IT运营团队和安全团队一直在打仗。数据中心安全标准对使用这些系统的人会产生极大的影响。安全管得太死,会让管理员们几乎无法正常工作。 应用和系统程序员需要权限才能对系统进行操控、检测和修复问题。
同时,公司必须防止未经授权的信息流出,包括客户、员工或其他机密信息。为了维持可用性,企业限制任何人进行随意的、未经计划的或恶意的更改。那么,公司在提适当的权限用于技术支持的同时,如何才能兼顾数据保护和可用性? 数据中心身份管理有多种实现方式,包括组登录ID、应急Id 和备用Id(group logon IDs, firecall IDs and alternate IDs)。让我们看看每一项安全措施和相关……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
IT运营团队和安全团队一直在打仗。数据中心安全标准对使用这些系统的人会产生极大的影响。安全管得太死,会让管理员们几乎无法正常工作。
应用和系统程序员需要权限才能对系统进行操控、检测和修复问题。同时,公司必须防止未经授权的信息流出,包括客户、员工或其他机密信息。为了维持可用性,企业限制任何人进行随意的、未经计划的或恶意的更改。那么,公司在提适当的权限用于技术支持的同时,如何才能兼顾数据保护和可用性?
数据中心身份管理有多种实现方式,包括组登录ID、应急Id 和备用Id(group logon IDs, firecall IDs and alternate IDs)。让我们看看每一项安全措施和相关联的问题。
组登录ID。一些公司将很高的权限分配到一个功能组,任何属于组成员的登录ID均享有该权限。您可以对该组ID进行控制,在分配访问权限之前要求技术员输入批准的修改代码。
这个方案有多个优点。首先,很容易对这些ID执行的每个操作进行记录和审核。它还可以避免单独的用户获得过多权限,并根据组ID的来实现控制,这意味着任何对系统的更改必须已经经过了深思熟虑、计划和审查。
应急ID。应急ID和组ID类似,但是应急ID只有有限的应用范围和使用寿命。一般情况下,一个需要非正常访问权限的程序员必须被分配或创建一个应急ID。附加的控制条件可能包括一个一次性密码和一个过期时间,这限制了应急ID的使用期限。
应急ID和组ID一样可以被严格的审核,IT部门可以把各种各样的控制措施附加于应急ID的获取过程。此外,应急访问的控制粒度可以比组ID更细。例如,一个组ID可能允许更新系统数据库并重新组织数据库,同时我们可以设置两个不同的应急ID对应每个不同的功能。
备用ID。备用ID的权限仍然是针对个别用户的。但备用ID不是在所有时间都具备完全访问权限,安全团队移除正常管理ID的高级别权限后,将这些权限转移分配给备用ID。这将允许技术支持人员使用他们常用的ID监测系统,由于高权限被消除,系统被修改的风险也得以消除。于是,当管理员需要进行任何修改时,反而需要登录到他或她自己的备用ID。
备用ID比组ID或者应急ID更灵活。它们可以更快速地访问高级权限;当然,它们更难控制。
关于应急ID和组ID的争议
应急ID和组DI有几个共同缺点。第一,虽然可以尽可能地对两个ID进行严格审核,仍然难以避免某些隐蔽的修改操作。例如,IBM的互动系统生产力基金(ISPF)对于更新库目录分区数据集(PDS)的操作,只记录最后一个操作账户的ID。在这种情况下,ISPF的记录存储的是应急或组的ID,但谁在使用这个ID则无从知晓。
因为有时候公司会在紧急情况下用到紧急ID,此种情况下ID的获取流程就会成为一个问题。如果获取一个应急ID花费的时间太长,或者需要太多的文件或级别的批准,本来短时间就能解决的停机可能很容易变得漫长。
组ID也有一个类似的缺陷。想象某一天停电,唯一具备足够高权限修复故障的ID却被某人锁定,而且那个人刚好当天离开了。
这里有几个兼顾数据中心安全和可用性的最佳实践:
- 允许应用程序和系统开发人员监控生产环境。就算所有最近的开发项目都处在自动化状态,就算你有“自主”系统,仍然有必要对计算机系统进行主动监控,这样才能实现最高的可用性级别。正确分配的只读访问权限肯定不会对可用性造成威胁。
- 如果三个选项都能实现功能,此时备用ID可能是最好的选择。备用ID可以被日志记录——这一点和组和应急ID登录一样——系统内总会留下一些可供审计追踪的痕迹。备用ID让支持人员在必要的时候可以快速行动。
- 如果一家公司希望使用应急或组ID,务必先建立完美平衡安全控制和快速实现访问的流程。此外,部署控制应急ID的软件应该成为企业的最高可用性目标之一。
- 一个部门可能要指定几个可靠的人员,授予生产系统的完全权限,在情况要变得糟糕时能成为一支救场的奇兵。虽然这可能会成为其它控制手段的漏洞,但如果真出现状况了,它确实会更快地解决问题。
请信任你的技术支持人员。他们也在为企业的成功而尽力,而且和管理者一样不喜欢停机。
相关推荐
-
数据中心安全:为什么运营商必须同时重视物理威胁和网络威胁?
数据中心运营商往往非常关注他们在物理安全方面采取的措施,但往往忽视了网络威胁。运营商必须同时重视物理威胁和网络威胁。
-
你的数据中心正面临新的IT安全威胁
随着新类型的IT工作的高速增长,一种全新的数据中心基础设施类型正在形成。你要知道,物联网的发展正给企业的数据中心带来新的IT安全威胁。
-
数据中心安全监控最佳实践
良好的数据中心安全标准可以帮助防范危险以及对业务有严重影响的违规行为。遵循以下步骤,你会获得一个安全可靠的设施。
-
三步修补网络漏洞 确保数据中心安全
传输在网络中的数据包一般都存在风险,IT安全专家们需要对此加以重视。很多时候网络攻击者可以成功突破这些防御机制壁垒,人们往往更多在事后才发现入侵痕迹。