#xff08;VPN#xff09;

基础结构和传统安全模型的组织可以更轻松地验证和授权企业网络内的所有内容包括设备、用户、应用程序和服务器。

尝试从公司网络外部获取访问权限的用户使用虚拟专用网络

VPN

进行身份验证。

随着云和远程工作的日益普及新的企业架构正在重新定义边界。

数据还存储在公司墙外用户可以通过公司网络外部位置的各种类型的设备访问位于云上的企业应用程序以及公司网络内部。

随着网络的传统边界具有已知的入口和出口点转变为边界线较软的东西标识被视为新的网络边界。

随着混合云的采用和访问方式的日益增加身份管理将变得更加重要。

NIST将混合云定义为“由本地基础架构、私有云服务和公共云组成的混合计算、存储和服务环境并在各种平台之间进行编排。

它的主要好处是敏捷性。

云基础架构由云服务提供商

CSP

拥有、管理和监控云服务提供商对其云托管基础架构中的数据安全功能和服务拥有相当大的控制权。

一些服务提供商并不总是对其业务决策保持透明这可能会对其客户的运营产生不利影响。

随着公司开始进行应用程序和数据现代化他们应该考虑使用混合云因为它可以平衡两个平台的应用程序和数据工作负载。

混合部署包括云和本地的优势。

它们将云的创新、速度、存储和可扩展性以及本地的法规遵从性、性能和数据引力整合到一个盘片中。

使用分布在多个数据中心和云中的工作负载运营的组织需要跟上数字化转型和

安全方面的新兴趋势。

混合云部署可能是有益的因为它可以有效地提高性能、灵活性和安全性。

服务。

企业必须战略性地利用其资源以便所有基础架构、应用程序、数据、云和本地部署都是安全的并针对业务连续性进行优化。

在这些情况下全球企业通常更喜欢混合应用程序来优化数据放置。

部署混合云模型时要记住的关键因素是

组织应从构建混合云战略的路线图开始这包括选择将哪些应用程序和工作负载放置在云中哪些应用程序和工作负载保留在本地以获得可伸缩性、更好的性能和可用性。

在制定路线图时应考虑现有的IT基础设施布局这可确保在云迁移不成功的情况下提供业务关键功能。

从云运营模型中提取实时数据并使用基于机器学习的解决方案进行分析可以让组织完全控制其数据、应用程序和工作负载它可以帮助提高业务敏捷性同时确保数据安全。

大多数情况下云部署不会成功因为缺乏训练有素的专业人员他们具有能够执行技术操作的正确技能和专业知识组织应引入训练有素的技术和服务提供商他们可以帮助组织成功实施混合部署同时确保业务连续性。

根据Cybersecurity

Insiders进行的研究滥用员工凭据和不当访问控制占未经授权的网络访问的42%。

未经授权的访问被认为是云安全的最大漏洞这就是为什么部署专为混合云安全设计的全面安全管理工具至关重要的原因。

使用正确的工具可以从单个控制台管理和监控所有云应用程序和网关。

只需使用

即可在本地基础架构中管理身份、身份验证和访问。

但是在云中IT部门很难监控哪些用户正在访问哪些应用程序和服务。

因此大多数组织采取实用的方法并采用更多的软件即服务

SaaS

应用程序。

许多组织将其现有应用程序升级到云版本并在可能的情况下停用过时的本地和旧版本。

由于部分工作负载位于本地数据中心之外混合企业应专注于确保对每个用户、应用程序和设备的安全访问无论其位置如何。

此访问应与上下文相关这允许

管理员根据位置、IP

地址、设备等为用户创建访问策略。

换句话说在云之旅中取得成功的唯一方法是部署正确的身份和访问管理

IAM

的组织通常不会将其传统技术迁移到云平台因为这会带来许多挑战。

相反其中许多组织通过混合选项启动向云的迁移。

旧版本地和云

IAM

供应商现在正在尝试提供混合身份解决方案。

混合云身份和访问管理解决方案包括本地和基于云的系统并使用通用的授权方法。

虽然这些供应商拥有专为纯本地工作负载构建的高级解决方案但其等效的混合云

IAM

解决方案集成。

为了解决数据管理和安全性等问题大中型企业更愿意选择这种方法。

IDaaS随着用户数量的迅速增加以身份即服务

IDaaS

为中心的供应商有助于利用云身份效率以及管理云的网络效应。

计划过渡到云并保持最小的本地占用空间的组织必须在其安全体系结构中启用基于云的身份验证。

某些遗留应用程序无法按照现代标准重新设计。

在这种情况下组织应该能够将

IDaaS

优势集成到其旧版应用程序中。

这种方法称为云优先混合可以减轻组织在初始部署之前执行工作负载大小调整的负担。

对于各种云部署模型组织需要实施适当的访问策略以确保数据安全。

在不断发展的混合环境中传统的

IAM

策略是不够的。

为了应对这一挑战组织必须以混合身份管理为中心构建统一的安全策略。

混合IAM应侧重于三个主要目标

验证尝试跨私有云、公有云或本地数据中心访问组织资源的每个用户并提供安全访问权限。

实施与最低特权访问控制集成的实时配置并限制对业务关键型资产的访问这种精细的访问控制对于防止攻击者横向移动至关重要。

检查网络流量是否存在恶意活动或异常以防止攻击连接到网络的所有用户和设备都应进行实时监视并根据上下文访问策略在检测到异常时应撤销访问权限。

随着组织迁移到云组织的大量数据会迁移到公司边界之外。

若要构建能够承受云基础结构动态挑战的安全框架采用零信任安全模型非常重要。

IAM

基于“从不信任始终验证”的概念零信任原则解决了与远程工作、云采用和自带设备

BYOD

相关的安全问题。

组织需要监视网络并验证尝试访问公司资源的每个用户。

零信任通过实时上下文身份验证增加了额外的安全性其中持续监视用户或实体以根据基准风险评分评估风险。

如果出现异常或恶意行为它可以根据需要触发重新身份验证。

当敏感应用程序和关键数据跨系统本地和云中放置时将数据分段为微边界或微段非常重要。

这减少了攻击面并保护组织数据免受恶意软件和漏洞的风险。

云采用可促进开始现代化计划的组织的数字化转型。

决定哪些工作负载移动到云以及哪些工作负载保留在本地至关重要。

为了确保安全的数据访问管理组织必须通过评估他们希望迁移到云的工作负载的关键性来执行适当的数据评估。

如果组织在数据泄露期间未能保护包含敏感数据的工作负载则利用这些工作负载可能会造成严重破坏。

实现零信任安全模型有多个阶段。

一个好的起点是为所有应用程序和设备启用

MFA

和密码登录来确保无缝的身份验证体验从而减少攻击面。

最佳做法是应实施启用

MFA

定义安全边界由于数据和工作负载分布在本地和云之间因此资源丰富的威胁参与者可以轻松访问关键信息。

这种未定义的安全边界增加了入口点和攻击面使黑客能够轻松访问组织的网络。

应进行用户和设备标识以实现适当的安全和访问控制。

使用强身份验证方法各种密码攻击方法用于未经授权访问用户帐户。

这就是为什么根据NIST等机构的建议实施强密码策略以防止不良行为者滥用用户信息和应用程序至关重要的原因。

更好的选择是实施

MFA

策略如果第一道防线受到威胁该策略将充当第二道防线。

利用集中式身份和访问管理系统在混合部署中建议从单个控制台管理所有用户帐户和设备。

这有助于

管理员监控其网络并轻松检测异常。

强制实施最小特权原则最小特权原则强制实施最低级别的用户权限以确保任何应用程序或用户都没有对业务关键型资源具有未经授权的权限。

使用

SIEM

监视和保护混合环境若要全面监视混合环境组织必须实施持续记录和分析数据的系统信息和事件监视

SIEM

轻松同时为多个用户配置、修改和取消配置帐户和邮箱。

使用可自定义的用户创建模板并从

CSV

和自助密码管理AD360的SSO功能使最终用户无需记住多个密码这使他们不必多次登录不同的应用程序。

AD360

MFA

设置中发生特定操作时向管理员发送自定义消息。

这些警报可以包括有关触发警报的操作的严重性、执行操作的人员、操作发生时间等的信息。

这样可以轻松确定警报的优先级并对其执行操作。

凭借其用户行为分析UBA功能AD360使用机器学习来创建特定于每个用户的典型操作基线以准确检测异常行为和威胁。

如何满足

检测、调查和缓解恶意登录、横向移动、恶意软件攻击和权限滥用等威胁、自动响应威胁。

身份自动化消除冗余和人为错误并通过自动执行用户预配、陈旧帐户清理和其他与身份相关的任务来改进业务流程。

身份生命周期管理在用户的整个生命周期从配置到角色更改和取消配置中简化身份管理。

多重身份验证使用生物识别、身份验证器应用和其他高级身份验证方法提升对标识的信任并缓解模拟攻击。

身份分析使用多个预配置报告来监控对关键数据的访问并满足合规性要求。

AD360

允许用户快速访问所需资源同时建立严格的访问控制确保从集中式控制台跨本地

Active