员工的数字身份在组织阶梯内移动时可能会发生变化,将对用户帐户应用与访问相关的修改的过程往往会变得费力且耗时,其强度与组织的人数成正比,为了简化用户身份管理,组织实施了身份治理和管理。
身份治理和管理(IGA)部署在云中、本地或混合环境中,是一个数字用户管理框架,用于管理和监控整个组织网络中的用户访问。作为身份和访问管理(IAM)不可或缺的功能之一,身份治理和管理(IGA) 确保用户根据其角色和职责及时获得必要的权限,为多种用户类型(员工、合作伙伴和机器)提供跨多个系统的数字身份和访问权限的管理控制。
顾名思义,身份治理和管理(IGA)是两个功能的组合部署:
身份治理定义为概述和实施管理组织内用户权限所需的策略的过程。
组织可以通过获取有关其 IT 环境的上下文知识来构建有意义的对策和预防控制。分析和报告通过记录组织 IT 环境中发生的用户活动并以报告和其他分析的形式对其进行解析,促进上下文信息的无缝流动。身份治理和管理(IGA) 执行分析和报告的常见方法之一是利用用户和实体行为和分析 (UEBA),这是一种持续监控工具,利用 AI 和 ML 编码的算法来跟踪、捕获和解析用户活动。
UEBA 的工作原理:UEBA 解决方案将特定时间段定义为基线或学习期,在该时间段内,该解决方案应用 ML 功能来识别用户、端点设备、服务器和机器人的基线行为。在学习期过后,解决方案会识别与用户或计算机的基线行为相悖的异常事件,然后继续通知安全团队。
根据 Gartner 的说法,权利管理被定义为“授予、解决、执行、撤销和管理细粒度访问权利(也称为’授权’、‘特权’、‘访问权限’、‘权限’和/或’规则’)的技术”。授权管理可确保构成访问生命周期的主要功能(如访问权限的审查、交付、修改和到期)的自动化。
访问管理必须在受监督的环境中实施,访问认证可确保当用户获得访问权限时,移交在组织阶梯之上的更高官员(例如经理)的授权下进行。
职责分离 (SoD) 是指策略和控制的集合,使领导层能够委派体现流程的任务。例如,用户可以在属于不同部门的技术人员之间委派相邻的子流程,例如创建身份配置文件(包括设置用户名、电子邮件帐户和凭据)、为用户分配组以及提供与生俱来的访问权限。使用 SoD,组织可以在员工队伍中的多个员工之间分配批量任务,从而改善协作并减少流程中的人为错误。
身份管理与便于用户管理的 IGA 功能有关,身份管理的一些功能包括:
与权利管理类似,身份生命周期管理可自动执行有助于数字身份生命周期的端到端流程,例如:
工作流编排是对身份生命周期管理的补充,其中属于身份生命周期每个部门的一系列流程使用预定义的工作流实现自动化。例如,用户创建的自动化包括编排一系列步骤,其中包括:
通过工作流编排,组织可以全面填补其身份和生命周期管理流程中的自动化空白。
身份治理和管理(IGA)解决方案必须确保将基于请求和批准的框架应用于访问交付。他们还必须确保仪表板保持在适当的位置,以便用户也可以临时请求访问特定应用程序和资源。通过简化访问请求,身份治理和管理(IGA)为用户提供最佳的数字体验。
身份治理和管理(IGA)提供与用户管理平台(如目录、身份提供商)和自动化工具(如 RPA 解决方案)的开箱即用集成,以确保无缝的跨平台知识和功能。
作为一门网络安全学科,组织可以通过应用内部策略、流程和商业身份治理和管理(IGA)解决方案的组合来开发其 IGA 框架。一些建议的步骤包括:
政策为任何框架奠定了基础,组织必须建立细粒度的策略和流程,包括访问管理协议、涉及的利益干系人、框架的范围以及访问请求和审批工作流。
开始身份治理和管理(IGA)的组织必须强制执行 PoLP,确保严格为用户提供其指定所需的一组功能权限,通过实施 PoLP,IT 组织可以标准化基于上下文的访问交付实践,这是任何 IGA 策略不可或缺的一部分。
由于集成是身份治理和管理(IGA)的关键组成部分,因此在 IT 环境中启用跨职能工作环境和技术为组织内不同部门之间的无缝协作铺平了道路。例如,为了加快用户生命周期管理,必须在 HR 团队和 IT 团队之间建立协作关系,因为前者具有有关用户属性的上下文信息,而后者可以在网络内实现基于属性的更改。
身份治理和管理(IGA)可自动执行用户生命周期管理,IT 生态系统必须部署能够以受控方式编排批量管理任务的解决方案,即自动化工作流在实施之前必须得到监管机构的批准。
与身份治理和管理(IGA)的跨职能功能类似,组织必须确保其 IT 和安全团队能够在一个统一的控制台中对跨不同环境的用户活动获得端到端的可见性。
员工、利益相关者和管理人员必须接受身份治理和管理(IGA)流程的教育,以便将该框架融入组织的日常运营和文化设置中。
从表面上看,IGA 似乎是一种运营策略,只会提高 IT 员工的生产力和效率,但 IGA 的功能可以通过多种方式增强组织的安全态势:
AD360 身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助您简化IT环境中的IAM。