请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 161|回复: 1

原创:【和巨廉一起漫谈企业信息安全运维】 -- 企业IGA落地的七点建议(2)

[复制链接]
发表于 2019-5-7 16:48:43 | 显示全部楼层 |阅读模式
一.云身份认证
区别于上述传统的认证模式,我们针对企业中用到的SaaS,采用了云身份认证。它可以被理解为是将SSO 的服务延伸到了云端。通过所谓身份认证即服务(IDaaS)的方式,我们补足并实现了企业在如下方面的应用需求:
·        当员工拥有并使用多台移动设备去访问企业服务时,能结合双/多因素信息实现身份认证。
·        打通了云上与云下,将IDaaS的存储库与企业现有的AD及LDAP目录无缝集成,实现了联合高效的服务认证。
·        通过各种API,企业不但可以将身份认证服务转交给云端处理,还能前瞻性地为耗费流量的、将来可能上马的各种可穿戴设备、以及物联网(IoT)设备做好了技术和策略上的准备。
二. 内部授权
遵循经典的基于角色控制(RBAC)和按需而用(Need to Use)原则,我们实现第二A,即Authorization。具体在企业的实践管控中,我们从如下方面进行了治理:
·        通过梳理现有资产、系统与服务,根据相关“等保”的要求和初步风险评估的结果,来构建不同的访问级别。
·        通过诸如:No Access(NA)、Read(R)、Write(R)、Execute(X)、Delete(D)、List(L)、Full Control(FC)的权限定义,和诸如Guest(R-L)、Group(R-X)、Owner(R-W-X-D)、Admin(FC)的角色对应,细粒度地管理电子和纸质的文件及服务。
·        在上述普通用户通用配置文件的基础上,丰富最小权限的具体基线内容。进而通过该基线来设定预期的正常活动类型集,并将其作为异常检测系统的参考依据。
·        针对各类用户对于权限的申请、增加、削减和变更需求,引入委员会的标准批复与管理流程,并文档化全程记录。
·        实现技术部门与人事的联动关系,保证在接报有关岗位变动的24小时内,完成系统权限的相应调整。
三. 外部权限
如今,随着移动办公和云服务的广泛应用,我们企业IT系统所面对的安全风险,无论是在时间上还是在空间上,都已突破了旧的规律和屏障。因此我们需要通过如下方面管理好外部人员,通过互联网运用手持设备对系统的各种访问。
·        罗列出提供远程访问的所有服务条目,一般包括:虚拟桌面,Web版邮箱、VPN、移动应用、及MDM/MAM管理界面等。
·        对不同的外部应用设置不同的会话保持时限(idle session)。
·        执行严格的权限申请流程,通过预定义各种风险向量和相应的权值,得出申请方基于风险的评估值(Risk Based Assessment,RBA)。
·        以明确且特定的任务为导向,仅授予最小权限。
四. 问责审查
如果说上面提到的六点是针对账号与权限管理的“充分条件”的话,那么它的“必要条件”就是问责与审查(Account and Review)。只有记录和掌握了各类ID的各种活动,我们才能形成正反馈,去不断地调整和改进控制措施。具体内容包括如下方面:
·        借用日志系统或安全信息与事件管理(SecurityInformation and Event Management,SIEM)工具,记录各个ID从登录系统时所检验的信任凭证、获取的相应权限、执行的各类操作、到结果成功与否、以及是否安全退出的全过程。
·        对历史信息的汇总和保存,报告的生成与趋势的分析。
·        设定管理委员会定期(如每90天)引导各个部门人员对当前系统中的各种ID和相应的权限列表进行自查;定期与各类所有者合作,对资源秘级要求进行核实;定期对账号相关的违规事件进行审查,及时注销ID或回收权限。
结语
可以说,我们企业在日常运维中正是以上述七点为管控的依据,在与内外部威胁的“零和博弈”中持续保护着自己这“一亩三分地”的安全与可控。希望您通过参考和借鉴我们的上述原则,也能动态地实现贵企业资源的“帕累托最优”。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-5-7 18:23:04 | 显示全部楼层
感谢版主分享,我们在此把您此系列内容稍做汇总,方便大家阅读~

相关阅读:
【和巨廉一起漫谈企业信息安全运维】 -- 企业IGA落地的七点建议(1)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-5-24 17:51 , Processed in 0.077563 second(s), 30 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表