在身份和访问管理(IAM)方面,中国企业和组织广泛采用4A(账户、认证、授权、审计)理念和平台。但传统的4A主要由内部控制和审计而非业务需求驱动。因此,它无法完全解决因快速扩展的数字业务和严格的监管环境而出现的新兴使用场景。围绕身份的安全威胁和攻击不断升级,加剧了这些挑战。企业组织应向“身份至上”的安全策略演进,通过扩展IAM支持的业务范围形成通用的安全控制面(见图1)。那么,企业组织应优先选择国内支持标准协议、互通性好的工具和厂商,构建可组装、敏捷的IAM架构。图1:身份与访问管理概述明确IAM的核心功能,梳理IAM的技术需求。IAM项目可以帮助合适的人员、机器和设备出于合理的原因在合适的时间访问合适的资产,同时防止未经授权的访问。IAM的范围和核心功能包括:身份治理和管理(IGA):IGA工具聚合和关联整个IT环境中的不同身份和访问权限数据,并在管理时间内提供用户访问控制。访问管理(AM):AM负责为目标应用程序和服务建立和协调运行时访问决策。用户身份验证:用户身份验证是指对创建的身份请求进行实时验证,具有隐含的或名义上的信心或信任,从而能够访问数字资产。用户身份验证的本质是帮助识别已知用户并验证请求的身份是否属于请求用户。特权访问管理(PAM):当实体(人或机器)使用具有提升权限的管理员帐户或凭据在IT或数字系统中执行技术维护、更改或处理紧急故障(特权操作)时,特权访问具有发生。PAM控制确保所有相关用例都授权对授权目标系统的访问,包括任何机制——例如特权帐户或凭据。IAM与中国本土概念和周边技术的关联4A和安全运维堡垒机(SMBH)是在中国被广泛采用的IAM概念和产品。我国企业普遍采用4A理念,使用为满足企业风险和内控要求而设计的IAM产品。4A产品提供的中心化平台结合了IGA、AM和用户鉴权的功能。SMBH在国内又称安全运维管理平台,是IT或数字系统运维的安全入口。对于在中国运营的组织而言,SMBH是一种常用工具,可帮助组织更好地遵守分级安全保护系统(MLPS)2.0中规定的特权帐户访问管理和审计要求。零信任网络访问(ZTNA)安全和风险管理(SRM)领导者应了解IAM和ZTNA之间的相互依赖关系,并确定两者中的哪一个或两者更能满足用户访问应用程序的需求。ZTNA通常被定位为VPN的替代品。拥有可提供可靠身份和身份验证上下文的IAM工具是成功实施ZTNA的先决条件。SRM领导者应优先考虑IAM以提供身份验证上下文,尤其是在具有大量SaaS应用程序和机器身份的现代环境中。制定“身份优先”的安全策略和路线图以支持数字业务转型IAM策略应包含在IAM计划中。IAM应该被定位为数字业务的推动者,而不仅仅是一个安全技术项目。它需要持续的、长期的投入,不能一蹴而就。负责IAM的SRM领导者应该让利益相关者(包括IT之外的利益相关者)参与进来,以定义与业务优先级和结果保持一致的“身份优先”安全策略和路线图。图2概述了IAM战略规划的基本步骤。图2:在当今分布式IT环境中构建敏捷和可组合IAM架构的IAM战略规划流程给IAM带来了新的挑战。传统的IAM架构和工具不够灵活,无法支持新兴的用例。中国的SRM领导者应该转向可组合、敏捷的IAM架构,并重新调整他们的IAM工具选择策略。有两个问题尤其值得关注:IAM工具应该部署在本地还是云端?如何选择IAM工具来支持敏捷可组合的IAM架构如果企业组织在IAM系统中使用大量定制化代码来支持复杂的IT环境,那么他们很难集成所有现有的IAM系统,因为迁移的成本和复杂性基础设施已被现代基础设施取代。相反,他们需要利用现有的IAM投资,同时添加由新用例驱动的新的、更智能、更敏捷的功能。重要的是要认识到IAM系统正在发生重大变化。它们需要更好的可配置性和可组装性,而且它们的设计需要能够跟上快速变化和新扩展的步伐,以帮助组织实现数字化转型。
