统一身份和访问管理(IAM)并不是一个新的安全概念,但它在当今“数字优先”的世界中变得越来越重要。现代企业员工需要在任何设备(服务)上都有“随处工作”的访问模式。这需要比以往任何时候都更安全地授予和验证数字身份,以实现安全的数字连接。早期的IAM技术建立在传统IT架构平台之上,无法支持组织新的身份管理和应用需求,迫使组织考虑如何构建新一代IAM平台。本文旨在从IAM的定义、IAM的技术构成、IAM的技术演进、IAM的应用挑战等维度来描述新一代IAM技术的应用与发展。一、IAM的概念和意义IAM是一门综合学科,不仅包括工具和技术,还包括定义和管理数字身份以提供对数字资源的访问的过程。IAM在初期主要负责管理人的身份,但随着数字化业务系统和物联网应用的快速发展,IAM系统需要为大量“机器”和业务系统赋予身份,实现有效管理。IAM对于定义数字身份配置文件和管理其整个生命周期(即IAM中的“IM”身份管理)至关重要。需要能够保证访问者是真正合法的(authentication,identityverification),并且能够正确访问他们试图访问的资源(authorization,authorization),也叫访问管理(也就是“A”在IAM中)。在身份管理的基础上,一些安全服务提供商正在将更多的能力集成到IAM系统中,身份治理和管理(IGA)的概念也应运而生。IGA解决方案可以证明身份治理安全的合规性,并支持持续审查访问权限的过程,以确保数字身份没有被错误配置访问权限,从而避免安全风险的形成。在实际应用中,新一代IAM系统正在以更科学的方式赋予数字资源适当的访问权限,从而在保护数字资产方面发挥重要作用。IAM需要从数字业务发展的全局角度为组织管理各种数字身份,统一制定数字资源的访问规则和策略。针对IAM的关键特性,它已成为组织下一代网络安全能力体系的基本要求和重要组成部分。在一个稳定有效的组织网络安全体系中,完善的IAM策略和能力是不可或缺的,让所有身份使用一致的策略和工具进行管理,让安全领导者清楚地了解企业数字资源的访问和应用。2.IAM关键技术组件IAM是一套实现系统身份安全能力的工具。它由几个关键的技术能力模块组成:1.访问管理访问管理(AM)被称为“运行时间”或“访问时间”组件,其中对数字身份进行身份验证以识别尝试访问资源的实体,并且仅允许必要的访问。组件包括双因素身份验证、多因素身份验证(MFA)等,其中除了用户ID和密码之外还需要一个或多个附加因素(令牌或设备)以增强身份验证过程;另一个常见的AM组件是单点登录(SSO),它在身份验证后建立安全会话,并且可以访问多个资源而无需对每个资源重新进行身份验证。2.身份管理身份管理处理身份和访问权限的管理和治理(也称为访问授权)。它通过在用户加入组织时自动为用户提供正确的访问权限来提高用户的工作效率。然后,它在整个身份生命周期(包括入职、过渡和离开阶段)中严格执行授予的权限模型。身份管理解决方案通常包括用户界面和工作流引擎,它们提供请求和批准访问的能力。这可能包括对特定资源的临时请求以及基于角色的访问,以及定义和管理业务和技术角色生命周期的工具。身份管理的一个重要功能是访问身份验证,它使审查身份访问的过程自动化,使管理人员能够审查和证明其员工的访问权限。同时,这也有助于遵守法规,因为许多法律要求定期审查对金融系统的任何访问。身份管理的另一个功能是供应和取消供应过程。身份管理技术模块使用“连接器”定位可以建立访问权限的应用程序,以便正确的用户获得正确的访问权限。它可以为各种复杂的应用程序(如ERP系统)提供细粒度的访问控制,同时定义职责分离(SOD)的控制规则,保证它们之间没有有害的访问行为。3.特权访问管理在新一代的IAM解决方案中,大多集成了一个重要的组件来解决对敏感资源和用户的访问,称为特权访问管理(PAM)。Gartner将可用的PAM技术分为两种不同的方法,这两种方法已成为领导者考虑使用PAM工具的主要关注点:特权账户和会话管理(PASM):特权账户通过安全存储凭证来保护。通过代理为用户、服务和应用程序提供帐户访问权限。使用凭据注入和完整会话日志记录的会话建立。特权帐户的密码和其他凭据得到主动管理(定期更改或在特定事件发生时更改)。权限升级和委派管理(PEDM):基于主机的代理向托管系统上的登录用户授予特定权限,包括基于主机的命令控制(过滤)和权限升级。综上所述,PAM的功能集包括:共享账户密码管理、应用到应用密码管理、特权账户发现和生命周期管理、特权SSO、特权升级管理、特权用户行为分析、会话监控分析和记录、端点特权治理、报告审计和合规性。PAM也在不断发展以支持即时(JIT)访问模型,这避免了保管凭证和定义不必要的永久身份的需要。在JIT模型中,账户是动态创建的,或者非管理账户在特定时间段内被授予临时管理权限,工作完成后及时删除。这样一来,管理员账户的数量就会大大减少,从而降低高级账户被盗用的风险。4、客户IAM(CIAM)根据组织的业务需要,IAM系统还应该包括一个针对其客户的外部IAM管理模块,通常称为客户IAM(CustomerIAM,CIAM)。消费者通常关注用户体验,CIAM解决方案需要提供成熟的工具包或第三方软件开发包(SDK),允许组织自定义认证接口和人机交互模式。CIAM的另一个要求是支持自适应访问,提供检测异常行为的能力,并通过大数据分析和机器学习执行更严格的访问身份验证(例如MFA)。同时,鉴于隐私问题和法规遵从性的增加,CIAM解决方案需要为客户提供一个界面来查看和控制他们的个人信息使用和保护。5.CloudInfrastructureEntitlementManagement为了使IAM取得更好的实际应用效果,很多相关技术同样重要,其中包括CloudInfrastructureEntitlementManagement(CIEM),旨在收集和规范IaaS平台环境中的上千种权限,了解访问模式,并对如何减少这些环境中存在的过度访问做出基于机器学习的判断。3、新一代IAM技术的演进可以认为,从第一台计算机出现开始,用户身份管理的需求就开始出现了。但直到客户端/服务器时代,随着应用程序变得更加分布式并形成自己的身份孤岛,统一身份管理的需求和重要性才开始显现。每个用户和权限都可以通过程序进行管理,极大地促进了用户认证方式和密码应用的发展。目录服务旨在通过提供集中式用户存储库以及所谓的轻量级目录访问协议(LDAP)来解决此问题。目录服务用于实现跨多个平台的单点登录,包括操作系统、数据库和Web服务器。在此期间,Microsoft的ActiveDirectory成为管理计算机和提供管理用户、组和访问策略的体系结构的企业标准。在Internet的早期,多重凭据和登录的问题更加严重,因此开发了Web单点登录(SSO)以促进跨组织应用程序的用户身份验证和授权,这在大多数情况下利用LDAP目录作为身份存储。此外,管理用户生命周期治理和访问策略的问题大多通过自定义应用程序实现自动化,这些应用程序最终成为生产化的用户配置和管理解决方案。这一点,再加上满足监管要求的治理能力需求,最终与身份管理和供应解决方案合并,形成了今天所谓的IGA。在过去十年中,这些解决方案以云解决方案的形式提供,充分利用了云的所有优势。但在大多数情况下,这些解决方案(包括IAM平台)仍然需要专门的资源来维护。为了进一步简化身份和访问管理用例和部署,并降低与实施多个解决方案相关的成本和负担,这些解决方案开始融合以提供更完整的IAM解决方案组合,例如IGA、PAM、AM和CIAM.鉴于基于云的解决方案的持续扩散以及向远程工作转变的进一步加速,许多组织在采用应用程序和安全解决方案时正在采用更积极的云优先战略。此外,云平台也在实施IAM解决方案来管理每个平台独有的用户和权利/权限。如今,许多组织都在为跨多个云平台的用户和权利的适当可见性和管理而苦苦挣扎。因此,下一代IAM解决方案必须包括跨云服务的访问管理——例如容器、无服务器基础设施以及DevOps和CI/CD工具——所有这些都需要配置适当的访问策略才能有效。4.IAM应用挑战虽然IAM的建设和应用通常是由企业的IT或安全部门发起,但IAM的应用几乎涉及与组织业务相关的所有部门和环节,甚至包括外部合作伙伴和客户:需要通过IAM流程安全地访问业务用户(包括员工及其经理)的公司资源;这同样适用于第三方用户,例如承包商、合作伙伴、供应商和客户;安全、合规和人力资源等专业部门也利用IAM流程来满足其组织的安全、隐私和合规目标;内部和外部审计员使用IAM工具和流程提供的信息来审计组织对各种法规的遵守情况;业务部门需要使用IAM来保护他们的业务系统和资源,并确保只有正确的用户才能在正确的时间访问他们的资源。由于IAM涉及多个利益相关者的日常工作,因此其应用通常被认为复杂、困难且成本高昂。造成这种情况的主要原因之一是IAM系统本身的设计方向。IAM最初的开发主要是为了满足监管要求和确保安全性。随着数字应用的发展,用户体验和业务支持的需求随之产生。IAM项目建设的实施会涉及到功能模块的开发、系统应用的集成、接口的定制化、系统应用后的持续运维等,这些都使得IAM项目的实施过程昂贵且耗时。但这些情况已经发生了积极的变化。在当前数字化、云优先的环境下,身份安全被视为基本保障因素,越来越多的业务人员开始认识到IAM的价值。此外,除了安全性和合规性,IAM解决方案提供商开始更加注重系统应用的便利性和用户体验,并将这些视为未来IAM解决方案的核心竞争力。由于IAM能力以云服务的形式提供,将进一步降低用户的维护和使用成本。
