5 个身份和访问管理的最佳实践

预计到 2021 年，与网络犯罪相关的年度损害成本将达到 6 万亿美元，企业需要把重点放在改善网络安全措施和控制用户访问上。身份和访问管理（IAM）是成功协议的关键组成部分，需要实施最佳实践来维护用户和设备身份的完整性。

集中您的方法

知名度是成长型企业面临的一大挑战。随着越来越多的用户加入网络，越来越多的设备处于活跃状态，并且添加了新的工具来支持不同的工作流程，因此很难掌握谁有权访问哪些资源以及处于什么特权级别。集中身份管理和登录过程可实现双重目标，即提高知名度和改善用户体验。

因为必须在将用户加入网络并在用户的整个生命周期内对其进行管理时定义身份，所以企业必须选择一个具有高度安全性的可靠集中式选项。Active Directory 是在一个地方管理所有网络身份的常见选择，但是在不久的将来，使用区块链技术在受保护的中立环境中创建，验证和存储不变身份的可能性将成为现实。

查明并消除高风险系统

尽管基于云的框架和应用程序具有广泛的可用性，但是许多企业仍坚持使用已停止支持的遗留系统。未修补系统可能会成为数据泄漏的来源，并使敏感信息随时可供黑客使用。

出于习惯或为了避免升级的麻烦而依赖这些系统的公司需要后退一步，评估这些传统工具正在解决哪些需求，以及它们如何在工作流程中使用，以便找到合适的替代品。可以安全地继续使用支持仍然可用的系统，但寻求新的解决方案仍然是可取的，因为传统工具通常缺乏无缝集成到具有不同访问需求的现代系统所需的选项。

寻找最佳软件解决方案

每个企业都需要一个 IAM 解决方案，以满足其行业的特殊需求，尤其是现场系统。威胁，风险级别和合规性法规会根据设备，用户访问要求以及将应用程序与不兼容的身份验证协议集成所需的工具的独特组合而有所不同。保留原有系统会增加自身相关问题的复杂性。

在不牺牲安全性的前提下，简化工作流程和优化生产力是 IAM 平台的首要任务，同时还具有可扩展性以接受新系统，应用程序和设备的引入。IT 专业人员需要一个具有分析工具，直接报告和高度可见性的管理仪表盘，以确保所有端点都可以被持续监控。

严打孤岛账户

活跃用户帐户包含与用户身份及其在网络中的移动相关的所有信息，包括访问权限。当用户晋升到另一个职位或离开公司时，应删除这些帐户。但是，随着 IT 专业人员负担的增加以及大多数业务网络中缺乏可见性，这种情况通常不会发生。用户不正确的预配置会导致没有关联用户的帐户积累。

这些凭据和条款集被称为孤岛帐户，是网络内部和外部黑客的攻击目标。登录到一个孤岛帐户可以使用明显合法的电子邮件地址发起网络钓鱼攻击，对系统进行未经授权的更改并窃取敏感数据。55％的企业无法撤消特权帐户的权限，由于这些帐户允许更高级别的访问，因此造成了更大的安全威胁。

实施零信任安全

在复杂的现代业务网络环境中，最好的方法是假设没有人值得信赖，除非另行证明。这种“零信任”模型依赖于连续的身份验证方法，该方法在每个会话的持续时间内监视用户行为并评估风险级别。通过采用一种动态的、复杂的方法，零信任使系统能够检测出违规的异常行为。企业无需花费平均 197 天的时间来发现对系统的入侵，而是可以在出现行为差异时识别潜在威胁并主动做出响应。这可以防止黑客一旦进入系统就获得自由支配权，并可以避免与大规模违规相关的严重后果。

在这样一个时代，开发新的 IAM 协议或加强现有的安全措施是必要的：每天都有 23 万个新的恶意软件样本出现，勒索软件攻击企业的频率高达每 14 秒一次。例行的安全和访问审计以及定期的系统评估揭示了缺乏安全性的领域，企业必须准备好纳入新的解决方案，并基于 IAM 最佳实践构建健壮的协议。

本文翻译自《5 Identity and Access Management Best Practices》一文。

原文链接：https://www.identitymanagementinstitute.org/5-identity-and-access-management-best-practices/

<!--EndFragment-->

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：<https://www.longguikeji.com/>

文档：<https://docs.arkid.longguikeji.com/>

开源代码仓库地址：

<https://github.com/longguikeji>

<https://gitee.com/longguikeji>

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降
   

8. 开源软件项目的定性和定量分析指标 —— CHAOSS 指标解析
   

9. 使用SSO增强身份安全性的四个理由
   

10. 云安全和访问管理