身份管理合规:IAM系统如何支持合规性

许多组织以错误的方式看待合规性。他们认为如果有到位的技术工具,流程评审并且实施风险评估,就满足合规要求。但是合规遵从不是提供更加安全的流程及技术,它是确定这些流程和技术确实提供了一个更为安全的环境。

提交新的文字合规性流程并不意味着人们遵循它们。同样地,部署IAM工具也不意味着它会提升组织合规遵从的状态。在本文中我们会提到那些能够影响合规性的IAM问题,以及如何确保IAM技术和流程有效地支持企业的合规遵从。

身份管理有两种保障机制,它们被认为是许多规章和行业安全倡议的支柱。它们是:

1. 最小权限:这个概念是只能让用户的帐号完成用户必要的工作。

2. 职责分离(SoD):这是个概念是要求不止一个人来完成某项任务。

当涉及合规遵从时这些概念是十分重要的,造成最大风险的活动是某个人做出的变更危害到受保护数据集的安全性,并且没有审计或是监督能够侦测和防范此类事件发生。组织已经努力开始解决此类问题,他们求助于身份管理系统来寻找答案。

更准确地看待身份管理与合规遵从的关系,IAM系统可以划分为两个域:预先决定和实时访问控制。预先决定的访问控制提前决定用户应该能有什么访问权限、用户应该访问什么系统以及用户如何和这些系统上的数据交互。实时访问控制是用户有了一个帐号,并且可以发出访问请求时管理的机制。理想情况下,在用户发出访问请求时这些技术应该判断用户在哪里、他们正在使用什么设备、是否能够在请求的时间段访问这些数据、允许执行哪些请求以及确保返回正确的数据。

预先决定的访问策略主要是通过供应服务提供。就合规性而言,不仅要能够表明用户有了帐号,还要知道为用户提供的帐号是从哪里发起。是一个自助请求么?如果是这样的话,应用了哪些逻辑条件来确保用户被授权发出请求,并且确实应用了SoD规则?或者是由另外一个人代表这个用户发出访问请求,例如他们的主管?如果是这样的话,组织怎么知道这个人被授权来判断某个用户的访问恰当?对于合规遵从来说,只是记录下用户被授权访问还不够。如何判断访问恰当、授权谁来批准这种访问,以及如何验证请求以便判断恰当的访问,这些都是要追溯和保存的重要信息。通过保存这些信息,可以由第三方检查这些授权的逻辑性来验证企业的合规性。

实时访问控制是由IAM系统来控制。这些工具以串联的方式存在于发出访问请求的用户和系统/数据之间。无论它们是否是基于Web的、基于门户或是 API的,这些服务询问用户的请求以确保凭证是正确的,以及确定发出请求的系统位置安全,可以让用户获得他想访问的数据。实时访问控制通过记录用户信息、访问命令和请求返回的数据可以满足合规性。这些日志最好存储在一个日志管理系统中,在那里可以存储合规性规则、并且第三方能够评审发生的事务以确保它们满足公司的访问规则。

假设这些活动都正确地运转的话,认可是合规遵从必须维护的另一个概念。换句话说,采用的访问方法是用户唯一可用的方法。组织经常在新的IAM系统上投入时间和金钱,但是没有关闭原有的人工访问方法。让这些“后门”保持大开,数据可以通过控制手段以外的途径访问,这不仅无法提供满足合规的访问,还存在数据丢失或是泄漏的风险。只是创造新的“数据访问公路”还不够,还需要让“杂草丛生的铁路”退役并关闭。大型、地理分布广泛的组织做到可能不容易,而对于许多满足合规性的组织来说这也仍是努力解决的主要问题之一。

安装新的IAM应用无法保证合规性。所有的IAM必须提供期望交付的服务。此外,需要分配资源来记录如何配置系统,并且必须指导操作人员来捕捉和维护每天产生的日志。在产品部署的末期,必须实行记录评审以确保旧的访问及运行系统已经关闭、或是最好退役,以便确保不能再使用未经批准的方法来访问敏感信息。