Identity Lifecycle Management (ILM)

身份生命周期管理


每当企业雇用新员工、雇用新承包商或雇用第三方时,他们都需要访问必要的信息、应用程序和流程,以执行分配的任务。但是,身份不仅限于人类用户。非人类身份也与服务、系统、SSH 密钥、API 密钥、物联网设备等相关联。 随着网络和基础设施变得越来越复杂,远程工作人员对云的访问越来越普遍,企业必须考虑所有这些帐户的完整身份生命周期管理 (ILM) 以及与之相关的权限。 身份生命周期管理最佳实践包括身份生命周期的多个阶段。 规定——设置新员工、承包商和第三方,以及机器身份,如今应遵循最小特权原则。这意味着一旦身份得到验证(单点登录和多因素身份验证是人类用户的典型验证方法),用户或机器只能获得完成工作或特定任务所需的访问权限。 更新/更改——对于更改人类用户权限,他们对敏感数据的访问级别应相应调整。由既定策略规定的基于角色的访问控制有助于在整个身份生命周期中保持适当的用户访问。在不再需要访问权限时撤销访问权限也应该是生命周期过程中不可或缺的一部分。 控制权限范围蔓延——随着时间的推移,访问权限累积的情况并不少见。在某些情况下,这意味着为人类用户提供远远超过完成给定工作或任务所需的访问权限。诸如本地管理员帐户之类的特权帐户是攻击者的主要目标,他们希望破坏它们并提升权限以在未被检测到的情况下遍历网络。 取消配置——研究表明,近一半的前雇员在离职或被解雇后可以继续登录他们的账户。如果员工因故被解雇,有必要及时取消配置账户,以最大限度地降低未经授权访问或恶意意图的风险。这同样适用于与服务帐户关联的机器身份。