身分識別基準度量、指標和風險承受度

瞭解如何量化與身分識別基準專業領域相關聯的商務風險承受度。 定義計量和指標有助於建立商業案例,以投資此專業領域的成熟度。

計量

身分識別管理的重點在於識別、驗證及授權個人、使用者群組或自動化程式,並提供他們適當的存取權來存取雲端部署中的資源。 在您的風險分析中,您會想要收集與身分識別服務相關的資料,以判斷您所面臨的風險,以及您的身分識別基準專業領域投資如何針對您規劃的雲端部署進行重大投資。

下列是實用計量的範例,您應收集這些計量來協助評估身分識別基準專業領域的風險承受度:

  • 身分識別系統大小。 透過您身分識別系統管理的使用者、群組或其他物件總數。
  • 目錄服務基礎結構的整體大小。 組織所使用的目錄樹系、網域及租用戶數目。
  • 舊版或內部部署驗證機制的相依性。 相依于舊版或協力廠商或多重要素驗證機制的工作負載數目。
  • 雲端部署目錄服務的範圍。 部署至雲端的目錄樹系、網域及租用戶數目。
  • 雲端部署的 Active Directory 伺服器。 部署至雲端的 Active Directory 伺服器數目。
  • 雲端部署的組織單位。 ) 部署至雲端的 Active Directory 組織單位 (Ou 數目。
  • 同盟的範圍。 與貴組織系統同盟的身分識別管理系統數目。
  • 提高許可權的使用者。 以提高的權限存取資源或管理工具的使用者帳戶數目。
  • 使用 Azure 角色型存取控制。 未透過 Azure 角色型存取控制來管理的訂用帳戶、資源群組或個別資源數量, (Azure RBAC) 透過群組。
  • 驗證宣告。 成功和失敗的使用者驗證嘗試次數。
  • 授權宣告。 使用者嘗試存取資源時的成功和失敗次數。
  • 遭盜用的帳戶。 已遭盜用的使用者帳戶數目。

風險承受度指標

與身分識別基準相關的風險大多與您組織的身分識別基礎結構的複雜性有關。 如果您所有的使用者和群組都是使用單一目錄或雲端原生身分識別提供者來管理,但使用與其他服務的最小整合,則您的風險層級可能很小。 當您的企業需求成長時,您的身分識別管理系統可能需要支援更複雜的案例,例如多個目錄,以支援您的內部組織或與外部識別提供者的同盟。 當這些系統越來越複雜時,風險就會增加。

在雲端採用的早期階段,您可以與 IT 安全性小組和業務專案關係人合作,以識別與身分識別相關的業務風險,然後決定可接受的身分識別風險承受度基準。 雲端採用架構的這一節提供範例,但您公司或部署的詳細風險和基準可能會有所不同。

擁有基準之後,請建立最低基準,來指出所識別的風險增加到什麼程度會讓您無法接受。 當您需要採取動作來解決這些風險時,這些基準測試會作為觸發程式。 以下幾個例子會說明,與身分識別相關的計量 (例如,前面討論過的那些) 如何證明您應該提高對於身分識別基準專業領域的投資。

  • 使用者帳戶號碼觸發程式。 在您的身分識別系統中管理的使用者、群組或其他物件超過 x 個的公司,可能會受益于身分識別基準專業領域的投資,以確保能有效治理大量的帳戶。
  • 內部部署身分識別相依性觸發程式。 若公司計畫將工作負載遷移至需要舊版驗證功能或協力廠商多重要素驗證的雲端,則應投資身分識別基準專業領域,以降低重構或其他雲端基礎結構部署的相關風險。
  • 目錄服務複雜性觸發程式。 維護超過 x 個個別樹系、網域或目錄租使用者的公司應投資身分識別基準專業領域,以降低與帳戶管理相關的風險,以及橫跨多個系統之多個使用者認證的相關效率問題。
  • 雲端託管目錄服務觸發程式。 裝載 x Active Directory server 虛擬機器的公司 (裝載于雲端的 vm) ,或擁有 x 個組織單位 (ou) 在這些雲端式伺服器上管理,可受益于身分識別基準專業領域的投資,以優化與任何內部部署或其他外部身分識別服務的整合。
  • 同盟觸發程式。 使用 x 外部身分識別管理系統來執行身分識別同盟的公司可受益于投資身分識別基準專業領域,以確保同盟成員之間有一致的組織原則。
  • 提升的存取觸發程式。 若公司有超過 x% 的使用者,且具有更高的管理工具和資源許可權,則應考慮投資身分識別基準專業領域,以將意外過度布建存取權的風險降至最低。
  • Azure RBAC 觸發程式。 使用 Azure 角色型存取控制方法的資源少於 x% 的公司應考慮投資身分識別基準專業領域,以找出將使用者存取權指派給資源的優化方式。
  • 驗證失敗觸發程式。 驗證失敗的公司代表超過 x% 的嘗試,應投資身分識別基準專業領域,以確保驗證方法不受外部攻擊,且使用者可以正確地進行驗證。
  • 授權失敗觸發程式。 若公司的存取嘗試被拒絕超過 x% ,則應投資身分識別基準專業領域,以改善應用程式和更新存取控制,並找出潛在的惡意存取嘗試。
  • 遭盜用的帳戶觸發程式。 具有超過1個遭盜用之帳戶的公司應投資身分識別基準專業領域,以改善驗證機制的強度和安全性,並改善修復遭盜用之帳戶相關風險的機制。

您用來測量風險承受度的確切計量和觸發條件,以及身分識別基準專業領域的投資層級,將會是您的組織專屬的,但上述範例應作為您雲端治理小組中討論的實用基礎。

後續步驟

使用身分 識別基準專業範本 ,記錄符合目前雲端採用方案的計量和容錯指標。

查看範例身分識別基準原則,作為開始開發您專屬原則的起點,以解決符合您雲端採用方案的特定商務風險。