سپتامبر 29، 2023
پاکسازی منظم بخشی از بهترین شیوه های مدیریت حساب و امنیت است، نه فقط برای محیط های ابری. در ما پست وبلاگ در مورد شناسایی هویت های غیرفعال، ما به API های ارائه شده توسط IBM Cloud Identity and Access Management (IAM) و نحوه استفاده از آنها برای به دست آوردن جزئیات هویت IAM و کلیدهای API نگاه کردیم. برخی از خوانندگان بازخورد ارائه کردند و در مورد چگونگی ادامه و اقدام در مورد هویت های غیرفعال شناسایی شده پرسیدند.
در پاسخ، ما گامهای ممکن را برای برداشتن ارائه میکنیم. ما نشان می دهیم که چگونه می توان امتیازات موجود را پیدا کرد و لغو کرد و چه مواردی را در نظر گرفت. علاوه بر این، در مورد چگونگی حذف انواع هویت های مختلف از یک حساب بحث می کنیم. ما همچنین دستورالعملهایی در مورد نحوه اسکریپتنویسی و احتمالاً خودکار کردن این وظایف اداری ارائه میدهیم:
خلاصه: هویت های غیرفعال
IBM Cloud Identity and Access Management (IAM) پشتیبانی می کند اشکال مختلف هویت. آنها شامل کاربران و شناسههای سرویس - هر دو با کلیدهای API مرتبط - و همچنین نمایههای قابل اعتماد هستند. هنگامی که چنین هویت یا یک کلید API مرتبط برای مدت زمان مشخصی برای احراز هویت استفاده نشده باشد، غیر فعال در نظر گرفته می شود.
IBM Cloud IAM فراهم می کند قابلیت ایجاد گزارش در مورد هویت های غیرفعال. بهطور پیشفرض، هویتها زمانی غیرفعال در نظر گرفته میشوند که به مدت 30 روز وارد سیستم نشده باشند یا از آن استفاده نکرده باشند. هنگام ایجاد گزارش با استفاده از API یا SDK، میتوانید بازههای زمانی دیگری (مثلاً 90 روز) را مشخص کنید.
هویتهای غیرفعال یک خطر امنیتی هستند زیرا ممکن است دیگر نگهداری نشوند و حمله به آنها آسانتر باشد. برای بهبود امنیت، باید امتیازات دسترسی را از هویتهای غیرفعال لغو کنید و حتی شاید به طور کامل آنها را از حساب ابری حذف کنید.
با این حال، یک ریسک عملیاتی با هویت های خاص وجود دارد که فقط برای پردازش های فصلی یا سالانه استفاده می شود (که به نظر ما طراحی امنیتی بدی است). در صورت پاکسازی، وظایف مرتبط آنها ممکن است شکست بخورد. این سناریو را میتوان با بررسی نحوه پاکسازی هویتهای غیرفعال و امتیازات آنها بررسی کرد.
پاکسازی خودکار
اقدام بر روی هویتهای غیرفعال کشفشده میتواند به صورت دستی انجام شود، اما برای کارایی و امنیت بهتر باید خودکار شود. هم پاکسازی دستی و هم پاکسازی خودکار میتواند فرآیندی مانند زیر را دنبال کند:
- a را ایجاد و بازیابی کنید گزارش هویت های غیرفعال برای محدوده تاریخ مورد نظر
- هویت های گزارش شده را با لیستی از شناسه های معاف شده بررسی کنید.
- حلقه روی هر هویت غیر مستثنی شده و آن را از تمام گروه های دسترسی IBM Cloud IAM حذف کنید. همچنین مطمئن شوید که خیر به طور مستقیم مجوز داده شده است وجود دارد
- برو پیدا شد کلیدهای API و حذف آنها.
برای تمام مراحل، یافته ها و اقدامات انجام شده برای حسابرسی و بهبودها را ثبت کنید.
بسته به سیاست های شرکتی خود، ممکن است بخواهید ماهانه یا سه ماهه پاکسازی کنید. چه زمانی ایجاد گزارش در مرحله اول، می توانید مدت زمان (محدوده بر حسب ساعت) را برای مواردی که به عنوان غیرفعال در نظر گرفته شوند، مشخص کنید. برای جلوگیری از خطر بسته شدن هویت های مهم، باید یک لیست یا پایگاه داده با هویت هایی که از پاکسازی حذف شده اند نگهداری کنید (مرحله 2 در بالا). این لیست همچنین می تواند برای تمایز بین سیاست های مختلف مانند چک های ماهانه یا سه ماهه استفاده شود.
هنگام پردازش هر هویت غیرفعال یافت شده (به عنوان مثال، کاربران، شناسه های سرویس، نمایه های مورد اعتماد)، لغو امتیازات اختصاص داده شده نسبتاً آسان است. IBM Cloud IAM a REST API با DELETE برای حذف هویت IAM از همه گروههای دسترسی مرتبط (مرحله 3 در بالا، تصویر زیر را ببینید).
در صورت پیروی از بهترین شیوهها، مجوزها فقط باید از طریق گروههای دسترسی و نه مستقیماً اختصاص داده شوند. شما می توانید این قانون را با بازیابی آن تأیید کنید فهرستی از امتیازات اعطا شده مستقیم برای هویت IAM. اگر چنین امتیازی (سیاست مدیریت دسترسی) یافت شود، وجود دارد API برای حذف آن خط مشی (مرحله 3). می توانید پست وبلاگ ما را ببینید "امنیت IBM Cloud: نحوه پاکسازی خطمشیهای دسترسی استفاده نشده” برای اطلاعات بیشتر
گزارش مربوط به هویتهای غیرفعال شامل بخش کلیدهای API نیز میشود. کلیدهای API با شناسه کاربر یا سرویس مرتبط هستند. سوال این است که چقدر زود باید آنها را تمیز کرد حذف کلید API. مانند حذف امتیازات از یک هویت، حذف یک کلید API مرتبط ممکن است برنامه ها را خراب کند. تصمیم بگیرید که چه چیزی برای محیط ابری شما بهترین است و با استانداردهای شرکت مطابقت دارد.
مراحل پاکسازی بالا را می توان اسکریپت کرد و به صورت دستی اجرا کرد. همچنین میتوانید با اتخاذ رویکردی مشابه آنچه در این توضیح میدهیم، پاکسازی را خودکار کنید پست وبلاگ در مورد خراش دادن خودکار داده ها. استفاده از IBM Cloud Code Engine با اشتراک cron برای شروع اجرا در تاریخ ها یا فواصل تعیین شده:
کاربران، شناسه های خدمات و نمایه های مورد اعتماد
در بالا، نحوه لغو امتیازات از هویت های غیرفعال را مورد بحث قرار دادیم. برای پاکسازی بیشتر حساب و افزایش امنیت، باید شناسه های سرویس استفاده نشده و نمایه های مورد اعتماد را حذف کنید و کاربران را از حساب حذف کنید. این اقدامات می تواند پس از سلب مجوزها - زمانی که مشخص باشد که دیگر به آن هویت ها نیازی نیست - ادامه یابد. علاوه بر این، شما می توانید دوره ای لیست همه کاربران و بررسی ایالت های آنها. کاربرانی را که وضعیت نامعتبر، معلق یا (نوعی) حذف شده دارند از حساب خود حذف کنید.
IBM Cloud دارای توابع API است حذف یک کاربر از یک حساب، به شناسه سرویس و کلیدهای API مرتبط با آن را حذف کنید و به یک نمایه مورد اعتماد را حذف کنید.
نتیجه گیری
پاکسازی منظم حساب بخشی از مدیریت حساب و بهترین شیوه های امنیتی است، نه فقط برای محیط های ابری. در ما پست وبلاگ در مورد شناسایی هویت های غیرفعال، ما به API های ارائه شده توسط IBM Cloud Identity and Access Management (IAM) و نحوه استفاده از آنها برای به دست آوردن جزئیات هویت IAM و کلیدهای API نگاه کردیم.
در این پست وبلاگ، رویکردی را در مورد چگونگی پاکسازی خودکار امتیازاتی که به هویتهای غیرفعال اعطا میشد، مورد بحث قرار دادیم. توجه به این نکته حائز اهمیت است که برای اجرای برنامهها و بارهای کاری شما به برخی از خانهداری در قالب گزارشهای (حسابرسی) و فهرستی از هویتهای معاف نیاز است. از این نظر، این کار را انجام دهید، اما زیاده روی نکنید.
برای اطلاعات بیشتر به این پست های وبلاگ و اسناد خدمات مراجعه کنید:
اگر بازخورد، پیشنهاد یا سؤالی در مورد این پست دارید، لطفاً در توییتر با من تماس بگیرید (@data_henrik)، ماستودون (@data_henrik@mastodon.social) و یا لینک.
موارد بیشتر از Cloud
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.ibm.com/blog/ibm-cloud-inactive-identities-ideas-for-automated-processing/
- : دارد
- :است
- :نه
- $UP
- 1
- 19
- 2023
- 2024
- 26
- 28
- 29
- 30
- 300
- 31
- 400
- 50
- 53
- 9
- 90
- a
- درباره ما
- بالاتر
- تسریع می شود
- دسترسی
- مدیریت دسترسی
- مطابق
- حساب
- دقت
- در میان
- عمل
- اقدامات
- اضافه
- اضافی
- اطلاعات اضافی
- علاوه بر این
- نشانی
- خطاب
- حکومت
- اداری
- تبلیغات
- پس از
- در برابر
- AI
- معرفی
- همچنین
- amp
- an
- علم تجزیه و تحلیل
- و
- اعلام كردن
- سالیانه
- هر
- API
- رابط های برنامه کاربردی
- کاربرد
- برنامه های کاربردی
- روش
- برنامه های
- هستند
- دور و بر
- مقاله
- مصنوعی
- هوش مصنوعی
- هوش مصنوعی (AI)
- AS
- اختصاص داده
- مرتبط است
- At
- حمله
- حسابرسی
- تصدیق کردن
- نویسنده
- خودکار بودن
- خودکار
- بطور خودکار
- دسترس پذیری
- اجتناب از
- به عقب
- پشتیبان گیری
- پشتیبان گیری
- بد
- BE
- زیرا
- بوده
- قبل از
- شروع
- شروع شد
- بودن
- در زیر
- بهترین
- بهترین شیوه
- میان
- بیلیون
- بلاگ
- پست های وبلاگ
- وبلاگ ها
- هر دو
- شکستن
- بریج
- آوردن
- کسب و کار
- برنامه های تجاری
- کسب و کار
- اما
- by
- CAN
- قابلیت های
- ظرفیت
- کربن
- کارت
- کارت ها
- اتومبیل
- موارد
- CAT
- تبادل
- بررسی
- چک
- CIS
- کلاس
- واضح
- مشتریان
- ابر
- امنیت ابر
- رمز
- رنگ
- کامپیوتر
- نگرانی ها
- اتصال
- اتصال
- در نظر بگیرید
- در نظر گرفته
- مصرف
- ظرف
- محتوا
- ادامه دادن
- کنترل
- شرکت
- ارتباط
- هزینه
- میتوانست
- ایجاد
- ایجاد
- ایجاد
- CSS
- سفارشی
- مشتری
- دالاس
- داده ها
- پایگاه داده
- پایگاه های داده
- تاریخ
- تاریخ
- روز
- تصمیم گیری
- به طور پیش فرض
- تعاریف
- ارائه
- تحویل
- تقاضا
- مستقر
- توصیف
- شرح
- طرح
- طراحی
- مطلوب
- جزئیات
- توسعه دهنده
- مختلف
- دیجیتال
- مستقیم
- جهت ها
- مستقیما
- فاجعه
- کشف
- بحث و تبادل نظر
- بحث کردیم
- تمیز دادن
- دی ان اس
- do
- مستندات
- عمل
- انجام شده
- آیا
- پایین
- مدت
- e
- هر
- آسان تر
- ساده
- چاپ
- بهره وری
- هر دو
- سنگ سنباده
- بالا بردن
- افزایش
- وارد
- سرمایه گذاری
- شرکت
- به طور کامل
- محیط
- محیط
- ضروری است
- اتر (ETH)
- حتی
- مثال
- برانگیخته
- محروم
- اعدام
- معاف
- وجود داشته باشد
- موجود
- خروج
- بررسی
- FAIL
- منصفانه
- باز خورد
- پیدا کردن
- یافته ها
- نام خانوادگی
- به دنبال
- پیروی
- فونت
- برای
- فرم
- اشکال
- یافت
- از جانب
- کاملا
- قابلیت
- توابع
- بیشتر
- نسل
- ژنراتور
- می دهد
- جهانی
- رفتن
- اعطا شده
- توری
- گروه ها
- آیا
- ارتفاع
- کمک
- ساعت ها
- چگونه
- چگونه
- اما
- HTTP
- HTTPS
- IAM
- آی بی ام
- IBM Cloud
- ICO
- ICON
- ID
- ایده ها
- یکسان
- شناسایی
- شناسایی
- هویت ها
- هویت
- هویت و مدیریت دسترسی
- مدیریت هویت و دسترسی (IAM)
- شناسه
- if
- تصویر
- امری ضروری
- پیاده سازی
- مهم
- بهبود
- بهبود یافته
- ارتقاء
- in
- غیر فعال
- شامل
- شامل
- افزایش
- شاخص
- لوازم
- اطلاعات
- شالوده
- بیمه
- اطلاعات
- اینترنت
- ذاتی
- معرفی می کند
- انزوا
- IT
- ITS
- JPG
- تنها
- نگاه داشتن
- نگهداری
- کلید
- کلید
- نوع
- بزرگ
- غیر روحانی
- یاد گرفتن
- پسندیدن
- لینک
- فهرست
- محل
- ورود به سیستم
- سیستم وارد
- دیگر
- نگاه
- کاهش
- حفظ
- نگهداری
- ساخت
- مرد
- اداره می شود
- مدیریت
- مدیر
- کتابچه راهنمای
- دستی
- مارس
- مارس 1
- مادادون
- حداکثر عرض
- ممکن است..
- شاید
- me
- معنی دار
- ملاقات
- قدرت
- دقیقه
- دقیقه
- موبایل
- مدل
- MongoDB
- نظارت بر
- ماهیانه
- علاوه بر این
- اکثر
- طبیعت
- جهت یابی
- نیاز
- ضروری
- نیازهای
- شبکه
- شبکه
- جدید
- نه
- توجه داشته باشید
- هیچ چی
- اکنون
- گرفتن
- of
- ارائه شده
- ارائه
- پیشنهادات
- غالبا
- on
- مداوم
- فقط
- قابل استفاده
- نظر
- بهینه
- or
- دیگر
- ما
- خارج
- نتایج
- روی
- مروری
- با ما
- بخش
- گذشته
- پچ کردن
- مردم
- مجوز
- پی اچ پی
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- پلاگین
- نقطه
- سیاست
- سیاست
- محبوب
- موقعیت
- ممکن
- احتمالا
- پست
- پست ها
- شیوه های
- حق بیمه
- امتیاز
- امتیازات
- مشکل
- ادامه
- روند
- در حال پردازش
- تولید
- مشخصات
- پروفایل
- ارائه
- ارائه
- ارائه دهنده
- فراهم می کند
- سوال
- سوالات
- محدوده
- رسیدن به
- خوانندگان
- مطالعه
- دلایل
- تازه
- توصیه
- بهبود
- تنظیم
- برداشتن
- حذف شده
- از بین بردن
- جایگزین
- گزارش
- گزارش
- گزارش ها
- نیاز
- مورد نیاز
- پاسخ
- پاسخ
- پاسخگو
- بازیابی
- درامد
- خطر
- جاده
- ربات ها
- قانون
- دویدن
- در حال اجرا
- همان
- سناریو
- پرده
- خط
- اسکریپت
- sdk
- بخش
- تیم امنیت لاتاری
- دیدن
- حس
- جستجوگرها
- سپتامبر
- سرویس
- تنظیم
- هفت
- باید
- نشان
- مشابه
- سایت
- سایت
- So
- برخی از
- بزودی
- ویژه
- حمایت مالی
- استانداردهای
- شروع
- دولت
- گام
- مراحل
- سلب کردن
- قوی
- مبارزه
- اشتراک، ابونمان
- چنین
- دنباله
- پشتیبانی
- پشتیبانی از
- مطمئن
- به حالت تعلیق
- سویسی
- قرص
- برخورد با
- گرفتن
- صورت گرفته
- مصرف
- وظایف
- که
- La
- جهان
- شان
- آنها
- موضوع
- آنجا.
- اینها
- آنها
- این
- کسانی که
- از طریق
- زمان
- عنوان
- به
- بالا
- آموزش
- ماشه
- اعتماد
- مورد اعتماد
- توییتر
- نوع
- انواع
- استفاده نشده
- پرده برداری
- URL
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- استفاده کنید
- با استفاده از
- متغیر
- تنوع
- بررسی
- بسیار
- آموزش VMware
- W
- راه رفتن
- می خواهم
- we
- خوب
- بود
- چی
- چه شده است
- چه زمانی
- که
- وسیع
- اراده
- با
- زن
- وردپرس
- جهان
- کتبی
- شما
- شما
- زفیرنت