身份访问管理(IAM)与多因素认证(MFA)有怎样的交集?

2023-10-27 19:40

本文主要是介绍身份访问管理(IAM)与多因素认证(MFA)有怎样的交集?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

f5051dceef00c2fd6517d93beef48658.jpeg

数据保护是大小企业都会面临的一大IT 问题,为了数据安全必须确保只有授权用户需要时才能给予相应访问权限,而未授权用户的访问是绝对不允许的,无论用户来自内部还是外部,这也是企业实施准入系统的根本目的。

对于为企业或公众提供产品服务的企业、组织而言,数据保护问题就更加复杂,很容易受到各种途径的网络攻击,导致客户数据被窃取。因此,制定身份管理和访问控制的流程及策略至关重要,这些流程和策略也构成了身份访问管理(IAM)的基础。

什么是 IAM?

身份和访问管理(IAM)主要指企业用于管理用户身份并规范访问的策略、产品和流程,核心原则是让对的人在需要时可以使用有相应授权的资源。

IT 管理员通过 IAM 系统为每个用户分配数字身份,用户凭借自己的数字身份通过认证并获取资源的访问权限。管理员则必须根据需要监管这些数字身份。

身份和访问管理(IAM)作为企业最关键的安全资产之一,也是企业抵御攻击者用来窃取数据的公用网络入口的第一道防线。

IAM 有哪些子类别?

身份和访问管理(IAM)涵盖了所有可用于管理 IT 资源和用户身份的解决方案,具体包括以下几个子类别。

1)身份源(IdP)

身份源(IdP)主要管理核心用户身份,是验证用户身份的唯一数据源。身份源也被认为是最重要的 IAM 子类别之一,是其他子类别的基础。因此,选择正确的厂商对于搭建成功的 IAM 系统至关重要。

2)身份认证即服务(IDaaS)

身份认证即服务(IDaaS)是一种基于云的第三方身份认证解决方案,使企业免于管理身份认证的技术运维。

IDaaS 实际上类似传统的 Web 应用单点登录(SSO),也是基于微软 Active Directory 域服务等核心身份源。虽然Web SSO 并不是真正的 IDaaS ,因为核心身份存在于目录服务中,但 Web SSO也是通过联合身份来访问 Web 应用程序。

但最近,随着云目录平台的发展,用于身份认证、授权和管理的真正云服务的概念确实存在。这种现代化 IAM 方法消除了几个类别,更准确地说是将多个子类别整合成了一个统一的身份访问管理平台。

IDaaS 作为企业级 IAM 解决方案使企业无需考虑基础设施成本和实施的复杂性,涵盖了功能扩展、高可用性、安全性、备份等功能,可一次性满足 IdP、SSO、PAM、SSO、IGA 等多个 IAM 需求。

3)特权身份/访问管理(PIM/PAM)

特权身份管理(PIM)和特权访问管理(PAM)是更精细化的 IAM 子类别。PIM 关注分配给系统管理员等不同用户身份的特权,特权身份可访问服务器、网络设备、存储系统等关键资源。

PAM 就像是通往更高级别安全控制的下一级阶梯,是授权访问级别的最后一层,也是特权用户可检索的信息层。PIM 和 PAM共同构成对特权身份的监督,防止对核心资源的特权滥用。这一子类别也随着 AWS、Azure 和 GCP 等 IaaS 解决方案的出现发生了变化。

4)多因素认证(MFA)

多因素认证(MFA),也称为双因素认证(2FA),它要求用户提供除了密码以外的其他身份认证因素增强登录安全,包括手机令牌或硬件令牌这类基于持有设备的认证,甚至是指纹扫描等生物识别技术。

多因素认证让身份和访问管理(IAM)系统变得更加安全,因为第二认证因素通常只有终端用户知道或持有。谷歌和微软的研究都表明,使用合适的第二认证因素可以将登录安全几乎提升到 100%,显著降低了账号泄露风险。

以往的多因素认证方案都独立于其他 IAM 类别,作为终端用户的附加方案和措施。而现在,现代云目录平台DaaS(Directory as a Service)正在将多因素认证集成到标准的身份保护机制中。

DaaS云目录平台,也被称为目录即服务平台,它拥有类似于微软Active Directory(AD)活动目录的能力,管理着用户和IT资源的连接。同时又扩展了AD没有的功能,比如多因素认证(MFA),DaaS将MFA集成在了目录服务(也即核心身份源)中,企业无需再单独安装部署和运维多因素认证(MFA)服务器,更省去了复杂的配置过程,IT管理员可以统一管理多因素认证使用的场景和策略,简便高效。

MFA 如何保护 IAM?

虽然多因素认证看起来很简单,但在保护身份和访问管理(IAM)系统方面也确实发挥了关键作用。在不实施多因素认证的 IAM 环境中,任何持有有效用户凭证的人都可以访问相应的授权资源。一旦凭证被盗,在数据库进行认证时,被窃取的凭证也会被视为真实有效从而授予访问权限。凭证窃取是最常见的一种攻击手段,61% 的数据泄露都源于凭证窃取。

实施多因素认证后,IAM 环境就会变得更加安全。即使数据库核验了凭证,在用户完成多因素认证请求之前也不会授予访问权限,多因素认证可能包括手机上的动态令牌或推送认证等,无论哪种形式都能有效防止远程攻击。

多因素认证确保 IT 资源不会因为用户名密码泄露而受损。要知道静态密码作为唯一的身份认证因素时并不太可靠。而实施多因素认证后,攻击者窃取了有效凭证也很难通过二次认证。

IAM中的MFA面临哪些挑战?

不了解安全最佳实践的决策者和终端用户可能并不看好多因素认证的应用前景,因为通过设备或令牌登录认证比密码登录要花费更多时间,用户可能觉得不方便,尤其是基于时间的动态令牌。相比之下,手机推送认证的使用体验更好,是更能被用户接受的认证形式。然而,选择合适的认证形式是一方面,另一方面IT 部门必须组织用户培训,让他们适应多因素认证。

还有一点值得注意的是,多因素认证工具虽然看上去适用Web 应用程序,但其实并不涉及 IAM 的其他功能。换句话说,如果没有多因素认证和用户的统一管理工具,也没有第三方集成工具,实施多因素认证可能会很困难。如果把选择权交给用户,部分用户可能会选择不启用多因素认证,最终产生网络攻击风险。

如何充分利用 MFA 保护 IAM?

所有企业都应遵循以下几条关于多因素认证的最佳实践准则来保护 IAM。首先,对于所有请求访问 IT 资源的用户都应强制要求多因素认证,以免未授权访问威胁数据安全。对于所有关键的 IT 资源,从云应用到本地应用再到 VPN 和无线网络等,都应该启用多因素认证加以保护。

其次,用户也应该为使用的设备启用多因素认证,确保访问安全。所有资源的访问都会经由设备,设备入侵导致的未授权访问不仅会危及本地数据,甚至影响对企业的关键 IT 资源的访问,因此对设备实施多因素认证保护也是必不可少的。多因素认证方案能够有效保护 Linux、Mac 和 Windows 设备。

最后,多因素认证和条件访问策略配合使用效果更好。管理员可以通过条件访问策略自定义 在哪些条件下出现多因素认证提示,优化了用户体验的同时仍能满足安全要求。例如,管理员可以为 IP 白名单上的员工或使用可信设备的主管禁用多因素认证提示。总结而言,能有效支持企业身份和访问管理 IAM 系统的理想化多因素认证解决方案应具备以下特征:

a. 可直接集成核心身份源,而非单点解决方案

b. 无需订阅额外的厂商服务

c. 可扩展到包含云应用在内的所有IT 资源

d. 可保护异构IT 环境

e. 可定制条件访问策略

f. 提供了无摩擦的用户认证体验

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)

这篇关于身份访问管理(IAM)与多因素认证(MFA)有怎样的交集?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/287925

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

安卓链接正常显示,ios#符被转义%23导致链接访问404

原因分析: url中含有特殊字符 中文未编码 都有可能导致URL转换失败,所以需要对url编码处理  如下: guard let allowUrl = webUrl.addingPercentEncoding(withAllowedCharacters: .urlQueryAllowed) else {return} 后面发现当url中有#号时,会被误伤转义为%23,导致链接无法访问

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

两个月冲刺软考——访问位与修改位的题型(淘汰哪一页);内聚的类型;关于码制的知识点;地址映射的相关内容

1.访问位与修改位的题型(淘汰哪一页) 访问位:为1时表示在内存期间被访问过,为0时表示未被访问;修改位:为1时表示该页面自从被装入内存后被修改过,为0时表示未修改过。 置换页面时,最先置换访问位和修改位为00的,其次是01(没被访问但被修改过)的,之后是10(被访问了但没被修改过),最后是11。 2.内聚的类型 功能内聚:完成一个单一功能,各个部分协同工作,缺一不可。 顺序内聚:

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

Sentinel 高可用流量管理框架

Sentinel 是面向分布式服务架构的高可用流量防护组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。 Sentinel 具有以下特性: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP