身份和访问管理解决方案：混合型IAM

对于依赖于本地 IT 基础结构和传统安全模型的组织，可以更轻松地验证和授权企业网络内的所有内容，包括设备、用户、应用程序和服务器。尝试从公司网络外部获取访问权限的用户使用虚拟专用网络（VPN）和网络访问控制（NAC）进行身份验证。随着云和远程工作的日益普及，新的企业架构正在重新定义边界。数据还存储在公司墙外，用户可以通过公司网络外部位置的各种类型的设备访问位于云上的企业应用程序以及公司网络内部。

随着网络的传统边界（具有已知的入口和出口点）转变为边界线较软的东西，标识被视为新的网络边界。随着混合云的采用和访问方式的日益增加，身份管理将变得更加重要。

NIST将混合云定义为“由本地基础架构、私有云服务和公共云组成的混合计算、存储和服务环境，并在各种平台之间进行编排。它的主要好处是敏捷性。云基础架构由云服务提供商（CSP）拥有、管理和监控，云服务提供商对其云托管基础架构中的数据安全功能和服务拥有相当大的控制权。一些服务提供商并不总是对其业务决策保持透明，这可能会对其客户的运营产生不利影响。

通过混合云优化工作负载和数据放置

随着公司开始进行应用程序和数据现代化，他们应该考虑使用混合云，因为它可以平衡两个平台的应用程序和数据工作负载。

混合部署包括云和本地的优势。它们将云的创新、速度、存储和可扩展性以及本地的法规遵从性、性能和数据引力整合到一个盘片中。使用分布在多个数据中心和云中的工作负载运营的组织需要跟上数字化转型和 IT 安全方面的新兴趋势。混合云部署可能是有益的，因为它可以有效地提高性能、灵活性和安全性。

随着远程工作的日益普及，组织正在努力有效地管理 IT 服务。企业必须战略性地利用其资源，以便所有基础架构、应用程序、数据、云和本地部署都是安全的，并针对业务连续性进行优化。在这些情况下，全球企业通常更喜欢混合应用程序来优化数据放置。部署混合云模型时要记住的关键因素是：

组织应从构建混合云战略的路线图开始，这包括选择将哪些应用程序和工作负载放置在云中，哪些应用程序和工作负载保留在本地，以获得可伸缩性、更好的性能和可用性。
在制定路线图时，应考虑现有的IT基础设施布局，这可确保在云迁移不成功的情况下提供业务关键功能。
从云运营模型中提取实时数据，并使用基于机器学习的解决方案进行分析，可以让组织完全控制其数据、应用程序和工作负载，它可以帮助提高业务敏捷性，同时确保数据安全。
大多数情况下，云部署不会成功，因为缺乏训练有素的专业人员，他们具有能够执行技术操作的正确技能和专业知识，组织应引入训练有素的技术和服务提供商，他们可以帮助组织成功实施混合部署，同时确保业务连续性。

缩小云中的安全漏洞

根据Cybersecurity Insiders进行的研究，滥用员工凭据和不当访问控制占未经授权的网络访问的42%。未经授权的访问被认为是云安全的最大漏洞，这就是为什么部署专为混合云安全设计的全面安全管理工具至关重要的原因。使用正确的工具，可以从单个控制台管理和监控所有云应用程序和网关。

只需使用 Microsoft 的轻量级目录访问协议（LDAP）和 Active Directory （AD）即可在本地基础架构中管理身份、身份验证和访问。但是，在云中，IT部门很难监控哪些用户正在访问哪些应用程序和服务。因此，大多数组织采取实用的方法并采用更多的软件即服务（SaaS）应用程序。许多组织将其现有应用程序升级到云版本，并在可能的情况下停用过时的本地和旧版本。

由于部分工作负载位于本地数据中心之外，混合企业应专注于确保对每个用户、应用程序和设备的安全访问，无论其位置如何。此访问应与上下文相关，这允许 IT 管理员根据位置、IP 地址、设备等为用户创建访问策略。换句话说，在云之旅中取得成功的唯一方法是部署正确的身份和访问管理（IAM）解决方案。

IAM 提供商可分为三类：

旧版本地 IAM：致力于本地 IAM 的组织通常不会将其传统技术迁移到云平台，因为这会带来许多挑战。相反，其中许多组织通过混合选项启动向云的迁移。
旧版本地和云 IAM 的混合：从本地解决方案开始的 IAM 供应商现在正在尝试提供混合身份解决方案。混合云身份和访问管理解决方案包括本地和基于云的系统，并使用通用的授权方法。虽然这些供应商拥有专为纯本地工作负载构建的高级解决方案，但其等效的混合云 IAM 功能（如多重身份验证（MFA）、单点登录（SSO）和社交登录）已与其现有的本地 IAM 解决方案集成。为了解决数据管理和安全性等问题，大中型企业更愿意选择这种方法。
IDaaS：随着用户数量的迅速增加，以身份即服务（IDaaS）为中心的供应商有助于利用云身份效率，以及管理云的网络效应。计划过渡到云并保持最小的本地占用空间的组织必须在其安全体系结构中启用基于云的身份验证。某些遗留应用程序无法按照现代标准重新设计。在这种情况下，组织应该能够将 IDaaS 优势集成到其旧版应用程序中。这种方法称为云优先混合，可以减轻组织在初始部署之前执行工作负载大小调整的负担。

在这里插入图片描述

对于各种云部署模型，组织需要实施适当的访问策略以确保数据安全。在不断发展的混合环境中，传统的 IAM 策略是不够的。为了应对这一挑战，组织必须以混合身份管理为中心构建统一的安全策略。混合IAM应侧重于三个主要目标：

验证尝试跨私有云、公有云或本地数据中心访问组织资源的每个用户并提供安全访问权限。
实施与最低特权访问控制集成的实时配置，并限制对业务关键型资产的访问，这种精细的访问控制对于防止攻击者横向移动至关重要。
检查网络流量是否存在恶意活动或异常，以防止攻击，连接到网络的所有用户和设备都应进行实时监视，并根据上下文访问策略，在检测到异常时应撤销访问权限。

随着组织迁移到云，组织的大量数据会迁移到公司边界之外。若要构建能够承受云基础结构动态挑战的安全框架，采用零信任安全模型非常重要。

采用零信任方法的混合 IAM

基于“从不信任，始终验证”的概念，零信任原则解决了与远程工作、云采用和自带设备（BYOD）相关的安全问题。组织需要监视网络并验证尝试访问公司资源的每个用户。零信任通过实时上下文身份验证增加了额外的安全性，其中持续监视用户或实体以根据基准（风险评分）评估风险。如果出现异常或恶意行为，它可以根据需要触发重新身份验证。

当敏感应用程序和关键数据跨系统（本地和云中）放置时，将数据分段为微边界或微段非常重要。这减少了攻击面，并保护组织数据免受恶意软件和漏洞的风险。

云采用可促进开始现代化计划的组织的数字化转型。决定哪些工作负载移动到云以及哪些工作负载保留在本地至关重要。为了确保安全的数据访问管理，组织必须通过评估他们希望迁移到云的工作负载的关键性来执行适当的数据评估。如果组织在数据泄露期间未能保护包含敏感数据的工作负载，则利用这些工作负载可能会造成严重破坏。

实现零信任安全模型有多个阶段。一个好的起点是为所有应用程序和设备启用 MFA 以及强密码策略。SSO 通过要求用户使用多个应用程序的单个 ID 和密码登录来确保无缝的身份验证体验，从而减少攻击面。最佳做法是，应实施启用 MFA 的 VPN 来访问公司网络。

平衡可访问性和安全性

定义安全边界：由于数据和工作负载分布在本地和云之间，因此资源丰富的威胁参与者可以轻松访问关键信息。这种未定义的安全边界增加了入口点和攻击面，使黑客能够轻松访问组织的网络。应进行用户和设备标识，以实现适当的安全和访问控制。
使用强身份验证方法：各种密码攻击方法用于未经授权访问用户帐户。这就是为什么根据NIST等机构的建议实施强密码策略以防止不良行为者滥用用户信息和应用程序至关重要的原因。更好的选择是实施 MFA 策略，如果第一道防线受到威胁，该策略将充当第二道防线。
利用集中式身份和访问管理系统：在混合部署中，建议从单个控制台管理所有用户帐户和设备。这有助于 IT 管理员监控其网络并轻松检测异常。
强制实施最小特权原则：最小特权原则强制实施最低级别的用户权限，以确保任何应用程序或用户都没有对业务关键型资源具有未经授权的权限。
使用 SIEM 监视和保护混合环境：若要全面监视混合环境，组织必须实施持续记录和分析数据的系统信息和事件监视（SIEM）解决方案，并识别与之相关的风险。

如何帮助构建混合身份管理程序

简化的用户生命周期管理：从单个控制台跨 AD、Exchange 服务器、Office 365 服务和 G Suite 轻松同时为多个用户配置、修改和取消配置帐户和邮箱。使用可自定义的用户创建模板并从 CSV 导入数据以批量预配用户帐户。
面向企业的 SSO 和自助密码管理：AD360的SSO功能使最终用户无需记住多个密码，这使他们不必多次登录不同的应用程序。AD360 使用户能够从单个仪表板安全地访问其所有企业应用程序，并提供 MFA SSO 以提供额外的安全层。
安全地审核 AD、Office 365 和文件服务器：深入了解 AD、Office 365、Windows 服务器和 Exchange 服务器中发生的所有更改。实时监控用户登录活动、对 AD 对象的更改等。使用预打包的报告遵守 IT 合规性法规，如 SOX、HIPAA、PCI DSS 和 GLBA。
智能威胁警报：使用 AD360，IT 管理员可以配置警报配置文件，以便在 Office 365 设置中发生特定操作时向管理员发送自定义消息。这些警报可以包括有关触发警报的操作的严重性、执行操作的人员、操作发生时间等的信息。这样可以轻松确定警报的优先级并对其执行操作。凭借其用户行为分析（UBA）功能，AD360使用机器学习来创建特定于每个用户的典型操作基线，以准确检测异常行为和威胁。

如何满足 IAM 需求

使用 UBA 进行身份保护：使用基于机器学习的 UBA 检测、调查和缓解恶意登录、横向移动、恶意软件攻击和权限滥用等威胁、自动响应威胁。
身份自动化：消除冗余和人为错误，并通过自动执行用户预配、陈旧帐户清理和其他与身份相关的任务来改进业务流程。
身份生命周期管理：在用户的整个生命周期（从配置到角色更改和取消配置）中简化身份管理。
多重身份验证：使用生物识别、身份验证器应用和其他高级身份验证方法提升对标识的信任并缓解模拟攻击。
身份分析：使用多个预配置报告来监控对关键数据的访问并满足合规性要求。

AD360 允许用户快速访问所需资源，同时建立严格的访问控制，确保从集中式控制台跨本地 Active Directory、Exchange 服务器和云应用程序的安全性，从而帮助您简化 IT 环境中的 IAM。