Hva er identitets- og tilgangsadministrasjon (IAM)? (2024)

Identitets- og tilgangsadministrasjon (IAM) er en sentralisert og konsistent måte å administrere brukeridentiteter på (dvs. personer, tjenester og servere), automatisere tilgangskontroller og oppfylle samsvarskrav på tvers av tradisjonelle og containeriserte miljøer. Et eksempel på en IAM-løsning i aksjon er når ansatte bruker en VPN for å få tilgang til bedriftens ressurser for eksternt arbeid.

IAM er en del av løsningen for å sikre at de rette personene har rett tilgang til de riktige ressursene – spesielt på tvers av flere skyforekomster. IAM-rammeverk er avgjørende foradministrere identiteter på tvers av bare metall-, virtuelle, hybridsky- og edge-databehandlingsmiljøer fra et sentralisert sted for å redusere sikkerhets- eller samsvarsrisiko.

IAM-metoder kontrollerer tilgang til lokale og skyaktiva, applikasjoner og data basert på bruker- eller applikasjonsidentitet og administrativt definerte retningslinjer. IAM-metoder finnes i alle stadier av DevOps-livssyklusen og kan bidra til å beskytte mot uautorisert systemtilgang og sideveis bevegelse.

IAM-konsepter inkluderer:

• Autentisering:verifisere identiteten til brukere, tjenester og applikasjoner.

• Autorisasjon: gir de autentiserte brukerne tilgang til spesifikke ressurser eller funksjoner.

• Identitetsleverandører, hemmelige hvelv og maskinvaresikkerhetsmoduler (HSM): lar DevOps-team administrere og beskytte sikkerhetslegitimasjon, nøkler, sertifikater og hemmeligheter mens de er i ro og under transport.

• Proveniens: verifisere identiteten eller autentisiteten til koden eller et bilde, vanligvis gjennom en eller annen type digital signatur eller attestasjon.

Ettersom sikkerhetslandskapet fortsetter å utvikle seg, kan IAM også inkludere tilleggsfunksjoner som kunstig intelligens (AI), maskinlæring (ML) og biometrisk autentisering.

Autentiseringer prosessen med å bekrefte eller verifisere en persons identitet. En brukeridentitet (eller digital identitet) er settet med informasjon som brukes til å autentisere en person, tjeneste eller til og med IoT-enheter til bestemte sett med bedriftsdata eller nettverk. Et mest grunnleggende eksempel på autentisering oppstår når en person logger på et system med et passord; systemet kan verifisere presentert identitet ved å sjekke presentert informasjon (passord).

Prosessen med autentisering fanger ikke bare inn påloggingsinformasjon, men den lar også IT-administratorer overvåke og administrere aktivitet på tvers av infrastrukturen og tjenestene.

Det er flere tilnærminger til å implementere en sikkerhetspolicy som kan bidra til å øke sikkerheten til miljøet ditt, samtidig som brukervennligheten opprettholdes. To vanlige er enkeltpålogging (SSO) og multifaktorautentisering (MFA).

• SSO:Ulike tjenester, enheter og servere krever alle separat autentisering for å få tilgang til dem. SSO konfigurerer en sentral identitetstjeneste som konfigurerte tjenester kan sjekke for verifiserte brukere. Brukere trenger bare å autentisere én gang og kan få tilgang til flere tjenester.

• MFA:Et ekstra lag med sikkerhet som krever flere kontroller for å bekrefte en identitet før du gir tilgang. For denne metoden bør du vurdere å bruke kryptografiske enheter som maskinvaretokens og smartkort, eller konfigurere autentiseringstyper som passord, radius, passord OTP, PKINIT og herdede passord.

Du kan også bruke andre verktøy i infrastrukturen din for å gjøre det enklere å administrere identitet, spesielt i komplekse eller distribuerte miljøer som sky eller CI/CD-rørledninger – der brukerautentisering kan være vanskelig å implementere effektivt. Systemroller kan være spesielt fordelaktige i et DevSecOps-miljø. Med konsistente og repeterbare automatiserte konfigurasjonsarbeidsflyter kan IT-administratorer spare tid og ressurser, redusere byrden og manuelle oppgaver knyttet til distribusjon, identitetsadministrasjon og klargjøring/deprovisionering over tid.

Autentisering er prosessen med å identifisere hvem som prøver å få tilgang til en tjeneste. Autorisasjon er prosessen med å definere hva den brukeren kan gjøre med den tjenesten, for eksempel å redigere, opprette eller slette informasjon.

Tilgangskontroller tar identitetsadministrasjonen et skritt videre ved å tildele en brukeridentitet med et sett med forhåndsbestemte tilgangsrettigheter. Disse kontrollene tildeles ofte under kontooppsett eller brukerklargjøring og fungerer under praksisen med "minste privilegium", et grunnlag forNull tillitmodell.

Minste privilegiumgir kun en bruker tilgang til ressursene den trenger for et spesifikt formål, som et prosjekt eller en oppgave, og lar dem bare utføre handlingene (tillatelsene) de kreves. Tilgangspolicyer kan også begrense hvor lang tid som er tilgjengelig for visse ressurser.

For eksempel kan en ansatt ha tillatelser til å få tilgang til et bredere spekter av ressurser enn tredjeparter som kontraktører, partnere, leverandører og kunder. Hvis en bruker er godkjent for et annet tilgangsnivå, kan IT-administratorer gå inn i identitetsdatabasen og gjøre brukerjusteringer etter behov.

Systemer for tilgangsadministrasjon som følger minste privilegium inkluderer privilegert tilgangsadministrasjon (PAM) og rollebasert tilgangsadministrasjon (RBAC).

PAM er den mest avgjørende typen tilgangskontroll. Administratorer og DevOps-personell som mottar disse oppdragene har vanligvis den mest ubegrensede tilgangen til sensitive data og kan gjøre endringer i bedriftsapplikasjoner, databaser, systemer eller servere.

RBAC grants definerer roller, eller samlinger av brukere, og gir deretter tillatelser til disse rollene til ressurser eller funksjoner basert på deres jobbansvar. RBAC gjør bruk av tilgangsrettigheter konsistent og oversiktlig, noe som forenkler administrasjon og onboarding og reduserer rettighetskryp. RBAC kan bidra til å spare tid og ressurser ved å automatisere tildelingen av tilgangsrettigheter basert på en brukers rolle i en organisasjon.

JEG ERgir et nivå av innebygd sikkerhet gjennom apputviklingspipeline og er avgjørende for å implementere DevSecOps i organisasjonen din. Det er en av byggesteinene for å skape en lagdelt tilnærming til sikkerhet på tvers av bare-metall, virtuelle,container, og skymiljøer.

Det er viktig å sikre at IAM-systemet ditt kan støtte løsninger på tvers av flere miljøer og arbeidsbelastninger. Dette inkluderer implementering av IAM gjennom utvikling, testing, drift og overvåking av applikasjoner.

Fordi det er et bredt spekter av IAM-løsninger tilgjengelig, kan bedrifter begrense alternativene sine via følgende:

• Gjennomfør en revisjon av nye og eldre systemer, spesielt hvis du har applikasjoner både lokalt og i skyen.

• Identifiser eventuelle sikkerhetshull for både interne og eksterne interessenter.

• Definer brukertyper og deres spesifikke tilgangsrettigheter.

Når du har definert organisasjonens sikkerhetsbehov, er det på tide å distribuere IAM-løsningen din. Du kan velge en frittstående løsning, en administrert identitetstjeneste eller skyabonnementstjeneste – som Identity as a Service (IDaaS) – fra en tredjepart.

Red Hat® Enterprise Linux®gir en forenklet, pålitelig og konsistent autentiseringsopplevelse i et åpent hybrid skymiljø. Den inkluderer funksjoner for sentralisert identitetsadministrasjon (IdM) som lar deg autentisere brukere og implementere RBAC ved å bruke et enkelt, skalerbart grensesnitt som spenner over hele datasenteret ditt.

Identitetsadministrasjon i Red Hat Enterprise Linux kan:

• Forenkle din identitetsadministrasjonsinfrastruktur betydelig.

• Bidra til å møte moderne samsvarskrav som PCI DSS, USGCB, STIG.

• Reduser risikoen for uautorisert tilgang eller eskalering av tilgangsrettigheter.

• Skap et grunnlag for et svært dynamisk og skalerbart, sky- og containerkompatibelt driftsmiljø.

• Forhåndskonfigurer tilgangskontroller på nye systemer, virtuelle maskiner (VM-er) og containere.

• Reduser kostnadene ved daglig drift og sikkerhetsbyrden på IT.

Identitetsadministrasjon i Red Hat Enterprise Linux integreres også med Microsoft Active Directory,lett katalogtilgangsprotokoll(LDAP) og andre tredjeparts IAM-løsninger gjennom standard applikasjonsprogrammeringsgrensesnitt (API). Du kan også sentralt administrere autentisering og autorisasjon for tjenester ved å bruke sertifikatbaserte autentiserings- og autorisasjonsteknikker.

Med grunnleggende automatisering, sikkerhet og livssyklusadministrasjon levert av Red Hat Enterprise Linux, lagdelte produkter som kjører på toppen, som f.eks.Red Hat OpenShift®, arver de samme sikkerhetsteknologiene og utvider innebygd cybersikkerhet til containerbasert applikasjonsutvikling.