身份和访问管理(IAM)是云安全的一个关键组件,也是组织很难有效实施的组件。云计算的兴起为组织带来了新的安全挑战,特别是在管理用户身份和访问敏感信息方面。为了有效地为云采用IAM,组织必须意识到他们可能面临的各种挑战,并准备以及时有效的方式解决这些挑战。
挑战1:管理跨多云环境的身份
随着多云环境的采用率不断增加,组织正面临着跨所有云系统管理用户身份的挑战。这需要一个IAM解决方案,它既可以支持多云环境,同时还能为身份信息提供单一的真实来源。一个统一的IAM解决方案将允许组织轻松地管理身份,控制访问,并在其所有云系统中执行安全策略。
一个这样的例子是使用多个软件即服务(SaaS)应用程序。为每个SaaS应用程序创建本地标识使得跟踪具有访问权限的所有人员变得非常困难,这反过来又可能导致离职者继续保留对此类应用程序的访问权限。
挑战2:基于云的身份提供商的威胁具象化
组织越来越多地转向基于云的身份提供商(例如Google和O365)。这种用法带来了与本地部署身份提供商不同的挑战。虽然本地身份提供商在威胁和漏洞方面也存在自己的一系列挑战,但从影响的角度来看,它通常是有限的。而适用于基于云的身份提供商的威胁和漏洞具有更大的爆炸半径,影响可能是巨大的。
解决这个问题通常很棘手。虽然对于许多组织来说,转向基于云的身份提供商是有商业意义的,但组织可能还需要监控威胁场景,以保持自己的领先地位。
挑战3:确保遵守法规和行业标准
组织需要遵守各种法规和标准,例如GDPR、PCI DSS和HIPAA,这些法规和标准会影响其IAM策略。IAM解决方案必须能够执行这些法规和标准,以确保敏感信息受到保护,并且组织不会面临不合规的风险。
挑战4:管理非人类实体的身份
IAM解决方案还必须能够管理非人类实体(如应用程序、服务和API)的身份。这需要一个全面的IAM解决方案,该解决方案可以管理身份、提供可见性、控制访问并为非人类实体执行安全策略。
挑战5:与新兴趋势的集成
IAM随着所面临的威胁的发展而发展。不断发展的IAM趋势包括密钥和无密码认证。云服务提供商和组织需要考虑不断变化的趋势,并为技术变革和用户教育的变革做好准备。
挑战6:跟上不断变化的威胁形势
威胁形势正在不断发展,组织必须确保他们的IAM解决方案能够适应新的威胁和漏洞。凭据获取既适用于云IAM,也适用于本地IAM。IAM解决方案必须能够提供实时安全情报、监控和警报,以确保组织意识到新的威胁,并能够及时做出有效响应。
挑战7:管理外部用户和合作伙伴的身份
组织还必须管理需要访问敏感信息的供应商、外部用户和合作伙伴的身份。IAM解决方案必须能够控制外部用户和合作伙伴的访问并实施安全策略,同时还要确保敏感信息免受未经授权的访问。授予有时间限制的即时(JIT)访问权限是解决这一挑战的一种方法。
挑战8:解决BYOD和身份的独特挑战
自带设备(BYOD)策略为IAM带来了一系列挑战,包括管理个人设备的身份,确保敏感信息不被未经授权的访问等。IAM解决方案必须能够应对这些挑战,并为使用个人设备的员工提供无缝和安全的身份验证过程。
挑战9:管理位于本地但与基于云的解决方案接口的IT/OT身份
IT/OT设备和其他设备一样需要身份认证。由于密码轮换和多因素身份验证(MFA)等传统安全措施不适用于运营技术(OT),因此管理这些身份极具挑战性。组织必须与供应商一起管理这些身份,以确保任何基于云的解决方案的泄露都不会影响到OT设备,而任何OT设备的身份泄露也都不会影响到企业网络。无论资源位于何处,IAM解决方案必须能够管理所有类型资源的身份、控制访问和实施安全策略。
挑战10:维护角色绑定和访问控制的可见性和控制
组织必须保持对角色绑定和访问控制的可见性和控制,以确保敏感信息免受未经授权的访问。IAM解决方案必须能够提供实时监控和警报,以确保正确执行访问控制,并且还必须提供在必要时实时撤销访问的能力。
结语
在云中有效地采用IAM是一项复杂且极具挑战性的任务,需要能够解决组织面临的各种挑战的全面解决方案。企业必须选择一种能够提供统一的身份信息视图、访问控制、执行安全策略、提供实时监控和警报的IAM解决方案,以确保敏感信息免受未经授权的访问。通过意识到组织所面临的挑战并选择正确的IAM解决方案,组织可以有效地为云采用IAM,并增强其整体安全态势。
参考及来源:https://cloudsecurityalliance.org/blog/2023/06/23/navigating-the-top-10-challenges-in-cloud-identity-and-access-management/
原文始发于微信公众号(嘶吼专业版):云身份和访问管理(CIAM)采用过程中的“10大坑”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论