技术主题

什么是Identity Governance 和管理?

以问号为重点的信息技术项目图示

概述

面对市场上的各种身份治理工具,要评估它们与全功能身份治理和管理架构相比能提供什么并不容易。为了应对安全指令,团队往往采取狭隘的方法来管理用户权限或满足组织的职责分离要求。

IGA 不局限于应享权利的可见性,因为这往往是任何时间点的快照。相反,它采用的是一种全面、综合的管理方法。当建立在一个强大的身份生命周期管理基础架构上时,IGA 将一个组织的身份和访问管理基础架构的关键组件整合在一起,以确保只有正确的人才能访问敏感信息。

Identity Governance 和行政管理

如何定义完整的Identity Governance 和管理解决方案?

强大的 IGA 解决方案通过提供以下优势脱颖而出:

  • 提供账户和资源的全面视图--IGA 需要掌握所管理的每个资源的身份、权利和风险信息,以及访问者的身份和角色。
  • 防止橡皮图章式的审批--有效的 IGA 解决方案侧重于防止未经审查的权限审批,包括专门为信息和业务所有者(而非 IT 管理人员)设计的工作流程。为了提高对申请的检查水平,它需要提供申请者的所有相关信息和资源,以便快速阅读,并提供有效的生产力和风险指标。
  • 有力的证明--提供准确的报告,确认持续的合规性,而不仅仅是报告时间快照。必要时,精心设计的 IGA 基础设施可提供分析,确认特定用户组的实际访问情况。报告的设计应便于快速审查,易于生成并纳入验证报告。虽然这种级别的证明为安全团队提供了信心,但它要求访问治理与全面 IGA 环境中的身份生命周期和访问管理组件紧密集成。

与其他解决方案相比,完整的 IGA 环境有哪些具体价值?

身份治理和管理可以管理权限并为安全审计人员提供强有力的证明,同时还有可能成为企业 身份和访问管理基础设施的基础组成部分

  • 权限管理是任何组织最低权限战略的基本要素。最低权限安全有助于抵御内部威胁,并在某人的凭据被泄露和利用时限制损失。如果操作得当,它可以用来指导和调用身份生命周期行动,而不是独立于身份生命周期之外。
  • 在治理平台上启用资源的步骤之一是定义其风险和风险标准。敏感资源的适当风险定义可为审批者和审查者提供准确的信息。风险服务也可以利用这些定义来指导适应性访问管理行动。基于会话的访问控制用于潜在身份验证和授权操作的标准往往局限于用户的上下文(地理位置、IP 范围、设备 ID 等)。考虑到资源本身的风险,可以提供一种更精细、更有效的自适应访问方法,在提高安全性的同时优化用户体验。通过限制用户因多因子验证而被中断的次数,可以减少摩擦,优化用户体验。

NetIQ 如何使其 IGA 解决方案更加智能?

如上所述,最重要的是建立坚实的 IGA 基础,同时NetIQ 也 在不断推陈出新,使治理自动化更加全面有效,帮助信息所有者保护数据。身份治理和管理在身份和访问管理基础架构中的近期发展方向包括

  • 除了以审批人员和审查人员能够快速理解的格式提供尽可能最好的信息外,下一代 IGA 还将最低权限最佳实践和组织政策结合起来,自动进行权限分析。敏感信息以及访问这些信息的用户的风险分数自动提升,突出了审查和潜在安全行动的关注点。
  • 前文所述的基于智能的自动化方案最好辅以 对实际使用情况的行为分析。这种类型的分析可以指导对特定身份和资源的关注,以重新评估它们对组织造成的风险。
  • 虽然传统的 IGA 并不包括对系统根权限的管理,但有必要采用更正式的方法来确保对服务器托管数据和可执行文件的访问。由于系统管理员有可能绕过各种安全机制,确保根权限的重要性不言而喻。除了能够授权和管理不同级别的管理之外,这些超级用户还拥有大量的授权访问权限,因此对其系统相关操作的高级监控可提供潜在的宝贵取证信息。

建立良好的 IGA 环境并非易事。获得执行层和不同业务所有者的支持可能是一个漫长而不平坦的过程。拉拢信息所有者,让他们的资源适当地投入使用需要投资,与他们保持联系以应对环境中需要更新的变化也需要投资。但这种安全投资的价值是巨大的。它能让企业在数字业务运营中更加灵活,同时将风险降到最低。

为什么要投资Identity Governance 和行政管理?

一旦了解了 IGA 的全面性,自然而然的问题就是您的环境是否需要这种程度的投资。虽然每个组织都可能有独特的要求,但以下是一些常见的考虑因素,可以指导管理的深度和广度:

虽然几乎每个组织都需要保护其财务和人力资源信息,但它们可能有也可能没有其他类型的值得治理的敏感数据

  • 客户信息--这类信息差别很大。组织即使收集 cookie 信息或社交身份信息以个性化内容,也可能受到各种州或联邦法规的约束。此外,还有其他全球性规定,如《通用数据保护条例》(GDPR)。GDPR 的要求值得采用 IGA 级别的保护,因为一旦保留了个人资料或财务信息,就可能需要最低权限的安全保护。零售商及其服务提供商 (PSP) 和行业合作伙伴之间也需要进行协调。除非这些业务规模较小,否则如果没有成熟的身份管理解决方案,很难想象它们能满足隐私保护的要求。
  • 知识产权--无论是专利信息、技术或业务核心能力,还是其他商业机密,一旦泄露都会给组织带来严重风险。无论组织是否将权利流程自动化,在制定治理战略之前,都可能需要对有价值的机密进行仔细审查。
  • 患者信息--医疗保健行业的数字化转型迫使医疗服务提供者对其受控信息进行自动权限管理和证明。向电子医疗记录(EHR)和其他受保护健康信息(ePHI)的转移导致了严格、具体和惩罚性的隐私政府保护。与其他任何行业相比,该行业的违规成本最高。除了金钱损失外,健康记录外泄还会损害患者的信任,因为其中包含患者最敏感的信息。涉及健康和财务的信息都可能被用来进行欺诈。
  • 金融服务--作为另一个受到严格监管的行业,金融服务受到一系列旨在防止恶意串通和侵犯隐私的法规的约束。要防止欺诈或其他类型的盗窃,就必须保护隐私。可以肯定的是,每个金融机构都需要自动化管理,并将从直接涉及数据所有者的解决方案中受益匪浅。

我们能提供什么帮助?

脚注