好吧,让我们假设你的活动目录是简洁、中等和正确的:它包含你组织内的所有用户,并且当前他们是被许可的。这种令人高兴的状态要归功于健全的帐户管理生命周期。是否达到这点后你就可以止步不前了呢?不是。 虽然拥有真实反映组织内有哪些账号的活动目录,这让IT系统不断地变得更好(即使节奏缓慢),但它还没有好到能确保这些活跃的身份只具有为完成工作所需要的特权。
无论是因为他们的活动目录不支持足够细粒度化的权限,或是由于他们只有少量的职员所以必须授予许多人宽泛的访问权限,或者是因为他们有大量的职员,而人员的职位变更易于积累他们曾经拥有的所有特权——被称作访问蠕变(权限泛滥)——控制特权账户的系统访问是个极大的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
好吧,让我们假设你的活动目录是简洁、中等和正确的:它包含你组织内的所有用户,并且当前他们是被许可的。这种令人高兴的状态要归功于健全的帐户管理生命周期。是否达到这点后你就可以止步不前了呢?不是。
虽然拥有真实反映组织内有哪些账号的活动目录,这让IT系统不断地变得更好(即使节奏缓慢),但它还没有好到能确保这些活跃的身份只具有为完成工作所需要的特权。无论是因为他们的活动目录不支持足够细粒度化的权限,或是由于他们只有少量的职员所以必须授予许多人宽泛的访问权限,或者是因为他们有大量的职员,而人员的职位变更易于积累他们曾经拥有的所有特权——被称作访问蠕变(权限泛滥)——控制特权账户的系统访问是个极大的挑战。
当正确地控制访问特权以及如何使用它们时,一个关键原则是实施基于角色的访问控制(role-based access control,RBAC)。RBAC原则认为:不要直接管理用户的帐户特权。而是定义用户们履行某个特定角色需要的特权,然后为适当的用户帐户分配角色。当用户的角色发生变化时他们的访问权限也随之变化。这个方法缓解了特权蠕变问题,当某人的角色从DBA变为Unix系统管理员时,他们会失去原先工作角色需要的数据库特权,但同时获得之前不需要的OS级别的特权。
为了让基于角色的管理健全地运行,并且满足审计人员的需要,IT部门需要尽可能地保持角色设置简单,减少它在实际运作中要求的例外情况,并有一些“外援”来管理账户特权的使用。基本上,身份管理系统能帮助你进行基于角色的管理,并且有些在你将使用的角色集、以及你同意的例外情况最小化方面做的很好,还有更少一些能有力地帮助你追踪特权是如何被使用的,或给予你对它们进行细粒度控制的其他能力。
注意,当我们提到特权时是指IT人员(以及审计人员)通常所理解的,即主要是想追踪与系统、数据库以及网络管理有关的特权。这些万能钥匙被授予对严格保护数据的广泛、甚至是不受约束的访问。然而,应该指出的是,其它特权也可能引起其它业务部门的兴趣,例如能够在存有扫描纸质表格镜像的存储设备上创建、或删除文档镜像。
权限管理工具(又名特权帐户管理、超级用户特权管理、或是特权用户管理工具)帮助你超越账户和角色。它们超出了传统工具所能提供的支持,能帮助填补特权用户访问管理的差距,授予关于特权使用额外的可视性,给用户或系统授予访问时额外的粒度。
理想的特权管理(privilege management,PM)工具应该是:
• 比起标准的帐户特权组更加细粒度:例如,一个PM工具能授予、或限制对应用内特定组件的访问(例如,有选择性地允许或是禁止“另存为”或是“打印”);基于各种因素过滤角色所被赋予特权中的子集,包括人们从哪里登录以及最近他们做了什么;给其它非特权角色或进程赋予特定的提升特权。
• 能容易地与非活动目录账户协作,例如服务器和桌面系统的本地管理员账户。
• 不仅能管理你的活动目录里面的特权用户,还包括你关心的所有平台:包括Windows、Linux、Unix或是其它系统。管理包括变更管理,例如确保某个特权用户做出的变更不会意外地影响到其他人的工作,如某人修改服务器上好几个人需要访问的本地管理员账户的密码。
• 能审计特权的使用情况:例如,该特权管理工具能推动管理员反复地核查进出的访问(可能是通过一次性密码),并追踪每次敏感的访问权限的使用,以及追踪使用共享账户的真实人员。
如果IT部门希望对特权账户的管理至少和身份管理一样成功,这些能力会被越来越多地看作是必备条件。
关于作者:
John Burke是Nemertes研究公司的首席研究员,他为关键企业和厂商用户提出建议,实施和分析主要的研究,并且撰写涉及各种主题的具有领先理念的文章。
作者
相关推荐
-
防止数据泄漏 你是否有配套的加密方法和策略?
数据泄露带来的灾难是巨大的。为保护数据,企业可能要在数据中心使用某种加密技术。但加密未必能阻止灾难发生,掌握改善企业加密的方法和策略还是很有必要的。
-
应对内部威胁:可尝试基于角色的访问控制
基于角色的访问控制可以极大增加企业网络的安全性,尤其可以有效地对付内部的非法入侵和资源使用。
-
入云 网络安全管理需要考虑更多
在云时代,要保证网络安全,需要以访问控制为核心构建可信计算基(TCB),实现自主访问、强制访问等分等级访问控制,在信息流程处理中做到控制与管理。
-
访问控制的演进:挖掘基于属性的身份管理的潜能
TechTarget记者采访了Radiant Logic公司销售和业务发展副总裁Dieter Schuller,与其共同探讨了基于属性的身份管理的潜能。