身份和访问管理有哪些重大风险

潘艺全

在评估身份和访问管理（IAM）平台时，你会发现，其好处远远超过缺点。这就是说，在设计IAM部署和持续维护流程时，只需要考虑少数身份和访问管理风险。例如，当你开始集中管理用户名和身份验证机制时，需要注意，该流程会带来很大的安全风险。

因此，需要在IAM部署的開始时就考虑安全性。这包括必要的防火墙和入侵防御系统IPS防护，制定严格的访问政策，以严格限制谁有权管理平台。

另一个潜在的问题是确定管理员如何管理企业内基于角色的访问控制（RBAC）。管理员通常采用RBAC方法来根据用户访问类似资源的需要，将多个用户捆绑到用户组。虽然采用访问组的做法，可减少需要创建和维护的访问政策数量，但很多企业将过多的用户集中到一个组中，其结果是有些用户被授予权限访问他们不需要的应用程序和服务。

在最好的情况下，这只会导致用户访问不够严格；在最坏的情况下，这可能导致不适当的职责分离，也可能导致访问控制不合规。

最后，在部署IAM时，请务必制定政策，要求定期进行访问控制审计。随着用户角色的转变，这些用户组的访问权限也应该改变。此外，当用户职位改变时，请确保撤消所有先前的访问权限。

这种审计流程可降低身份和访问管理风险，并带来两个重要好处：首先，它会有详细记录的流程供IT部门遵循；其次，它将迫使IT管理员了解用户执行其特定职责所需的应用程序和服务。