请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 257|回复: 2

原创:【和巨廉一起漫谈企业信息安全运维】 -- 企业IGA落地的七点建议(1)

[复制链接]
发表于 2019-4-30 16:24:49 | 显示全部楼层 |阅读模式
去年底,由于位于外网主机上的某个多年未用的管理员级账号被黑,导致了本企业内网普通账号的大面积频繁被锁,以及部分文件的被窃事故。事后我们的IT安全部门协同各个职能部门从根源上入手,对整个现有系统和服务开展了用户身份的治理和管理(Identity Governance and AdministrationIGA)工作。此次整饬涉及到了账号权限在系统中的整个生命周期和使用的各个方面。我们总结起来可以用WVA3R的缩写来高度概括,而具体的落地则包含有如下的七个要点:
一. 定义身份
作为第一步,我们首先要定义好登录访问者可能是谁(Who)的问题。其中包括:
·        遵循“按需分配”的原则。虽然这是老生常谈,但是我们在企业实践中往往无法执行到位,经常会为了避免后续的麻烦而事先定义了过剩的身份标识(ID),从而导致了长久以来,一些账号、甚至是用户组空置在系统之中,不但造成了资源的浪费,而且给攻击埋下了隐患。
·        标准化普通用户的通用配置文件(profile)模板。套用安全治理的理论,这叫做设定好基线。通过在初始化时定义各种属性标签的默认值,系统内可以产生统一的配置原点。而我们在后续的运维中也可能按照实际情况去调整和更新基线。
·        为部分特定、且要求严格的应用或服务添加并分配细粒度的用户组。同时我们也要做好相应的配置与变更记录,以及确保在整个系统中名称的唯一性。
·        身份标识的命名规则要做到标准化。当然这是一个双刃剑,虽然方便了运维人员能从名称上判定其基本身份,不过同样也方便了攻击者一眼看出ID的用途,并轻易推测出相应的权限。因此我们在实际设置中,会选择性将一些“高危”的系统管理员账号进行重命名式的隐藏。
·        随着DevOps理念在各个企业的广泛应用,身份标识的定义可以不仅局限服务于真实用户,我们完全可以对硬件资源、软件服务、以及需要访问到的对象、模块、数据库,等应用进行灵活定义与分配。
二. 有效身份
有了身份标识,我们就确定了用户在系统中的存在性。而第二步则需要解决的是有效性(Validity)问题,也就是要掌控ID的时效性。因此我们要做到:
·        事先定好规则:对于超过一定天数(如90天)未被使用过的ID,系统应自动将其设置为暂停(suspended)状态;而对于超过更多时间(如180天)的ID,则在理论上应该被系统自动删除掉。当然在企业的具体实务中,我们需灵活应对。例如:通过使用归档转存的方式,我们可以仅保留其分配过的记录,这样既满足了合规的要求,又方便了人员回归和资源重用时的ID延续性。
·        事后及时处理:这主要和管理有关,我们需要定期向各个部门发送相应部门员工ID的列表,并各自的通过反馈来确认列表的有效性。
三. 认证身份
身份认证是我们A3中的第一个A,即Authentication,其中密码是必不可少的一种基础验证方式。此处罗列出一些通用的原则,供大家比对检查和查缺补漏:
·        用户的登录界面上不应显示前一次登录所使用过的ID信息。
·        各种内部服务都一律需要执行密码验证,且密码不能为空。
·        通过复杂程度和变更周期等维度,实施强密码策略。
·        基于用户体验和系统效率,部署单点登录(Single Sign On,SSO),同时也能简化用户持有的密码数量。
·        设置专有的中央存储库(repository),用来统一存放ID和密码。
对于部分特殊应用、以及远程访问,应采用多因素登录认证(Multi-factor AuthenticationMFA)的方式。充分融合:你知道什么(如密码口令)、你拥有什么(如移动手机或特定设备)、以及你是什么(如人脸识别或指纹传感)等多维度的信息,予以综合验证。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-5-7 18:22:27 | 显示全部楼层
感谢版主分享,我们在此把您此系列内容稍做汇总,方便大家阅读~

相关阅读:
【和巨廉一起漫谈企业信息安全运维】 -- 企业IGA落地的七点建议(2)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-5-12 15:49:19 | 显示全部楼层
感谢分享,阅读了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-5-23 05:40 , Processed in 0.084445 second(s), 33 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表