊���,包括開發(fā)人員�、DevOps團隊、云����、安全和IAM等從業(yè)人員,幫助設(shè)立合適的API訪問控制準(zhǔn)則��。
此外��,改用零信任策略對SaaS應(yīng)用程序/工具采購和引入流程施加了更大的壓力��。為確保在整個應(yīng)用程序生命周期內(nèi)保持一致,企業(yè)需要改善軟件采購團隊與IAM團隊之間的關(guān)系�。
企業(yè)將更多的數(shù)字資產(chǎn)轉(zhuǎn)移到分散的多云環(huán)境�,并在混合IT環(huán)境下運行,添加成熟的自動補償控制就顯得至關(guān)重要�����。
集成身份治理和管理(IGA)�、PAM和云基礎(chǔ)設(shè)施權(quán)利管理(CIEM)等解決方案,以便更好地管理和治理所有環(huán)境中的身份和權(quán)利��。PAM和IGA集成對于保護和管理用戶對本地和云環(huán)境的訪問至關(guān)重要����,常設(shè)特權(quán)帳戶在這些環(huán)境中仍然存在。CIEM產(chǎn)品可確保對云基礎(chǔ)設(shè)施端點的訪問得到控制����。CIEM工具使用分析技術(shù)和機器學(xué)習(xí),檢測帳戶權(quán)利方面的異常情況��,如休眠和過多的權(quán)利��。
在多云環(huán)境中管理身份時�����,創(chuàng)建“單一管理平臺”還不切實際。應(yīng)該為多云IAM實施集中了一些功能�,但又為原生工具留出余地的一套總體框架。
企業(yè)數(shù)字化轉(zhuǎn)型和云應(yīng)用需要更多的支持�,包括支持混合IT環(huán)境中的身份、多個云平臺中的身份和計算設(shè)備身份���。
這就更需要完善IGA功能���,以便與網(wǎng)格架構(gòu)保持一致。這種演變需要針對多個計算環(huán)境�,使用一套基于標(biāo)準(zhǔn)的連接器框架,建立身份結(jié)構(gòu)�����,這樣無論資源和用戶位于何處����,企業(yè)都能明確誰可以訪問什么資源��。企業(yè)應(yīng)更有效地管理和編排訪問策略,并使用云身份分析技術(shù)����,以實現(xiàn)持續(xù)治理。
身份分析技術(shù)能預(yù)測用戶可以訪問哪些資源�����,查看他們?nèi)绾问褂迷L問權(quán)限����,跟蹤異常用戶行為,并啟動補救措施以消除行為異常��,從而降低企業(yè)的整體風(fēng)險����。
公安備案號:44030502000376