Identitets bas mått, indikatorer och risk toleransIdentity baseline metrics, indicators, and risk tolerance

Lär dig att kvantifiera den affärs risk tolerans som är associerad med identitets bas linjen.Learn to quantify business risk tolerance associated with the Identity Baseline discipline. Att definiera mått och indikatorer hjälper till att skapa ett affärs ärende för investeringar i den här disciplinen.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MåttMetrics

Identitets hantering fokuserar på att identifiera, autentisera och auktorisera individer, grupper av användare eller automatiserade processer och ge dem lämplig åtkomst till resurser i dina moln distributioner.Identity management focuses on identifying, authenticating, and authorizing individuals, groups of users, or automated processes, and providing them appropriate access to resources in your cloud deployments. Som en del av din riskanalys vill du samla in data som är relaterade till dina identitets tjänster för att fastställa hur mycket risk du möter, och hur viktig investering i din identitets bas linje disciplin är för dina planerade moln distributioner.As part of your risk analysis you'll want to gather data related to your identity services to determine how much risk you face, and how important investment in your Identity Baseline discipline is for your planned cloud deployments.

Följande är exempel på användbara mått som du bör samla för att utvärdera risk tolerans inom identitets bas linjen:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Identity Baseline discipline:

  • Identitets systemets storlek.Identity systems size. Totalt antal användare, grupper eller andra objekt som hanteras via dina identitets system.Total number of users, groups, or other objects managed through your identity systems.
  • Övergripande storlek på infrastruktur för katalog tjänster.Overall size of directory services infrastructure. Antal katalog skogar, domäner och innehavare som används av din organisation.Number of directory forests, domains, and tenants used by your organization.
  • Beroende av äldre eller lokala autentiseringsmekanismer.Dependency on legacy or on-premises authentication mechanisms. Antal arbets belastningar som är beroende av tidigare eller mekanismer för multifaktorautentisering eller Multi-Factor Authentication.Number of workloads that depend on legacy or third-party or multi-factor authentication mechanisms.
  • Omfattningen av moln distributions katalog tjänster.Extent of cloud-deployed directory services. Antal katalog skogar, domäner och klienter som du har distribuerat till molnet.Number of directory forests, domains, and tenants you've deployed to the cloud.
  • Cloud-distribuerade Active Directory-servrar.Cloud-deployed Active Directory servers. Antalet Active Directory-servrar som distribuerats till molnet.Number of Active Directory servers deployed to the cloud.
  • Cloud-distribuerade organisationsenheter.Cloud-deployed organizational units. Antalet Active Directory organisationsenheter (OU) som distribuerats till molnet.Number of Active Directory organizational units (OUs) deployed to the cloud.
  • Federationens omfattning.Extent of federation. Antal identitets hanterings system som är federerade med din organisations system.Number of identity management systems federated with your organization's systems.
  • Utökade användare.Elevated users. Antal användar konton med utökad åtkomst till resurser eller hanterings verktyg.Number of user accounts with elevated access to resources or management tools.
  • Användning av rollbaserad åtkomst kontroll i Azure.Use of Azure role-based access control. Antal prenumerationer, resurs grupper eller enskilda resurser som inte hanteras via rollbaserad åtkomst kontroll i Azure (Azure RBAC) via grupper.Number of subscriptions, resource groups, or individual resources not managed through Azure role-based access control (Azure RBAC) via groups.
  • Autentiserings anspråk.Authentication claims. Antalet lyckade och misslyckade autentiseringsförsök för användare.Number of successful and failed user authentication attempts.
  • Authorization-anspråk.Authorization claims. Antalet lyckade och misslyckade försök för användare att komma åt resurser.Number of successful and failed attempts by users to access resources.
  • Komprometterade konton.Compromised accounts. Antal användar konton som har komprometterats.Number of user accounts that have been compromised.

Risk tolerans indikatorerRisk tolerance indicators

Risker som rör identitets bas linjen är i stort sett relaterade till komplexiteten i organisationens identitets infrastruktur.Risks related to identity baseline are largely related to the complexity of your organization's identity infrastructure. Om alla användare och grupper hanteras med hjälp av en enda katalog eller en molnbaserad identitets leverantör med minimal integrering med andra tjänster, är risk nivån sannolikt liten.If all your users and groups are managed using a single directory or cloud-native identity provider using minimal integration with other services, your risk level will likely be small. När verksamheten behöver växa kan dina identitets hanterings system behöva stöd för mer komplicerade scenarier, till exempel flera kataloger som stöder din interna organisation eller federation med externa identitets leverantörer.As your business needs grow, your identity management systems may need to support more complicated scenarios, such as multiple directories to support your internal organization or federation with external identity providers. När de här systemen blir mer komplexa ökar risken.As these systems become more complex, risk increases.

I det tidiga skedet av moln införande arbetar du med IT-säkerhetsteamet och affärs intressenterna för att identifiera affärs risker som är relaterade till identiteten. ta sedan reda på en acceptabel bas linje för identitets risk tolerans.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to identity, then determine an acceptable baseline for identity risk tolerance. Det här avsnittet av moln implementerings ramverket innehåller exempel, men detaljerade risker och bas linjer för ditt företag eller distributioner kan vara olika.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

När du har en bas linje kan du fastställa de lägsta benchmark-värden som representerar en oacceptabel ökning av dina identifierade risker.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Dessa riktmärken fungerar som utlösare för när du behöver vidta åtgärder för att åtgärda dessa risker.These benchmarks act as triggers for when you need to take action to address these risks. Här följer några exempel på hur identiteter som är relaterade till statistik, till exempel de som beskrivs ovan, kan motivera en ökad investering i identitets bas linjen.The following are a few examples of how identity related metrics, such as those discussed above, can justify an increased investment in the Identity Baseline discipline.

  • Utlösare för användar konto nummer.User account number trigger. Ett företag med mer än x -användare, grupper eller andra objekt som hanteras i dina identitets system kan dra nytta av investeringar i identitets bas disciplinen för att säkerställa en effektiv styrning över ett stort antal konton.A company with more than x users, groups, or other objects managed in your identity systems could benefit from investment in the Identity Baseline discipline to ensure efficient governance over a large number of accounts.
  • Lokal identitet beroende utlösare.On-premises identity dependency trigger. Ett företag som planerar att migrera arbets belastningar till molnet som kräver äldre autentiserings-eller multifaktorautentisering bör investera i identitets bas linjen för att minska riskerna som rör omstrukturering eller ytterligare distribution av moln infrastruktur.A company planning to migrate workloads to the cloud that require legacy authentication capabilities or third-party multi-factor authentication should invest in the Identity Baseline discipline to reduce risks related to refactoring or additional cloud infrastructure deployment.
  • Katalog tjänsters komplexitets utlösare.Directory services complexity trigger. Ett företag som underhåller mer än x enskilda skogar, domäner eller katalog klienter bör investera i identitets bas linjen för att minska riskerna med konto hantering och de effektivitets problem som rör flera användarautentiseringsuppgifter som är spridda över flera system.A company maintaining more than x individual forests, domains, or directory tenants should invest in the Identity Baseline discipline to reduce risks related with account management and the efficiency issues related to multiple user credentials spread across multiple systems.
  • Utlösare för molnbaserade katalog tjänster.Cloud-hosted directory services trigger. Ett företag som är värd för x Active Directory Server (virtuella datorer) som finns i molnet, eller som har x organisationsenheter (OU) som hanteras på dessa molnbaserade servrar, kan dra nytta av investeringar i identitets bas disciplinen för att optimera integrering med alla lokala eller andra externa identitets tjänster.A company hosting x Active Directory server virtual machines (VMs) hosted in the cloud, or having x organizational units (OUs) managed on these cloud-based servers, can benefit from investment in the Identity Baseline discipline to optimize integration with any on-premises or other external identity services.
  • Federations utlösare.Federation trigger. Ett företag som implementerar identitets Federation med x externa identitets hanterings system kan dra nytta av investeringar i identitets bas disciplinen för att säkerställa konsekvent organisations policy över Federations medlemmar.A company implementing identity federation with x external identity management systems can benefit from investing in the Identity Baseline discipline to ensure consistent organizational policy across federation members.
  • Utökad åtkomst utlösare.Elevated access trigger. Ett företag med mer än x% av användare med förhöjd behörighet till hanterings verktyg och resurser bör överväga att investera i identitets bas disciplinen för att minimera risken för oavsiktlig överetablering av åtkomst till användare.A company with more than x% of users with elevated permissions to management tools and resources should consider investing in the Identity Baseline discipline to minimize the risk of inadvertent overprovisioning of access to users.
  • Azure RBAC-utlösare.Azure RBAC trigger. Ett företag med mindre än x% av resurser som använder Azures rollbaserade åtkomst kontroll metoder bör överväga att investera i identitets bas disciplinen för att identifiera optimerade sätt att tilldela användar åtkomst till resurser.A company with less than x% of resources using Azure role-based access control methods should consider investing in the Identity Baseline discipline to identify optimized ways to assign user access to resources.
  • Autentiserings haveri utlösare.Authentication failure trigger. Ett företag där autentiseringsfel representerar mer än x% av försöken bör investera i identitets bas punkten för att säkerställa att autentiseringsmetoder inte är under externa angrepp och att användarna kan autentisera sig på rätt sätt.A company where authentication failures represent more than x% of attempts should invest in the Identity Baseline discipline to ensure that authentication methods are not under external attack, and that users can authenticate properly.
  • Utlösa auktoriseringsfel.Authorization failure trigger. Ett företag där åtkomst försök nekas mer än x% av tiden bör investera i identitets bas punkten för att förbättra programmet och uppdatering av åtkomst kontroller och identifiera potentiellt skadliga åtkomst försök.A company where access attempts are rejected more than x% of the time should invest in the Identity Baseline discipline to improve the application and updating of access controls, and identify potentially malicious access attempts.
  • Komprometterad konto utlösare.Compromised account trigger. Ett företag med mer än 1 komprometterat konto bör investera i identitets bas punkten för att förbättra hållfastheten och säkerheten för autentiseringsmekanismer och förbättra mekanismer för att åtgärda risker som rör komprometterade konton.A company with more than 1 compromised account should invest in the Identity Baseline discipline to improve the strength and security of authentication mechanisms and improve mechanisms to remediate risks related to compromised accounts.

De exakta mått och utlösare som du använder för att mäta risk toleransen och nivån av investering i identitets bas linjen är specifika för din organisation, men exemplen ovan bör fungera som en användbar bas för diskussioner i din organisation för moln styrning.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Identity Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Nästa stegNext steps

Använd mallen identitets bas linje disciplin för att dokumentera mått och tolerans indikatorer som överensstämmer med den aktuella moln implementerings planen.Use the Identity Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Granska exempel på bas linje principer för identitet som utgångs punkt för att utveckla dina egna principer för att åtgärda specifika affärs risker som är justerade med dina moln implementerings planer.Review sample Identity Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.