September 29, 2023
Regulaarne puhastamine on osa kõigist kontohalduse ja turvalisuse parimatest tavadest, mitte ainult pilvekeskkondade jaoks. Meie ajaveebi postitus mitteaktiivsete identiteetide tuvastamise kohta, vaatasime IBM Cloud Identity and Access Management (IAM) pakutavaid API-sid ja seda, kuidas neid kasutada IAM-i identiteetide ja API-võtmete üksikasjade hankimiseks. Mõned lugejad andsid tagasisidet ja küsisid, kuidas tuvastatud mitteaktiivsete identiteetide puhul edasi toimida ja tegutseda.
Vastuseks kirjeldame võimalikke meetmeid. Näitame, kuidas olemasolevaid õigusi leida ja tühistada ning millega arvestada. Lisaks arutame, kuidas saab erinevaid identiteeditüüpe kontolt eemaldada. Pakume ka juhiseid nende haldustoimingute skriptimiseks ja võimalusel automatiseerimiseks.
Kokkuvõte: passiivsed identiteedid
IBM Cloud Identity and Access Management (IAM) toetab identiteedi erinevad vormid. Need hõlmavad kasutajaid ja teenuse ID-sid – nii seotud API-võtmetega – kui ka usaldusväärseid profiile. Kui sellist identiteeti või sellega seotud API-võtit ei ole määratud aja jooksul autentimiseks kasutatud, loetakse see passiivseks.
IBM Cloud IAM pakub funktsionaalsus mitteaktiivsete identiteetide aruannete loomiseks. Vaikimisi loetakse identiteedid passiivseks, kui nad pole sisse loginud või neid pole kasutatud 30 päeva jooksul. Aruande loomisel API või SDK abil saate määrata muud ajaraamid (nt 90 päeva).
Mitteaktiivsed identiteedid kujutavad endast turvariski, kuna neid ei pruugita enam hooldada ja neid on lihtsam rünnata. Turvalisuse parandamiseks peaksite mitteaktiivsete identiteetide juurdepääsuõigused tühistama ja võib-olla isegi pilvekontolt täielikult eemaldama.
Spetsiaalsete identiteetidega, mida kasutatakse ainult kvartaalseks või aastaseks töötlemiseks (mis on meie hinnangul halb turvakujundus), on aga operatsioonirisk. Kui need puhastatakse, võivad nendega seotud ülesanded ebaõnnestuda. Seda stsenaariumi saab lahendada, jälgides, kuidas passiivsed identiteedid ja nende õigused puhastatakse.
Automaatne puhastus
Avastatud passiivsete identiteetide puhul saab tegutseda käsitsi, kuid tõhususe ja turvalisuse suurendamiseks tuleks see automatiseerida. Nii käsitsi kui ka automaatne puhastamine võib järgida järgmist protsessi:
- Looge ja hankige a aruanne mitteaktiivsete identiteetide kohta soovitud kuupäevavahemiku jaoks.
- Võrrelge teatatud identiteete vabastatud ID-de loendiga.
- Silmus üle iga vabastamata identiteedi ja eemaldage see kõigist IBM Cloud IAM-i juurdepääsurühmadest. Samuti veenduge, et ei otse antud load olemas.
- Mine üle leitud API võtmed ja kustutage need.
Kõigi sammude puhul logige auditi ja täiustuste tulemused ja toimingud.
Sõltuvalt teie ettevõtte poliitikast võiksite puhastada kord kuus või kord kvartalis. Millal käivitab aruande genereerimise Esimeses etapis saate määrata kestuse (vahemiku tundides), mille puhul loetakse mitteaktiivseks. Et vältida oluliste identiteetide sulgemise ohtu, peaksite säilitama loendi või andmebaasi identiteetidega, mis on puhastamisest välja jäetud (samm 2 ülal). Seda loendit saab kasutada ka erinevate poliitikate (nt igakuised või kvartalikontrollid) eristamiseks.
Iga leitud passiivse identiteedi (nt kasutajad, teenuse ID-d, usaldusväärsed profiilid) töötlemisel on määratud privileege üsna lihtne tühistada. IBM Cloud IAM pakub a REST API koos DELETE-ga, et eemaldada IAM-identiteet kõigist seotud juurdepääsurühmadest (Eespool 3. samm, vt allolevat ekraanipilti).
Kui järgite parimaid tavasid, tuleks õigusi määrata ainult juurdepääsurühmade kaudu, mitte otse. Saate seda reeglit kontrollida, laadides alla IAM-i identiteedile otse antud õiguste loend. Kui selline privileeg (juurdepääsu halduspoliitika) leitakse, on olemas API selle reegli kustutamiseks (3. samm). Näete meie ajaveebi postitust "IBM Cloudi turvalisus: kuidas puhastada kasutamata juurdepääsupoliitikat” lisateabe saamiseks.
Mitteaktiivsete identiteetide aruanne sisaldab ka jaotist API võtmete kohta. API võtmed on seotud kas kasutaja või teenuse ID-ga. Küsimus on selles, kui kiiresti need puhastada API võtme kustutamine. Sarnaselt identiteedilt õiguste eemaldamisega võib seotud API-võtme kustutamine rakendusi rikkuda. Otsustage, mis on teie pilvekeskkonna jaoks parim ja vastab ettevõtte standarditele.
Ülaltoodud puhastusetappe saab skriptida ja käsitsi käivitada. Samuti saate puhastamise automatiseerida, kasutades lähenemist, mis sarnaneb selles kirjeldatule ajaveebi postitus automatiseeritud andmete kraapimise kohta. Kasutama IBM Cloud Code Engine croni tellimusega, et käivitada käivitamine määratud kuupäevadel või intervallidega:
Kasutajad, teenuse ID-d ja usaldusväärsed profiilid
Eespool arutasime, kuidas mitteaktiivsetelt identiteetidelt õigusi tühistada. Konto edasiseks puhastamiseks ja turvalisuse suurendamiseks peaksite kaaluma kasutamata teenuse ID-de ja usaldusväärsete profiilide kustutamist ning kasutajate eemaldamist kontolt. Need toimingud võivad olla järelmeetmed pärast lubade eemaldamist – kui on selge, et neid identiteete pole enam vaja. Lisaks võite perioodiliselt loetlege kõik kasutajad ja kontrollige nende osariigid. Eemaldage oma kontolt kasutajad, kelle olek on kehtetu, peatatud või (tüüpi) kustutatud.
IBM Cloudil on API funktsioonid kasutaja kontolt eemaldamine, Et kustutage teenuse ID ja sellega seotud API võtmed ja kustutage usaldusväärne profiil.
Järeldused
Regulaarne konto puhastamine on osa konto haldamise ja turvalisuse parimatest tavadest, mitte ainult pilvekeskkondade jaoks. Meie ajaveebi postitus mitteaktiivsete identiteetide tuvastamise kohta, vaatasime IBM Cloud Identity and Access Management (IAM) pakutavaid API-sid ja seda, kuidas neid kasutada IAM-i identiteetide ja API-võtmete üksikasjade hankimiseks.
Selles ajaveebi postituses arutasime lähenemisviisi, kuidas automaatselt puhastada praegu passiivsetele identiteetidele antud privileege. Oluline on märkida, et rakenduste ja töökoormuste tööshoidmiseks on vaja teatud majapidamistöid (auditi) logide ja vabastatud identiteetide loendi kujul. Selles mõttes tee seda, aga ära pinguta üle.
Lisateabe saamiseks vaadake neid ajaveebi postitusi ja teenuse dokumentatsiooni:
Kui teil on selle postituse kohta tagasisidet, ettepanekuid või küsimusi, võtke minuga Twitteris ühendust (@data_henrik), Mastodon (@data_henrik@mastodon.social) Või LinkedIn.
Rohkem Cloudist
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.ibm.com/blog/ibm-cloud-inactive-identities-ideas-for-automated-processing/
- :on
- :on
- :mitte
- $ UP
- 1
- 19
- 2023
- 2024
- 26
- 28
- 29
- 30
- 300
- 31
- 400
- 50
- 53
- 9
- 90
- a
- MEIST
- üle
- kiirendab
- juurdepääs
- juurdepääsu haldamine
- Vastavalt
- konto
- täpsus
- üle
- tegu
- meetmete
- lisatud
- Täiendavad lisad
- Tooteinfo
- Lisaks
- aadress
- adresseeritud
- haldamine
- haldus-
- reklaam
- pärast
- vastu
- AI
- Materjal: BPA ja flataatide vaba plastik
- Ka
- amp
- an
- analytics
- ja
- Kuulutades
- aastane
- mistahes
- API
- API-liidesed
- taotlus
- rakendused
- lähenemine
- apps
- OLEME
- ümber
- artikkel
- kunstlik
- tehisintellekti
- Tehisintellekt (AI)
- AS
- määratud
- seotud
- At
- rünnak
- audit
- autentida
- autor
- automatiseerima
- Automatiseeritud
- automaatselt
- kättesaadavus
- vältima
- tagasi
- Varundamine
- varukoopiaid
- Halb
- BE
- sest
- olnud
- enne
- Algus
- alanud
- on
- alla
- BEST
- parimaid tavasid
- vahel
- Miljard
- Blogi
- Blogi postitused
- blogid
- mõlemad
- Murdma
- BRIDGE
- Toomine
- äri
- Business Applications
- ettevõtted
- kuid
- by
- CAN
- võimeid
- Võimsus
- süsinik
- kaart
- Kaardid
- autod
- juhtudel
- CAT
- Vaidluste lahendamine
- kontrollima
- Kontroll
- SRÜ
- klass
- selge
- kliendid
- Cloud
- Cloud Security
- kood
- värv
- arvuti
- Murettekitav
- Võta meiega ühendust
- Side
- Arvestama
- kaaluda
- tarbimine
- Konteiner
- sisu
- jätkama
- kontrollida
- Korporatiivne
- Korrelatsioon
- Maksma
- võiks
- looma
- loomine
- loomine
- CSS
- tava
- klient
- Dallas
- andmed
- andmebaas
- andmebaasid
- kuupäev
- Kuupäevad
- Päeva
- otsustama
- vaikimisi
- mõisted
- tarnima
- edastamine
- Nõudlus
- lähetatud
- kirjeldama
- kirjeldus
- Disain
- kavandatud
- soovitud
- detailid
- arendaja
- erinev
- digitaalne
- otsene
- suunad
- otse
- katastroof
- avastasin
- arutama
- arutatud
- eristama
- DNS
- do
- dokumentatsioon
- teeme
- tehtud
- Ära
- alla
- kestus
- e
- iga
- lihtsam
- lihtne
- väljaanne
- efektiivsus
- kumbki
- smirgel
- suurendama
- suurendamine
- sisene
- ettevõte
- ettevõtete
- täielikult
- keskkond
- keskkondades
- oluline
- Eeter (ETH)
- Isegi
- näide
- erutatud
- välja jäetud
- täitmine
- vabastatud
- eksisteerima
- olemasolevate
- Väljapääs
- Avastades
- FAIL
- õiglaselt
- tagasiside
- leidma
- järeldused
- esimene
- järgima
- Järel
- fonte
- eest
- vorm
- vormid
- avastatud
- Alates
- täielikult
- funktsionaalsus
- funktsioonid
- edasi
- põlvkond
- generaator
- annab
- Globaalne
- läheb
- antud
- võre
- Grupi omad
- Olema
- kõrgus
- aitama
- Lahtiolekuajad
- Kuidas
- Kuidas
- aga
- http
- HTTPS
- IAM
- IBM
- IBM Cloud
- ICO
- ICON
- ID
- ideid
- identiques
- tuvastatud
- identifitseerimiseks
- identiteedid
- Identity
- identiteedi ja juurdepääsu haldamine
- Identiteedi- ja juurdepääsuhaldus (IAM)
- IDd
- if
- pilt
- hädavajalik
- täitmine
- oluline
- parandama
- paranenud
- parandusi
- in
- inaktiivne
- sisaldama
- hõlmab
- kasvav
- indeks
- tööstusharudes
- info
- Infrastruktuur
- kindlustus
- Intelligentsus
- Internet
- sisemine
- Tutvustab
- isolatsioon
- IT
- ITS
- jpg
- lihtsalt
- hoidma
- pidamine
- Võti
- võtmed
- Laps
- suur
- panema
- Õppida
- nagu
- nimekiri
- locale
- logi
- loginud
- enam
- Vaatasin
- vähendada
- säilitada
- hooldus
- tegema
- mees
- juhitud
- juhtimine
- juht
- käsiraamat
- käsitsi
- Märts
- märtsil 1
- Paksunahaline
- max laiuse
- mai..
- võib olla
- me
- tähendusrikas
- vastab
- võib
- minutit
- protokoll
- mobiilne
- mudel
- MongoDB
- järelevalve
- igakuine
- Pealegi
- kõige
- loodus
- NAVIGATSIOON
- Vajadus
- vaja
- vajadustele
- võrk
- võrgustikud
- Uus
- ei
- meeles
- mitte midagi
- nüüd
- saama
- of
- pakutud
- pakkumine
- Pakkumised
- sageli
- on
- jätkuv
- ainult
- töökorras
- Arvamus
- optimeeritud
- or
- Muu
- meie
- välja
- tulemusi
- üle
- ülevaade
- lehekülg
- osa
- minevik
- Lappimine
- Inimesed
- Õigused
- PHP
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- plugin
- Punkt
- Poliitika
- poliitika
- populaarne
- positsioon
- võimalik
- võimalik
- post
- Postitusi
- tavad
- preemia
- privileeg
- privileegid
- Probleem
- jätkama
- protsess
- töötlemine
- Produktsioon
- profiil
- profiilid
- anda
- tingimusel
- tarnija
- annab
- küsimus
- Küsimused
- valik
- jõudma
- lugejad
- Lugemine
- põhjustel
- hiljuti
- soovitused
- taastumine
- reguleeritud
- kõrvaldama
- Eemaldatud
- eemaldades
- asendatakse
- aru
- Teatatud
- Aruanded
- nõudma
- Nõuded
- vastus
- vastuste
- tundlik
- taastama
- tulu
- Oht
- tee
- robotid
- Eeskiri
- jooks
- jooksmine
- sama
- stsenaarium
- Ekraan
- käsikiri
- skripte
- SDK
- Osa
- turvalisus
- vaata
- tunne
- seo
- September
- teenus
- komplekt
- seitse
- peaks
- näitama
- sarnane
- site
- Saidid
- So
- mõned
- Varsti
- eriline
- Sponsorite
- standardite
- algus
- riik
- Samm
- Sammud
- eemaldamine
- tugev
- võitlus
- tellimine
- selline
- komplekt
- toetama
- Toetab
- kindel
- peatatud
- Šveitsi
- Tablett
- lahendada
- Võtma
- võtnud
- võtmine
- ülesanded
- et
- .
- maailm
- oma
- Neile
- teema
- Seal.
- Need
- nad
- see
- need
- Läbi
- aeg
- Kapslid
- et
- ülemine
- koolitus
- vallandada
- Usalda
- Usaldatud
- puperdama
- tüüp
- liigid
- kasutamata
- avalikustama
- URL
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- ära kasutama
- kasutades
- muutuja
- sort
- kontrollima
- väga
- vmware
- W
- jalutamine
- tahan
- we
- Hästi
- olid
- M
- Mis on
- millal
- mis
- lai
- will
- koos
- naine
- WordPress
- maailm
- kirjalik
- sa
- Sinu
- sephyrnet