統(tǒng)一身份和訪問管理（Identity and access management，IAM）并非一個新安全概念，但它在當(dāng)今“數(shù)字優(yōu)先”的世界中正變得越來越重要。現(xiàn)代企業(yè)員工需要在任何設(shè)備（服務(wù)）上實現(xiàn)“隨時隨地工作”（work-from-anywhere）的訪問模式。這就需要比以往更加安全地賦予和驗證數(shù)字身份，以實現(xiàn)安全的數(shù)字連接。

　　早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺上的，無法支持組織新的身份管理和應(yīng)用要求，這迫使組織考慮如何構(gòu)建新一代的IAM平臺。在本篇文章中，我們旨在從IAM的定義、IAM的技術(shù)組成、IAM的技術(shù)演進以及IAM的應(yīng)用挑戰(zhàn)等維度，對新一代IAM技術(shù)的應(yīng)用和發(fā)展進行描述。

　　一 IAM的理念與意義

　　IAM是一個整體學(xué)科，不僅包括工具和技術(shù)，還包括定義和管理數(shù)字身份以提供對數(shù)字資源訪問的過程。在最初階段，IAM主要負責(zé)管理人的身份，但隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，IAM系統(tǒng)需要給數(shù)量龐大的“機器”和業(yè)務(wù)系統(tǒng)賦予身份并實現(xiàn)有效管理。

　　IAM對于定義數(shù)字身份配置文件和管理其整個生命周期（即IAM中的“IM”身份管理）至關(guān)重要。它需要能夠確保訪問者的真實合法性（authentication，身份驗證），并且可以正確訪問他們嘗試訪問的資源（authorization，授權(quán)），這也稱為訪問管理（即IAM中的“A”）。

　　在實現(xiàn)身份管理的基礎(chǔ)上，一些安全服務(wù)商正在向IAM系統(tǒng)整合更多的能力，身份治理和管理（Identity Governance and Administration，IGA）的概念也隨之產(chǎn)生，IGA方案能夠證明身份治理的合規(guī)性并支持持續(xù)審查訪問權(quán)限的過程，以確保數(shù)字身份沒有被錯誤配置訪問權(quán)限，從而避免安全隱患的形成。

　　在實際應(yīng)用中，新一代IAM系統(tǒng)正在通過更加科學(xué)的方式，為數(shù)字資源賦予適當(dāng)?shù)脑L問權(quán)限，從而發(fā)揮保護數(shù)字資產(chǎn)的重要作用。IAM需要從數(shù)字化業(yè)務(wù)開展的整體視角，為組織管理各種數(shù)字化身份，并統(tǒng)一制定數(shù)字資源的訪問規(guī)則和策略。

　　鑒于IAM的關(guān)鍵特質(zhì)，它已經(jīng)成為組織新一代網(wǎng)絡(luò)安全能力體系構(gòu)建的基礎(chǔ)要求和重要組成部分。在穩(wěn)定有效的組織網(wǎng)絡(luò)安全體系中，完善的IAM策略和能力是不可或缺的，可以讓所有身份都使用一致的策略和工具進行管理，讓安全領(lǐng)導(dǎo)者清晰了解企業(yè)數(shù)字化資源的訪問和應(yīng)用情況。

　　二 IAM的關(guān)鍵技術(shù)組成

　　IAM是一組實現(xiàn)系統(tǒng)化身份安全能力的工具集，它由多個關(guān)鍵技術(shù)能力模塊組成：

　　1、訪問管理

　　訪問管理（Access Management，AM）被稱為IAM的“運行時”或“訪問時間”組件，其中數(shù)字身份經(jīng)過身份驗證以識別嘗試訪問資源的實體，并且僅允許必要的訪問。組件包括雙因素認證、多因素身份驗證（MFA）等，其中除了用戶ID和密碼外，還需要一個或多個額外的因素（令牌或設(shè)備）可以增強身份驗證過程；另一個常見的AM組件是單點登錄（SSO），它在通過身份驗證后建立安全會話，可以訪問多個資源，而無需對每個資源重新進行身份驗證。

　　2、身份管理

　　身份管理負責(zé)處理身份和訪問權(quán)限（也稱為訪問授權(quán)）的管理和治理。它會在用戶加入組織時自動為其提供正確的訪問權(quán)限，從而提高用戶工作效率。然后，它會在身份的整個生命周期（包括入職、轉(zhuǎn)移和離開階段）中嚴(yán)格執(zhí)行被授予的權(quán)限模型。

　　身份管理解決方案通常會包括一個用戶界面和工作流引擎，提供請求和批準(zhǔn)訪問的能力。這可能包括對特定資源的臨時請求以及基于角色的訪問，這些工具可以定義和管理業(yè)務(wù)和技術(shù)角色的生命周期。

　　身份管理的一個重要功能是訪問認證，它可以自動化審查身份訪問的過程，使管理人員能夠?qū)彶楹妥C明其員工的訪問權(quán)限。同時，這也可以實現(xiàn)監(jiān)管合規(guī)性，因為許多法律都要求對金融系統(tǒng)的任何訪問進行定期審查。

　　身份管理的另一個功能是配置和取消配置過程。身份管理技術(shù)模塊使用“連接器”來定位應(yīng)用程序，在這些應(yīng)用程序中可以建立訪問權(quán)限，使正確的用戶能夠獲得正確的訪問權(quán)限。它可以對各種復(fù)雜的應(yīng)用程序（例如ERP系統(tǒng)），提供細粒度級別的訪問控制，同時定義出職責(zé)分離（SOD）的控制規(guī)則，以確保在組織的應(yīng)用程序內(nèi)或跨組織的應(yīng)用程序之間不存在有害的訪問行為。

　　3、特權(quán)訪問管理

　　在新一代IAM方案中，大多融合了一個重要組件專門解決對敏感資源和用戶的訪問，稱為特權(quán)訪問管理（Privileged Access Management，PAM）。Gartner將可用的PAM技術(shù)分為兩種不同的方法，并逐漸成為領(lǐng)導(dǎo)者考慮PAM工具的主要關(guān)注點：

　　特權(quán)賬號和會話管理（PASM）：特權(quán)賬號通過安全存儲憑據(jù)來保護。通過代理方式為用戶、服務(wù)和應(yīng)用提供賬號的訪問。通過憑據(jù)注入和完整會話記錄建立會話。特權(quán)賬號的密碼和其他憑據(jù)可主動管理（定期更改或發(fā)生特定事件時更改）。

　　權(quán)限提升和委托管理（PEDM）：基于主機的代理在托管系統(tǒng)上向登錄用戶授予特定權(quán)限，包括基于主機的命令控制（篩選）和權(quán)限提升。

　　綜合來看，PAM的功能特性集合包括：共享賬戶密碼管理、應(yīng)用到應(yīng)用密碼管理、特權(quán)賬號發(fā)現(xiàn)和生命周期管理、特權(quán)SSO、特權(quán)提升管理、特權(quán)用戶行為分析、會話監(jiān)控分析和記錄、端點特權(quán)管理、報告審計和合規(guī)。

　　PAM也在不斷發(fā)展以支持即時（Just-In-Time，JIT）訪問模型，從而避免了對憑據(jù)進行保管和定義不必要的永久性身份賬號。在JIT模型中，賬戶都是動態(tài)創(chuàng)建的，或者非管理賬戶在特定時間段內(nèi)被授予臨時管理權(quán)限，工作完成后及時刪除。如此一來，管理員賬戶數(shù)量會大大減少，從而降低了高級賬戶泄露的風(fēng)險。

　　4、客戶IAM（CIAM）

　　根據(jù)組織的業(yè)務(wù)需求，IAM系統(tǒng)中還應(yīng)包括面向其客戶的外部IAM管理模塊，通常稱為客戶IAM（Customer IAM，CIAM）。消費者關(guān)注的重點通常是用戶體驗感，CIAM解決方案需要提供成熟的工具包或第三方軟件開發(fā)工具包（SDK），允許組織自定義身份驗證的界面和人機交互模式。

　　對CIAM的另一個要求是支持自適應(yīng)訪問，通過大數(shù)據(jù)分析和機器學(xué)習(xí)提供檢測異常行為并在需要時實施更嚴(yán)格的訪問驗證（例如MFA）能力。同時，鑒于隱私關(guān)注度和法規(guī)遵從性的提升，CIAM解決方案需要提供一個界面，供客戶查看和控制他們的個人信息應(yīng)用和保護情況。

　　5、云基礎(chǔ)設(shè)施授權(quán)管理

　　為了IAM獲得更好的實際應(yīng)用效果，有許多關(guān)聯(lián)技術(shù)同樣重要，其中就包括了云基礎(chǔ)設(shè)施授權(quán)管理（Cloud Infrastructure Entitlement Management，CIEM），它旨在收集和規(guī)范IaaS平臺中的數(shù)千個權(quán)限，了解訪問模式，并就如何減少這些環(huán)境中存在的過度訪問提出基于機器學(xué)習(xí)的判斷。

　　三 新一代IAM技術(shù)的演進

　　可以認為，從第一臺計算機出現(xiàn)開始，對使用者身份管理的需求就開始出現(xiàn)。但直到客戶端/服務(wù)器時代，隨著應(yīng)用程序變得更加分散并形成各自的身份孤島，統(tǒng)一身份管理的需求和重要性才開始彰顯。每個用戶和權(quán)利/權(quán)限都可以通過程序進行管理，這大大促進了用戶身份認證模式和密碼應(yīng)用的發(fā)展。

　　目錄服務(wù)旨在通過提供集中的用戶存儲庫以及稱為輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）的方式來解決此問題。目錄服務(wù)被用于實現(xiàn)跨多個平臺的單點登錄，包括操作系統(tǒng)、數(shù)據(jù)庫和Web服務(wù)器。在此期間，Microsoft的Active Directory 成為管理計算機以及提供管理用戶、組和訪問策略的體系結(jié)構(gòu)的企業(yè)標(biāo)準(zhǔn)。在互聯(lián)網(wǎng)時代早期，多重憑證和登錄的問題更加嚴(yán)重，由此開發(fā)了Web單點登錄（SSO）以促進跨組織應(yīng)用程序的用戶身份驗證和授權(quán)，其在大多數(shù)情況下利用LDAP目錄作為身份存儲。

　　此外，管理用戶生命周期治理和訪問策略的問題大多通過定制應(yīng)用程序?qū)崿F(xiàn)自動化，并最終成為產(chǎn)品化的用戶配置和管理解決方案。加上需要治理功能來滿足監(jiān)管要求，其最終與身份管理和配置解決方案融合，形成如今稱為IGA的解決方案。

　　在過去十年中，這些解決方案作為云解決方案提供，利用了云的所有優(yōu)勢。但在大多數(shù)情況下，這些解決方案（包括IAM平臺）仍需要專門的資源來維護。為了進一步簡化身份和訪問管理用例和部署，并減少與實施多種解決方案相關(guān)的成本和負擔(dān)，這些解決方案開始融合以提供更完整的IAM解決方案組合，例如IGA、PAM以及AM和CIAM。

　　考慮到基于云的解決方案不斷激增，以及轉(zhuǎn)向遠程辦公的進一步加速，許多組織在采用應(yīng)用程序和安全解決方案時正在采取更積極的云優(yōu)先戰(zhàn)略。此外，云平臺也在實施IAM解決方案來管理每個平臺獨有的用戶和權(quán)利/權(quán)限。

　　目前，許多組織都在努力對跨多個云平臺的用戶和權(quán)利進行正確的可見性和管理。因此，新一代IAM解決方案必須包括跨云服務(wù)——例如容器、無服務(wù)器基礎(chǔ)設(shè)施以及DevOps和CI/CD工具的訪問管理，所有這些都需要配置合適的訪問策略才能發(fā)揮作用。

　　四 IAM的應(yīng)用挑戰(zhàn)

　　盡管IAM的建設(shè)和應(yīng)用通常由企業(yè)IT或安全部門發(fā)起，但IAM應(yīng)用幾乎涉及與組織業(yè)務(wù)相關(guān)的各個部門和環(huán)節(jié)，甚至還包括了外部合作伙伴和客戶：

　　需要訪問公司資源的業(yè)務(wù)用戶（包括員工及其經(jīng)理）通過IAM流程安全地執(zhí)行此操作；

　　第三方用戶也是如此，例如承包商、合作伙伴、供應(yīng)商和客戶；

　　安全、合規(guī)和HR等專業(yè)部門同樣需要利用IAM流程，來滿足其組織的安全、隱私和合規(guī)目標(biāo)；

　　內(nèi)部和外部審計員利用IAM工具和流程提供的信息，來審計組織對各種法規(guī)的遵守情況；

　　業(yè)務(wù)部門需要利用IAM來保護他們的業(yè)務(wù)系統(tǒng)和資源，并確保只有正確的用戶才能在正確的時間訪問他們的資源。

　　因為IAM涉及了多方利益相關(guān)者的日常工作，因此，它的應(yīng)用往往被認為是復(fù)雜的、困難的并且會帶來較大成本性投入的。造成這種情況的主要原因之一是IAM系統(tǒng)本身的設(shè)計定位。

　　IAM最初主要是為了滿足監(jiān)管要求和確保安全性。用戶體驗和業(yè)務(wù)支持的需求是隨著數(shù)字化應(yīng)用發(fā)展而后續(xù)產(chǎn)生的。實施IAM項目建設(shè)會涉及功能模塊開發(fā)、系統(tǒng)應(yīng)用集成、定制化接口，以及系統(tǒng)應(yīng)用后持續(xù)性的運營維護工作，這都導(dǎo)致IAM項目實施過程變得昂貴且耗時。

　　但這些情況已經(jīng)在發(fā)生積極的變化。在當(dāng)前的數(shù)字和云優(yōu)先環(huán)境中，身份安全被視為基礎(chǔ)性的保障因素，越來越多的業(yè)務(wù)人員開始認同IAM的價值。此外，除了安全性和合規(guī)性之外， IAM方案商也開始更關(guān)注系統(tǒng)應(yīng)用的便捷性和用戶體驗，并將這些視為未來IAM方案的核心競爭力體現(xiàn)。隨著IAM能力以云服務(wù)方式提供，其對用戶的維護和使用成本也會進一步降低。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<