統(tǒng)一身份和訪問(wèn)管理（Identity and access management，IAM）并非一個(gè)新安全概念，但它在當(dāng)今“數(shù)字優(yōu)先”的世界中正變得越來(lái)越重要。現(xiàn)代企業(yè)員工需要在任何設(shè)備（服務(wù)）上實(shí)現(xiàn)“隨時(shí)隨地工作”（work-from-anywhere）的訪問(wèn)模式。這就需要比以往更加安全地賦予和驗(yàn)證數(shù)字身份，以實(shí)現(xiàn)安全的數(shù)字連接。

　　早期的IAM技術(shù)是建立在傳統(tǒng)IT架構(gòu)平臺(tái)上的，無(wú)法支持組織新的身份管理和應(yīng)用要求，這迫使組織考慮如何構(gòu)建新一代的IAM平臺(tái)。在本篇文章中，我們旨在從IAM的定義、IAM的技術(shù)組成、IAM的技術(shù)演進(jìn)以及IAM的應(yīng)用挑戰(zhàn)等維度，對(duì)新一代IAM技術(shù)的應(yīng)用和發(fā)展進(jìn)行描述。

　　一 IAM的理念與意義

　　IAM是一個(gè)整體學(xué)科，不僅包括工具和技術(shù)，還包括定義和管理數(shù)字身份以提供對(duì)數(shù)字資源訪問(wèn)的過(guò)程。在最初階段，IAM主要負(fù)責(zé)管理人的身份，但隨著數(shù)字化業(yè)務(wù)系統(tǒng)和物聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，IAM系統(tǒng)需要給數(shù)量龐大的“機(jī)器”和業(yè)務(wù)系統(tǒng)賦予身份并實(shí)現(xiàn)有效管理。

　　IAM對(duì)于定義數(shù)字身份配置文件和管理其整個(gè)生命周期（即IAM中的“IM”身份管理）至關(guān)重要。它需要能夠確保訪問(wèn)者的真實(shí)合法性（authentication，身份驗(yàn)證），并且可以正確訪問(wèn)他們嘗試訪問(wèn)的資源（authorization，授權(quán)），這也稱為訪問(wèn)管理（即IAM中的“A”）。

　　在實(shí)現(xiàn)身份管理的基礎(chǔ)上，一些安全服務(wù)商正在向IAM系統(tǒng)整合更多的能力，身份治理和管理（Identity Governance and Administration，IGA）的概念也隨之產(chǎn)生，IGA方案能夠證明身份治理的合規(guī)性并支持持續(xù)審查訪問(wèn)權(quán)限的過(guò)程，以確保數(shù)字身份沒(méi)有被錯(cuò)誤配置訪問(wèn)權(quán)限，從而避免安全隱患的形成。

　　在實(shí)際應(yīng)用中，新一代IAM系統(tǒng)正在通過(guò)更加科學(xué)的方式，為數(shù)字資源賦予適當(dāng)?shù)脑L問(wèn)權(quán)限，從而發(fā)揮保護(hù)數(shù)字資產(chǎn)的重要作用。IAM需要從數(shù)字化業(yè)務(wù)開展的整體視角，為組織管理各種數(shù)字化身份，并統(tǒng)一制定數(shù)字資源的訪問(wèn)規(guī)則和策略。

　　鑒于IAM的關(guān)鍵特質(zhì)，它已經(jīng)成為組織新一代網(wǎng)絡(luò)安全能力體系構(gòu)建的基礎(chǔ)要求和重要組成部分。在穩(wěn)定有效的組織網(wǎng)絡(luò)安全體系中，完善的IAM策略和能力是不可或缺的，可以讓所有身份都使用一致的策略和工具進(jìn)行管理，讓安全領(lǐng)導(dǎo)者清晰了解企業(yè)數(shù)字化資源的訪問(wèn)和應(yīng)用情況。

　　二 IAM的關(guān)鍵技術(shù)組成

　　IAM是一組實(shí)現(xiàn)系統(tǒng)化身份安全能力的工具集，它由多個(gè)關(guān)鍵技術(shù)能力模塊組成：

　　1、訪問(wèn)管理

　　訪問(wèn)管理（Access Management，AM）被稱為IAM的“運(yùn)行時(shí)”或“訪問(wèn)時(shí)間”組件，其中數(shù)字身份經(jīng)過(guò)身份驗(yàn)證以識(shí)別嘗試訪問(wèn)資源的實(shí)體，并且僅允許必要的訪問(wèn)。組件包括雙因素認(rèn)證、多因素身份驗(yàn)證（MFA）等，其中除了用戶ID和密碼外，還需要一個(gè)或多個(gè)額外的因素（令牌或設(shè)備）可以增強(qiáng)身份驗(yàn)證過(guò)程；另一個(gè)常見(jiàn)的AM組件是單點(diǎn)登錄（SSO），它在通過(guò)身份驗(yàn)證后建立安全會(huì)話，可以訪問(wèn)多個(gè)資源，而無(wú)需對(duì)每個(gè)資源重新進(jìn)行身份驗(yàn)證。

　　2、身份管理

　　身份管理負(fù)責(zé)處理身份和訪問(wèn)權(quán)限（也稱為訪問(wèn)授權(quán)）的管理和治理。它會(huì)在用戶加入組織時(shí)自動(dòng)為其提供正確的訪問(wèn)權(quán)限，從而提高用戶工作效率。然后，它會(huì)在身份的整個(gè)生命周期（包括入職、轉(zhuǎn)移和離開階段）中嚴(yán)格執(zhí)行被授予的權(quán)限模型。

　　身份管理解決方案通常會(huì)包括一個(gè)用戶界面和工作流引擎，提供請(qǐng)求和批準(zhǔn)訪問(wèn)的能力。這可能包括對(duì)特定資源的臨時(shí)請(qǐng)求以及基于角色的訪問(wèn)，這些工具可以定義和管理業(yè)務(wù)和技術(shù)角色的生命周期。

　　身份管理的一個(gè)重要功能是訪問(wèn)認(rèn)證，它可以自動(dòng)化審查身份訪問(wèn)的過(guò)程，使管理人員能夠?qū)彶楹妥C明其員工的訪問(wèn)權(quán)限。同時(shí)，這也可以實(shí)現(xiàn)監(jiān)管合規(guī)性，因?yàn)樵S多法律都要求對(duì)金融系統(tǒng)的任何訪問(wèn)進(jìn)行定期審查。

　　身份管理的另一個(gè)功能是配置和取消配置過(guò)程。身份管理技術(shù)模塊使用“連接器”來(lái)定位應(yīng)用程序，在這些應(yīng)用程序中可以建立訪問(wèn)權(quán)限，使正確的用戶能夠獲得正確的訪問(wèn)權(quán)限。它可以對(duì)各種復(fù)雜的應(yīng)用程序（例如ERP系統(tǒng)），提供細(xì)粒度級(jí)別的訪問(wèn)控制，同時(shí)定義出職責(zé)分離（SOD）的控制規(guī)則，以確保在組織的應(yīng)用程序內(nèi)或跨組織的應(yīng)用程序之間不存在有害的訪問(wèn)行為。

　　3、特權(quán)訪問(wèn)管理

　　在新一代IAM方案中，大多融合了一個(gè)重要組件專門解決對(duì)敏感資源和用戶的訪問(wèn)，稱為特權(quán)訪問(wèn)管理（Privileged Access Management，PAM）。Gartner將可用的PAM技術(shù)分為兩種不同的方法，并逐漸成為領(lǐng)導(dǎo)者考慮PAM工具的主要關(guān)注點(diǎn)：

　　特權(quán)賬號(hào)和會(huì)話管理（PASM）：特權(quán)賬號(hào)通過(guò)安全存儲(chǔ)憑據(jù)來(lái)保護(hù)。通過(guò)代理方式為用戶、服務(wù)和應(yīng)用提供賬號(hào)的訪問(wèn)。通過(guò)憑據(jù)注入和完整會(huì)話記錄建立會(huì)話。特權(quán)賬號(hào)的密碼和其他憑據(jù)可主動(dòng)管理（定期更改或發(fā)生特定事件時(shí)更改）。

　　權(quán)限提升和委托管理（PEDM）：基于主機(jī)的代理在托管系統(tǒng)上向登錄用戶授予特定權(quán)限，包括基于主機(jī)的命令控制（篩選）和權(quán)限提升。

　　綜合來(lái)看，PAM的功能特性集合包括：共享賬戶密碼管理、應(yīng)用到應(yīng)用密碼管理、特權(quán)賬號(hào)發(fā)現(xiàn)和生命周期管理、特權(quán)SSO、特權(quán)提升管理、特權(quán)用戶行為分析、會(huì)話監(jiān)控分析和記錄、端點(diǎn)特權(quán)管理、報(bào)告審計(jì)和合規(guī)。

　　PAM也在不斷發(fā)展以支持即時(shí)（Just-In-Time，JIT）訪問(wèn)模型，從而避免了對(duì)憑據(jù)進(jìn)行保管和定義不必要的永久性身份賬號(hào)。在JIT模型中，賬戶都是動(dòng)態(tài)創(chuàng)建的，或者非管理賬戶在特定時(shí)間段內(nèi)被授予臨時(shí)管理權(quán)限，工作完成后及時(shí)刪除。如此一來(lái)，管理員賬戶數(shù)量會(huì)大大減少，從而降低了高級(jí)賬戶泄露的風(fēng)險(xiǎn)。

　　4、客戶IAM（CIAM）

　　根據(jù)組織的業(yè)務(wù)需求，IAM系統(tǒng)中還應(yīng)包括面向其客戶的外部IAM管理模塊，通常稱為客戶IAM（Customer IAM，CIAM）。消費(fèi)者關(guān)注的重點(diǎn)通常是用戶體驗(yàn)感，CIAM解決方案需要提供成熟的工具包或第三方軟件開發(fā)工具包（SDK），允許組織自定義身份驗(yàn)證的界面和人機(jī)交互模式。

　　對(duì)CIAM的另一個(gè)要求是支持自適應(yīng)訪問(wèn)，通過(guò)大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)提供檢測(cè)異常行為并在需要時(shí)實(shí)施更嚴(yán)格的訪問(wèn)驗(yàn)證（例如MFA）能力。同時(shí)，鑒于隱私關(guān)注度和法規(guī)遵從性的提升，CIAM解決方案需要提供一個(gè)界面，供客戶查看和控制他們的個(gè)人信息應(yīng)用和保護(hù)情況。

　　5、云基礎(chǔ)設(shè)施授權(quán)管理

　　為了IAM獲得更好的實(shí)際應(yīng)用效果，有許多關(guān)聯(lián)技術(shù)同樣重要，其中就包括了云基礎(chǔ)設(shè)施授權(quán)管理（Cloud Infrastructure Entitlement Management，CIEM），它旨在收集和規(guī)范IaaS平臺(tái)中的數(shù)千個(gè)權(quán)限，了解訪問(wèn)模式，并就如何減少這些環(huán)境中存在的過(guò)度訪問(wèn)提出基于機(jī)器學(xué)習(xí)的判斷。

　　三 新一代IAM技術(shù)的演進(jìn)

　　可以認(rèn)為，從第一臺(tái)計(jì)算機(jī)出現(xiàn)開始，對(duì)使用者身份管理的需求就開始出現(xiàn)。但直到客戶端/服務(wù)器時(shí)代，隨著應(yīng)用程序變得更加分散并形成各自的身份孤島，統(tǒng)一身份管理的需求和重要性才開始彰顯。每個(gè)用戶和權(quán)利/權(quán)限都可以通過(guò)程序進(jìn)行管理，這大大促進(jìn)了用戶身份認(rèn)證模式和密碼應(yīng)用的發(fā)展。

　　目錄服務(wù)旨在通過(guò)提供集中的用戶存儲(chǔ)庫(kù)以及稱為輕量級(jí)目錄訪問(wèn)協(xié)議（Lightweight Directory Access Protocol，LDAP）的方式來(lái)解決此問(wèn)題。目錄服務(wù)被用于實(shí)現(xiàn)跨多個(gè)平臺(tái)的單點(diǎn)登錄，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)和Web服務(wù)器。在此期間，Microsoft的Active Directory 成為管理計(jì)算機(jī)以及提供管理用戶、組和訪問(wèn)策略的體系結(jié)構(gòu)的企業(yè)標(biāo)準(zhǔn)。在互聯(lián)網(wǎng)時(shí)代早期，多重憑證和登錄的問(wèn)題更加嚴(yán)重，由此開發(fā)了Web單點(diǎn)登錄（SSO）以促進(jìn)跨組織應(yīng)用程序的用戶身份驗(yàn)證和授權(quán)，其在大多數(shù)情況下利用LDAP目錄作為身份存儲(chǔ)。

　　此外，管理用戶生命周期治理和訪問(wèn)策略的問(wèn)題大多通過(guò)定制應(yīng)用程序?qū)崿F(xiàn)自動(dòng)化，并最終成為產(chǎn)品化的用戶配置和管理解決方案。加上需要治理功能來(lái)滿足監(jiān)管要求，其最終與身份管理和配置解決方案融合，形成如今稱為IGA的解決方案。

　　在過(guò)去十年中，這些解決方案作為云解決方案提供，利用了云的所有優(yōu)勢(shì)。但在大多數(shù)情況下，這些解決方案（包括IAM平臺(tái)）仍需要專門的資源來(lái)維護(hù)。為了進(jìn)一步簡(jiǎn)化身份和訪問(wèn)管理用例和部署，并減少與實(shí)施多種解決方案相關(guān)的成本和負(fù)擔(dān)，這些解決方案開始融合以提供更完整的IAM解決方案組合，例如IGA、PAM以及AM和CIAM。

　　考慮到基于云的解決方案不斷激增，以及轉(zhuǎn)向遠(yuǎn)程辦公的進(jìn)一步加速，許多組織在采用應(yīng)用程序和安全解決方案時(shí)正在采取更積極的云優(yōu)先戰(zhàn)略。此外，云平臺(tái)也在實(shí)施IAM解決方案來(lái)管理每個(gè)平臺(tái)獨(dú)有的用戶和權(quán)利/權(quán)限。

　　目前，許多組織都在努力對(duì)跨多個(gè)云平臺(tái)的用戶和權(quán)利進(jìn)行正確的可見(jiàn)性和管理。因此，新一代IAM解決方案必須包括跨云服務(wù)——例如容器、無(wú)服務(wù)器基礎(chǔ)設(shè)施以及DevOps和CI/CD工具的訪問(wèn)管理，所有這些都需要配置合適的訪問(wèn)策略才能發(fā)揮作用。

　　四 IAM的應(yīng)用挑戰(zhàn)

　　盡管IAM的建設(shè)和應(yīng)用通常由企業(yè)IT或安全部門發(fā)起，但I(xiàn)AM應(yīng)用幾乎涉及與組織業(yè)務(wù)相關(guān)的各個(gè)部門和環(huán)節(jié)，甚至還包括了外部合作伙伴和客戶：

　　需要訪問(wèn)公司資源的業(yè)務(wù)用戶（包括員工及其經(jīng)理）通過(guò)IAM流程安全地執(zhí)行此操作；

　　第三方用戶也是如此，例如承包商、合作伙伴、供應(yīng)商和客戶；

　　安全、合規(guī)和HR等專業(yè)部門同樣需要利用IAM流程，來(lái)滿足其組織的安全、隱私和合規(guī)目標(biāo)；

　　內(nèi)部和外部審計(jì)員利用IAM工具和流程提供的信息，來(lái)審計(jì)組織對(duì)各種法規(guī)的遵守情況；

　　業(yè)務(wù)部門需要利用IAM來(lái)保護(hù)他們的業(yè)務(wù)系統(tǒng)和資源，并確保只有正確的用戶才能在正確的時(shí)間訪問(wèn)他們的資源。

　　因?yàn)镮AM涉及了多方利益相關(guān)者的日常工作，因此，它的應(yīng)用往往被認(rèn)為是復(fù)雜的、困難的并且會(huì)帶來(lái)較大成本性投入的。造成這種情況的主要原因之一是IAM系統(tǒng)本身的設(shè)計(jì)定位。

　　IAM最初主要是為了滿足監(jiān)管要求和確保安全性。用戶體驗(yàn)和業(yè)務(wù)支持的需求是隨著數(shù)字化應(yīng)用發(fā)展而后續(xù)產(chǎn)生的。實(shí)施IAM項(xiàng)目建設(shè)會(huì)涉及功能模塊開發(fā)、系統(tǒng)應(yīng)用集成、定制化接口，以及系統(tǒng)應(yīng)用后持續(xù)性的運(yùn)營(yíng)維護(hù)工作，這都導(dǎo)致IAM項(xiàng)目實(shí)施過(guò)程變得昂貴且耗時(shí)。

　　但這些情況已經(jīng)在發(fā)生積極的變化。在當(dāng)前的數(shù)字和云優(yōu)先環(huán)境中，身份安全被視為基礎(chǔ)性的保障因素，越來(lái)越多的業(yè)務(wù)人員開始認(rèn)同IAM的價(jià)值。此外，除了安全性和合規(guī)性之外， IAM方案商也開始更關(guān)注系統(tǒng)應(yīng)用的便捷性和用戶體驗(yàn)，并將這些視為未來(lái)IAM方案的核心競(jìng)爭(zhēng)力體現(xiàn)。隨著IAM能力以云服務(wù)方式提供，其對(duì)用戶的維護(hù)和使用成本也會(huì)進(jìn)一步降低。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<